Il racconto di una delle truffe informatiche meglio riuscite del clan Mazzarella arriva dalla Toscana, da Lucca. Una mattina del marzo 2024 un signore si presenta ai carabinieri e spiega come lo hanno ripulito di 48.500 euro. In mattinata aveva ricevuto dal numero verde Bnl una telefonata di un sedicente dipendente, che gli chiedeva se era lui l’autore di un bonifico di quell’importo, e in caso contrario di correre in filiale a bloccarlo. Poco dopo, altra telefonata da un numero riferibile alla polizia postale: un sedicente “ispettore De Angelis” gli confermava che stavano provando a derubarlo. Immaginate il panico dell’uomo mentre riceve una terza telefonata, stavolta dal cellulare del finto dipendente Bnl, che gli suggerisce come salvare i suoi risparmi: andare in filiale, non dire nulla al dipendente ‘vero’ (“potrebbe essere un complice”) e spostare i risparmi verso conti correnti sicuri di un’altra filiale a Montecatini, sulle coordinate Iban che gli avrebbe fornito con un messaggio. “Metta in causale che è per l’acquisto di un casolare, così non desta sospetti”. L’uomo aveva prima riscontrato i numeri di telefono dai quali aveva ricevuto le chiamate, e avendoli trovati corrispondenti a quelli della Bnl e della polizia postale, si è fidato ed ha obbedito. Si è accorto della truffa quando si è recato a Montecatini e ha scoperto che il direttore era ignaro di tutto. Benvenuti della nuova frontiera del business della camorra: le truffe informatiche seriali. Dietro le quali c’è un’organizzazione scientifica. Tossicodipendenti ingaggiati per aprire i conti correnti sui quali veicolare i proventi. Informatici capaci di aprire siti bancari simili in tutto e per tutto a quelli veri coi quali carpire le password e i dati sensibili delle vittime. Uso massiccio della tecnica dello spoofing, che camuffa il numero di telefono di provenienza della chiamata per renderlo uguale a quello di una banca. Finti sportelli bancari aperti in zone periferiche, coi quali spennare il disgraziato di turno. Su questo affarone ha investito le sue migliori risorse il clan Mazzarella, che intorno al giro di affari ha fatto e disfatto alleanze, dialogando coi Licciardi e ottenendone l’ingaggio di un hacker di 25 anni, un genio dell’informatica. E, se in passato, in questi tipi di frode ci cascavano solo persone anziane, deboli e poco istruite, e facili da circuire, stavolta il livello era così alto che poteva trarre in inganno professionisti e persone dotate di buone conoscenze informatiche. Ne sa qualcosa l’impiegata di banca Bnl che ci stava cascando e si è salvata solo grazie al tempestivo intervento dell’ufficio antifrode del suo istituto di credito. Quello vero. Perché i truffatori in qualche caso si presentavano come ispettori antifrode alle vittime. In altri casi come funzionari di banca, carabinieri, agenti della Postale. In questo modo l’associazione a delinquere ha colpito correntisti di Bnl, Credem, Poste Italiane e Banca Intesa. C’è chi si è visto svuotare il conto di poche centinaia di euro, chi di somme superiori a 50.000 euro. E dietro a questa macchina da guerra c’erano i capi del clan, Ciro e Michele Mazzarella, e il convivente di sua figlia, Gennaro Brusco, tre delle 12 persone arrestate all’alba al culmine di una indagine del Nucleo investigativo dei carabinieri di Napoli, agli ordini del tenente colonnello Antonio Bagarolo e del generale Biagio Storniolo, con il coordinamento del procuratore aggiunto Sergio Amato. Sedici le misure cautelari eseguite. Il procuratore Nicola Gratteri ha sottolineato l’importanza di informare sull’esito di inchieste come questa, in modo da tenere all’erta le potenziali vittime. Ed infatti i truffatori ne erano frustrati, come dimostra il lamento captato in un’intercettazione: “Queste campagne di sensibilizzazione ci stanno penalizzando”. L’organizzazione colpiva in Italia e anche in Spagna, tra Madrid e Barcellona. Dall’inchiesta sono emerse le due modalità utilizzate dai truffatori, che hanno consentito di svuotare i conti correnti di