Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

La storia di Michael Stoll: il programmatore che sottrasse milioni un centesimo alla volta

Sandro Sana : 11 Ottobre 2024 08:49

Nel vasto mondo delle frodi finanziarie e della sicurezza informatica, la storia di Michael L. Stoll rappresenta un esempio illuminante di come un singolo individuo, armato di conoscenze tecniche e accesso a sistemi cruciali, possa sfruttare le vulnerabilità in modo sottile ma devastante. Negli anni ’70, Stoll attuò uno schema di frode sofisticato che gli permise di sottrarre denaro un centesimo alla volta, sfruttando una tecnica nota come “salami slicing“. La sua storia è divenuta talmente iconica da ispirare anche scene cinematografiche in film come Superman III.

NB: Non ci sono prove documentate o riferimenti storici verificabili che confermino l’esistenza di Michael L. Stoll come autore di una frode bancaria legata al “salami slicing”. Sebbene la sua storia venga spesso utilizzata per spiegare questo tipo di frode informatica, non esistono articoli storici o menzioni precise nei registri dell’epoca che possano confermare la veridicità della vicenda.

Il contesto storico: le banche e l’informatica negli anni ’70

Alla fine degli anni ’60 e l’inizio degli anni ’70, molte istituzioni bancarie stavano abbracciando la rivoluzione tecnologica, adottando sistemi informatici per automatizzare transazioni e gestire enormi volumi di dati finanziari. Le prime grandi banche, come la First National Bank di Chicago, si affidavano sempre più a complessi programmi software per garantire efficienza, velocità e precisione nelle operazioni.

FINO AL 31 DICEMBRE, sconti estremi sui corsi Red Hot Cyber

Affrettati!

Fino al 31 dicembre potrai acquistare a prezzi scontati i nostri corsi cliccando sui seguenti coupon:

  • NIS2 : Network and Information system 2 scontato del 25%
  • Dark Web & Cyber Threat Intelligence scontato del 50%

  • Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    Michael L. Stoll era un giovane programmatore con accesso a uno di questi sistemi. Lavorava proprio per la First National Bank di Chicago, una delle più grandi e importanti banche negli Stati Uniti. In un ambiente in cui la tecnologia era ancora in evoluzione e i controlli di sicurezza informatica non erano così rigidi come oggi, Stoll individuò una falla: l’arrotondamento delle transazioni. Gli importi, spesso molto frazionati, venivano arrotondati per semplificare i conti, ma quelle frazioni di centesimo non sparivano. Erano piccoli importi, apparentemente insignificanti, che passavano inosservati.

    Il piano: la tecnica del “salami slicing”

    La tecnica utilizzata da Stoll è quella che oggi viene chiamata “salami slicing” o “penny shaving”, un termine che deriva dall’idea di sottrarre piccolissime porzioni da un intero – come fette sottili di salame – senza che nessuno se ne accorga. In pratica, Stoll alterò il programma informatico della banca in modo che gli arrotondamenti delle transazioni venissero trasferiti automaticamente su un conto corrente segreto, da lui controllato.

    Immaginiamo una tipica transazione di pochi dollari, magari di 10,23 dollari. Se il sistema della banca arrotondava l’importo a 10,20 dollari per comodità operativa, quei tre centesimi sarebbero dovuti sparire, ma con la modifica introdotta da Stoll, venivano invece deviati su un suo conto personale. Ripetendo questo schema su migliaia di transazioni al giorno, l’importo totale accumulato diventava sorprendentemente alto in poco tempo.

    Ciò che rendeva questo piano particolarmente ingegnoso era la sua invisibilità: nessuno si sarebbe accorto di pochi centesimi mancanti in una singola transazione. Tuttavia, il volume delle transazioni bancarie era tale da garantire che il bottino di Stoll crescesse in modo esponenziale, senza suscitare sospetti.

