russian coms truffa spoofing

“Pronto, sono la tua banca”: sgominata gang Russian Coms dietro milioni di truffe telefoniche

🛡️ Executive Summary

  • Russian Coms permetteva ai criminali di simulare chiamate provenienti da banche, operatori telefonici e forze dell’ordine.
  • La NCA ha incriminato cinque persone per fornitura di strumenti destinati alle frodi e gestione dei presunti proventi criminali.
  • I cinque imputati dovranno comparire il 14 agosto davanti al Westminster Magistrates’ Court per l’avvio del procedimento.

La National Crime Agency britannica ha incriminato cinque persone nell’indagine su Russian Coms, una piattaforma accusata di avere fornito a criminali di diversi Paesi strumenti per compiere milioni di chiamate fraudolente. Il servizio consentiva di nascondere l’identità reale del chiamante e visualizzare numeri apparentemente appartenenti a banche, operatori telefonici o forze dell’ordine. Le accuse riguardano la presunta fornitura di strumenti destinati alle frodi e la gestione del denaro ricavato dalla loro commercializzazione. Le imputazioni devono ancora essere esaminate dal tribunale e le persone coinvolte devono essere considerate innocenti fino a un’eventuale condanna definitiva.

La NCA porta in tribunale i presunti fornitori di Russian Coms

Annuncio

L’atto annunciato dalla NCA il 13 luglio 2026 rappresenta una nuova fase dell’inchiesta avviata contro Russian Coms, infrastruttura smantellata dalle autorità britanniche nel marzo 2024 dopo mesi di attività investigativa e raccolta di intelligence. Secondo l’agenzia, la piattaforma era stata creata nel 2020 e aveva iniziialmente assunto la forma di un dispositivo telefonico portatile, successivamente sostituito o affiancato da un’applicazione accessibile via web. Entrambe le soluzioni sarebbero state commercializzate come prodotti capaci di celare l’identità dei chiamanti e di sostituire il numero reale con uno selezionato dall’utente. Le stime precedenti diffuse dalla NCA indicavano che, tra il 2021 e il 2024, gli utilizzatori del servizio avevano effettuato più di 1,3 milioni di chiamate verso circa 500.000 numeri britannici unici, mentre il numero delle persone potenzialmente colpite nel Regno Unito era stato valutato in circa 170.000. Nei casi denunciati ad Action Fraud, la perdita media indicata dall’autorità era pari a circa 9.400 sterline, mentre il danno globale complessivo veniva collocato nell’ordine delle decine di milioni. L’azione giudiziaria non riguarda quindi soltanto singole telefonate fraudolente, ma la presunta costruzione e distribuzione di una piattaforma di fraud-as-a-service, progettata per consentire ad altri criminali di condurre campagne su scala industriale. La NCA concentra l’accusa sulla catena di fornitura, sui soggetti che avrebbero contribuito alla vendita dei dispositivi e delle applicazioni e sui flussi finanziari derivanti dalla loro presunta commercializzazione. Il nome Russian Coms non indica, sulla base delle informazioni rese pubbliche, un collegamento con lo Stato russo: identifica il marchio utilizzato dalla piattaforma criminale e non deve essere interpretato come attribuzione governativa.

I cinque imputati e le accuse formulate dall’autorità britannica

Ayoub Sehailia, 28 anni, residente a Newham, è stato accusato di due capi di cospirazione finalizzata alla fornitura di articoli destinati a essere utilizzati in relazione a frodi, oltre che di trasferimento e conversione di beni di provenienza criminale. Zakkaria Sehailia, 30 anni, residente a Tower Hamlets, deve rispondere di due analoghi capi di cospirazione, conversione e acquisizione di beni di provenienza criminale e mancata ottemperanza a una richiesta relativa alla consegna dei codici di accesso dei telefoni. Usman Din, 30 anni, di Newham, è accusato di un capo di cospirazione per la fornitura di strumenti da utilizzare nelle frodi. Denis Ozmus, 29 anni, residente a Haringey, è stato incriminato per due capi della stessa tipologia, mentre Fadila Salem, 53 anni, di Newham, è accusata di trasferimento di beni di provenienza criminale. Il comunicato della NCA non stabilisce responsabilità definitive e utilizza contestazioni che dovranno essere dimostrate nel corso del procedimento. I cinque dovranno comparire venerdì 14 agosto 2026 davanti al Westminster Magistrates’ Court, dove verranno affrontate le prime fasi processuali e potranno essere definite le successive assegnazioni del caso. La formulazione delle accuse mostra la doppia direzione dell’indagine: da una parte la presunta fornitura consapevole di strumenti tecnici destinati alla commissione di frodi, dall’altra la movimentazione o conversione del denaro che sarebbe stato generato attraverso la loro vendita. La contestazione relativa alla mancata consegna dei codici dei dispositivi evidenzia inoltre il ruolo centrale delle prove digitali nelle indagini contemporanee, nelle quali telefoni, account, applicazioni e registrazioni delle transazioni possono ricostruire relazioni operative, clientela e flussi finanziari. L’intervento della NCA segue una strategia già applicata contro altre piattaforme criminali: non limitarsi agli utilizzatori finali, ma colpire sviluppatori, amministratori, rivenditori e facilitatori che rendono disponibile l’infrastruttura.