una sessantina di vittime. La prima prevedeva la sottrazione delle carte bancomat, anche dal centro di smistamento Milano, e poi dei documenti delle vittime. Con una mail simile a quella della banca, inviata al titolare del conto corrente, lo si induceva a cambiare il pin e a questo punto il gioco era fatto. Gli hacker, che lavoravano esattamente negli stessi orari dei dipendenti bancari, eseguivano lo spostamento di denaro verso i loro conti. La seconda era invece più sofisticata ed è quella raccontata all’inizio. I telefonisti dei Mazzarella riuscivano, anche simulando gli accenti come quello milanese, a sapere prima quanto c’era sul conto corrente: se la cifra era cospicua, la telefonata andava avanti. Se si trattava di quale migliaio di euro si interrompeva. “Le mafie sono contemporanee, e lo è anche la camorra che ho visto molto evoluta nell’ambito informatico e nel dark web, sono una criminalità capace di commettere reati attraverso la tecnologia – ha detto Gratteri – Nella Procura di Napoli c’à una sezione specializzata in reati informatici che con Polizia, Carabinieri e Guardia di Finanza riescono a fare questo tipo di indagine e scoprono continuamente nuovi modi per commettere questa tipologia di reati. Noi cerchiamo di stare al passo e i miei colleghi, con le forze dell’ordine, oggi i carabinieri, sono riusciti a dimostrare reati che era difficile dimostrare”. L'articolo Numeri verdi fasulli e finti poliziotti per svuotare i conti: ecco le truffe informatiche del clan Mazzarella proviene da Il Fatto Quotidiano.

Le conseguenze distruttive non sono paragonabili ai missili, ma gli attacchi cyber dell’Iran possono far male ai paesi del Golfo e all’Occidente. Martedì la multinazionale americana dei dispositivi medici, Stryker, è stata colpita da un attacco informatico rivendicato sulla piattaforma Telegram dal gruppo iraniano Handala. Nei primi 7 giorni dall’inizio del conflitto, con i raid usa e di Israele del 28 febbraio, criminali vicini a Teheran hanno rivendicato oltre 600 attacchi cyber in 11 paesi. Nel mirino le infrastrutture critiche e i servizi essenziali, secondo un rapporto firmato dall’azienda di sicurezza informatica Maticmind. La strategia è all’insegna del detto persiano “Jang o Ashub”, guerra e caos: gli attacchi hacker non sconfiggeranno Washington e Tel Aviv, ma possono avvicinare “l’avversario al tavolo delle trattative, trasformando l’instabilità in costo economico” e pressione psicologica sull’opinione pubblica. Del resto, il prezzo più salato della guerra ibrida lo paga la società civile, non gli eserciti lungo il fronte. ATTACCO CONTRO LA MULTINAZIONALE USA DEI DISPOSITIVI MEDICI: “RAPPRESAGLIA PER LE BOMBE SULLA SCUOLA DI MINAB” Martedì migliaia di lavoratori del colosso Strycker non sono riusciti ad attivare smartphone e computer portatili aziendali. Il gigante dei dispositivi e servizi medici con sede nel Michigan conta 56 mila dipendenti, filiali in 61 Paesi inclusa l’Italia. In un documento depositato alla Sec (Securities and Exchange Commission, l’ente per la vigilanza sui mercati azionari) ha denunciato interruzioni e limitazioni dell’accesso ai sistemi informatici, ma i tempi per il ritorno alla normalità non sono noti. Nessun ransomware, il virus “maligno” in grado bloccare i dati fino al pagamento di un riscatto: la prova di un attacco politico, non a scopo di lucro. Handala, il gruppo criminale filo iraniano, aveva già firmato attacchi contro Israele e Paesi occidentali. Sulla piattaforma Telegram ha giustificato l’ultimo colpo come una rappresaglia per le bombe sganciate sulla scuola femminile di Minab nell’Iran meridionale, con almeno 150 morti secondo fonti locali. Gli autori del raid potrebbero essere americani, stando a Reuters e New York Times: la causa dell’errore, secondo fonti dell’agenzia londinese, potrebbe risiedere nell’utilizzo di dati vecchi. Handala lavorerebbe all’ombra dei servizi segreti iraniani, secondo l’esperto informatico israeliano Gil Messing interpellato da Reuters: “Il fatto che si