Estorsioni on line, fermati sette hacker: oltre 1500 vittime in Italia

La Polizia di Stato ha da poco portato a termine un’importante operazione dedita al riciclaggio e alle estorsioni on line mediante la diffusione del virus “Cryptolocker”, sgominando un’organizzazione criminale per associazione per delinquere finalizzata all’accesso abusivo informatico, estorsione e riciclaggio degli illeciti proventi realizzati, con il coordinamento della Procura Distrettuale di Trieste diretta da Carlo Mastelloni.

Il cryptolocker è un virus trasmesso via email apparentemente provenienti ad esempio da corrieri per le spedizioni o agenzie governative nazionali, contenenti link o allegati che una volta aperti criptano il contenuto delle memorie dei computer, anche collegati in rete. Gli utenti, per riaprire i file, erano costretti a pagare un riscatto in bitcoin (una moneta virtuale il cui cambio oscilla intorno al 1= 217 euro) a fronte del quale veniva loro inviato via email un programma per la decriptazione.

In effetti, «già da tempo la Polizia Postale e delle Comunicazioni ha diramato diversi alerte anche attraverso gli organi di informazione per richiamare l’attenzione dei cittadini - ha spiegato il dirigente del Compartimento della Polizia Postale di Trieste Pasquale Sorgonà -, ed ha periodicamente inserito degli avvisi all’interno del Commissariato virtuale in coincidenza dell’apparire di nuove forme di cryptolocker sul web. L’attività criminale in oggetto si era diffusa già da diversi mesi ed aveva fatto diverse vittime, anche “eccellenti” atteso che nella trappola sono caduti in tutta Italia oltre che tantissimi privati e aziende anche diversi sedi governative, come Tribunali, Uffici comunali e anche alcune strutture delle diverse Forze dell’Ordine».

Le indagini, partite già da alcuni mesi, hanno avuto una svolta decisiva nel marzo di quest’anno, a seguito di una denuncia sporta dall’amministratore delegato di una società in cui una impiegata aveva incautamente aperto un link, pervenuto in allegato a una email che preannunciava un rimborso su una spedizione SDA. Una volta aperto il link, è stato in realtà scaricato il “Cryptolocker”, che ha criptato il contenuto delle memorie dei pc aziendali. Il computer risultava bloccato su una pagina che dava informazioni sul riscatto da pagare per ottenere il ripristino dei dati indicando un sito attraverso il quale effettuare il pagamento in bitcoin: www.coinbit.it. 

I responsabili della ditta seguendo le istruzioni fornite dai criminali, hanno pagato il riscatto, ricevendo per posta elettronica il file che consentiva il ripristino dei dati sui computer aziendali. Partendo da queste informazioni, il personale della Polizia Postale ha individuato una persona in provincia di Padova, nei confronti della quale venivano immediatamente attivate delle indagini che hanno consentito di far emergere elementi di responsabilità riconducibili ad un vero e proprio sodalizio (che aveva anche una società in Estonia, sulla quale sono ancora in corso accertamenti) i cui appartenenti si presentavano come semplici intermediari di coinbit che non solo si dichiaravano estranei alla diffusione del virus ma anzi sui propri siti invitavano le malcapitate vittime a non pagare alcun riscatto in caso di attacco bensì a sporgere denuncia presso la Polizia Postale.

In realtà erano perfettamente al corrente della natura illecita dei proventi incamerati poiché la gli agenti hanno trovato le tracce non solo delle transazioni effettuate a seguito del pagamento dei riscatti ma addirittura in centinaia di messaggi che gli indagati si inviavano via smartphone. In questi si scambiavano consigli sulla diffusione del cryptolocker, sul riciclaggio del denaro, su come comportarsi davanti alle forze di polizia in caso di perquisizione o di assunzione di sommarie informazioni, indicazioni su nomine di avvocati di fiducia e altro. Messaggi del tipo: “Cercate di essere vaghi… E dire il meno possibile”, “Se non avete un avvocato di fiducia potete usare avv……”, “devo fare un cryptolocker pure io”, “un acquisto ora, 2 giorni fa un altro” e “oggi già 3 scaldate gli avvocati”, dal tenore dei quali si evince la consapevolezza che il prezzo pagato delle transazioni è in realtà il prezzo pagato dalle vittime dell’estorsione per ottenere il programma per decriptare i file.

Dai primi riscontri risulta che l’associazione abbia incamerato oltre 277.000 euro di proventi illeciti, provenienti da oltre 1500 vittime di estorsione. Il Pm titolare dell’indagine, il Sostituto Procuratore Lucia Baldovin, ha emesso 7 decreti di perquisizione informatica, locale e personale, tutte eseguite tra le province di Bergamo, Brescia e Padova e ordinato il sequestro preventivo del sito coinbit.it, con un decreto emesso dal Gip Giorgio Nicoli. Le perquisizioni hanno permesso di sequestrare un’ingente quantità di materiale informatico: computer, hard disk, tablet, pen drive usb, smartphone, carte di credito e documentazione ritenuta utile per il proseguimento delle indagini. Sono state dunque denunciate sette persone ed è stato sottoposto a sequestro il sito coin-bit.it.

I denunciati sono accusati di associazione a delinquere, frode informatica, estorsione, riciclaggio e ccesso abusivo al sistema informatico: hanno tutti, ad eccezione di un quarantenne che ha un’attività nel settore informatico, un’età compresa tra i 23 e i 27 anni, e risultano disoccupati.