Il jackpotting degli atm torna a crescere perché mette insieme due fattori che, quando si sommano, diventano letali per la sicurezza bancaria: accesso fisico facile e software abbastanza standardizzato da permettere attacchi ripetibili. L’Fbi parla di oltre 1.900 incidenti dal 2020 negli Stati Uniti e quantifica nel solo 2025 circa 700 casi con perdite superiori a 18 milioni di euro. La curva, secondo i numeri riportati, non è più quella di un fenomeno marginale: è un modello operativo che funziona, perché drena contante in pochi minuti e spesso resta invisibile fino a quando la macchina non è già stata “svuotata”. Nel quadro complessivo, viene citata anche una stima di circa 37 milioni di euro sottratti dal 2021, segnale di un impatto cumulativo che non riguarda un singolo istituto ma un’intera filiera di operatori, manutentori e reti di atm. La caratteristica che rende il jackpotting diverso dalle frodi tradizionali è che non serve ingannare la banca con transazioni “finte” o clonazioni di carte. Qui l’obiettivo è più diretto: parlare con l’hardware del dispenser e ordinargli di erogare contante senza alcuna autorizzazione legittima. È il punto in cui la sicurezza digitale e la sicurezza fisica smettono di essere due capitoli separati e diventano la stessa storia.
Come funziona l’attacco: dal pannello frontale al malware sul disco
Il bollettino descrive un’operazione spesso sorprendentemente semplice. I criminali arrivano con chiavi generiche reperibili online o comunque compatibili con serrature standard, aprono il pannello dell’atm e accedono ai componenti interni. A quel punto si muovono in due modalità, entrambe progettate per ridurre al minimo il tempo sul posto e quindi l’esposizione a telecamere e pattuglie. La prima modalità è la manipolazione del disco: l’hard drive viene rimosso, collegato a un laptop, infettato con malware e poi rimontato, oppure sostituito direttamente con un drive già preparato. La seconda, più “pulita” in alcuni scenari, sfrutta la stessa logica ma con meno passaggi, puntando a ridurre il tempo complessivo dell’operazione. In entrambi i casi, il risultato è identico: al riavvio, l’atm esegue un ambiente compromesso o carica componenti malevoli che entrano nel percorso operativo del software di erogazione. È qui che entra in scena un nome ricorrente nelle campagne di jackpotting: Ploutus. Nato nel 2013 in Messico e poi evoluto in varianti più modulari, Ploutus è citato come malware capace di controllare l’atm e comandare l’erogazione di contante su richiesta. L’elemento chiave, dal punto di vista tecnico, è l’uso di estensioni e interfacce di servizi finanziari che permettono di inviare comandi diretti ai componenti dell’atm. In contesti atm, questo strato software è spesso legato alle API e ai middleware che orchestrano dispenser, lettori e sensori. Un attaccante che prende il controllo di quel livello può bypassare la logica bancaria “a monte” e operare localmente, dove la rete e i controlli antifrode tradizionali vedono poco o nulla.
Perché questi attacchi sfuggono: velocità, contesto e “banco cieco”
Il jackpotting funziona perché è veloce. Se l’operazione dura minuti, la probabilità che un SOC o un centro antifrode intercetti l’anomalia in tempo reale scende drasticamente, soprattutto quando l’atm non sta generando transazioni anomale verso il core banking. La banca vede un problema quando riceve un alert fisico, quando il contante finisce “troppo presto” o quando un tecnico apre la macchina e scopre la manomissione. In più, molti atm si trovano in contesti dove la sorveglianza è discontinua: aree isolate, corner retail poco presidiati, punti esterni con illuminazione scarsa. I gruppi organizzati sfruttano esattamente questo: scelgono macchine accessibili, pianificano, agiscono in fascia notturna, riducono il rumore operativo. Se il kit di chiavi è standard e l’hardware è facilmente raggiungibile, il resto è un problema di tempo. C’è anche un tema di “standardizzazione” che lavora contro i difensori. Molti atm hanno un software sottostante basato su Windows o componenti embedded e usano stack simili tra vendor diversi. Questo non significa che siano tutti uguali, ma significa che esistono pattern replicabili. Per un criminale, replicabile equivale a scalabile.
Il punto debole più sottovalutato: serrature, credenziali e manutenzione
Nel bollettino, l’Fbi insiste su un aspetto che nel settore viene spesso trattato come “banale” finché non esplode: serrature standard e chiavi generiche. È il classico anello debole di una catena che magari include cifrature e monitoraggi, ma che poi si apre con un oggetto da pochi euro. A questo si sommano elementi altrettanto ricorrenti: credenziali di default, configurazioni non aggiornate, controlli di integrità del disco assenti o blandi, procedure di manutenzione che non prevedono audit sistematici. Il jackpotting prospera dove la gestione dell’atm è vista come logistica, non come superficie d’attacco. E oggi non è più sostenibile, perché l’atm è un endpoint a tutti gli effetti: ha sistema operativo, periferiche, connessioni, firmware e supply chain.
Le raccomandazioni Fbi: difesa fisica e digitale nello stesso piano
Le contromisure suggerite puntano a rendere l’attacco più costoso e più rischioso per chi lo esegue, aumentando le probabilità di rilevazione prima che il contante venga erogato. La prima linea è fisica: serrature personalizzate non standard, sensori antimanomissione che rilevino aperture non autorizzate, telecamere ben posizionate e senza angoli morti, posizionamento degli atm in aree più controllate quando possibile. La seconda linea è operativa: audit regolari sui dispositivi, controllo dell’integrità dei componenti, revisione delle procedure di intervento tecnico, e soprattutto eliminazione di qualsiasi “default” ancora presente, dalle credenziali ai profili di servizio. La terza linea, più tecnica, riguarda configurazioni di sicurezza che possano attivare spegnimenti automatici o modalità di blocco quando emergono indicatori di compromissione, insieme a allowlisting di periferiche e controlli sulle connessioni non autorizzate. Il sottotesto è chiaro: se l’attacco dura minuti, la difesa deve essere preventiva e automatica, non reattiva e manuale. Un intervento umano che parte mezz’ora dopo non serve, perché il contante è già fuori.
Perché questa storia riguarda anche l’Europa
Anche se i numeri citati sono statunitensi, il modello è esportabile. Le stesse condizioni esistono ovunque ci siano atm in luoghi periferici, manutenzione frammentata tra fornitori, e un’eredità tecnologica fatta di sistemi embedded e stack standardizzati. E con l’aumento delle pressioni economiche, i gruppi criminali cercano sempre più spesso attacchi ad alto rendimento e basso rischio operativo. Il jackpotting, quando funziona, è esattamente questo: pochi minuti sul posto, contante immediato, traccia bancaria ridotta. In più, il fenomeno ha un effetto secondario: accelera la corsa a misure di sicurezza che trasformano l’atm in un oggetto “blindato” e più costoso da gestire, spostando costi su operatori e assicurazioni. È un altro esempio di come la criminalità informatica non rubi solo denaro: sposta strutturalmente i costi dell’infrastruttura.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
