Sei giovani hacker hanno ingannato il Viminale, le big-tech e tanti operatori grazie a una semplice email

Un gruppo di sei giovani hacker, poco più che ventenni, finisce al centro di un caso che intreccia Viminale, big tech e persino il Dipartimento di Stato americano. Gli inquirenti li descrivono come smanettoni arruolati sul dark web, pronti a sfruttare ogni spiraglio nei sistemi digitali ufficiali.

Secondo la ricostruzione della Procura di Milano, questi ragazzi non avrebbero puntato a imprese da film, ma a qualcosa di molto più concreto: fare soldi con le informazioni, usando email istituzionali reali per fingersi forze dell’ordine e ottenere dati sensibili da aziende e piattaforme online.

Il cuore dell’indagine riguarda l’uso di tre caselle email istituzionali autentiche: due del Ministero dell’Interno collegate a veri agenti di polizia, e una dell’Arma dei Carabinieri riferita a un vero militare. Tra il 2021 e il 2022, queste caselle sarebbero finite nelle mani dei sei indagati, che le avrebbero usate come un vero e proprio grimaldello digitale.

Con quelle identità istituzionali, i ragazzi si sarebbero sostituiti agli agenti e avrebbero iniziato a contattare una lunga lista di società di telecomunicazioni e colossi tecnologici, presentandosi come forze dell’ordine impegnate in richieste legate alla sicurezza. In questo modo, avrebbero cercato di accedere a portali riservati e ottenere informazioni riservate sulla clientela.

Nel mirino sarebbero finite realtà come Wind, Telecom, Vodafone, Iliad, ma anche piattaforme globali come Microsoft, TikTok, Amazon, Facebook, Snapchat e Google. L’approccio è ovvio: sfruttare la fiducia nel mittente istituzionale per scavalcare i controlli standard.

In diversi casi, le email inviate alle società telefoniche e alle piattaforme online avrebbero avuto un obiettivo preciso: ottenere l’accreditamento ai portali dedicati alle forze dell’ordine, quelli che servono per ricevere e gestire le richieste ufficiali di dati. Una volta dentro, l’accesso a informazioni sensibili diventerebbe molto più semplice.

Con Google, il passo ulteriore sarebbe stato quello di chiedere gli account di due persone, allegando un presunto decreto antiterrorismo della Procura di Potenza.

Quel decreto, però, secondo la Procura di Milano, risulta solo apparentemente autentico e in realtà falso, costruito per dare copertura legale a una richiesta che non ne aveva alcuna.

Lo schema che emerge dalle carte è quello di un uso sistematico di documenti e identità istituzionali per legittimare richieste che non arrivano da reali indagini. Non si parla di una curiosità occasionale, ma di una serie di azioni ripetute, che toccano più aziende e più contesti.

Tra gli obiettivi indicati negli atti spunta anche il mondo dell’intrattenimento online. Attraverso le email istituzionali, sarebbero partite richieste a TikTok per ottenere i dati di quattro youtuber con milioni di follower, protagonisti del reality “Il Collegio” in onda su Rai 2. Anche qui, il presupposto sarebbe stato quello di una finta esigenza investigativa.

Non mancano contatti con aziende che operano nel campo della sorveglianza digitale. I sei avrebbero scritto alla società israeliana Nso Group Technologies per chiedere di provare la versione demo di un software per infettare e intercettare cellulari.

Parallelamente, avrebbero contattato anche Chainalysis.com, chiedendo la versione demo di un programma per rintracciare portafogli di criptovalute.

In un altro episodio, le email a Microsoft avrebbero avuto come oggetto la richiesta urgente di informazioni sulla società israeliana Finovation, giustificata da presunti motivi di sicurezza nazionale. Anche in questo caso, gli inquirenti parlano di motivazioni falsificate, usate per rendere credibili richieste che non provenivano da reali uffici investigativi.

L’attività contestata non si sarebbe fermata alle comunicazioni via email. Secondo l’accusa, ci sarebbe stata anche una telefonata al Dipartimento di Stato americano, fatta risultare come proveniente dallo Stato Maggiore del Ministero della Difesa. Anche qui torna lo stesso schema: sfruttare identità istituzionali per accedere a informazioni o instaurare contatti non autorizzati.

Nella richiesta di rinvio a giudizio, la Procura di Milano indica come persone offese il Viminale, tutte le società coinvolte e lo stesso Dipartimento di Stato USA. Il fascicolo nasce da una denuncia presentata dall’avvocato Alberto Sirani per conto di Microsoft, che segnala anomalie riconducibili a queste comunicazioni sospette.

Le ipotesi di reato formulate dalle pm Francesca Crupi e Bianca Maria Eugenia Baj Macario sono due: accesso abusivo a sistema informatico e sostituzione di persona. Il quadro accusatorio, quindi, non riguarda solo la raccolta di dati, ma anche l’uso indebito di identità ufficiali e di canali riservati.

I sei giovani indagati, di fronte alle contestazioni, sostengono di non avere violato direttamente la rete informatica del Ministero dell’Interno, né di aver acquistato le credenziali dei veri poliziotti. Secondo la loro versione, avrebbero ricevuto quegli accessi già pronti sul web da alcuni nickname non ancora identificati, che li avrebbero reclutati come manodopera per inoltrare le richieste alle compagnie.

Uno dei sei, attualmente detenuto a Milano per una condanna definitiva per rapina aggravata, nell’interrogatorio dichiara di sapere che alcuni dei soggetti indicati come complici avevano in condivisione gli accessi ai portali riservati delle forze dell’ordine.

Il quadro che ne esce è quello di una catena di ruoli, in cui chi si interfaccia con le aziende non coincide per forza con chi ha ottenuto le credenziali.

Sul movente, questo stesso indagato parla in modo diretto: l’obiettivo sarebbe stato trarre denaro dalle informazioni, arrivare ad accedere ai conti delle persone per poterle ricattare o rapinare. Con l’ipotetico organizzatore, incontrato solo su Internet, lui avrebbe pattuito un compenso del 20% in criptovalute, a conferma di una logica dichiaratamente economica dietro alle operazioni.

In attesa che il processo chiarisca ruoli e responsabilità, è emblematico constatare la fragilità della verifica dell’identità e quindi della sicurezza nell’era digitale. Basta una email autentica nelle mani sbagliate perché anche i colossi del web e le istituzioni più strutturate si ritrovino a dover correre ai ripari.