assumano pubblicamente la responsabilità di questo attacco e che sappiano di essere legati al governo, mostra una nuova fase nelle motivazioni dell’Iran”. L’escalation è già in corso. Nel mirino di Teheran sono già entrati gli uffici e le infrastrutture dei colossi tecnologici americani, ma anche gli istituti di credito. L’11 marzo l’Iran ha minacciato “banche e centri economici”, come ritorsione per gli attacchi di Usa e Israele. “La popolazione della regione non dovrebbe rimanere entro un raggio di un chilometro dalle banche”, hanno avvisato i militari. Ma non è detto che a colpire saranno i missili, come quelli piovuti sui data center di Amazon, mentre crescono i timori per gli attacchi cyber. IL REPORT: “PRIMA DEL SABOTAGGIO, LA PRIORITÀ È LO SPIONAGGIO” In sette giorni dopo lo scoppio del conflitto sono state registrate oltre 600 rivendicazioni di attacchi hacker da parte dei gruppi vicini all’Iran, secondo il rapporto “Iran cyber operations: efficacia limiti e implicazioni”. La ricerca, pubblicata il 12 marzo, è firmata dall’azienda di sicurezza informatica Maticmind. Le conseguenze sono tutt’altro che devastanti e neppure comparabili agli effetti dei missili, che hanno distrutto tre data center di Amazon in Bahrein e negli Emirati, mandando in tilt i pagamenti elettronici di milioni di persone. La guerra ibrida di Teheran ha “prodotto effetti tattici documentati” su “impianti idrici”, oppure disorientando la navigazione marittima basata sui satelliti con la tecnica dello “spoofing”. Tuttavia, “non hanno mai raggiunto la soglia di impatto strategico necessaria a modificare equilibri militari”. Certo, con la connessione internet crollata al 4%, organizzare attacchi hacker dai confini iraniani non è semplice. Nuocciono le sanzioni, che hanno tolto dal mercato strumenti hardware e software più avanzati. Infatti, attorno a Teheran ruota una galassia di oltre 60 gruppi affiliati e hacktivisti esterni. La minaccia non sarebbe da sottovalutare: “Per le organizzazioni europee, il messaggio è chiaro – leggiamo nel rapporto – il rischio primario non è il blackout immediato, ma lo spionaggio persistente”. Non l’attacco spettacolare e dirompente, bensì il furto silenzioso delle informazioni riservate: gruppi filoiraniani come “APT33, APT34 e MuddyWater mantengono accessi persistenti in reti governative, difesa e infrastrutture critiche di decine di Paesi”. In Europa nel mirino c’è il settore marittimo, l’energia, la difesa, le pubbliche amministrazioni. La minaccia incombente e il furto dei dati strategici e per la sicurezza nazionale, “ma la componente disruptiva è operativamente attiva”. Ovvero, non si esclude il sabotaggio, con la società civile prima vittima. IL PREZZO DELLA GUERRA CYBER PER LA SOCIETÀ CIVILE Michele Colajanni, docente di sicurezza informatica all’Università di Bologna, è convinto che l’evoluzione dei conflitti verso la dimensione cyber metta sempre più a rischio i cittadini nelle retrovie, distanti dal fronte. “E’ la netta tendenza in corso, dalla guerra in Ucraina a quella in Iran”, dice l’esperto a ilfattoquotidiano.it. Per l’ateneo emiliano sta scrivendo paper scientifici sull’argomento, in fase di revisione e prossimi alla pubblicazione. Nel mirino ci sono sempre i servizi essenziali e le organizzazioni che li gestiscono: energia elettrica, acqua, pubbliche amministrazioni, soprattutto la sanità. Ma il rischio maggiore forse è “l’assenza di consapevolezza: pensiamo di non essere in guerra invece siamo tutti coinvolti”. I confini tra le forze armate e la società civile sono sempre più sfumati. Basta pensare alle multinazionali tecnologiche: essenziali per vincere le guerre, ma anche per la vita quotidiana. Così diventano un bersaglio: qualora fossero colpite, le ripercussioni cadrebbero sulla società civile. Come insegnano i missili sui data center di Amazon. L'articolo Hacker filo iraniani rivendicano attacco contro Stryker, colosso Usa dei dispositivi medici. “Rappresaglia per i morti alla scuola di Minab” proviene da Il Fatto Quotidiano.

Sospesa l’estradizione negli Stati Uniti dell’hacker kazako Roman Yuryevich Khlynovskiy. Il Tribunale amministrativo del Lazio ha accolto il ricorso congelando il decreto del ministro della Giustizia firmato il 17 febbraio, per trasferire l’imputato dal carcere di Ferrara consegnandolo alle autorità Usa. Il 17 dicembre 2025 la Corte di appello di Bologna aveva dato il proprio assenso all’estradizione. L’uomo, 43 anni, è accusato di far parte di una gang di criminali informatici. Il gruppo avrebbe paralizzato per tre giorni alcuni ospedali americani, cessando gli attacchi dopo aver intascato pagamenti per centinaia milioni di euro. Oltre ai soldi, nella refurtiva ci sarebbero anche i dati sensibili di politici statunitensi. “Mi risulta che sia successo solo quattro volte nella storia repubblicana che il decreto di estradizione di un ministro fosse sospeso dai giudici amministrativi, non reperisco altri casi giurisprudenziali”, ha commentato l’avvocato Alexandro Maria Tirelli, difensore di Khlynovskiy insieme alla legale Francesca Monticone. Tirelli aveva presentato il ricorso contro l’estradizione chiedendo che “venga accertato, con strumenti adeguati da parte dei competenti reparti in materia di intelligence e sicurezza nazionale, se le competenze di Khlynovskiy possano avere rilievo per lo Stato italiano”. Contattato da ilfattoquotidiano.it, l’avvocato dice che “nessuna autorità ha raccolto, fino ad ora, il suo appello”. Storie di cybercriminali che hanno compiuto il salto della barricata, collaborando con le aziende e forze dell’ordine, ce ne sono. Ilfattoquotidiano.it aveva raccontato il caso del russo Dmitry Smilyanets, ex fan di Putin e ora al servizio della sicurezza informatica a stelle e strisce. Secondo l’avvocato Tirelli, sarebbero proprio gli americani a premere per l’estradizione: “Alcuni segnali lasciano intuire il messaggio delle autorità statunitensi a quelle italiane: ‘non ostacolate la consegna di Khlynovskiy'”. Il legale, tuttavia, spera almeno in una valutazione: “Un paese sovrano dovrebbe verificare se le abilità del mio assistito possano contribuire alla sicurezza informatica del Paese, mi aspetto e spero che ciò avvenga”. Anche la moglie di Khlynovskiy di recente si era rivolta al ministro Carlo Nordio invocando lo stop all’estradizione e la possibilità di restare in Italia, per mettere le abilità di hacker al servizio della sicurezza informatica del Paese. La stessa richiesta era giunta anche dalla difesa. “La mancata estradizione potrebbe consentire allo Stato italiano di acquisire informazioni e competenze strategiche in materia di sicurezza informatica”, aveva dichiarato l’avvocato Alexandro Maria Tirelli. Il Tar ha concesso 90 giorni per depositare l’eventuale richiesta di annullamento del decreto ministeriale, prima di emettere una decisione definitiva nel merito dell’estradizione. L’uomo è considerato pericoloso dall’Fbi. Secondo gli inquirenti americani avrebbe sottratto dati sensibili e immagini di pazienti, tra cui funzionari governativi, volti dello spettacolo e altri personaggi pubblici, per poi chiedere riscatti milionari. Khlynovskiy è stato arrestato la scorsa estate in esecuzione di un mandato del Dipartimento della Giustizia emesso il 29 Luglio 2025. Vive in Ucraina ma era venuto in Italia per motivi di salute con moglie e figlio minorenne. Questi ultimi godono della protezione temporanea per la guerra in corso. Khlynovskiy invece ha presentato richiesta d’asilo ed è in attesa del verdetto al Tribunale di Bologna. L'articolo Sospesa l’estradizione negli Usa dell’hacker kazako. “Un Paese sovrano dovrebbe valutare se le sue abilità servono allo Stato italiano” proviene da Il Fatto Quotidiano.

La certezza, sui dati rubati dei 5mila agenti Digos da parte di hacker cinesi, per ora è il movente: sapere dove si trovano i dissidenti di Pechino, ma anche chi sono gli addetti della pubblica sicurezza incaricati di proteggerli. “Gli attacchi erano finalizzati a tentare di localizzare i cittadini cinesi dissidenti presenti nel territorio italiano e ad identificare i poliziotti delle Digos impegnati nelle attività investigative nei confronti dei gruppi cinesi operanti in Italia”, scrive in una nota il Dipartimento di pubblica sicurezza del ministero degli Interni. Per fortuna, “non risultano essere stati esfiltrati dati attinenti a elementi sensibili su attività operative”. Ovvero, sarebbero al sicuro le informazioni contenute nel fascicolo delle indagini della procura di Prato, sulla criminalità di origine cinese. Tuttavia, Lirio Abbate su Repubblica conferma (senza smentita) come i dati degli agenti siano effettivamente nelle mani di delinquenti cyber. Che gli autori del colpo provengano dal paese del Dragone, lo sottoscrive anche il Viminale citando “attacchi informatici di matrice cinese“. Si tratterebbe di spionaggio, non di sabotaggio contro i sistemi informatici del ministero dell’Interno. LOCALIZZARE I DISSIDENTI: AGENTI E ATTIVISTI A RISCHIO Rubare i dati sull’identità degli agenti Digos servirebbe a “localizzare” dissidenti e attivisti cinesi in Italia, in fuga dal governo autoritario di Xi Jinping. Tracciare una mappa dei loro spostamenti, grazie alle informazioni esfiltrate dai database del Viminale. “Per localizzare i dissidenti non penso sia sufficiente conoscere l’identità degli agenti e i loro dati anagrafici, entrerebbero in gioco anche altri dati sensibili“, dice a ilfattoquotidiano.it Michele Colajanni, docente di sicurezza informatica all’università di Bologna. “Ad esempio la localizzazione degli agenti, gli orari dei loro turni”, prosegue l’esperto: “I rischi potrebbero correrli i dissidenti cinesi, che sono come i pentiti di mafia, e anche gli agenti che li proteggono”. Questi ultimi sarebbero stati avvisati dalle autorità di sicurezza, appena scoperto il furto dei dati, prima della riunione alla procura di Prato del 25 novembre. LE INDAGINI DI PRATO SULLA CRIMINALITÀ CINESE Quel giorno, negli uffici dei magistrati toscani arriva una delegazione di Pechino guidata dall’assistente del ministro della Pubblica sicurezza, Zhongyi Liu. Lo scopo è concordare una strategia di collaborazione degli uffici giudiziari tra Italia e Pechino. In Toscana, soprattutto a Prato, la criminalità cinese è da tempo entrata nel mirino delle toghe. Fondamentale, dunque, la collaborazione delle autorità cinesi. La prima risposta ad una rogatoria italiana è giunta proprio a Prato il 5 maggio scorso. Repubblica rivela un dettaglio contenuto nel documento: dopo un tentato omicidio a Prato, funzionari dell’ambasciata cinese avrebbero condotto indagini parallele; secondo la vittima e il fratello, “quei funzionari avrebbero segnalato i mandanti alle autorità cinesi per impedirne il rientro in Italia”. È quanto hanno dichiarato in procura, secondo la testata. Alla procura di Prato sono giunte oltre cento denunce dei lavoratori cinesi in Italia, mentre alcuni iniziano a collaborare con gli inquirenti. L'articolo Hacker cinesi negli archivi del Viminale per localizzare i dissidenti di Pechino. “Rischi per loro e per gli agenti che li proteggono” proviene da Il Fatto Quotidiano.

I dati di 5mila agenti della Digos nelle mani degli hacker cinesi grazie a un’accesso abusivo ai sistemi digitali del ministero degli Interni. Nessun sabotaggio, solo il furto delle informazioni. Agli hacker interessavano i nomi, gli incarichi e le sedi operative degli agenti impegnati in attività sensibili: come l’antiterrorismo e i controlli sulle comunità straniere, ma anche “il tracciamento dei dissidenti di Pechino rifugiati nel nostro Paese”. Lo rivela un articolo di Repubblica. L’accesso ai dati informatici sarebbe avvenuto tra il 2024 e il 2025, bucando “la rete del ministero dell’Interno” e scaricando “dati riservati sul personale in servizio nelle varie questure italiane”. A condurre il colpo sarebbero stati i criminali informatici vicini al governo di Pechino. Ma nei reati digitali – la cosiddetta guerra ibrida – le prove di reato sono rarissime. Al Viminale si accorgono del furto dei dati proprio mentre si stringono le maglie della cooperazione giudiziaria tra Roma e Pechino. Già il ministro Piantedosi aveva preparato il terreno nel 2024 incontrando nella capitale cinese l’omologo Wang Xiaohon. La procura di Prato, che indaga sulla criminalità di matrice cinese, ha proseguito il lavoro battezzando la prima risposta del Dragone ad una rogatoria italiana. Il 25 novembre si svolge un incontro negli uffici della magistratura toscana: il pm Luca Tescaroli incontra una delegazione guidata dall’assistente del ministro della Pubblica sicurezza Zhongyi Liu. Ma durante i colloqui di Prato, a Roma sorge il sospetto che i cinesi sappiano troppo, e sale l’allarme sull’intrusione abusiva ai dati del Viminale. Ma le autorità cinesi non avrebbero fornito spiegazioni alle forze di sicurezza italiane. Risultato: l’incontro di Prato si interrompe, ricostruisce Repubblica, insieme alla cooperazione giudiziaria tra Roma e Pechino. L'articolo Hacker cinesi “bucano” il ministero degli Interni: “Rubati i dati di 5mila agenti Digos” proviene da Il Fatto Quotidiano.

