Come evidenziato dal rapporto “Cyber organized crime – Le mafie nel cyberspace” [1], il ventaglio di strumenti a disposizione della criminalità organizzata si è notevolmente ampliato, integrando tecnologie informatiche avanzate che ne potenziano l’efficacia operativa e ne rafforzano la capacità di eludere i controlli.
Cryptovalute, piattaforme di trading e chatbot sono tecnologie che non solo riducono la complessità attuativa di alcuni crimini aumentandone la profittabilità, ma offrono ai malfattori due virtù tipiche del mondo virtuale, privacy ed anonimato quasi perfetti, che le cattive intenzioni facilmente volgono in vizi.
Tra le innovazioni più utili e importanti si trovano i servizi di comunicazione, in particolare quelli di comunicazione criptata. A differenza di altri strumenti utilizzati dalle organizzazioni criminali per i loro scopi all’esterno, i servizi di comunicazione criptata sono destinati all’uso interno, permettendo ai membri di coordinarsi, di gestire la logistica ed organizzare operazioni illecite in segretezza.Tra i vari servizi di comunicazioni criptate emersi negli ultimi anni, due spiccano per eccellenza: Encrochat e SKY-ECC.
Il mercato delle comunicazioni criptate
Encrochat e Sky-ECC hanno operato in una nicchia all’interno del più ampio mercato delle applicazioni di messaggistica. Come WhatsApp e Telegram, questi servizi consentono ai propri utenti di scambiare messaggi tramite infrastrutture server dedicate; tuttavia, a differenza dei piú famosi cugini, offrono livelli di sicurezza superiori grazie all’uso di software crittografici avanzati e ulteriori meccanismi di protezione.
Il mercato delle comunicazioni criptate è caratterizzato dalla presenza di piccoli operatori che competono ferocemente [2] per un ridotto numero di utenti. Questi utenti cercano un elevato grado di confidenzialità e integrità nelle loro comunicazioni, tanto da essere disposti a distruggere i messaggi pur di non condividerli con occhi indiscreti e a rinunciare ad alcune funzionalità fondamentali dei loro dispositivi per garantirne sicurezza ed impenetrabilità.
Sebbene le tecnologie mirate a preservare la privacy delle comunicazioni possano avere usi virtuosi, la riservatezza e l’anonimato attirano inevitabilmente anche la criminalità organizzata.
Aziende come MPC, Ennetcom e Phantom sono esempi di operatori nel settore delle comunicazioni criptate, tutte relativamente piccole e con una propria nicchia di utenti e un volume d’affari che si aggirava tra le decine e le centinaia di milioni di euro. A seguito di varie inchieste internazionali susseguitesi negli ultimi anni, è emerso che tutte queste aziende erano, in qualche modo, collegate al mondo della criminalità organizzata.
Tra queste, Encrochat e Sky Global spiccano per la loro importanza nel recente passato.
Encrochat e Sky-ECC
Encrochat era un’azienda di natura poco chiara che offriva un servizio di comunicazioni cifrate in gran parte dei paesi europei e in alcuni paesi americani. Il loro unico prodotto era l’encrophone [3], uno smartphone modificato per essere “invisibile” alle forze dell’ordine.
Secondo il loro sito ufficiale [3] e alcune ricostruzioni [4][5], l’encrophone era uno smartphone con hardware e software modificati. Aveva la fotocamera, il GPS e il microfono rimossi, e disponeva di due sistemi operativi: uno si attivava premendo il tasto di accensione e serviva come “copertura”, mentre l’altro, attivabile con una combinazione di pulsanti, conteneva tutte le funzioni principali ed era segreto. L’hardware veniva modificato in modo che il dispositivo non potesse connettersi a Internet tramite rete mobile, ma solo tramite Wi-Fi [6].
Tra le funzioni principali c’era la possibilità di cancellare tutta la memoria del dispositivo, sia localmente che da remoto. Inoltre, sul dispositivo vi erano alcune app specifiche per l’encrophone che non si potevano scaricare da un normale store come Google Play [3]. Tali app emulavano le applicazioni di base di un sistema operativo android, come un’app per prendere appunti e salvarli in modo cifrato, e un’app di messaggistica criptata. Quest’ultima, chiamata Encrochat, da cui la compagnia ha tratto ispirazione e nome, consentiva agli utenti di scambiare messaggi criptati solo con altri possessori di encrophone, utilizzando una rete di server appositamente creata e gestita dall’azienda.