Lo spoofing del numero trasformava una chiamata in una falsa identità

Il valore criminale di Russian Coms derivava principalmente dalla possibilità di manipolare il caller ID, cioè l’informazione visualizzata dal telefono della vittima per identificare il numero chiamante. In una rete telefonica tradizionale o basata su VoIP, il numero mostrato sul dispositivo non costituisce necessariamente una prova affidabile dell’origine della comunicazione. Una piattaforma configurata per lo spoofing può inserire nella segnalazione un numero diverso da quello reale, facendo apparire la telefonata come proveniente da una banca, un operatore di telecomunicazioni, un ufficio pubblico o un comando di polizia. Il truffatore sfrutta quindi una relazione di fiducia già esistente tra la vittima e l’organizzazione imitata, riducendo la probabilità che la chiamata venga immediatamente rifiutata. Dopo avere ottenuto credibilità, l’operatore può sostenere che sia in corso un accesso abusivo, un bonifico sospetto o un’indagine urgente, chiedendo credenziali, codici monouso, dati personali oppure il trasferimento del denaro verso un presunto conto sicuro. La tecnica combina infrastruttura telefonica e ingegneria sociale, perché lo spoofing non sottrae autonomamente i fondi ma costruisce l’apparenza necessaria per indurre la vittima a collaborare. Europol ha già avvertito che i criminali possono sfruttare numeri apparentemente associati alle autorità per rendere più persuasive le proprie richieste, come approfondito nell’analisi sulle truffe telefoniche con spoofing del caller ID. Lo stesso principio ha alimentato servizi criminali precedenti, tra cui iSpoof, piattaforma Cybercrime-as-a-Service utilizzata per impersonare istituti finanziari e oggetto di un’estesa operazione internazionale, raccontata nell’articolo sul gestore di iSpoof condannato a 13 anni. Russian Coms si inserisce nella medesima evoluzione industriale: il criminale non deve più costruire da solo una rete VoIP, gestire apparati o sviluppare software specializzato, perché acquista l’accesso a un prodotto pronto all’uso che riduce costi, competenze e tempi operativi.

Dal dispositivo fisico all’app web nasce la frode telefonica come servizio

La trasformazione di Russian Coms da dispositivo portatile ad applicazione web mostra come le infrastrutture per le frodi abbiano seguito lo stesso percorso dei servizi digitali legittimi. Un apparecchio fisico richiede produzione, consegna, manutenzione e gestione della distribuzione, mentre una piattaforma online può essere aggiornata centralmente e resa disponibile a molti clienti attraverso credenziali o abbonamenti. Il modello consente di separare i ruoli: gli sviluppatori mantengono l’infrastruttura, i rivenditori trovano gli utenti, i criminali conducono le telefonate e altri soggetti possono occuparsi di riciclare o convertire i proventi. Questa specializzazione crea un mercato nel quale anche operatori con capacità tecniche limitate possono avviare campagne sofisticate acquistando accessi, numeri preconfigurati e funzioni di anonimizzazione. La frode telefonica diventa così un servizio modulare simile ai modelli già osservati nel ransomware, nel phishing e nella distribuzione di malware. La disponibilità di pannelli web permette inoltre di coordinare attività da più Paesi, modificare rapidamente i numeri imitati e adattare lo scenario alla vittima. Un criminale può fingere di essere l’ufficio antifrode di una banca durante una prima chiamata, presentarsi successivamente come agente di polizia e infine contattare la stessa persona con un numero attribuito a un operatore telefonico, costruendo una narrazione coerente attraverso identità apparentemente indipendenti. L’infrastruttura amplifica quindi l’efficacia della manipolazione psicologica e rende più difficile distinguere una comunicazione autentica da una simulata. Il fenomeno rientra nella più ampia evoluzione del vishing, oggi sostenuto anche da automazione, strumenti di sintesi vocale e procedure organizzate per sottrarre credenziali e codici di autenticazione, descritta nella guida sull’ingegneria sociale tra phishing, smishing e vishing. La NCA mira a interrompere proprio questo livello abilitante, perché disattivare una piattaforma può privare simultaneamente numerosi gruppi criminali dello stesso strumento operativo.

