Ci sono voluti quattro anni e la collaborazione di tecnici, Forze dell’Ordine e svariate procure per arrivare all’arresto di Carmelo Miano, classe 2000, che almeno dalla metà del 2021 si è stabilito nei cavedi delle infrastrutture più critiche dell’Internet nazionale.

Dalle imbarcazioni della guardia di finanza fino alle procure di tutto il Paese, l’informatico ha potuto spiare, leggere le email e scaricare i documenti che passavano per i segmenti di rete da lui sorvegliati.

Obiettivo principale: scoprire cosa sapessero gli investigatori su di lui, introverso informatico più incline a restare nell’eremo che si era costruito nella sua casa di Roma, piuttosto che godersi gli agi che pure si sarebbe potuto permettere.

Le sue tracce risalgono infatti fino ai mercati neri del dark web – rete informatica parallela e irraggiungibile senza le giuste conoscenze – dove Miano ha guadagnato milioni di euro in criptovalute. 

È proprio questa attività a far partire un’indagine sul suo conto nel 2020, quando la procura di Brescia rinviene indicazioni che portano gli inquirenti a sospettare che l’hacker possa essere collegato a un mercato illecito di droga e armi denominato Icarus Market.

Suo socio, sempre secondo le indagini condotte dalla procuratrice Erica Battaglia, è il vice-sovrintendente di polizia Ivano Impellizzeri, in servizio a Gela. Sono indagati anche il padre di Miano, Antonino, e la madre, Antonella Testoni.

Scatta probabilmente in quel momento l’illusione di poter fare qualcosa per contrastare le inchieste a loro carico e che porta Miano a subissare di tentativi di attacco la stessa guardia di finanza attraverso delle email di phishing, appena un mese dopo una perquisizione delle Fiamme gialle.

Accedi alla community di lettori MyIrpi

A furia di provare, una porta d’accesso sembra trovarla: secondo le ricostruzioni della procura, riesce a violare la rete satellitare fornita dalla società Telespazio (partecipata da Leonardo e dalla francese Thales) alla flotta aeronavale della guardia di finanza e collegata con la rete interna del corpo. 

Ma mentre la cronaca si concentra sugli esiti dell’attività di Miano, arrestato nella notte tra l’1 e il 2 ottobre per aver penetrato per anni nei sistemi del ministero della Giustizia, tenendolo di fatto sotto una spada di Damocle, dal passato riemerge il collegamento con le piazze dello spaccio digitali e in particolare con l’allora ben noto Berlusconi Market: una vicenda che si pensava chiusa ormai da tempo, con l’arresto dei suoi gestori. Ma evidentemente non lo era.

Tra i documenti che l’informatico cerca ossessivamente nei server della procura ci sono proprio quelli legati all’indagine che nel 2019 ha portato all’arresto dei responsabili di uno dei più floridi punti di vendita di stupefacenti, armi e documenti falsi della Rete, in un’operazione transnazionale che è arrivata a coinvolgere persino l’Fbi e l’Europol. Ma andiamo con ordine.

Dove attacca Miano

Tracce virtuali

L’8 giugno del 2023 un funzionario del Coordinamento interdistrettuale per i sistemi informativi automatizzati (Cisia) della procura di Palermo nota per la prima volta qualcosa di strano nel suo computer.

A ogni avvio viene automaticamente lanciato uno script – piccolo programma che dà delle istruzioni al computer – che raccoglie una moltitudine di informazioni: utenti connessi, cronologia del browser, password salvate su Chrome e Firefox, processi in esecuzione.

A una più attenta analisi, emerge che il piccolo software non era un comune malware scaricato per sbaglio da un funzionario disattento, bensì uno strumento di attacco distribuito dai sistemi centralizzati del ministero, con sede a Napoli, prendendo di mira soprattutto i computer dei funzionari del distretto di Gela.  

