Gli indonesiani derubati dei loro risparmi a causa di truffe informatiche riportano poco aiuto da parte delle banche o delle autorità.
Bali and Jakarta, Indonesia – Late last year, Balinese woman Nih Lu Putu Rustini got the shock of her life when she tried to withdraw cash from an ATM to complete a renovation project at her ancestral home.
Working as a cleaner during the day and a nanny by night, Rustini had saved 37 million Indonesian rupiahs ($2,340) in an account at Bank Rakyat Indonesia, Indonesia’s largest bank.
But the ATM showed a balance of almost zero.
When she visited her local BRI branch, a teller informed her that her money was gone.
“They said a hacker had stolen my money and they could not return it to me,” Rustini told Al Jazeera.
“It’s not fair because it took me a long time to earn that money but the hackers took it in seconds. I was shocked.”
I Made Rai Dwi Ada Diatmika, a leather goods manufacturer in Bali, had a similar experience last August when he tried to make his first withdrawal in years.
A hacker had cleared out his savings of 72 million rupiahs ($4,650) the previous May.
As in Rustini’s case, BRI refused to accept responsibility for the loss.
“When I opened the account at BRI three years ago, they asked me to download their app onto my phone. They said it was safer because I would get daily reports. But I never used it as I forgot the password,” Diatmika told Al Jazeera.
“We put our money in the bank for security. But if hackers can get in so easily and find all our data, BRI must have a big problem with their security.”
Rustini e Diatmika sono tra i numerosi clienti BRI i cui risparmi sono stati rubati dagli hacker tramite l’app mobile della banca.
Essendo la più grande economia del Sud-Est asiatico, con il quarto numero più alto di utenti Internet e il quinto settore di e-commerce al mondo, l’Indonesia è un obiettivo attraente per i criminali informatici.
I dati pubblicati dalla National Cyber and Encryption Agency indonesiana mostrano che ci sono state 361 milioni di anomalie nel traffico online tra il 1° gennaio e il 26 ottobre nel paese dello scorso anno.
Secondo i dati raccolti dalla società di sicurezza informatica Surfshark con sede nei Paesi Bassi, gli attacchi agli account di posta elettronica in Indonesia sono aumentati dell’85% nel terzo trimestre del 2023, anche se le violazioni in paesi come Stati Uniti e Russia sono diminuite.
Nel frattempo, secondo il National Cyber Security Index dell’Estonia, l’Indonesia è al terzultimo posto tra i paesi del G20 per quanto riguarda la prevenzione e la gestione delle minacce informatiche.
“Ci sono molte informazioni là fuori che indicano che l’Indonesia è una delle maggiori fonti e obiettivi del crimine informatico al mondo”, ha detto ad Al Jazeera Gatra Priyandita, analista del Cyber Policy Centre dell’Australian Strategic Policy Institute a Sydney.
“Gli indonesiani sono in un certo senso più vulnerabili a causa della loro scarsa igiene digitale. Stanno diventando sempre più consapevoli del problema, ma quando ci sono 200 milioni di persone che si collegano improvvisamente a Internet, saranno sempre più vulnerabili”.
Secondo il sondaggio Mandiant M-Trends 2023, i siti web governativi sono l’obiettivo numero uno dei cyberhacker in Indonesia, seguiti dai settori energetico e finanziario.
“Le banche sono obiettivi perché le banche sono dove si trova il denaro”, ha detto il responsabile dell’informazione della BRI Muharto, che come molti indonesiani ha un solo nome, in un forum a Giakarta a giugno.
“I criminali informatici ora collaborano tra loro e operano come un gruppo con capacità combinate”, ha affermato, aggiungendo: “Le banche non possono combattere la criminalità informatica da sole e devono creare sinergie [their efforts] con il governo e le autorità di regolamentazione”.
La BRI non condivide pubblicamente i dati su quanti account dei suoi clienti sono stati violati e non ha risposto alle richieste di commento di Al Jazeera.
Tuttavia, la banca afferma di aver “adottato misure per combattere la criminalità informatica” come “pilastro” della sua missione, citando il suo lavoro con la polizia e gli investimenti in software di sicurezza informatica all’avanguardia venduti da aziende come Elastic Security negli Stati Uniti.
“Le sue caratteristiche e capacità, oltre ai nostri dati, lo rendono perfetto per le nostre esigenze operative”, ha affermato in un comunicato stampa lo scorso anno Tri Danarto, capo del dipartimento delle operazioni di sicurezza della BRI.
Nel febbraio dello scorso anno, BRI ha chiuso definitivamente la versione web dei suoi servizi di e-banking e ha deviato tutte le transazioni online sulla sua nuova app di mobile banking BRImo, sostenendo che era “più sicura” e “di più facile accesso per i clienti”.
La BRI sostiene inoltre che si sforza di educare i clienti sui pericoli derivanti dall’installazione di app misteriose e dall’apertura di collegamenti ed e-mail sospetti.