Il riciclaggio dei ricavi completa la filiera della piattaforma criminale

Le accuse relative al trasferimento, all’acquisizione e alla conversione di beni di provenienza criminale indicano che l’indagine non si limita alla componente tecnologica. Una piattaforma fraudolenta deve poter ricevere pagamenti dagli utilizzatori, trasformare gli incassi in fondi spendibili e ridurre la tracciabilità tra la vendita del servizio e i beneficiari finali. Le tecniche possono comprendere conti intestati a terzi, prestanome, società di comodo, trasferimenti frazionati, servizi di pagamento non bancari o conversioni tra valute e criptovalute, anche se il comunicato della NCA non specifica quali meccanismi sarebbero stati utilizzati nel caso concreto. L’autorità britannica dovrà dimostrare non soltanto che determinati beni derivassero da attività criminali, ma anche il ruolo e la consapevolezza attribuiti a ciascun imputato. Il contrasto finanziario è essenziale perché la rimozione di un sito o di un server può interrompere temporaneamente il servizio, mentre il sequestro dei profitti, l’identificazione dei flussi e la responsabilizzazione dei facilitatori aumentano il costo complessivo dell’attività. La commercializzazione di piattaforme come Russian Coms produce inoltre dati investigativi preziosi: elenchi di clienti, registri degli accessi, indirizzi IP, numeri utilizzati, pagamenti e comunicazioni interne possono consentire alle autorità di risalire agli utilizzatori e avviare procedimenti separati. Dopo lo smantellamento del 2024, la NCA aveva infatti distribuito pacchetti informativi alle unità specializzate nella criminalità economica, consentendo ulteriori azioni coordinate con il National Economic Crime Centre e la polizia della City of London. Questo approccio segue una logica di disruption progressiva: sequestrare l’infrastruttura, analizzarne i dati, identificare sviluppatori e amministratori, colpire i ricavi e infine utilizzare le informazioni raccolte per perseguire clienti e affiliati.

I filtri anti-spoofing riducono il traffico ma non eliminano l’ingegneria sociale

Il caso Russian Coms evidenzia anche i limiti di una difesa fondata esclusivamente sul blocco tecnico delle chiamate. Gli operatori possono verificare la coerenza tra il numero visualizzato e la rete di origine, applicare filtri alle chiamate internazionali che simulano numerazioni nazionali e condividere indicatori relativi a traffico anomalo o campagne massive. In Italia, i sistemi introdotti su impulso dell’AGCOM hanno dimostrato la possibilità di intercettare grandi quantità di traffico illecito, arrivando a bloccare 49,3 milioni di chiamate da numerazioni mobili nei primi undici giorni di operatività del filtro, come riportato nell’approfondimento sul contrasto italiano alle chiamate con numeri falsificati. Queste misure riducono la superficie d’attacco ma non possono eliminare ogni variante, perché i criminali possono utilizzare numeri realmente attivi, account compromessi, chiamate originate nello stesso Paese o canali alternativi come messaggistica, email e social network. La protezione deve quindi unire controlli di rete, verifica delle identità e consapevolezza degli utenti. Una banca o una forza dell’ordine non dovrebbe chiedere di trasferire denaro verso un conto sicuro né pretendere la comunicazione di password e codici monouso durante una telefonata inattesa. In presenza di una richiesta urgente, la procedura più affidabile consiste nell’interrompere la comunicazione e ricontattare autonomamente l’organizzazione attraverso un numero ufficiale, senza richiamare quello mostrato sul display. L’incriminazione dei cinque sospettati non chiude automaticamente il fenomeno, ma mostra come le autorità stiano spostando l’attenzione dalle singole truffe alle infrastrutture che rendono possibili milioni di contatti fraudolenti. Il procedimento del 14 agosto dovrà stabilire la posizione processuale degli imputati e avviare l’esame delle prove raccolte, mentre l’indagine sui clienti e sui proventi della piattaforma potrà continuare su più livelli e giurisdizioni.

Iscriviti alla Newsletter

Non perdere le analisi settimanali: Entra nella Matrice Digitale.

Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.

Torna in alto