Di Gela è anche Carmelo Miano. Il giovane hacker vive a Roma e lavora per la Ntt Data, una delle più accreditate multinazionali della consulenza informatica. Tuttavia la sua indole non sembra essere quella del programmatore, quanto piuttosto del penetration tester: esperti di vulnerabilità e di potenziali errori di configurazione che impiegano il loro tempo a cercare di verificare la robustezza di un sistema informatico.

Chi lo fa per lavoro è autorizzato dal bersaglio; chi lo fa per attivismo, invece, generalmente produce dei report e informa la vittima di una vulnerabilità così che possa porvi rimedio.

Ma Miano non appartiene a nessuna delle due categorie. La sua specialità è di tenere per sé le porte che scopre essere aperte, così da usarle per crearsi un nido all’interno delle reti prese di mira.

Tuttavia, è difficile muoversi così a lungo in un sistema informatico senza lasciare alcuna traccia, soprattutto quando lo stesso script viene installato da remoto in ben 57 computer della procura di Gela. 

È proprio dalla segnalazione del Cisia che, stando alle carte giudiziarie, nasce l’indagine che ha portato al suo arresto. Le informazioni raccolte dal programma informatico venivano spedite direttamente a una cartella sotto il controllo dell’attaccante, nascosta dentro gli stessi archivi centrali della Direzione generale per i sistemi informatizzati (Dgsia) del ministero della Giustizia, a Napoli.

Non solo l’hacker ha avuto accesso a computer delle procure di Palermo, Gela, Roma e altre ancora, ma soprattutto ha stabilito la sua base nel cuore dell’infrastruttura che risiede a Napoli e da cui vengono smistati posta elettronica, documenti e fascicoli della massima segretezza.

Ma questo il ministero lo sa da ben prima di giugno del 2023.

Una convivenza difficile

È il 26 gennaio del 2022, circa un anno e mezzo prima della scoperta a Palermo, quando il personale del Cisia della sede di Napoli nota per la prima volta il comportamento anomalo di un server del ministero.

Si tratta di una virtual machine – un computer accessibile in remoto – in uso alla Cassazione che si scopre essere collegata alla macchina che gestisce accessi e credenziali della rete ministeriale. Non avrebbe dovuto.

Quest’ultimo è un server in capo al colosso informatico Microsoft, che fornisce il grosso dei servizi digitali dai quali dipende il ministero. Tra questi ci sono Teams per le videoconferenze e comunicazioni interne, Azure e Onedrive per il cloud e Windows Server Active Directory per la gestione di utenze, credenziali e sicurezza.

Secondo documenti inediti che IrpiMedia ha potuto consultare, alle 10:53 del mattino, non appena viene notato il comportamento sospetto, i tecnici del ministero inviano una mail al personale di Microsoft e ai funzionari che fanno da ponte con l’azienda per chiedere un accertamento.

La dipendenza del ministero dai sistemi della multinazionale è tale che proprio due anni prima, nel 2020, era stato disposto l’acquisto tramite procedura negoziata del pacchetto di supporto premium di Microsoft (importo massimo dell’assegnazione: 996 mila euro Iva inclusa), giudicandolo la migliore soluzione per garantire «un elevato livello di sicurezza» nonché «una garanzia di problem solving su tutti gli elementi Microsoft che costituiscono l’architettura del Sistema Giustizia».

La risposta non si fa attendere: nel primo pomeriggio il funzionario ministeriale rassicura i colleghi e spiega che «dalle prime analisi non ci sono elementi circa il traffico segnalato».

Dalla comunicazione si evince che i tecnici di Microsoft – sempre in copia negli scambi – si sono occupati del controllo e che addirittura il computer in uso alla Cassazione risulta «praticamente inutilizzato o addirittura spento». Solamente due settimane dopo un nuovo sollecito permette di acquisire l’intero contenuto del computer, che non solo non era spento ma era anche evidentemente compromesso, come rilevano i funzionari del ministero. 

