Un hacker sottovalutato

Carmelo Miano ha 24 anni e da quando è stato arrestato, all’inizio di ottobre, è stato descritto dai giornali come uno “smanettone” e un “mago dell’informatica”, uno che si divertiva a fare l’hacker. In realtà le accuse contro di lui sono più gravi di quanto facciano pensare queste definizioni.

Per sua stessa ammissione, Miano ha violato i sistemi informatici del ministero della Giustizia, compresi gli archivi di diverse procure e le caselle mail di decine di magistrati; ha ottenuto milioni di dati degli utenti di TIM, una delle più importanti aziende di telecomunicazioni italiane; ha violato la rete fornita alla Guardia di Finanza dalla società Telespazio, partecipata tra gli altri dall’azienda Leonardo, l’ex Finmeccanica. E tutto questo lo ha fatto dopo essere già stato indagato e perquisito proprio dalla Guardia di Finanza, nel 2021, perché accusato di aver creato un mercato online illecito dove era possibile comprare droga e piccole armi. Per anni, insomma, Miano è stato sottovalutato.

Miano è stato arrestato tra il 1° e il 2 ottobre al termine di una complessa indagine che oltre a coinvolgere esperti di sicurezza informatica della Polizia postale è stata fatta in vecchio stile: gli investigatori hanno piazzato una telecamera nascosta di fronte al suo computer nel monolocale dove viveva, a Roma. Solo così sono riusciti a scoprire i suoi traffici, fino ad allora coperti da una serie di utenze anonime che lo rendevano quasi impossibile da rintracciare. Ora Miano si trova nel carcere di Regina Coeli. Nelle carte dell’inchiesta si legge che la procura ha ottenuto anche il sequestro di 6 milioni e 298mila euro in bitcoin. Capire come li abbia ottenuti non è semplice.

Dopo avergli sequestrato il computer e altri dispositivi elettronici, gli investigatori hanno ricostruito a ritroso la storia di Miano. Fin dall’adolescenza dimostrò di avere una particolare predisposizione per l’informatica. Da un anno lavorava alla NTT Data, una multinazionale giapponese specializzata in consulenza e sicurezza informatica, estranea alle accuse. La Guardia di Finanza si era già accorta di lui tra il 2020 e il 2021, quando la procura di Brescia iniziò a indagare su alcune piattaforme online presenti nel dark web, quella parte di Internet non accessibile attraverso i normali browser come Chrome e Safari e i motori di ricerca come Google.

– Leggi anche: Nel dark web non c’è solo roba illegale

In un approfondimento su Irpimedia, Raffaele Angius e Simone Olivelli hanno spiegato che la procura sospettava che Miano avesse a che fare con Icarus Market, un mercato online dove avvenivano scambi commerciali illegali, soprattutto droga e armi. Nell’inchiesta erano coinvolti anche i suoi genitori e un vice sovrintendente di polizia in servizio a Gela, in Sicilia, dove all’epoca Miano abitava. Venne ordinata una perquisizione dei suoi dispositivi informatici, che tuttavia non furono sequestrati. Le indagini furono trasferite alla procura di Gela e non è chiaro come mai non portarono a nulla.

Proprio da quella perquisizione Miano iniziò un’intensa attività di infiltrazione nei sistemi informatici della giustizia italiana. Secondo quanto ricostruito dalle indagini della procura di Napoli, fece di tutto per spiare i magistrati che lo avevano indagato e successivamente spostò le sue attenzioni su molte altre procure. Un mese dopo la perquisizione, per esempio, attaccò la Guardia di Finanza con mail di phishing.

Le mail di phishing sono fatte apposta per sembrare comunicazioni legittime da parte di un mittente noto: di solito ricalcano graficamente le comunicazioni ufficiali di qualche grande azienda riproducendone il logo e lo stile. Lo scopo è quello di ingannare il ricevente per truffarlo o – nel caso di Miano – spingerlo a cliccare su qualche link in modo che sul suo computer possa essere scaricato un malware, cioè un programma informatico che può provocare danni o raccogliere e trasmettere dati importanti.

– Leggi anche: Come riconoscere le mail che cercano di fregarvi

Il primo tentativo di entrare nella rete della Guardia di Finanza non andò a buon fine, così Miano decise di prenderla più alla larga. Tra il 4 e il 5 luglio del 2021, secondo l’accusa, riuscì a rubare i dati di 23 milioni di utenti di TIM compresi nome, cognome, email, indirizzi e password. Pochi giorni dopo ottenne le credenziali di due tecnici di Noovle, una società di TIM che si occupa di gestire la rete cloud del ministero della Giustizia. Con cloud ci si riferisce un servizio che offre la gestione di grandi quantità di dati attraverso server connessi tra loro.

Grazie a quelle credenziali Miano entrò in 19 caselle di posta elettronica del personale delle procure di Brescia e di Gela. Tra le caselle di posta violate c’era anche quella di Erica Battaglia, la magistrata che lo aveva indagato a Brescia e titolare di inchieste su altri mercati online illegali. Uno di questi si chiamava “Berlusconi market”. Due amministratori del “Berlusconi market” erano stati arrestati nel 2020: erano noti online come “VladimirPutin” e “EmmanuelMacron”. Le forze dell’ordine sequestrarono cocaina, ketamina, MDMA, pasticche di ecstasy e LSD. Nel 2021, al termine del processo, uno dei due amministratori fu condannato a 15 anni di carcere.

Irpimedia ha ricostruito che uno degli obiettivi di Miano erano proprio informazioni relative alle inchieste sul “Berlusconi market”, anche se non è chiaro se questa attenzione fosse legata a un suo possibile coinvolgimento diretto in quel mercato online. Nel 2022 i tecnici della Coordinamento interdistrettuale per i sistemi informativi automatizzati (CISIA) di Napoli si accorsero che c’era qualcosa di strano in un computer accessibile da remoto e utilizzato dalla Corte di Cassazione. Quel computer era collegato alla rete del ministero della Giustizia.

Inizialmente i tecnici di Microsoft che si occuparono del controllo dissero che il computer era spento e inutilizzato: solo dopo un nuovo esame si resero conto che c’era stata una grave violazione. Secondo l’accusa, Miano avrebbe preso il controllo di un account con privilegi da amministratore, cioè con la possibilità di creare nuovi utenti. In questo modo sarebbe riuscito a infiltrarsi senza problemi nella rete del ministero fino agli archivi delle procure nonostante il reset di tutte le password fatto dai tecnici poco prima.

Una seconda anomalia venne segnalata nel 2023, stavolta da un tecnico del CISIA di Palermo: fu notata in particolare l’attività di uno script, un programma che raccoglieva molte informazioni tra cui le password salvate nei browser per la navigazione su internet. Il programma era stato distribuito dal sistema centralizzato del ministero. Da questa segnalazione partì l’inchiesta che ha portato all’arresto di Miano.

Un altro tentativo di infiltrazione riuscito riguarda la rete satellitare di Telespazio, in cui entrò attraverso il computer di bordo di una nave di pattuglia della Marina militare ormeggiata a Brindisi. Dagli accertamenti sembra che il computer fosse accessibile senza password. L’obiettivo di Miano era la rete interna della Guardia di Finanza, che per questo servizio si serve proprio della società Telespazio.

Gli investigatori della procura di Napoli dicono che in questi anni Miano ha avuto accesso alle comunicazioni di 46 magistrati di diverse procure italiane, compresi alcuni magistrati che stavano indagando sul suo conto, oltre a computer di funzionari, militari della Guardia di Finanza e agenti di polizia giudiziaria. Tra le altre, avrebbe violato le comunicazioni dei procuratori di Perugia, Firenze e del procuratore capo di Napoli Nicola Gratteri. Solo da Brescia avrebbe prelevato circa seimila documenti dalla cartella desktop e documenti della magistrata Erica Battaglia e 35mila atti giudiziari di procedimenti civili del tribunale.

Non è ancora chiaro, invece, come abbia ottenuto oltre 6 milioni di euro in bitcoin. In una prima dichiarazione Miano avrebbe parlato di semplici investimenti lungimiranti fatti anni fa quando il valore del bitcoin era molto inferiore rispetto alle quotazioni attuali. La procura sta cercando di capire se Miano avesse dei complici e clienti a cui vendeva parte dei dati rubati. Tra le altre cose, gli è stato contestato l’accesso al portale “Russian market”, un altro mercato illegale dove è possibile vendere informazioni come password, dati bancari e di carte di credito.

L’avvocato di Miano, Gioacchino Genchi, ha presentato un ricorso al tribunale del Riesame per chiedere la scarcerazione e il trasferimento dell’indagine alla procura di Perugia. Giovedì i giudici l’hanno respinta dopo il parere negativo della procura di Napoli.

La strategia difensiva di Genchi è che Miano sia un hacker talmente bravo che grazie alle sue conoscenze avrebbe potuto compromettere l’intero sistema giudiziario italiano, ma avrebbe deciso di non farlo perché non è un criminale. «Aveva a disposizione tutte le caselle mail usate per trasmettere le notizie di reato, gli ordini di fermo, le misure cautelari e i decreti di intercettazione di tutte le procure e le direzioni distrettuali antimafia d’Italia», ha detto Genchi. «Se Miano fosse stato un criminale avrebbe potuto mandare veramente in tilt il sistema […] ma non l’ha fatto: gli unici dati che ha visto sono quelli che lo riguardano, ossessionato e preoccupato com’era delle indagini sul suo conto».

Genchi ha anche contestato l’accusa di danneggiamento del sistema informatico, appellandosi alle evidenti lacune che hanno permesso a Miano di entrare in diverse reti. Secondo Genchi il sistema informatico era già disastrato di per sé e privo di protezioni minime che avrebbero dovuto prevenire e impedire le intrusioni.

Il procuratore capo di Napoli Nicola Gratteri ha detto che Miano «ha fatto girare la testa» per un anno ai magistrati di Napoli, un modo per dire che le indagini sono state più complesse del previsto. Miano infatti poteva spiare la stessa procura che lo stava indagando. Quando i magistrati se ne sono accorti hanno smesso di usare le caselle di posta elettronica e WhatsApp. Tutte le comunicazioni sono state fatte a voce o scritte a penna. Solo così la procura è riuscita a portare avanti l’inchiesta.