Si facevano chiamare con nomi in codice. Si scambiavano istruzioni su Telegram. Agivano da casa, e spesso con competenze informatiche modeste. Eppure hanno mandato in tilt i server di ministeri, banche, aziende strategiche. Sempre per la stessa causa: sostenere, anche digitalmente, la guerra della Russia contro l’Ucraina. Sono cinque i cittadini italiani finiti al centro dell’inchiesta della procura di Roma, in collaborazione con la Direzione nazionale antiterrorismo, per aver partecipato ad attacchi informatici contro infrastrutture pubbliche e private in Italia. Agivano per conto del collettivo hacker filorusso NoName057(16), ritenuto uno dei principali strumenti digitali del Cremlino.
L’indagine è iniziata analizzando i punti deboli della nostra cybersicurezza: i server finiti offline, i siti istituzionali paralizzati, gli attacchi DDoS (Distributed Denial of Service) che negli ultimi due anni hanno colpito a ondate la pubblica amministrazione e il settore finanziario. In molti casi, l’origine sembrava chiara: la Russia. Ma scavando nei log dei sistemi compromessi, gli investigatori hanno scoperto qualcosa di più preoccupante: una parte significativa degli attacchi era partita dall’Italia. Con indirizzi Ip riconducibili a privati cittadini. A quel punto la caccia è cominciata.
Tra le persone perquisite ci sono due ventiduenni, un trentenne, un ventiseienne e un pensionato milanese di 72 anni. Non si conoscevano direttamente, ma erano legati da una rete informale di contatti online. Alcuni avevano competenze da professionisti della cybersicurezza. Altri no. Ma tutti erano entrati in contatto, in modi diversi, con canali Telegram utilizzati dal collettivo NoName per coordinare gli attacchi.
Secondo quanto ricostruito dagli inquirenti, il metodo era semplice e pericoloso: ai volontari veniva chiesto di scaricare un software che trasformava il proprio computer in uno strumento di attacco. Bastava collegarsi, avviare il programma, e il sistema iniziava a inviare richieste ripetute e massicce ai server bersaglio, saturandoli. Senza bisogno di competenze da hacker. L’obiettivo: bloccare i servizi, sabotare l’informazione, creare danno.
Sono almeno 600 i server identificati e disattivati nel corso dell’operazione internazionale, che coinvolge anche Francia, Germania, Olanda, Svezia, Spagna, Stati Uniti e Svizzera. Cinque i mandati di arresto europei per cittadini russi: due sarebbero i leader del gruppo. Il cuore operativo, però, si è spostato negli ultimi mesi anche nel continente, dove l’ideologia filorussa ha trovato sponde insospettabili. In Italia, più che in altri Paesi, le indagini hanno confermato un coinvolgimento diretto, attivo e consapevole.
Tra i bersagli dei sabotaggi digitali: il ministero della Difesa, dell’Interno, dello Sviluppo Economico, la Guardia di Finanza, la Consob, gli hub informatici di Mps, Unicredit, Intesa Sanpaolo, e diversi enti di trasporto. Non si trattava solo di dimostrazioni di forza virtuale, ma di interferenze mirate contro le istituzioni, capaci di bloccare i sistemi per ore, e in certi casi mandare in tilt intere reti.
Nel decreto di perquisizione firmato dalla procuratrice aggiunta Lucia Lotti e dal pm Eugenio Albamonte si legge che gli indagati «agivano in concorso, per finalità di terrorismo informatico». Alcuni avrebbero anche espresso simpatia esplicita per il regime russo, e condiviso contenuti propagandistici su piattaforme criptate. Le perquisizioni hanno portato al sequestro di dispositivi, hard disk, telefoni. Tutto ora è nelle mani della polizia postale, che sta ricostruendo i contatti e i legami tra i membri italiani e la centrale operativa russa.
La procura non esclude che i cinque fossero solo una parte del puzzle. Che ci siano altri utenti italiani coinvolti. Che il reclutamento non sia finito. E che la guerra ibrida tra Mosca e l’Occidente, fatta di armi, propaganda e virus informatici, abbia ancora molti soldati nascosti dietro uno schermo. Alcuni dei quali vivono proprio qui.
