Secondo la leggenda greca, l'onnipotente Zeus, per vendicare il rapimento del fuoco da parte di Prometeo, creò una scatola contenente tutti i mali del mondo e tutte le sue speranze. L'ordine di non aprire mai il vaso non durò a lungo. Pandora, ricca di doni e di bellezza, sposa presto il fratello di Prometeo e, poco dopo le nozze, apre il vaso che le è stato consegnato. A quel punto tutto il male imprigionato nel vaso fugge, apparentemente incapace di essere ricatturato fino ad oggi.
Tale o simile è stato l'esito dell'interrogatorio di un direttore IT di Wirecard nell'aula della prigione di Monaco-Stadelheim il 17 maggio 2023. La testimone N. è stata, fino all'insolvenza di Wirecard, responsabile delle questioni tecnologiche presso Wirecard Europe e Asia Pacific, ricoprendo il ruolo di vicepresidente (VP). È stata una delle prime dipendenti di Wirecard, assunta nel 2005 dopo uno stage di sei mesi. All'epoca era anche il suo primo vero lavoro. Inizialmente ha lavorato come sviluppatrice di software per Wirecard per un totale di 5 anni. È molto probabile che, almeno durante i primi anni in Wirecard, abbia lavorato con o sotto Jan Marsalek, inizialmente responsabile dello sviluppo software. Dal 2010 ha lavorato come analista aziendale, due anni dopo come Head of Issuing in ambiente SAP, altri due anni dopo è diventata VP for Technology, da allora responsabile della supervisione delle architetture e dei sistemi IT di Wirecard in Europa e Asia-Pacifico.
La testimone N. afferma subito in tribunale che durante il periodo in cui era VP Technology riferiva esclusivamente all'amministratore delegato Susanne Steidl. Afferma di non aver mai avuto alcun contatto con Jan Marsalek o con il Dr. Braun, che siede a pochi metri alla sua sinistra. Nemmeno tramite Telegram, utilizzato come principale strumento di comunicazione interna per messaggi e chiamate - WhatsApp non era consentito in Wirecard.
Le cose si fanno interessanti quando il testimone N., interrogato dal giudice, inizia a fare luce sulle architetture informatiche di Wirecard. Wirecard aveva pochi server informatici propri, l'azienda invece affidava i suoi dati e le sue applicazioni a fornitori di servizi esterni. Nordisk Networks, con sede a Monaco di Baviera, era una delle società incaricate di questo compito. Vi erano anche centri dati in Austria e a Dubai, mentre alcuni partner terzi a Singapore e in Asia avevano centri dati propri o in outsourcing. A quanto pare, in concomitanza con il lancio del
cosiddetto "Elastic Engine" di Wirecard all'inizio del 2019, si è assistito a un aumento dell'uso di servizi cloud aggiuntivi, ossia computer in outsourcing che non solo memorizzavano i dati ma potevano anche eseguire la logica dei programmi per conto di Wirecard. Alcuni di questi cloud sono stati allestiti presso il gigante dei servizi IT Amazon (AWS), in un'unica sede a Toronto, in Canada.
Tuttavia, all'inizio del 2019 è stata introdotta la nuova piattaforma "Elastic Engine" di Wirecard, che finalmente consente una valutazione end-to-end affidabile delle transazioni di terzi. Di conseguenza, l'ambito dell'audit è stato ampliato, ma a causa dell'elevato volume di transazioni, pari a 200 milioni di linee di dati per il solo mese di dicembre 2019, KPMG non ha avuto il tempo sufficiente per esaminare completamente questo insieme di dati. La buona notizia è che KPMG è riuscita comunque a pubblicare una valutazione preliminare che dimostra che i volumi delle transazioni erano coerenti con la contabilità del partner e si riflettevano accuratamente nei bilanci.
Articolo
"Wirecard bombarda ancora" del 4 maggio 2020.
