La storia di Michael Stoll: il programmatore che sottrasse milioni un centesimo alla volta

Nel vasto mondo delle frodi finanziarie e della sicurezza informatica, la storia di Michael L. Stoll rappresenta un esempio illuminante di come un singolo individuo, armato di conoscenze tecniche e accesso a sistemi cruciali, possa sfruttare le vulnerabilità in modo sottile ma devastante. Negli anni ’70, Stoll attuò uno schema di frode sofisticato che gli permise di sottrarre denaro un centesimo alla volta, sfruttando una tecnica nota come “salami slicing“. La sua storia è divenuta talmente iconica da ispirare anche scene cinematografiche in film come Superman III.

NB: Non ci sono prove documentate o riferimenti storici verificabili che confermino l’esistenza di Michael L. Stoll come autore di una frode bancaria legata al “salami slicing”. Sebbene la sua storia venga spesso utilizzata per spiegare questo tipo di frode informatica, non esistono articoli storici o menzioni precise nei registri dell’epoca che possano confermare la veridicità della vicenda.

Il contesto storico: le banche e l’informatica negli anni ’70

Alla fine degli anni ’60 e l’inizio degli anni ’70, molte istituzioni bancarie stavano abbracciando la rivoluzione tecnologica, adottando sistemi informatici per automatizzare transazioni e gestire enormi volumi di dati finanziari. Le prime grandi banche, come la First National Bank di Chicago, si affidavano sempre più a complessi programmi software per garantire efficienza, velocità e precisione nelle operazioni.

Michael L. Stoll era un giovane programmatore con accesso a uno di questi sistemi. Lavorava proprio per la First National Bank di Chicago, una delle più grandi e importanti banche negli Stati Uniti. In un ambiente in cui la tecnologia era ancora in evoluzione e i controlli di sicurezza informatica non erano così rigidi come oggi, Stoll individuò una falla: l’arrotondamento delle transazioni. Gli importi, spesso molto frazionati, venivano arrotondati per semplificare i conti, ma quelle frazioni di centesimo non sparivano. Erano piccoli importi, apparentemente insignificanti, che passavano inosservati.

Il piano: la tecnica del “salami slicing”

La tecnica utilizzata da Stoll è quella che oggi viene chiamata “salami slicing” o “penny shaving”, un termine che deriva dall’idea di sottrarre piccolissime porzioni da un intero – come fette sottili di salame – senza che nessuno se ne accorga. In pratica, Stoll alterò il programma informatico della banca in modo che gli arrotondamenti delle transazioni venissero trasferiti automaticamente su un conto corrente segreto, da lui controllato.

Immaginiamo una tipica transazione di pochi dollari, magari di 10,23 dollari. Se il sistema della banca arrotondava l’importo a 10,20 dollari per comodità operativa, quei tre centesimi sarebbero dovuti sparire, ma con la modifica introdotta da Stoll, venivano invece deviati su un suo conto personale. Ripetendo questo schema su migliaia di transazioni al giorno, l’importo totale accumulato diventava sorprendentemente alto in poco tempo.

Ciò che rendeva questo piano particolarmente ingegnoso era la sua invisibilità: nessuno si sarebbe accorto di pochi centesimi mancanti in una singola transazione. Tuttavia, il volume delle transazioni bancarie era tale da garantire che il bottino di Stoll crescesse in modo esponenziale, senza suscitare sospetti.

Il legame con la cultura pop: Superman III

L’astuta truffa di Michael L. Stoll ha lasciato il segno non solo nella storia delle frodi informatiche, ma ha anche ispirato una celebre scena del film Superman III (1983). In questo film, il personaggio di Gus Gorman, interpretato da Richard Pryor, è un programmatore che attua una truffa identica a quella di Stoll: manipola il sistema informatico per incanalare i piccoli arrotondamenti delle transazioni aziendali su un suo conto privato. Anche se il film mantiene un tono leggero e comico, questa rappresentazione cinematografica riflette la realtà delle frodi sottili ma potenzialmente devastanti come quella di Stoll, portando il concetto del “salami slicing” a un pubblico più vasto.

Questo tipo di truffa è stato successivamente citato in diverse altre opere della cultura pop, inclusi film e serie TV, e ha contribuito a sensibilizzare sul potenziale delle minacce informatiche anche all’interno di organizzazioni apparentemente ben protette.

Il crollo dello schema

Per un certo periodo, Michael L. Stoll riuscì a farla franca. Le piccole somme che prelevava rimasero inosservate, tanto era grande il numero di transazioni che passavano quotidianamente attraverso il sistema bancario. Tuttavia, come spesso accade con le frodi più sofisticate, il suo piano cominciò a sgretolarsi quando i piccoli errori e le anomalie furono finalmente notati.

Le banche, in quegli anni, iniziavano a comprendere l’importanza della sicurezza informatica. Fu proprio grazie a una revisione casuale del sistema contabile che alcuni responsabili si accorsero di un’anomalia ricorrente negli arrotondamenti delle transazioni. Anche se i numeri sembravano minimi, non quadravano del tutto. Le indagini interne portarono alla scoperta del trucco, e l’attenzione si concentrò rapidamente su Stoll.

Non ci volle molto perché il programmatore venisse individuato come l’artefice della frode. L’inchiesta bancaria rivelò che Stoll aveva accumulato una somma sorprendentemente grande nel suo conto segreto, sottraendo un centesimo alla volta. Fu arrestato e condannato per frode bancaria, diventando uno dei primi esempi noti di cyber-criminalità legata all’abuso di sistemi informatici bancari.

L’eredità di Michael Stoll

Il caso di Michael Stoll ha lasciato un segno indelebile nel mondo della sicurezza informatica e bancaria. Anche se la tecnica del “salami slicing” era nota in teoria, fu una delle prime volte che venne applicata su larga scala con l’uso della tecnologia moderna. La vicenda portò alla luce le vulnerabilità nei sistemi bancari dell’epoca e spinse le istituzioni finanziarie a rafforzare le misure di sicurezza e controllo.

Oggi, sistemi di audit, monitoraggio automatico delle transazioni e rigide politiche di sicurezza informatica sono la norma nelle banche di tutto il mondo, proprio per prevenire casi simili. Le frodi informatiche si sono evolute, diventando più complesse, ma la lezione appresa dal caso di Stoll è ancora rilevante: anche piccole vulnerabilità possono essere sfruttate in modo devastante se lasciate inosservate.

Conclusione

La storia di Michael L. Stoll rimane una lezione chiave nel mondo della cybersecurity. La sua abilità nel manipolare piccoli dettagli per accumulare un grande guadagno dimostra che spesso sono le azioni più sottili e invisibili quelle che possono causare il maggior danno. Sebbene il suo schema di “salami slicing” sia stato scoperto e smantellato, continua a essere un monito per chi gestisce sistemi finanziari e informatici: la sicurezza non è mai troppa e la fiducia, se mal riposta, può essere fatale.

Nel frattempo, questa vicenda continua a ispirare la cultura pop, come dimostrato dal film Superman III, e sottolinea come la realtà possa essere, talvolta, più ingegnosa della finzione.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Sandro Sana

Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Aree di competenza: Cyber Threat Intelligence, NIS2, Governance & Compliance della Sicurezza, CSIRT & Crisis Management, Ricerca, Divulgazione e Cultura Cyber

Visita il sito web dell'autore