La straordinaria capacità di adattamento delle organizzazioni mafiose alle trasformazioni sociali ed economiche è storicamente riconosciuta e ne rappresenta uno dei più grandi punti di forza, che da sempre le pone un passo avanti rispetto alle strategie di contrasto. La diffusione delle tecnologie digitali, con il conseguente spostamento di parte delle attività economiche e sociali sul web, non ha fatto eccezione, diventando terreno fertile per la proliferazione di organizzazioni criminali che operano nella Rete, integrandola alle azioni classiche del crimine organizzato. Le cyber mafie oggi non rappresentano una semplice evoluzione della mafia storica, ma un’integrazione complessa fra competenze informatiche e strutture criminali tradizionali che hanno creato un modello operativo ibrido ed estremamente sofisticato. L’anonimato garantito dalla Rete, le difficoltà nella tracciabilità di comunicazioni e transazioni, la capacità di internet di collegare rapidamente luoghi e persone fisicamente distanti, unitamente a un impianto normativo confusionario, poco standardizzato a livello internazionale e che fatica a tenere il passo con la rapida evoluzione tecnologica, sono le pieghe entro cui le mafie di tutto il mondo si sono rapidamente insinuate nel mondo del crimine informatico, dando vita al Cyber Organized Crime.
Le cyber mafie rappresentano un’integrazione complessa fra competenze informatiche e strutture criminali tradizionali
In una prima fase, a partire dagli anni Novanta, le organizzazioni criminali hanno utilizzato le tecnologie digitali solo per facilitare la gestione e le comunicazioni su attività illecite tradizionali, come i traffici di droga e il riciclaggio di denaro. Nell’arco di una decina di anni, tuttavia, le mafie hanno allargato la loro sfera di azione direttamente all’interno del mondo digitale, rendendosi protagoniste di frodi ed estorsioni on line. Altrettanto rapidamente si è assistito ad un ulteriore passo in avanti che ha portato le mafie a sviluppare nuovi modelli operativi interamente digitali, sfruttando tecniche sofisticate come il ransomware[1], l’utilizzo di criptovalute per il riciclaggio di denaro e la gestione di mercati illegali nel dark web.
Le mafie hanno sviluppato nuovi modelli operativi interamente digitali
Sotto il profilo organizzativo le cyber mafie presentano una struttura caratterizzata dalla combinazione di elementi gerarchici tipici della criminalità organizzata classica e di modelli più flessibili e reticolari, caratteristici delle comunità digitali. All’interno dei gruppi mafiosi tradizionali sono state dunque reclutate nuove figure, come hacker e programmatori. La leadership strategica rimane spesso nelle mani di figure provenienti dal crimine organizzato tradizionale, affiancate però da tecnici altamente specializzati, con una suddivisione di compiti basata sulle competenze, riproducendo così a livello informatico, strutture che sono ben note nelle attività illecite più tradizionali: uno o pochi soggetti che detengono il controllo dell’organizzazione, affiancati da figure di fiducia che si occupano delle operazioni più sofisticate, insieme alla presenza di alcuni soggetti capaci di gestire la transizione fra attività fisiche e digitali e, alla base, numerose figure con compiti di routine come il phishing o la vendita di dati rubati. Inoltre, le mafie hanno profeticamente investito sull’alfabetizzazione digitale dei propri affiliati, anticipando e superando spesso le analoghe iniziative pubbliche rivolte a cittadini e Amministrazioni pubbliche.
Le cyber mafie hanno profeticamente investito sull’alfabetizzazione digitale dei propri affiliati
Nel panorama criminale digitale, le cyber mafie si sono specializzate in crimini finanziari, quali frodi bancarie online e riciclaggio di criptovalute, oltre a forme aggressive di estorsione basate sui ransomware. Tali attività criminali hanno profondamente alterato anche i tradizionali traffici illeciti: le organizzazioni criminali utilizzano sempre più frequentemente piattaforme darknet per la vendita di droga, armi, documenti falsi e dati personali rubati. Contestualmente, si sono sviluppate forme nuove di estorsione come il racket digitale basato su attacchi informatici di tipo DDoS[2], la minaccia di divulgazione di informazioni sensibili e fenomeni quali l’estorsione sessuale online. Se già le mafie tradizionali hanno dimostrato capacità di operare non solo a livello locale, ma di poter facilmente scavalcare i confini nazionali anche attraverso sodalizi fra gruppi criminali operanti in differenti contesti territoriali, la dimensione transnazionale diventa per le cyber mafie una caratteristica distintiva. Gli attacchi partono frequentemente da paesi dove ci sono meno controlli sulle attività informatiche e le normative sono meno stringenti, mentre le vittime principali risiedono in paesi industrializzati con economie digitalizzate avanzate. La cooperazione internazionale tra gruppi criminali operanti sul web facilita il perfezionamento delle tecniche criminali, adattandole ai differenti contesti culturali e rende più complesso il lavoro investigativo.