Dall’analisi emerge che l’hacker aveva ottenuto il controllo di una delle utenze più importanti dell’infrastruttura: dcsysop, un account con permessi completi – detto anche “super-utente” – che gli avrebbe assicurato la possibilità di muoversi da un computer all’altro ma anche di creare altri utenti con privilegi speciali, «in modo da garantirsi persistenza completa nell’infrastruttura», spiega a IrpiMedia una fonte informata sui fatti.

È probabile che sia proprio questa la ragione per la quale il traffico anomalo non viene immediatamente rilevato: l’attaccante si era camuffato da utente legittimo e perciò poteva passare inosservato. 

Tuttavia la tensione è palpabile nelle sale computer del palazzo di Giustizia di Napoli. «Abbiamo immediatamente avuto la sensazione che la situazione fosse seria. Quando rilevi una compromissione a livello di sistema globale devi dare per scontato che l’attaccante può accedere a qualunque cosa», spiega sotto garanzia di anonimato un funzionario. Era precisamente questo il caso. 

Secondo fonti contattate da IrpiMedia, dal ministero non arriva però nemmeno la consueta – e obbligatoria – segnalazione al Garante per la protezione dei dati personali, che in caso di data breach dovrebbe essere inviata entro 72 ore.

Il ministero non ha risposto alle richieste di IrpiMedia in merito alla gestione dell’attacco informatico e delle attività intraprese per mitigarne l’impatto. 

Sostienici e partecipa a MyIrpi

Sia l’escalation tramite l’account dcsysop sia la creazione di un nuovo utente malevolo avvengono attraverso la rete Tor, sostanzialmente irrintracciabile e per questo comunemente inibita dai sistemi della pubblica amministrazione.

«È certo che il perimetro della rete fosse configurato in modo da inibire tali accessi, pertanto l’unica spiegazione che posso darmi è che sia stato l’hacker a creare un tunnel dall’interno verso l’esterno, con la capacità di lasciar entrare connessioni che sfruttano le reti anonimizzate», ipotizza il funzionario.

Contattata da IrpiMedia, Microsoft non ha risposto a una richiesta di commento.

Fonti a conoscenza dell’indagine riferiscono in ogni caso di come si sia immediatamente intervenuti per ricostruire le prime tracce dell’hacker. Queste portano a un computer della casa circondariale di Lecce, probabilmente utilizzato dagli avvocati per partecipare in remoto alle udienze di convalida dei fermi; un altro bersaglio sono i computer della procura di Brescia, dove l’intenso traffico suggerisce un’esfiltrazione di dati.

Finita l’analisi, nei primi mesi del 2022 si è provveduto a resettare le password e bonificare gli apparati informatici, nel convincimento che l’hacker fosse stato estromesso dai sistemi della giustizia. Da quel momento infatti non si verificano più attività informatiche sospette che possano indicare che l’hacker fosse ancora all’interno della rete.

È questo l’inizio della prima indagine interna che svela al ministero l’esistenza di un fantasma nelle sue infrastrutture. Uno evidentemente diverso dai soliti a cui ci hanno abituato le pubbliche amministrazioni italiane, troppo spesso vittime di attacchi brutali volti al pagamento di un riscatto per restituire l’accesso ai sistemi e ai dati dei cittadini.

Come ha detto il procuratore capo di Napoli, Nicola Gratteri, durante la conferenza stampa che ha dato notizia dell’arresto, Miano avrebbe potuto «bloccare tutto il sistema Giustizia». Ma non l’ha fatto.

Al contrario, dopo la prima scoperta l’attaccante sembra essere stato eradicato. Ma in verità è rimasto silente e in attesa, come detto, fino al 2023, quando la segnalazione del funzionario di Palermo riaccende il timore che l’infezione non fosse stata debellata, ma soltanto temporaneamente sopita.  

Hacker di terra e di mare

I primi passi della scalata di Miano verso il vertice informatico del ministero iniziano diversi anni fa.

L’intenzione di avere accesso ai sistemi della guardia di finanza nasce almeno nel 2020 quando, dopo una perquisizione, l’hacker cerca una via per accedere alla rete interna delle Fiamme Gialle.

