Un colpo che sembra scritto per un film, con la stessa tensione narrativa delle rapine raccontate al cinema, ma calato nel contesto iper-tecnologico della cyber security bancaria.

Lo scorso weekend la filiale di Banca Sella di via Escoffier a Sanremo è diventata teatro di un attacco che ha unito strumenti digitali e mezzi fisici, con l’obiettivo di prosciugare i conti più ricchi dell’agenzia per un valore stimato di circa sei milioni di euro.

Banca Sella nel mirino di una frode: i fatti noti

La dinamica della truffa, per come è trapelata finora, ha due facce.

Da un lato, l’installazione di un dispositivo elettronico all’interno della filiale: potrebbe essere stato un router, un access point o comunque un apparecchio capace di agganciarsi ai sistemi informatici della banca e tentare di orchestrare bonifici fraudolenti.

Dall’altro, una mossa sorprendentemente “analogica”: le serrature e le porte della filiale bloccate con silicone per rallentare l’ingresso dei dipendenti la mattina seguente, guadagnando così minuti preziosi per completare l’operazione.

A oggi i clienti possono tirare un sospiro di sollievo. L’istituto ha rassicurato che nessun conto è stato intaccato e che tutte le transazioni sospette sono state intercettate dalle difese interne.

Il blitz criminale, insomma, non ha prodotto perdite economiche.

Eppure, resta la sensazione di un attacco preparato con cura, che ha messo alla prova la resilienza dei sistemi di difesa digitale e fisica.

L’indagine è ora nelle mani della Procura di Genova, competente per i reati informatici, e del Centro operativo per la sicurezza cibernetica della Liguria. La Polizia Postale sta analizzando i dispositivi sequestrati e i computer aziendali, alla ricerca di tracce che possano chiarire se l’attacco sia stato condotto interamente dall’esterno o se vi sia stato un appoggio interno, magari inconsapevole.

Truffa alla Banca Sella: come è potuto accadere

Il punto più oscuro resta proprio il “come”.

Un semplice router piazzato all’ingresso della banca, da solo, difficilmente avrebbe avuto senso: non basta collegarlo alla corrente per bucare un’infrastruttura bancaria blindata.

Più plausibile è l’ipotesi che quel device fosse parte di un setup più articolato, magari un ripetitore o un’antenna in grado di veicolare il segnale di un apparecchio installato giorni prima.

Alcuni esperti ipotizzano l’uso di un dispositivo hardware malevolo collegato via USB a un computer della filiale, approfittando di una distrazione di un impiegato. Un cosiddetto “KVM over IP”, minuscolo e discreto, avrebbe permesso ai criminali di assumere pieno controllo del terminale della postazione, simulando le azioni dell’operatore stesso.

Uno scenario del genere non è fantascienza. In passato sono stati documentati casi di intrusioni riuscite grazie a keylogger o mini-PC nascosti, capaci di trasmettere all’esterno il traffico di rete o di aprire una backdoor permanente.

Nel caso di Sanremo, l’operazione sembra essersi arenata perché i moderni sistemi EDR (Endpoint Detection and Response), ormai diffusi anche in contesti bancari, sono in grado di rilevare comportamenti anomali tipici di questi dispositivi.

È possibile che un alert interno sia scattato prima del previsto, bloccando la catena d’attacco e costringendo i criminali a lasciare tutto in sospeso.

Cosa impariamo dalla truffa alla Banca Sella di Sanremo

Quello che emerge è una fotografia nitida della nuova frontiera del crimine finanziario: un mix di “vecchia scuola” e attacco informatico, dove la colla nelle serrature ha lo stesso peso strategico del malware o di un’antenna nascosta.

Per il settore bancario l’episodio rappresenta un monito.

Non basta investire in firewall, sistemi di detection e procedure di autenticazione forte: occorre pensare anche a scenari ibridi, dove la porta d’ingresso fisica diventa il cavallo di Troia per entrare nei sistemi digitali.

Banca Sella ha dimostrato solidità nel resistere al colpo, ma l’attacco di Sanremo resta un campanello d’allarme.

Perché laddove il denaro viaggia sempre più veloce sulla rete, i rapinatori imparano a muoversi altrettanto agilmente tra due mondi: quello tangibile delle porte sigillate e quello invisibile dei pacchetti TCP/IP.