Utilizzano droni e sommergibili radiocomandati per trafficare in droga e armi, assoldano i migliori hacker del mondo, agiscono con disinvoltura sul web – dove hanno oramai spostato molte delle loro attività – creano banche online per riciclare denaro, cominciano a usare l’intelligenza artificiale.
L’identikit delle nuove mafie è delineato nel report “Cyber organized crime. Le mafie nel Cyberspazio” della Fondazione Magna Grecia, nel quale si evidenzia come la criminalità organizzata stia diventando sempre più abile a cavalcare l’onda dell’innovazione tecnologica e informatica per ampliare il loro raggio di azione e aumentare i profitti.
Metaverso e dark web
Grazie alla loro grande capacità di adattamento sono diventate ormai organizzazioni ibride, capaci cioè di operare tanto nella realtà analogica quanto in quella digitale.
Al tradizionale pizzo affiancano le estorsioni online, puntano sul metaverso e sul dark web. E se prima andavano alla ricerca di avvocati, commercialisti, broker, notai, agenti immobiliari, oggi, cercano ovunque ingegneri informatici, hacker e drug designer.
La mafia corre in rete insomma, e corre veloce, mentre imprese e istituzioni arrancano affannosamente in un’eterna carenza e inadeguatezza di risorse e di personale specializzato.
“Dopo l’esperienza dello scorso anno, abbiamo sentito l’esigenza di predisporre un secondo rapporto che esaminasse l’ibridazione delle mafie nel mondo digitale, rivelando come si siano evolute negli ultimi anni per sfruttare le opportunità offerte dalla tecnologia”, ha spiegato Nino Foti, presidente della Fondazione Magna Grecia.
Dallo studio emerge, infatti, che le mafie operano digitalmente in modo strutturato, strategico e coordinato, tanto che esistono delle correlazioni tra riciclaggio di denaro, criminalità informatica, cripto-asset e corruzione. Del resto il dark web rappresenta un luogo ideale per le mafie: è discreto, relativamente sicuro e permette di mantenere l’anonimato grazie alle tecnologie disponibili di pseudonimia e crittografia. Sull’internet sommerso ci sono grandi piazze virtuali dove è possibile comprare e vendere di tutto. Allo stesso tempo, si può riciclare denaro o si possono commettere frodi finanziarie ed estorsioni online, sapendo di poter eludere le frontiere tradizionali e sfuggire alle indagini.
Il pizzo? Superato
“Le organizzazioni criminali considerano ormai il ‘vecchio’ pizzo come qualcosa di superato”, ha puntualizzato il Procuratore della Repubblica di Napoli Nicola Gratteri, raccontando di aver scoperto a Napoli che la camorra aveva creato una banca online che riciclava miliardi di dollari, con seimila clienti in Lombardia e nel Lazio e con sedi anche in Lituania e Lettonia. Il riciclaggio ammontava a più di tre miliardi e mezzo di euro, di cui solo due sono stati sequestrati. “La cosa che ci ha sorpreso è che nelle banche sequestrate abbiamo scovato tecnologie che la nostra Polizia giudiziaria nemmeno si sogna- ha detto Gratteri – Purtroppo nelle azioni di contrasto alle mafie, l’Italia è rimasta indietro rispetto a Paesi come Germania, Olanda e Belgio che ora devono aiutarci”.
Il gap di competenze
Nelle forze dell’ordine mancano del tutto giovani ingegneri in grado di dare quella spinta di cui il nostro sistema ha bisogno. “Stiamo perdendo troppo tempo e tanto campo”, ha concluso Gratteri.
Dello stesso parere Antonio Nicaso, esperto dei fenomeni criminali e curatore del rapporto, che ha spiegato come “quella del 2024 sia una criminalità organizzata sempre più addentrata nel cuore dell’innovazione tecnologica e informatica”.
A parlare sono le indagini. “In un’occasione – ha detto Nicaso – i clan hanno assoldato pirati informatici per violare i sistemi di sicurezza del porto di Anversa, così da far sbarcare decine di carichi di cocaina proveniente dall’America Latina senza destare sospetti. In un’altra, hanno assunto hacker rumeni per mettere a punto una complessa attività di ingegneria sociale, servita poi per sottrarre milioni di euro a ignari cittadini attraverso il phishing. Soldi successivamente utilizzati per acquistare armi in Moldavia”.
Più di recente, un importante hacker tedesco è stato contattato e invitato a trasferirsi in Calabria per creare piattaforme clandestine di trading e false fideiussioni. Per la prima volta, esponenti di organizzazioni mafiose e hacker hanno dunque lavorato a stretto contatto nel territorio d’origine dell’organizzazione criminale. Chi è rimasta indietro sull’utilizzo del web, come Cosa nostra americana, rischia di scomparire.