In principio sono «mail di phishing e ripetuti tentativi di compromissione e danneggiamento», si legge nell’ordinanza di applicazione delle misure cautelari. E l’ipotesi è che siano questi tentativi a portare l’hacker a compromettere i sistemi satellitari di due imbarcazioni della guardia di finanza, forniti dalla società italiana Telespazio, e dai quali era possibile accedere alla rete interna del corpo.

Nel 2021, quando ormai il procedimento a carico di Impellizzeri e Miano per il riciclaggio dei proventi ottenuti con il market illegale nel dark web era già stato trasferito per competenza alla procura di Gela, il bersaglio su cui l’informatico riversa la sua attenzione diventa un altro: le infrastrutture di Tim e i suoi utenti. 

Secondo le stime della procura, tra il 4 e il 5 luglio 2021 Miano riesce a prelevare dai sistemi di Tim i dati di 23 milioni di utenti consumer, 2,5 milioni di utenti business e 11 milioni di utenti del sistema antifrode della società.

Le informazioni comprendono nome e cognome, email, codici fiscali, indirizzi di fatturazione, password (cifrate) e, per l’ultima categoria, addirittura le morosità. 

Per quanto possa sembrare un bersaglio fuori dai suoi interessi specifici, un simile archivio può rivelarsi un preziosissimo strumento per condurre nuovi attacchi. Secondo quanto scoperto dalle indagini, a partire dai dati contenuti nei database, le prime ricerche riguardano i funzionari di polizia giudiziaria che avevano condotto le indagini di Brescia e, ovviamente, la pm Erica Battaglia.

Le informazioni acquisite comprendono i dati personali e l’indirizzo di residenza delle persone cercate.  

Pochi giorni dopo, l’11 luglio, riesce invece a ottenere le credenziali di due tecnici di Noovle, società del gruppo Tim specializzata nel settore del cloud per le imprese. Una delle utenze compromesse è quella che si occupa specificamente di gestire la rete dedicata al ministero della Giustizia.

Grazie a quest’ultima, Miano ricerca e acquisisce 19 caselle di posta elettronica appartenenti a personale della magistratura delle procure di Brescia e di Gela oltre che del personale tecnico che gestisce da Napoli l’infrastruttura della giustizia nazionale.

Tra gli account compromessi compare anche quello della procuratrice di Brescia Erica Battaglia, titolare sia dell’indagine che riguarda Miano e Impellizzeri sia di quella sul Berlusconi Market.

I mercati nascosti della droga

Cercando Icarus Market sui social network non è difficile incappare in discussioni nelle quali gli utenti si chiedono che fine abbia fatto quel portale, accessibile solo tramite rete Tor, dal quale fino a quattro anni fa era possibile acquistare Mdma e piccole armi.

Secondo i frequentatori di quel mondo, probabilmente è stato chiuso al termine di una «exit-scam», ovvero quando chi gestisce una piattaforma online (come un mercato nero nel dark web o una piattaforma di investimento) chiude improvvisamente l’attività, fuggendo con i fondi degli utenti; per altri si è trattato solo di un problema temporaneo e la speranza è che presto torni online.

Tuttavia proprio l’indagine della procura di Brescia del 2020 – spostata per competenza a Gela l’anno successivo – suggeriva che Carmelo Miano e il poliziotto Ivano Impellizzeri potessero essere coinvolti nella sua gestione.

Nonostante il procedimento in corso, Impellizzeri è rimasto in servizio nel commissariato di Gela. È qui che, secondo gli investigatori, potrebbe aver avuto accesso a informazioni relative a indagini a suo carico.

Se così fosse, si spiegherebbe perché nel 2023 Miano sceglie di riemergere dal silenzio cibernetico nel quale si era nascosto dopo la prima scoperta della sua presenza. Ma non si tratta di una questione privata tra i due, bensì di un affare di famiglia.