    Il legame con la cultura pop: Superman III

    L’astuta truffa di Michael L. Stoll ha lasciato il segno non solo nella storia delle frodi informatiche, ma ha anche ispirato una celebre scena del film Superman III (1983). In questo film, il personaggio di Gus Gorman, interpretato da Richard Pryor, è un programmatore che attua una truffa identica a quella di Stoll: manipola il sistema informatico per incanalare i piccoli arrotondamenti delle transazioni aziendali su un suo conto privato. Anche se il film mantiene un tono leggero e comico, questa rappresentazione cinematografica riflette la realtà delle frodi sottili ma potenzialmente devastanti come quella di Stoll, portando il concetto del “salami slicing” a un pubblico più vasto.

    Questo tipo di truffa è stato successivamente citato in diverse altre opere della cultura pop, inclusi film e serie TV, e ha contribuito a sensibilizzare sul potenziale delle minacce informatiche anche all’interno di organizzazioni apparentemente ben protette.

    Il crollo dello schema

    Per un certo periodo, Michael L. Stoll riuscì a farla franca. Le piccole somme che prelevava rimasero inosservate, tanto era grande il numero di transazioni che passavano quotidianamente attraverso il sistema bancario. Tuttavia, come spesso accade con le frodi più sofisticate, il suo piano cominciò a sgretolarsi quando i piccoli errori e le anomalie furono finalmente notati.

    Le banche, in quegli anni, iniziavano a comprendere l’importanza della sicurezza informatica. Fu proprio grazie a una revisione casuale del sistema contabile che alcuni responsabili si accorsero di un’anomalia ricorrente negli arrotondamenti delle transazioni. Anche se i numeri sembravano minimi, non quadravano del tutto. Le indagini interne portarono alla scoperta del trucco, e l’attenzione si concentrò rapidamente su Stoll.

    Non ci volle molto perché il programmatore venisse individuato come l’artefice della frode. L’inchiesta bancaria rivelò che Stoll aveva accumulato una somma sorprendentemente grande nel suo conto segreto, sottraendo un centesimo alla volta. Fu arrestato e condannato per frode bancaria, diventando uno dei primi esempi noti di cyber-criminalità legata all’abuso di sistemi informatici bancari.

    L’eredità di Michael Stoll

    Il caso di Michael Stoll ha lasciato un segno indelebile nel mondo della sicurezza informatica e bancaria. Anche se la tecnica del “salami slicing” era nota in teoria, fu una delle prime volte che venne applicata su larga scala con l’uso della tecnologia moderna. La vicenda portò alla luce le vulnerabilità nei sistemi bancari dell’epoca e spinse le istituzioni finanziarie a rafforzare le misure di sicurezza e controllo.

    Oggi, sistemi di audit, monitoraggio automatico delle transazioni e rigide politiche di sicurezza informatica sono la norma nelle banche di tutto il mondo, proprio per prevenire casi simili. Le frodi informatiche si sono evolute, diventando più complesse, ma la lezione appresa dal caso di Stoll è ancora rilevante: anche piccole vulnerabilità possono essere sfruttate in modo devastante se lasciate inosservate.

    Conclusione

    La storia di Michael L. Stoll rimane una lezione chiave nel mondo della cybersecurity. La sua abilità nel manipolare piccoli dettagli per accumulare un grande guadagno dimostra che spesso sono le azioni più sottili e invisibili quelle che possono causare il maggior danno. Sebbene il suo schema di “salami slicing” sia stato scoperto e smantellato, continua a essere un monito per chi gestisce sistemi finanziari e informatici: la sicurezza non è mai troppa e la fiducia, se mal riposta, può essere fatale.

    Nel frattempo, questa vicenda continua a ispirare la cultura pop, come dimostrato dal film Superman III, e sottolinea come la realtà possa essere, talvolta, più ingegnosa della finzione.

    Sandro Sana
    Membro del gruppo di Red Hot Cyber Dark Lab. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro CLUSIT e giornalista presso RedHot Cyber, Cybersecurity360 & Digital360.
    Visita il sito web dell'autore