Il modus operandi utilizzato si articolava secondo fasi ben determinate: il procacciamento del soggetto-complice a cui fare intestare una nuova Partita Iva, mettendolo a capo di una ditta di autonoleggio fittizia; l'affitto di un locale, dandogli la parvenza di una nuova apertura di autonoleggio (collocazione all'interno di alcuni suppellettili e di un'insegna con scritto »Autonoleggio« ed un numero di cellulare) l'apertura di uno o più conti correnti, richiesti, utilizzando la partita Iva intestata alla società di comodo già creata, con contestuale istanza di convenzionamento del POS abilitato al PAN Manuale (quello che non richiede la cd. strisciata fisica della carta di credito, ma la digitazione manuale del PAN, utilizzato per alcune categorie di esercenti commerciali - come ad esempio gli autonoleggi - che necessitano di una »pre-autorizzazione« a distanza da parte del cliente)». L'uso di tali tipi di POS ha rappresentato una costante del gruppo criminale scoperto perché questi ultimi permettono di effettuare transazioni fraudolente di maggiore entità economica. Attraverso una piattaforma internet clandestina (su base criptata), dedita esclusivamente alla vendita clandestina di codici di carte clonate, grazie alla strettissima collaborazione di alcuni rumeni che riuscivano ad operare in campo internazionale. In altri termini, la banda faceva parte, dietro pagamento di un canone mensile verosimilmente di 500 euro, di una piattaforma internet totalmente «clandestina» alimentata da hackers provenienti da tutto il mondo, funzionante mediante la predisposizione di un particolare software (proprietario) da installare sul proprio PC, permettendo così l'acquisto dei codici di carte di credito clonate.
Attraverso l'acquisto diretto da hackers sedenti in Russia o Ucraina, pagando il costo dei codici per mezzo di trasferimenti di denaro effettuati con i cosiddetti servizi Moneygram e/o West Union. Il trasferimento di fondi attraverso la Moneygram, permetteva al ricevente (in Russia o Ucraina), di poter riscuotere in tempo reale le somme di denaro, previa esibizione del cd «Reference Number»: numero che individua univocamente il mittente e viene comunicato dall'ufficio Moneygram al momento del pagamento. «Effettuato così il trasferimento del denaro pattuito per i codici di carte clonate, si provvedeva a comunicare il reference number all'hacker russo che poteva incassare le somme in tempo reale ed in cambio comunicava al gruppo criminale la lista del PAN acquistati», dicono gli inquirenti. Gli uomini della Mobile, coordinati dal pm Siro De Flammineis, hanno scoperto che il gruppo criminale operava immediatamente il trasferimento dei fondi verso altri conti correnti all'uopo attivati e/o mediante prelievi di cospicue somme di denaro contante agli sportelli bancari (o postali) oppure attraverso gli ATM utilizzando la carta bancomat legata al conto. (29.09.15)