A luglio, una cliente BRI nella città di Malang, a Giava orientale, ha riferito di aver subito un furto di 1,4 miliardi di rupie (90.330 dollari) dal suo conto, cosa che la banca ha scoperto di aver attivato facendo clic su un falso invito a nozze inviato su WhatsApp.
“Questo incidente è avvenuto perché la vittima aveva divulgato dati personali e segreti sulle transazioni bancarie a parti irresponsabili”, ha detto in una dichiarazione l’allora direttore della filiale della BRI Malang, Sutoyo Akhmad Fajar, aggiungendo che mentre la banca simpatizzava con la vittima, poteva solo pagare un risarcimento quando è in colpa.
Ardi Sutedja Kartawidjaya, presidente del Forum indonesiano sulla sicurezza informatica a Giakarta, ha affermato che nel “90% degli attacchi informatici contro i conti bancari, la colpa è del cliente a causa della sua negligenza e dei sistemi di frode che stanno diventando sempre più sofisticati”.
Ma se si dimostra che la vittima non ha consentito la violazione, i fondi mancanti potranno essere sostituiti con il sistema di garanzia dei depositi del governo indonesiano.
“Prima di tutto la vittima deve presentare una denuncia alla polizia, che è tenuta a indagare secondo la legge sulla protezione dei dati personali del 2022. Ma tieni presente che questo processo richiede un po’ di tempo in quanto richiede complesse capacità investigative digitali forensi”, ha detto Kartawidjaya ad Al Jazeera. .
Priyandita dell’ASPI ha affermato che la capacità delle autorità indonesiane di indagare su tali crimini è limitata a causa del numero limitato di specialisti di medicina legale digitale.
“La National Cyber and Encryption Agency ha visto il suo budget tagliato da 2 trilioni [rupiahs] nel 2019 a 100 miliardi [rupiahs] durante la pandemia, un momento in cui probabilmente erano necessari maggiori finanziamenti. Il budget ora è di 600 miliardi [rupiahs]ma non è ancora sufficiente”, ha detto.
A Bali, la vittima del crimine informatico Diatmika ha sperimentato in prima persona il problema della carenza di risorse.
“Ho fornito alla polizia tutti i dettagli, compreso il nome e il numero di conto della persona di Java che mi ha rubato i soldi. Ma hanno detto che non avevano budget per recarsi a Java e indagare, e che se volevo un rimborso, dovevo combattere con la banca. Ma per farlo avevo bisogno di un avvocato. Non ho più soldi, quindi sono stato costretto a rinunciare”, ha detto.
Come Diatmika, Rustini, che insiste di non aver scaricato alcuna app sospetta o di non aver fatto clic su collegamenti sospetti, inizialmente non aveva intenzione di combattere la BRI, considerando il costo dell’assunzione di un avvocato fuori portata.
Ma dopo che lo studio legale balinese Malekat Hukum si è offerto di rappresentarla pro-bono, ha presentato una denuncia alla polizia.
Oltre a intentare una causa contro la BRI, Malekat Hukum ha presentato un caso all’Istituto indonesiano per la risoluzione alternativa delle controversie nella speranza di risolvere la questione attraverso la mediazione.
La BRI finora non ha risposto alle richieste di mediazione.
Ni Luh Arie Ratna Sukasari, partner di Malekat Hukum, ha affermato che le perdite di Rustini sono la punta dell’iceberg della BRI.
“La BRI Bank è nota per gli attacchi informatici. Ho sentito parlare di molti casi passati in cui i loro clienti hanno perso tutto, e dobbiamo fare qualcosa al riguardo”, ha detto ad Al Jazeera.
“Dovrebbero servire i loro clienti e proteggere i soldi dei loro clienti. La loro tesi secondo cui non sono responsabili semplicemente non regge. Sono loro che hanno bisogno di maggiore sicurezza, non i loro clienti. E se non possono offrire servizi bancari online sicuri, non dovrebbero offrirli, punto.”
Diatmika ha detto di conoscere altri clienti BRI che sono stati truffati in modo simile.
“C’era un uomo che viveva a soli tre minuti da casa mia. Ha avuto un ictus ed è morto dopo aver ricevuto 1 miliardo di rupie [$64,500] è stato rubato dal suo conto. La sua famiglia ha dovuto vendere la casa”, ha detto.
L’esperto di sicurezza informatica Kartawidjaya ha affermato che il fenomeno non è esclusivo della BRI.
“Quasi tutti i fornitori di servizi finanziari in Indonesia subiscono continui attacchi informatici. Ma la maggior parte non segnala tali eventi per ragioni di gestione della reputazione”, ha affermato.
Priyandita ha detto di temere che la sicurezza informatica nel paese peggiorerà prima di migliorare.
“L’Indonesia punta sulla tecnologia digitale come motore chiave della crescita, ma la sicurezza informatica semplicemente non è la priorità che dovrebbe essere”, ha affermato.
“Si stanno compiendo sforzi per rispondere al problema, ma ancora una volta questi sono limitati dalle risorse”.
