La slot machine da 20 milioni di dollari: l'FBI avverte di un'ondata di attacchi ATM Jackpotting

Nel mondo del cybercrime ad alto rischio, alcuni degli attacchi più efficaci non vengono lanciati da una camera da letto dall'altra parte del mondo, ma da un marciapiede in pieno giorno. L'FBI ha emesso un severo bollettino di sicurezza che dettaglia una massiccia rinascita dell'«ATM jackpotting», una sofisticata rapina fisica e digitale che trasforma i normali distributori di contanti in fontane di denaro ad alta velocità.

Secondo gli ultimi dati federali, il 2025 è stato un anno record per questi crimini. Gli hacker hanno eseguito con successo più di 700 attacchi negli Stati Uniti, incassando circa 20 milioni di dollari in contanti rubati. Ciò rappresenta una significativa escalation sia nella frequenza che nella precisione tecnica di queste rapine, innescando un'allerta nazionale per le istituzioni finanziarie e gli operatori di ATM indipendenti.

Cos'è l'ATM Jackpotting?

Per capire il jackpotting, aiuta pensare a un bancomat non come a una cassaforte, ma come a un computer specializzato seduto sopra un caveau di contanti. In circostanze normali, il computer (il «top hat») ordina al caveau di rilasciare denaro solo dopo che una carta legittima è stata strisciata e un PIN è stato verificato.

In un attacco di jackpotting, i criminali aggirano completamente il lettore di carte e la rete di autorizzazione della banca. Ottengono l'accesso fisico all'hardware interno dell'ATM — spesso utilizzando una chiave contraffatta o praticando un piccolo foro per accedere a una porta specifica — e collegano un dispositivo secondario, spesso definito «black box». Questo dispositivo invia un comando diretto alla periferica di erogazione del contante, costringendola a svuotare le sue cassette a una velocità di diverse banconote al secondo. Per un passante, sembra che la macchina abbia semplicemente avuto un malfunzionamento o abbia centrato un letterale jackpot.

L'anatomia di una rapina moderna

L'impennata del 2025 evidenzia un passaggio verso operazioni più snelle. Mentre le prime versioni di questo attacco richiedevano laptop ingombranti e cablaggi complessi, l'FBI osserva che gli aggressori moderni utilizzano schede elettroniche miniaturizzate e personalizzate che possono essere nascoste dietro la fascia di plastica dell'ATM in pochi secondi.

Una volta collegato il dispositivo, il «mule» (la persona fisicamente ferma davanti alla macchina) comunica spesso con un supervisore remoto tramite un'app di messaggistica crittografata. Il supervisore invia un segnale alla black box per avviare il pagamento. Questa separazione dei ruoli rende più difficile per le forze dell'ordine rintracciare le menti dietro l'operazione, poiché la persona ripresa dalle telecamere è spesso una recluta di basso livello.

Perché il 2025 è diventato l'anno del Jackpot

Gli esperti di sicurezza indicano una «tempesta perfetta» di fattori che hanno contribuito alla perdita di 20 milioni di dollari l'anno scorso. Molti ATM, in particolare quelli situati in minimarket o chioschi indipendenti, utilizzano ancora versioni obsolete di Windows. Questi sistemi legacy spesso mancano della robusta crittografia necessaria per proteggere la linea di comunicazione tra il PC dell'ATM e l'erogatore di contanti.

Inoltre, l'hardware stesso è diventato un collo di bottiglia. Mentre le banche hanno passato anni ad aggiornare la tecnologia chip-and-pin (EMV) per prevenire lo skimming delle carte, sono state più lente nell'implementare aggiornamenti di sicurezza fisica che impediscano l'accesso alle porte USB o seriali interne. Per un criminale, è spesso più facile ingannare la macchina affinché consegni il proprio denaro piuttosto che rubare i dati dei singoli clienti.

L'impatto sulle istituzioni finanziarie

La cifra di 20 milioni di dollari citata dall'FBI tiene conto solo del contante effettivamente rubato. Per le banche e gli operatori indipendenti, il costo reale è molto più alto. Un singolo incidente di jackpotting spesso comporta:

• Danni all'hardware: Gli aggressori usano frequentemente trapani o piedi di porco per accedere alle porte interne, rendendo la macchina inutilizzabile.
• Bonifica del software: Una volta compromesso, un ATM deve essere messo offline per un audit forense completo e la reinstallazione del software.
• Premi assicurativi: Con l'aumentare della frequenza di questi attacchi, il costo dell'assicurazione per il contante in transito e per l'hardware ATM è salito alle stelle.

Come il settore sta reagendo

In risposta al bollettino dell'FBI, il settore finanziario si sta muovendo verso un'architettura «zero-trust» per l'hardware. Ciò include l'implementazione della crittografia end-to-end tra il processore centrale dell'ATM e l'erogatore. Se l'erogatore non riceve un comando firmato crittograficamente dal software bancario autorizzato, semplicemente non rilascerà il contante, anche se viene collegata una black box.

Anche le difese fisiche vengono rafforzate. Nuove piastre «anti-perforazione» e serrature interne aggiornate vengono installate per rendere più difficile per gli aggressori raggiungere le porte interne. Alcuni operatori stanno persino implementando allarmi collegati al GPS che notificano la polizia locale nel momento in cui il rivestimento esterno dell'ATM viene violato.

Consigli pratici per operatori e consumatori

Sebbene il jackpotting colpisca principalmente i proprietari delle macchine piuttosto che i singoli conti bancari, questi attacchi possono portare a interruzioni del servizio e all'aumento delle commissioni man mano che le banche recuperano le perdite.

Per gli operatori di ATM:

• Aggiornare il firmware: Assicurarsi che tutti gli erogatori eseguano l'ultimo firmware con la comunicazione crittografata abilitata.
• Audit fisici: Ispezionare regolarmente la parte superiore dell'ATM per segni di manomissione, come pannelli disallineati o nuovi fori inspiegabili.
• Limitare l'accesso: Sostituire le chiavi standard del produttore con serrature uniche ad alta sicurezza.

Per i consumatori:

• Stare allerta: Se vedete qualcuno passare un tempo insolitamente lungo davanti a un ATM senza una carta in mano, o se la macchina sembra parzialmente smontata, evitate l'area e contattate le autorità.
• Preferire macchine interne: Gli ATM situati all'interno degli atrii delle banche o in aree ad alto traffico e ben illuminate hanno molte meno probabilità di essere presi di mira dalle bande di jackpotting rispetto ai chioschi isolati in angoli bui.

Mentre ci inoltriamo nel 2026, la battaglia per lo spazio più prezioso del marciapiede continua. L'avvertimento dell'FBI serve a ricordare che nell'era digitale, a volte la minaccia più pericolosa è quella che si trova proprio davanti alla macchina.

Fonti

• Federal Bureau of Investigation (FBI) Cyber Division Bulletins
• ATM Industry Association (ATMIA) Global Fraud Reports
• Krebs on Security: Analysis of Black Box Attacks
• Department of Justice: Recent Prosecutions in ATM Malware Cases