La sfida per le autorità
Proprio per questo l’obiettivo primario di autorità e investigatori di tutto il mondo deve essere quello di essere al passo con i tempi. Sottovalutare le potenzialità delle nuove mafie è un rischio che nessun Paese può permettersi, tantomeno l’Italia. Per questo motivo, “grazie a un accurato lavoro di analisi – ha concluso Nino Foti – abbiamo sviluppato un indice che permette di determinare in modo sintetico l’effettivo livello di rischio di istituzioni e imprese in caso di attacchi informatici. Disporre di una misura sintetica come questa è fondamentale per orientare le decisioni della politica, poiché fornisce un quadro chiaro e comprensibile della portata e dell’evoluzione delle minacce cibernetiche, consentendo ai policy maker di valutare l’impatto socioeconomico della criminalità informatica in un dato territorio e di prendere le decisioni conseguenti con un approccio più razionale e più efficace”.
Il Cybrec risk level index
L’indice permette di effettuare un rating tenendo conto della rilevanza strategica, del grado di protezione e vulnerabilità, della dimensione e del settore di appartenenza, partendo dai fattori critici di rischio (Crf). La misurazione dei Crf è effettuata in base a:
a. impatto in caso di interruzione;
b. difficoltà di ripristino o sostituzione del servizio;
c. interdipendenza con altri servizi;
d. rilevanza in termini sociali / legali (dimensione della popolazio- ne di riferimento).
I punteggi
Impatto in caso di interruzione del servizio: si attribuisce un punteggio alto (8-10 punti) in caso di interruzione che causi gravi conseguenze sulla sicurezza pubblica o sulla vita delle persone (es. servizi sanitari, sicurezza pubblica). Attacchi come DDoS o worm, che possono colpire ospedali o forze dell’ordine, hanno un alto impatto in caso di interruzione. Un attacco ransomware su un ospedale può causare lo stop di servizi critici, mettendo a rischio la vita dei pazienti.
Un punteggio medio (5-7 punti) lo si attribuisce in caso di interruzione che causa disagi significativi, ma non immediatamente pericolosi per la vita o la sicurezza (es. trasporti, servizi comunali) come, ad esempio, un attacco di phishing rivolto a un’azienda di trasporti pubblici con effetto su ritardi e disagi, ma non minaccia immediatamente la vita o la sicurezza. Si attribuisce, invece, un punteggio basso (1-4 punti) quando l’interruzione causa disagi limitati e gestibili a breve termine come sniffing o doxing: è tale un attacco di malware che colpisce solo le funzioni amministrative di un’organizzazione, causando ritardi negli adempimenti burocratici.
Difficoltà di Sostituzione o Ripristino: si attribuisce un punteggio alto (8-10 punti) per i servizi che richiedono tempo e risorse significative per essere ripristinati o sostituiti. Attacchi come SQL Injection o MitM, che colpiscono infrastrutture di rete complesse, possono avere un alto punteggio per la difficoltà di sostituzione o ripristino.
Un attacco DDoS contro infrastrutture critiche, come il sistema di controllo del traffico aereo, richiederebbe risorse significative per essere ripristinato. Un punteggio medio (5-7 punti) è attribuibile in caso di servizi con alternative o modalità di ripristino più rapide, mentre si conferisce un punteggio basso per servizi facilmente sostituibili o con opzioni di contingenza già pronte.
Interdipendenza con altri servizi: il punteggio alto in questo caso è attribuito quando il malfunzionamento impatta direttamente anche su altri servizi o settori (es. energia, telecomunicazioni) interconnessi. Per esempio, attacchi a sistemi di alimentazione elettrica o di telecomunicazioni, come DDoS su infrastrutture critiche, possono avere un alto punteggio per interdipendenza. Un esempio concreto è l’incidente del BlackEnergy in Ucraina nel 2015, che ebbe effetti a catena su altri servizi essenziali.
Popolazione di riferimento, rilevanza sociale e/o legale: in questo caso il punteggio è bilanciato sulla base degli obblighi legali o bisogni sociali fondamentali. Attacchi che mirano a servizi essenziali come ospedali e sicurezza pubblica, ad esempio attraverso ransomware, hanno un alto punteggio per necessità sociale o legale. Quello che avvenne nell’attacco informatico a un’istituzione finanziaria, la Capital One nel 2019, ebbe un impatto sociale per via dell’elevato numero di persone coinvolte in termini di dati sensibili. Chiaramente il punteggio decresce man mano che i servizi abbiano impatto su una popolazione più ridotta. Ad esempio, un attacco al sito web di un comune di poche migliaia di abitanti, ha un impatto sociale e legale minimo.
