Il report Internet Organised Crime Threat Assessment (IOCTA) curato dall’European Cybercrime Centre (EC3) dell’Europol, restituisce l’immagine dell’hacking come un vero e proprio ecosistema criminale radicato e sviluppato.
Un sistema comparabile a una multinazionale che si estende al di là dei confini e di cui fanno parte reclutatori, finanziatori, fornitori di tecnologie e, s’intende, hacker di diversa preparazione.
Un’immagine che deteriora in modo definitivo il cliché dell’hacker solitario e che apre le porte a una nuova dimensione, quella di un business fiorente che sa come incrementare il proprio fatturato e che riesce a smarcarsi con maggiore facilità dai metodi di indagine delle forze dell’ordine.
European Cybercrime Centre: come lavora e di cosa si occupa il centro europeo per il cyber crime
Indice degli argomenti
Cosa c’è nel report IOCTA
Nato per informare e sensibilizzare sulle più moderne forme assunte dalla criminalità informatica, il report IOCTA si concentra soprattutto sui cyber attacchi e sugli schemi di frode online più gettonati.
Una delle osservazioni più interessanti riguarda la co-dipendenza dei gruppi criminali informatici i quali, lavorando in concerto e con ottima sincronia, si dividono i passaggi necessari a perpetrare attacchi e intrusioni. Tutto ciò rende più complesso il compito delle autorità, costrette a indagini più difficili e quindi lunghe proprio perché obbligate a seguire i movimenti laterali e sotterranei attuati da diversi attori, dislocati in aree diverse del mondo e dotati della capacità di agire in modo rapido.
Il collante è spesso il Dark web, laddove si muovono quelli che possono essere definiti fornitori dei servizi utili all’hacking in ogni sua forma che riescono ad approvvigionare chi ne fa richiesta, fornendo anche servizi di monitoraggio e occultamento.
Sviluppatori di malware e truffatori hanno bisogno di canali adeguati a raggiungere il maggiore numero di vittime possibili e tenere sott’occhio in modo efficace ognuno di questi possibili percorsi è questione complicata. Nonostante ciò, le autorità indagano e non sono del tutto rari i casi in cui riescono a smantellare parti di organizzazioni criminali.
È, per esempio, il caso dell’operazione Overlord 2 che ha portato alla chiusura dei servizi VPN di VPNLab.net usati da diversi gruppi ransomware. Una rete decapitata a gennaio del 2022 grazie alle indagini congiunte delle forze dell’ordine di 10 diversi Paesi. Nel caso specifico, l’Europol ha coordinato le operazioni mediante una sessantina di riunioni operative. Ciò dimostra che stare al passo con i movimenti criminali è arduo.
Un altro caso celebre e significativo risale al mese di novembre del 2022, quando le autorità congiunte di diversi Paesi sono riuscite a smantellare la rete di amministratori del sito ispoof.me dedito alla vendita di strumenti di spoofing che, sostengono gli inquirenti, ha contribuito a causare danni per almeno 115 milioni di euro a livello globale. Gli arresti sono stati 142 e le indagini hanno richiesto un anno.
La dimensione del cyber crimine e quella delle autorità
Una vera e propria rete di collaborazione che trova modo di arruolare hacker, di formali e imbastisce canali di finanziamento per sviluppare minacce e mezzi di trasmissione, sempre più costruiti sulle fallacità umorali dell’essere umano: i dipendenti demotivati, per esempio, diventano ottimi veicoli per penetrare le reti aziendali.
Tra la potenza di fuoco degli attaccanti e quella delle autorità c’è un forte disequilibrio le cui origini, secondo Paolo Dal Checco, consulente informatico forense, hanno più motivi: “Purtroppo il gap tra chi rincorre e chi è rincorso è enorme, perché i primi sono tenuti a seguire metodologie, protocolli, iter autorizzativi spesso lunghi, complessi e per nulla immediati, mentre i secondi non hanno vincoli autorizzativi, di tempo o spazio, potendo contare su gruppi di lavoro distribuiti, eterogenei e operativi 24/7, con l’aggiunta della possibilità di anonimizzarsi e quindi rendere le attività d’indagine ulteriormente più complicate.”
C’è poi una natura politica e territoriale che limita i tempi di intervento delle forze dell’ordine. Non tutti i Paesi sono collaborativi e questo contribuisce ad allungare i tempi delle indagini. “Certamente la collaborazione dei paesi dai quali i criminali operano con maggiore facilità e lo fanno proprio perché oggi le relazioni con tali paesi sono poco gestibili dal punto di vista investigativo. Una riduzione della burocratizzazione potrebbe altrettanto certamente giovare, ma con la cura di non correre il rischio di rendere poi troppo spesso esplorative le indagini: i numerosi controlli, documenti, autorizzazioni e protocolli che gli inquirenti sono tenuti a seguire servono anche per verificare che non si proceda in modo da violare diritti e libertà dei soggetti coinvolti nelle indagini”, spiega Dal Checco.
C’è però uno spiraglio di ottimismo, qualcosa si sta muovendo, ma la strada è lunga e irta: “Alla rapidità delle indagini gioverebbe certamente poter ottenere canali privilegiati con i principali provider, cosa che per fortuna sta già avvenendo con colossi come Facebook, Google per i quali all’Autorità Giudiziaria sono stati forniti strumenti e servizi per ottenere più velocemente informazioni relative alle indagini, anche se per ottenere i dati spesso sono necessarie rogatorie, MLAT e procedure di cooperazione giudiziaria che richiedono tempo e passaggi burocratici non semplici, motivo per il quale spesso vengono utilizzati soltanto per indagini di un certo rilievo”, conclude Dal Checco.
Il termine MLAT fa riferimento a trattati di assistenza giuridica reciproca siglati tra Stati che prevedono la raccolta e lo scambio di informazioni per facilitare indagini e, più in generale, il diritto di ogni Paese a fare rispettare le proprie leggi.