L'elemento chiave dell'architettura IT di Wirecard, chiamato "Elastic Engine", poteva essere replicato per essere eseguito su un gran numero di server. Il testimone N. afferma che c'è stata almeno una richiesta di esternalizzare l'intero codice sorgente a un partner terzo, proveniente da Jan Marsalek nel 2019. Il progetto è stato abbandonato poco dopo. È interessante notare che dopo l'avvio del progetto, un dipendente di nome Manoj Sahu è stato trasferito a Toronto presso il fornitore di servizi cloud di Wirecard per gestire le istanze cloud da lì. Sahu lavorava alle dirette dipendenze di Jan Marsalek e, per la maggior parte, riferiva solo al COO di Wirecard latitante. Questo apre una serie di possibilità, almeno teoriche, per quanto riguarda
i legami di Wirecard con il Canada e PaySafe. Poiché Elastic Engine può essere visto come un gateway software che distribuiva solo le richieste di transazione di denaro per un'ulteriore elaborazione, Wirecard aveva bisogno di una serie di server e istanze aggiuntive per l'elaborazione delle carte di credito, situate inizialmente a Dubai e successivamente anche a Monaco.
Dopo le discussioni sulle architetture informatiche fondamentali di Wirecard, il tribunale sembra aprire completamente il vaso di Pandora quando mostra alcune conversazioni via e-mail sul monitor. In una catena di messaggi del 2018,
Alla domanda se gli indirizzi FTP e le chiavi di password API chiaramente riconoscibili per il recupero dei dati direttamente dai computer in rete avessero un significato per lei, nega. I login di accesso riservati di qualche anno fa, riconoscibili da qualsiasi esperto informatico di mezza tacca, "non significano nulla" per lei.
La testimone N. chiede a Toronto se non sia possibile avere una panoramica precisa delle architetture IT dei partner terzi, nonché una panoramica generale di tutte le istanze cloud. Le è stata data la seguente risposta:
"Le istanze white label sono fornite nel cloud, di solito per i PSP. Le
istanze white label funzionano in modo indipendente nel cloud, noi forniamo solo il supporto tecnico".
Un altro dei più grandi mali del vaso di Pandora viene liberato quando il giudice getta sul monitor del tribunale un altro frammento di e-mail risalente a diversi anni fa. Alla domanda se gli indirizzi FTP chiaramente riconoscibili e le chiavi di password API per il recupero dei dati direttamente dai computer in rete avessero un significato per lei, nega. I login di accesso riservati di qualche anno fa, riconoscibili da qualsiasi esperto informatico di mezza tacca, per lei
"non significano nulla". Le cose si fanno ancora più pandoriche quando il giudice mostra sullo schermo un elenco di 45 server cloud globali. Alla domanda se avesse familiarità con questi server, risponde, tra virgolette,
"no, mai sentiti nominare".
Il vaso di Pandora ha riservato ancora qualche sorpresa quando il tribunale ha chiesto informazioni sui volumi effettivi delle transazioni sui server di Wirecard. Il testimone ha risposto che il numero di transazioni si aggirava intorno ai 40 milioni per un buon mese, ben lontano dalle cifre previste per il progetto "Vision 2025" di Wirecard a partire dal 2019. L'estrazione dal vaso di Pandora è proseguita quando sono state riportate in aula affermazioni come
"Bellenhaus è una macchina da soldi, pensava che fosse un sistema efficace per risparmiare sulle tasse". Oppure che alcuni dipendenti di Wirecard sapevano da tempo che il personale di Card Systems era letteralmente nullo e che già da tempo si ponevano autocriticamente la domanda
"chi è che fa tutti i soldi lì?
Inoltre, sono state interessanti le questioni relative al
gigantesco investimento di Softbank in Wirecard, spesso passato troppo inosservato, a partire da aprile 2019. Susanne Steidl, membro del consiglio di amministrazione ed eletta tra le
100 donne più influenti dell'intera economia tedesca nel 2018 e nel 2019 - oltre che tra le donne top tech più influenti dello stesso Paese nello stesso periodo - si è improvvisamente precipitata nell'ufficio del testimone e ha preteso un database completo con tutti i dati delle transazioni degli ultimi anni, compresi quelli riservati. Quando il testimone si è chiesto se non fosse così facile e a cosa servisse, la signora Steidl ha risposto che
"Jan Marsalek ne aveva bisogno per Softbank". Dopo qualche settimana, ricevette il file di circa 150 GB su un piccolo disco rigido. Come se non bastasse, la testimone ha confermato che una seconda tabella di dati di questo tipo per tutte le transazioni finanziarie le fu richiesta qualche tempo dopo sempre da Steidl, con informazioni ancora più dettagliate.