Lo dimostrano le intercettazioni effettuate nella casa di Miano a Roma quando, durante una visita della famiglia da Gela, il giovane mostra al padre il contenuto di un’ordinanza di cui si vede chiaramente l’intestazione: «Tribunale di Gela – Ufficio giudice per le indagini preliminari».

Difficile pensare quindi che i genitori di Miano fossero all’oscuro di quanto stava avvenendo. Dopo aver letto il documento è lo stesso Antonino a chiamare l’amico di lunga data e poliziotto, Impellizzeri. Dopotutto, la posta in gioco è alta. Secondo quanto appreso dagli inquirenti, i mercati gestiti dai due avrebbero fruttato almeno cinque milioni di euro in criptovalute. 

Certamente non si tratta di spiccioli, ma nel mondo dei mercati illegali non è nemmeno una cifra astronomica. Lo sa bene Miano, che dedica parte delle sue attività a raccogliere informazioni sul ben più grande Berlusconi Market, chiuso in seguito all’arresto dei suoi gestori verso la fine del 2019. 

Considerato uno dei più importanti mercati neri online di quegli anni, il portale era gestito da degli italiani che si presentavano con i nomi di politici in voga, da Alfano a Putin, e rilasciavano interviste anonime; ma la natura delle loro pratiche era tutt’altro che caciarona.

Armi, droghe di ogni genere, precursori e servizi di hacking su commissione: il listino comprendeva ogni possibile bene o servizio illegale (con la rigorosa eccezione della pedopornografia). 

«Potevano arrivare a guadagnare anche 60 bitcoin in un giorno», rivela una fonte informata sui fatti a IrpiMedia. Facendo la media del valore di un bitcoin nel 2019, si parla di più di tre milioni di dollari a settimana.

Tuttavia, anche Impellizzeri e Miano avevano un debole per i nomi dei politici. Documenti inediti ottenuti da IrpiMedia dimostrano come il numero telefonico della ditta di Miano, la VirtSYS It Srls, sia collegato a un account sulla piattaforma di gioco online Steam.

L’utente si chiama “ducezelensky” e la memoria non può che andare all’account intestato a Vladimir Putin che stava dietro il Berlusconi Market.

Anche Ivano Impellizzeri risulta utilizzare nickname legati alla politica internazionale: dalle ricerche effettuate da IrpiMedia, il profilo Telegram dell’uomo risulta chiamarsi Donald Trump.

Contattati da questa testata, i legali difensori di Miano e Impellizzeri, rispettivamente Gioacchino Genchi e Giovanni Cannizzaro, non hanno voluto rilasciare dichiarazioni. 

Dall’indagine della procura, è certo che Miano conoscesse uno dei responsabili tecnici del Berlusconi Market, originario di Cagliari, e che da questi prendesse a noleggio un server privato. L’analisi di quello stesso server ha permesso ai tecnici del Centro nazionale anticrimine informatico (Cnaipic) della Polizia Postale di ricondurre a un unico autore l’attacco a Tim e quello al ministero della Giustizia, sebbene ancora non fosse nota la sua identità. 

Tuttavia non è chiaro per quale ragione il numero del procedimento che ha riguardato il Berlusconi Market ricorresse nelle ricerche di Miano, contestualmente a quelle che riguardavano le indagini a suo carico.

Almeno da giugno del 2021, quando per la prima volta prende il controllo di alcuni account del personale di Tim, Miano inizia a scandagliare le caselle di posta elettronica certificata dedicate al deposito e alla ricezione degli atti della procura di Brescia.

Ne scarica undici, tra il 16 agosto e il 23 settembre. Lo stesso giorno, in un forum su Internet frequentato principalmente da hacker e da venditori di credenziali, viene pubblicato il fascicolo d’indagine della procura di Brescia sul Berlusconi Market. Non si è mai scoperto chi l’abbia pubblicato. 

Le inchieste e gli eventi di IrpiMedia sono anche su WhatsApp. Clicca qui per iscriverti e restare sempre aggiornat*. Ricordati di scegliere “Iscriviti” e di attivare le notifiche.