Le organizzazioni criminali utilizzano piattaforme darknet per la vendita di droga, armi, documenti falsi e dati personali rubati
Le conseguenze socioeconomiche delle attività cyber mafiose sono molteplici e in costante aumento. Le perdite economiche dirette, derivanti da frodi e attacchi informatici, raggiungono annualmente cifre vertiginose, cui si aggiungono costi indiretti dovuti alla necessità di continui investimenti in cybersecurity e alla perdita generalizzata di fiducia nelle infrastrutture digitali. Inoltre, la capacità delle cyber mafie di infiltrarsi in settori strategici, ad esempio la difesa o la sanità pubblica, pone gravi rischi per la sicurezza pubblica, rendendo urgente l’adozione di contromisure adeguate. Le autorità investigative hanno dovuto necessariamente adattarsi alla realtà in evoluzione del crimine organizzato on line, creando strutture specializzate dedicate al contrasto del cybercrime, come l’European Cybercrime Centre (EC3) coordinato dall’Europol. Tuttavia, nonostante l’evoluzione delle tecniche investigative e la creazione di specifiche unità operative, persistono importanti ostacoli di natura investigativa e giuridica. Tra questi emerge con forza la difficoltà di stabilire una chiara giurisdizione sui crimini informatici transnazionali, ulteriormente aggravata dall’uso diffuso di servizi avanzati di anonimizzazione e crittografia, come reti VPN, Tor e strumenti di comunicazione crittografati end-to-end. Queste tecnologie non solo rallentano il processo investigativo, ma spesso impediscono di identificare tempestivamente i responsabili, compromettendo l’acquisizione di prove digitali essenziali ai fini giudiziari.
Risulta difficile stabilire una chiara giurisdizione sui crimini informatici transnazionali, anche per via di servizi avanzati di anonimizzazione
Un’ulteriore difficoltà, come evidenziato nel Rapporto congiunto Eurojust ed Europol “Common Challenges in Cybercrime”, riguarda la gestione del crescente volume di dati generati durante le indagini: le autorità giudiziarie e investigative si trovano frequentemente a gestire terabyte o petabyte di informazioni, in formati non standardizzati e spesso non interoperabili tra agenzie diverse. Tale scenario richiede risorse informatiche e competenze analitiche altamente specializzate, attualmente insufficienti presso la maggior parte delle Istituzioni investigative europee. La questione della perdita di dati rappresenta un altro serio ostacolo, a causa dell’assenza di un quadro normativo uniforme sulla conservazione dei dati nell’Ue. In numerosi casi, fondamentali informazioni probatorie vengono perse, specialmente quando le richieste investigative transfrontaliere giungono ai fornitori di servizi dopo la scadenza dei brevi periodi di conservazione applicati da alcuni Stati membri. Altre criticità riguardano l’accesso ai dati essenziali come quelli relativi agli indirizzi IP e ai domini Internet. Tecnologie come la Carrier-Grade Network Address Translation (CGNAT), che consente di assegnare un unico indirizzo IP a migliaia di utenti contemporaneamente, complicano l’identificazione degli utenti coinvolti in attività illecite. A ciò si aggiunge la restrizione nell’accesso ai dati di registrazione imposta dal GDPR, che limita drasticamente la possibilità per le Forze dell’ordine di accedere rapidamente a informazioni vitali per le indagini, rallentando ulteriormente il processo investigativo. Infine, l’Europol sottolinea la persistenza di ostacoli rilevanti nella cooperazione internazionale e nei partenariati pubblico-privati. Differenze normative tra paesi, mancanza di standard procedurali comuni e restrizioni nella condivisione di dati sensibili tra entità pubbliche e private rappresentano ulteriori barriere operative che limitano gravemente l’efficacia e la tempestività delle indagini transnazionali sulla cyber mafia. L’insufficienza di personale specializzato nelle Forze di polizia e nei Tribunali contribuisce ad accentuare queste problematiche, rendendo urgente la necessità di una formazione avanzata e mirata per operatori giudiziari e investigativi.
Le cyber mafie si sono specializzate in crimini finanziari quali frodi bancarie online e riciclaggio di criptovalute
Il fenomeno della cyber mafia rappresenta una delle più sofisticate manifestazioni della capacità evolutiva delle organizzazioni criminali nel XXI secolo. Tuttavia, sarebbe riduttivo interpretarlo come mera trasposizione digitale di modelli criminali preesistenti, trattandosi piuttosto di un processo di ibridazione profonda che ha generato un ecosistema criminale con caratteristiche inedite, in cui la dimensione fisica e quella virtuale si intrecciano e si potenziano reciprocamente. Il fenomeno della cyber mafia rivela come la digitalizzazione stia riconfigurando profondamente non solo l’economia legale ma anche quella illecita, creando nuove geografie del crimine che ignorano confini fisici e trascendono le tradizionali logiche di controllo territoriale. Nonostante gli enormi sforzi delle Forze dell’ordine e delle Autorità di contrasto, il terreno su cui si gioca questa sfida è frammentato ed estremamente complesso. Occorre una revisione radicale delle strategie di sicurezza informatica e investigativa, che non possono limitarsi all’intensificazione delle attività di contrasto, ma devono essere orientate verso una maggiore cooperazione internazionale, un’armonizzazione normativa e una profonda integrazione fra competenze tecnologiche, investigative e giudiziarie.
[1] Un ransomware è un tipo di malware che limita l’accesso del dispositivo che infetta, richiedendo un riscatto da pagare per rimuovere la limitazione.
[2] Attacchi di questo tipo bloccano o rallentano il normale traffico dati di un sito lecito, rendendo impossibile lo svolgimento della normale attività.
*Mariarosaria Zamboi, ricercatrice Eurispes.