È stato inoltre sbalorditivo sentire la testimone spiegare che, in occasione di un evento offshore nel maggio 2019, alle pressanti domande dei dipendenti di Wirecard su chi fosse esattamente responsabile delle numerose vendite, è stato risposto con l'argomentazione di Pandora "clienti importanti che non possiamo menzionare
Qui in aula sono state lette anche le e-mail in cui si afferma che sarebbe stato possibile estrarre parzialmente le informazioni complete sulle carte di credito da questi elenchi di dati.
A quanto pare, l'elenco elettronico di circa 200 milioni di record di transazioni finanziarie, consegnato a KPMG per la sua revisione speciale, era solo un sottoinsieme più piccolo dei due elenchi Pandora sopra menzionati. Le tabelle di dati di KPMG contenevano solo 8-10 campi colonna, troppo poche informazioni per tracciare completamente le transazioni. A causa dell'ampiezza degli elenchi e dei record, il testimone ha richiamato Toronto per ricevere tutti i dati relativi alle transazioni dai loro server cloud. Tuttavia, un gentile signore si è immediatamente rifiutato di fornire informazioni dettagliate. Le ha detto che non era autorizzata a recuperare i dati qui e ha prontamente cliccato sul pulsante rosso per terminare la conversazione telefonica.
È stato inoltre sbalorditivo sentire la testimone spiegare che, in occasione di un evento offshore nel maggio 2019, alle pressanti domande dei dipendenti di Wirecard su chi fosse esattamente responsabile delle numerose vendite, è stato risposto con l'argomentazione di Pandora
"clienti importanti che non siamo autorizzati a menzionare". Poco dopo, Susanne Steidl, membro del consiglio di amministrazione di Wirecard e precedentemente eletta super-manager per tutta la Germania, ha chiamato per impedire domande successive e ha chiarito che d'ora in poi sarebbe stata vietata qualsiasi ulteriore discussione su questo argomento.
La testimone VP di Wirecard racconta inoltre di aver raramente sperimentato personalmente un comportamento insolito da parte dei membri del consiglio di sorveglianza e del consiglio esecutivo. Tranne una volta, nel 2019 circa, quando dimenticò di pagare una multa per divieto di sosta per un'auto aziendale. Il CFO von Erffa ha immediatamente contattato personalmente la testimone e l'ha ammonita con tono duro di astenersi da tale comportamento in futuro, poiché Wirecard ha dovuto pagare a suo nome costi superflui per circa 10 euro.
Il Dr. Braun ha concluso la giornata ponendo alcune domande, anche sulle basse cifre delle transazioni, che in realtà erano prenotazioni nette relative solo all'Europa e all'Asia-Pacifico. A quanto pare, il progetto Aslam non era affatto incluso nelle transazioni, che rappresentavano altri 20-30 miliardi. Inoltre, le cifre presentate riguardavano solo 4 degli 11 Paesi in cui Wirecard operava. Quando il Dr. Braun ha chiesto quanti acquirer fossero effettivamente collegati al Payment Engine nel 2019, la testimone non è stata in grado di fornire una risposta.
In tutte le discussioni e le domande, comprese quelle del Dr. Braun, continuava a comparire il nome di una società: One Stop Money Manager.
A quanto pare, uno degli ultimi mali del vaso di Pandora.
Lascia un commento:
Spedire
Questo articolo è interamente creato e scritto da Martin D., un giornalista investigativo accreditato e indipendente dall'Europa. Ha conseguito un MBA presso un'università statunitense e una laurea in Sistemi Informativi e ha lavorato all'inizio della sua carriera come consulente negli Stati Uniti e nell'UE. Non lavora per, non fa consulenze, non possiede azioni o riceve finanziamenti da nessuna azienda o organizzazione che potrebbe beneficiare di questo articolo finora.
Sostenete il giornalismo investigativo indipendente. Offrimi un tè verde o un caffè: