Europol ed Eurojust, insieme alle autorità di polizia e giudiziarie di tutto il mondo, hanno smantellato con successo la piattaforma di comunicazione criptata Ghost che era stata creata per facilitare crimini gravi e organizzati perpetrati da pericolose reti criminali operanti su scala globale.
L’operazione ha coinvolto una serie di raid coordinati e interventi tecnici. Durante l’indagine sono stati arrestati 51 sospetti: 38 in Australia, 11 in Irlanda, uno in Canada e uno in Italia, quest’ultimo appartenente all’organizzazione criminale della Sacra Corona Unita.
Indice degli argomenti
Cos’era la piattaforma Ghost
La piattaforma Ghost aveva guadagnato popolarità tra le organizzazioni criminali grazie alle sue avanzate caratteristiche di sicurezza. Gli utenti potevano acquistare lo strumento senza dichiarare alcuna informazione personale. La soluzione utilizzava tre standard di crittografia e offriva la possibilità di inviare un messaggio seguito da un codice specifico, che avrebbe provocato l’autodistruzione di tutti i messaggi sul telefono del destinatario.
Questo permetteva alle reti criminali di comunicare in modo sicuro, eludere la rilevazione, contrastare le misure forensi e coordinare le loro operazioni illegali oltre i confini.
A livello mondiale, diverse migliaia di persone utilizzavano questo strumento, che disponeva di una propria infrastruttura e applicazioni, con una rete di rivenditori in vari paesi. Su scala globale, venivano scambiati circa mille messaggi al giorno tramite Ghost.
La soddisfazione nelle parole di Catherine De Bolle, attuale Direttore esecutivo di Europol: “Oggi abbiamo chiarito che, per quanto le reti criminali possano credere di essere nascoste, non possono sfuggire ai nostri sforzi collettivi. Le forze dell’ordine di nove Paesi, insieme a Europol, hanno smantellato uno strumento che era una vera e propria linfa vitale per la criminalità organizzata. Questa operazione rappresenta ciò che Europol è: trasformare la collaborazione in risultati concreti, riunendo le persone giuste, gli strumenti e le competenze necessarie per affrontare ogni aspetto di questa complessa operazione. Il lavoro svolto fa parte del nostro impegno costante nel combattere la criminalità organizzata, ovunque essa operi. Voglio estendere la mia gratitudine a tutti i nostri partner globali, che hanno svolto un ruolo fondamentale nel rendere questa operazione un successo”.
Smantellata la piattaforma Ghost: i dettagli dell’indagine
L’indagine è stata definita come uno sforzo multinazionale che ha coinvolto nove paesi. Poiché i server sono stati individuati in Francia e Islanda, i proprietari dell’azienda si trovavano in Australia e gli asset finanziari negli Stati Uniti, è stata avviata un’operazione globale contro il servizio di telefonia.
Inoltre, sono state prevenute numerose minacce alla vita, è stato smantellato un laboratorio di droga in Australia, e sono stati sequestrati armi, droga e oltre 1 milione di euro in contanti a livello globale. Per facilitare le indagini sulle attività illegali agevolate da questa piattaforma di comunicazione, è stata istituita una Task Force Operativa (OTF) presso Europol nel marzo 2022, coinvolgendo le autorità di polizia di Australia, Canada, Francia, Irlanda, Italia, Paesi Bassi, Svezia e Stati Uniti.
Questa task force è stata fondamentale per mappare l’infrastruttura tecnica globale ed è riuscita a colpirla identificando i principali fornitori e utenti della piattaforma, monitorando il suo utilizzo criminale e portando a termine gli sforzi coordinati per chiuderla, il tutto sotto la supervisione giudiziaria dei paesi della Squadra Investigativa Comune (JIT).
Questa complessa operazione globale è stata resa possibile grazie alla cooperazione attiva tra i vari paesi coinvolti ed Europol, impegnati nelle diverse componenti delle attività investigative, comprese le azioni contro organizzazioni criminali ad alto rischio e obiettivi di alto valore, indagini informatiche, analisi delle transazioni in criptovalute, frequenti scambi di intelligence attraverso i canali sicuri di Europol e decine di incontri operativi organizzati in diversi paesi.
È stato inoltre istituito un Centro Operativo Congiunto presso la sede di Europol durante i giorni d’azione, dove i rappresentanti dei membri dell’OTF e gli ufficiali di Europol hanno fornito supporto e facilitato il coordinamento delle attività operative simultanee che si svolgevano in tutto il mondo.
La precedente operazione globale
Tale operazione globale richiama un’altra già avviata con successo e chiamata “SkyECC”.
Ricordiamo che i sistemi SKY Ecc ed Encrochat erano piattaforme di comunicazione criptata che consentivano lo scambio di comunicazioni utilizzando i cc.dd. criptofonini, ovverosia smartphone opportunamente modificati nel software (prevalentemente con il sistema Android o Blackberry) con l’unico scopo di garantirne l’inviolabilità, poiché il relativo sistema operativo era caratterizzato da particolari requisiti di sicurezza che si possono riassumere nella cifratura dei dati trasmessi e di quelli memorizzati, nella possibilità per l’utilizzatore di cancellare, quasi in tempo reale e anche da remoto, l’intera memoria del telefono inserendo un cd. Panic code, o nella possibilità di segnalare la presenza di sistemi di individuazione (cd. Imsi Catcher) o di tentativi di aggressione informatica da parte di agenti esterni.
Tali sistemi di comunicazione di Sky Ecc non erano però basati sulla tecnologia pin to pin (tipo Blackberry, cioè su un sistema crittografico dove le chiavi di cifratura sono collocate in un server), bensì sul sistema end to end, che prevede la cifratura delle conversazioni mediante l’utilizzo di chiavi depositate esclusivamente sui dispositivi che colloquiano, sicché, in questa modalità, neanche il gestore del servizio è in grado di conoscere le chiavi utilizzate e, di conseguenza, il contenuto delle comunicazioni.
Le autorità francesi avevano “instradato” quelle “chat” su un “server” e successivamente individuato l’algoritmo utilizzato per la criptazione dei messaggi, rendendo così leggibili i documenti informatici acquisiti, considerati dall’Autorità giudiziaria italiana “dati freddi” o “risultati documentali di attività investigative” di quella autorità straniera.
Regole processuali nella conduzione delle indagini
La giurisprudenza di legittimità ha ormai chiarito che occorre distinguere due diversi tipi di operazione che gli inquirenti possono effettuare nello svolgimento delle indagini, segnatamente: le operazioni di captazione e di registrazione del messaggio cifrato nel mentre lo stesso è in transito dall’apparecchio del mittente a quello del destinatario (che viaggia attraverso reti internet messe a disposizione in ogni paese da gestori di servizi telematici e che, lungo tale ‘tragitto’ transita di regola da un server che non è necessariamente collocato nel paese o in uno dei paesi nei quali si trovano fisicamente i soggetti che stanno comunicando tra loro) e le diverse operazioni di decriptazione del contenuto del messaggio, necessarie per trasformare mere stringhe informatiche in dati comunicativi intellegibili.
È chiaro che solo alla prima delle due appena indicate tipologie di operazioni fa riferimento l’art. 266-bis cod. proc. pen., che estende l’applicabilità delle norme del codice di rito relative alle “normali” intercettazioni di conversazioni o comunicazioni tra soggetti a distanza, alle intercettazioni di flussi di comunicazioni relativi a sistemi telematici ovvero intercorrenti tra più sistemi telematici: flussi che non avvengono in via diretta tra apparecchi informatici, ma che sfruttano la trasmissione dei dati in via telematica, dunque via cavo o ponti radio, ovvero per mezzo di altra analoga strumentazione tecnica.
Se, invece, il messaggio telematico è criptato, gli inquirenti ne possono valorizzare il contenuto a fini dimostrativi solo laddove abbiano la disponibilità dell’algoritmo che consente di decriptarne il tenore ovvero se tale ‘chiave’ venga altrimenti messa a disposizione degli investigatori dalla società che ne è proprietaria (e che la sfrutta dal punto di vista commerciale).
Nel caso in esame Ghost probabilmente deve in primo luogo escludersi che l’attività di acquisizione e di decifrazione di tali dati comunicativi rientri nel novero delle attività d’intercettazione poiché queste ultime postulano la captazione di un flusso di comunicazioni in atto, di tal che non è applicabile la relativa disciplina processuale contenuta negli artt. 266 e ss. del codice di rito, la cui estensione alle intercettazioni dei flussi di comunicazioni relativi a sistemi telematici ovvero intercorrenti tra più sistemi telematici è prescritta dall’art. 266-bis cod. proc. pen..
Nel caso in esame dovrebbe trovare invece applicazione l’art. 234-bis cod. proc. pen. (introdotto dall’art. 2, comma 1-bis, del decreto legge 18 febbraio 2015, n. 7, convertito dalla legge 17 aprile 2015, n. 43), norma che prevede che «È sempre consentita l’acquisizione di documenti e dati informatici conservati all’estero, anche diversi da quelli disponibili al pubblico, previo consenso, in quest’ultimo caso, del legittimo titolare».
Conclusioni
L’indagine dimostra che la cooperazione internazionale è fondamentale per fronteggiare le reti criminali, sempre più globali, interconnessi e che utilizzano strumenti all’avanguardia per raggiungere le proprie finalità illegali.
Europol riferisce che il panorama delle comunicazioni criptate è diventato sempre più frammentato a seguito delle recenti azioni delle forze dell’ordine che hanno preso di mira le piattaforme utilizzate dalle reti criminali.
A seguito di queste operazioni, numerosi servizi criptati un tempo popolari sono stati chiusi o interrotti, portando a una frammentazione del mercato.
Gli attori criminali, in risposta, si stanno ora rivolgendo a una varietà di strumenti di comunicazione meno consolidati o realizzati su misura, che offrono vari livelli di sicurezza e anonimato. In questo modo, cercano nuove soluzioni tecniche e utilizzano anche applicazioni di comunicazione popolari per diversificare i loro metodi.
Questa strategia aiuta questi attori a evitare di esporre l’intera operazione criminale su una singola piattaforma, riducendo il rischio di intercettazione.
Di conseguenza, il panorama delle comunicazioni criptate rimane altamente dinamico e segmentato, ponendo sfide continue e dall’esito incerto tra crittoanalisti e crittografi, tra criminali globalizzati e le forze dell’ordine, tra un ceppo batterico e l’antibiotico, ponendo seri interrogativi sul bilanciamento tra cifratura, quale importante misura tecnica per la protezione dei dati personali, e sull’accettabilità di sistemi di cifratura munite di backdoor per finalità di sicurezza nazionale.