Tutte queste caratteristiche hanno permesso a Encrochat di crescere fino a raggiungere circa 60.000 utenti in tutto il mondo [7]. Essendo poi molto popolare nella comunità criminale, divenne pian piano famoso per essere un servizio poco collaborativo con le forze dell’ordine. La sua espansione è stata interrotta bruscamente dalle operazioni di polizia nel 2020 [5], ma nel frattempo Encrochat era diventata uno strumento fondamentale per il “coordinamento , comando e controllo” del crimine organizzato, in particolare nell’Europa centro-settentrionale e nel resto del mondo [8].
Dopo la chiusura di Encrochat, SKY-ECC è emerso come il suo successore naturale, diventando dapprima una soluzione alternativa e poi la scelta preferita di molti criminali. Fondata intorno al 2010, Sky Global, proprietario e gestore di SKY-ECC, sembrava un’azienda legittima con dipendenti e sede in Canada, marcando in questo una netta differenza rispetto a Encrochat [9][10][11].
Come Encrochat, Sky Global vendeva smartphone modificati appositamente per essere difficili da sorvegliare, ovvero privati delle componenti hardware e software che gestiscono GPS, fotocamera, connessione a Internet e microfoni. Anche questi dispositivi permettevano di cancellare la memoria sia localmente che da remoto.
Sugli smartphone cosí modificati veniva installato un sistema operativo alterato con app dedicate, tra cui un’app di messaggistica che, come nel caso di Encrochat, sfruttava la rete di server di Sky Global, dislocata tra Canada e Francia. Subito prima delle operazioni di polizia che, nel 2021, ne avrebbero decretato la fine, Sky-ECC aveva circa 170.000 utenti in tutto il mondo [12].
Appare dunque evidente quanto siano tecnologicamente avanzati i prodotti di Encrochat e Sky-ECC.
Questi dispositivi sono dotati di tutti gli strumenti necessari per proteggere la riservatezza delle informazioni, rendendo difficile qualsiasi tipo di ispezione, anche quelle più complesse eseguite dalle forze dell’ordine.
Anche se non si conoscono i dettagli delle tecniche o degli algoritmi di cancellazione della memoria locale programmati nei dispositivi, le funzionalità di alterazione della memoria fornite all’utente servono a evitare o ritardare tentativi di hacking o lettura dei dati in caso di ispezioni forensi.
La mancanza di GPS, microfoni, fotocamere e connessione a rete mobile, insieme alla memoria criptata, aiuta a impedire che informazioni vengano sottratte dagli encrophone o che questi vengano tracciati da strumenti di sorveglianza avanzati, come il controverso software di spionaggio Pegasus.
Inoltre, le app di messaggistica criptata utilizzate su questi dispositivi non sono diffuse e conosciute come piattaforme come WhatsApp o Telegram. Queste app, sconosciute alla maggior parte delle persone e basate su protocolli off-the-record (OTR), offrono crittografia “end-to-end” (E2EE), sono accessibili solo a chi possiede dispositivi compatibili e utilizzano server privati che non salvano tutti i messaggi scambiati dagli utenti [6]. Il che aumenta la riservatezza e l’anonimato delle comunicazioni, riducendo la possibilità che la rete di comunicazione venga scoperta o che le conversazioni vengano intercettate.
Le operazioni di polizia che hanno smantellato Encrochat e Sky-ECC
Tra il 2020 e il 2021, le forze di polizia di diversi paesi hanno smantellato Encrochat e Sky-ECC con operazioni speciali congiunte [12] [13], accusando le due aziende di favorire la criminalità organizzata. Queste operazioni, che hanno coinvolto le forze dell’ordine di Francia, Olanda, Belgio e, nel caso di Encrochat, anche l’agenzia britannica NCA, sono state pianificate per anni a causa della complessità delle tecnologie da affrontare.
Nel caso di Encrochat, sebbene molti dettagli siano stati occultati attraverso il ricorso legittimo al segreto di difesa nazionale [14] [15], è possibile ricostruire grosso modo gli eventi stando ad alcune ricostruzioni ufficiali [16].
La polizia francese sarebbe riuscita a individuare la posizione geografica dei server di Encrochat, ottenuto l’accesso ai quali li avrebbe sfruttati per installare un trojan, mascherato da aggiornamento di sicurezza, sui telefoni degli utenti. Il malware avrebbe poi permesso di intercettare i messaggi criptati in tempo reale. Non è chiaro come abbiano decifrato i messaggi, ma si ipotizza che il malware abbia catturato le chiavi di decrittazione o abbia contribuito ad intercettare le comunicazioni già decifrate.
Anche Sky-ECC è stato colpito da un’operazione simile.
Stando ad alcune ricostruzioni ufficiali [17], la polizia francese era riuscita non solo a ricostruire la configurazione dell’infrastruttura, ma addirittura a geolocalizzare i server stessi e ad individuarne il provider. Nei due server erano stati installati dei programmi “IP tap” in grado di intercettare le comunicazioni che attraversavano l’infrastruttura, e lentamente le forze dell’ordine iniziarono a sviluppare un metodo per decifrare i messaggi.
Successivamente, gli esperti olandesi riuscirono a sviluppare un metodo per copiare la memoria dei server garantendone la continuità operativa, ovvero raccogliendo i dati da analizzare senza interrompere il servizio.
A maggio 2020, infine, la polizia francese connesse un proprio server, detto man-in-the-middle (MITM) all’infrastruttura della piattaforma, tra gli utenti e i server di Sky-ECC, cosí da intercettare i messaggi e ottenere le chiavi di decrittazione. Il server MITM avrebbe avuto funzione duplice: oltre a raccogliere i messaggi scambiati tra utenti e server centrali, poteva anche inviare delle notifiche push ai dispositivi utente per ottenere le chiavi crittografiche con cui decifrare le comunicazioni. Con tali artifici, la polizia sarebbe stata in grado di salvare e decifrare un numero elevatissimo di messaggi cifrati.
Sebbene anche in questo caso, come per Encrochat, la dinamica generale dell’attacco sia di pubblico dominio, i dettagli dell’attacco sono poco chiari. Non è chiaro, ad esempio, se il provider dei server abbia collaborato con le forze dell’ordine, o se per attuare l’attacco siano state sfruttate vulnerabilità inedite software o hardware.
Non é noto neanche se le autorità abbiano beneficiato della collaborazione di informatori interni a SKY ECC.
Anche in questo caso le autorità francesi, ponendo il sigillo di segreto di Stato [18] sulle tecniche utilizzate nell’operazione, hanno rilasciato volutamente pochi dettagli al pubblico per riservarsi, probabilmente, la possibilità di utilizzare le stesse tecniche in futuro.
I risvolti etici e giuridici degli attacchi hacker a queste piattaforme
È interessante osservare i risvolti etici e giuridici degli attacchi hacker a queste piattaforme. Da un lato, le operazioni hanno colpito duramente molte gang criminali, specialmente quelle coinvolte nel traffico di droga, portando all’arresto di figure chiave e al sequestro di grosse quantità di droga e denaro. Le informazioni ottenute hanno anche aiutato le autorità a capire meglio come funzionano alcune organizzazioni criminali. Dall’altro lato, però, ci sono state molte polemiche in merito all’uso di queste tecniche ed in merito allo sfruttamento, in sede processuale, dei dati raccolti a seguito di questo tipo di interventi di polizia.
Le operazioni hanno invaso la privacy di migliaia di utenti delle piattaforme, compresi quelli che non erano coinvolti in attività criminali [19]. Le autorità hanno mantenuto un livello di segretezza molto alto sulle tecniche di hacking e decrittazione utilizzate, giocando molto spesso la carta del segreto di stato per coprirne i particolari.
Se da un lato questo livello di discrezione riguardo lo strumento d’indagine è giustificabile per preservare opportunità investigative future, dall’altro la mancanza di trasparenza potrebbe rendere difficile per gli imputati difendersi adeguatamente, poiché non possono verificare autenticità e affidabilità delle prove presentate a loro carico.
Diversi tribunali europei hanno già affrontato il tema e ci sono ricorsi aperti alla Corte Europea dei Diritti dell’Uomo [18]. Inoltre, l’operazione contro Sky ECC potrebbe creare un precedente pericoloso, legittimando operazioni simili contro altre piattaforme di comunicazione criptate e contro un’ampia gamma di utenti, non solo criminali. Tutto ció potrebbe avere un impatto significativo sui diritti alla privacy e alla libertà di espressione [19].
L’alto livello di tecnologia delle piattaforme e della polizia
Entrambe le piattaforme di messaggistica, Encrochat e Sky ECC, sfruttavano una tecnologia molto sofisticata, così come sofisticate erano le tecniche utilizzate dalle forze dell’ordine per estrarre le informazioni.
Le forze di polizia francesi e olandesi hanno dimostrato grandi capacità tecnologiche, capaci di adottare strumenti avanzati per attaccare e analizzare tali servizi di messaggistica in modo rapido ed efficace.
In particolare, la piattaforma forense Hansken [20], sviluppata dall’istituto olandese NFI, si è rivelata molto utile. Hansken è un sistema progettato per raccogliere e analizzare enormi quantità di dati ed ha aiutato le autorità a filtrare e collegare informazioni cruciali tra milioni di messaggi scambiati su Sky ECC, facilitando le indagini [19].
La situazione italiana
Sebbene alcuni dei messaggi decifrati dalle polizie estere siano utili anche alla magistratura italiana [21], le forze dell’ordine italiane non hanno partecipato a nessuna delle operazioni per smantellare questi sistemi di comunicazione criptata. Fino ad oggi, le autorità giudiziarie italiane hanno ottenuto le versioni decifrate di questi messaggi attraverso ordini europei di indagine penale, cioè richieste ufficiali fatte ad altri paesi per scambiare prove.
Come sottolineato in numerose occasioni da procuratori che hanno già avuto esperienza in indagini contro le mafie [22] [23] la criminalità organizzata sta rapidamente integrando strumenti tecnologici avanzati nel proprio modus operandi.
Al contrario, lo Stato e il sistema giudiziario non dispongono ancora delle risorse tecnologiche e giuridiche necessarie per tenere il passo. In linea con gli appelli dei procuratori, è auspicabile che l’Italia acceleri l’adozione di tecnologie all’avanguardia, seguendo l’esempio delle forze di polizia di altri Paesi europei, e che provveda a colmare il divario normativo, ad esempio consentendo l’uso di risorse statali coperte da segreto di difesa.
Solo con un’azione coordinata e tempestiva sarà possibile fronteggiare adeguatamente la criminalità nel cyberspazio, ponendo le basi per una riflessione più ampia sul futuro della giustizia digitale e delle tecnologie di sicurezza.
Bibliografia e Sitografia
[1] “CYBER ORGANIZED CRIME Le mafie nel cyberspace. Analisi e strumenti di policy”, A.Nicaso, W. Rauti, Fondazione Magna Grecia, 2024
[2] “An Anonymous YouTube Video Has Started a Battle in the Secretive Secure Phone Industry”, Joseph Cox, January 24, 2018, Vice
[3] http://encrochat.network/, visitabile attraverso WayBack Machine
[4] “European Police Malware Could Harvest GPS, Messages, Passwords, More”, Joseph Cox, September 15, 2020, Vice
[5] “How Police Secretly Took Over a Global Phone Network for Organized Crime”, Joseph Cox, July 2, 2020.
[6] “EncroChat: What is it and why did criminals use it?”, CYFOR Blog
[7] “Cops take out encrypted comms to disrupt organised crime”, Alex Scroxton, 02 Jul 2020 , ComputerWeekly.com
[8] “Inside top-secret £3k-a-year EncroChat phone system used by UK’s criminal masterminds as cops nail 746 crime bosses”, Harry Pettit, 2 Jul 2020, TheSun
[9] United States v. Eap (3:21-cr-00822), courtlistener.com
[10] United States of America v. Jean-Francois Eap and thomas Herdman, official indictment, 11/2019, https://www.documentcloud.org/documents/20512738-sky_indictment
[11] “Vancouver-based Sky Global fallout continues three years after U.S. charges”, Bob Mackin, Mar 12, 2024, biv.com
[12] “New major interventions to block encrypted communications of criminal networks”, Updated on 12 March 2021, europol.europa.eu
[13] “Dismantling encrypted criminal EncroChat communications leads to over 6 500 arrests and close to EUR 900 million seized”, 27/06/2023, europol.europa.com
[14] “EncroChat: France says ‘defence secrecy’ in police surveillance operations is constitutional” ,Bill Goodwin, 08 April, 2022, ComputerWeekly.com
[15] “Décision n° 2022-987 QPC du 8 avril 2022”, conseil-constitutionnel.fr
[16] “Sentenza della Corte (Grande Sezione) del 30 aprile 2024, Procedimento penale a carico di M.N., Domanda di pronuncia pregiudiziale proposta dal Landgericht Berlin”, ECLI:EU:C:2024:372
[17] ECLI:NL:RBGEL:2022:7439, uitspraken.rechtspraak.nl
[18] “Ordine europeo di indagine finalizzato all’acquisizione di comunicazioni criptate slynecc/encrochat”, A.Barletta, F.Cappelletti, 4 marzo 2024, camerepenali.it
[19] Oerlemans, J.-J., & Royer, S. (2023). The future of data-driven investigations in light of the Sky ECC operation. New Journal of European Criminal Law, 14(4), 434-458. https://doi.org/10.1177/20322844231212661
[20] “Hansken, the open digital forensic platform”, https://www.hansken.nl/
[21] “Ordine europeo di indagine penale e comunicazioni criptate: il caso Sky ECC/Encrochat in attesa delle Sezioni Unite”, M. Daniele, 11 Dicembre 2023, sistemapenale.it
[22] “Gratteri e Nicaso raccontano le mafie nell’era del cyberspazio: ”Governo in ritardo””, J. El Sadi, 20 Giugno 2024, antimafiaduemila.com
[23] “Il procuratore antimafia Giovanni Melillo: “Tra mafie e mondo cyber, relazioni profonde””, R. Rijtano, 22 febbraio 2023, lavialibera.it