Attaccava ospedali e operatori sanitari con ripetuti attacchi informatici, per poi chiedere riscatti da milioni di dollari per non diffondere le fotografie riservate dei pazienti e rivelare le loro malattie. Roman Khlynovskiy, cittadino kazako di 42 anni, è stato arrestato lo scorso 30 luglio a Rimini. Pendeva su di lui un mandato di cattura internazionale, spiccato due giorni prima dal Tribunale per il distretto est del Tennessee, negli Stati Uniti. Le accuse sono di associazione a delinquere finalizzata alla frode telematica, di furto d’identità, di riciclaggio di denaro, oltre a estorsione informatica e minacce di divulgazione di immagini intime non consensuali. La moglie dell’hacker si è appellata al ministro della Giustizia Carlo Nordio, chiedendo di non concedere agli Usa l’estradizione: “Le sue competenze, se impiegate in un quadro legale e trasparente, potrebbero contribuire a una migliore comprensione e prevenzione di fenomeni tecnologici complessi, legati alla cybersicurezza, alla protezione delle infrastrutture e agli interessi nazionali”. Tuttavia il 20 agosto il Gran Giurì ha rinviato a giudizio Khlynovskiy, rendendo sempre più imminente la sua estradizione verso gli Usa. Nell’appello fatto dalla moglie Olena si chiede “che venga esaminata con attenzione e responsabilità la possibilità di non estradare Roman”. La donna aggiunge di essere “consapevole delle complesse conseguenze umanitarie, giuridiche e geopolitiche che una simile decisione comporta. Mio marito non è un criminale violento e non rappresenta una minaccia per la società. – e aggiunge – Ritengo legittimo domandarsi se la sua permanenza in Italia non possa costituire una soluzione più equilibrata e, al contempo, più utile per lo Stato stesso. Roman ha sempre espresso la disponibilità a collaborare con le istituzioni, mettendo a disposizione la propria esperienza e le proprie conoscenze”. Alexandro Maria Tirelli, avvocato della difesa, ha dichiarato: “Siamo pronti a ogni rimedio, incluso il ricorso al Tar del Lazio, ma riteniamo doveroso investire il ministro Nordio della possibilità di esercitare le sue prerogative. La mancata estradizione potrebbe infatti consentire allo Stato italiano di acquisire informazioni e competenze strategiche in materia di sicurezza informatica, in un contesto segnato da gravi attacchi hacker contro infrastrutture sensibili. Per questo chiederemo che Roman venga quantomeno ascoltato dalle autorità competenti, affinché sia valutato l’interesse pubblico e la sicurezza nazionale prima di una decisione definitiva”. Khlynovskiy, secondo l’indagine dell’Fbi, faceva parte dell'”8-Digits Team“, così definita per i riscatti che richiedeva, mai inferiori alle otto cifre. I raid si sarebbero tenuti da ottobre 2021 a luglio 2025. La banda si sarebbe impossessata delle credenziali di accesso di un dipendente dell’ospedale del Kentucky e da qui sarebbe risalita ai sistemi informatici di una società di software statunitense, accendendo ai dati relativi a oltre 100 ospedali e fornitori di assistenza sanitaria e a 70 milioni di cartelle cliniche. Il riscatto, richiesto per non pubblicare le informazioni online, ammontava a 500 milioni di dollari. Il 13 aprile scorso “8-Digits Team” ha lanciato un avvertimento: “Stiamo filtrando tutti i dati in nostro possesso, al fine di creare un elenco delle 500 persone più influenti, potenti e famose. Questo includerà atleti di alto livello, musicisti, artisti, funzionari governativi di alto rango, militari, ecc.”. La lista, inviata quattro giorni dopo la minaccia, conteneva 6mila nomi di vip e il 27 giugno il gestore del software violato ha pagato 3 milioni di dollari. Altri 5 milioni li ha pagati un ospedale in California affinché cancellasse i dati sanitari dei suoi pazienti. L'articolo Il super-hacker Khlynovskiy “tenta” l’Italia: “Non estradatemi negli Usa, potrei aiutarvi sulla cybersicurezza” proviene da Il Fatto Quotidiano.

Sono stati gli hacker filorussi del gruppo Noname057(16) a rivendicare e motivare il cyberattacco contro alcune sedi diplomatiche italiane e siti legati alle Olimpiadi invernali di Milano-Cortina. La rivendicazione ha riportato al centro dell’attenzione il tema delle “intromissioni” esterne, denunciato nei giorni scorsi dal ministro degli Esteri Antonio Tajani, che aveva parlato di azioni ostili prontamente sventate. Secondo quanto riferito dalla Farnesina, gli attacchi informatici hanno colpito sedi del ministero degli Esteri, a partire dall’ambasciata italiana a Washington, e alcuni siti riconducibili alle Olimpiadi invernali, inclusi portali di alberghi a Cortina. Gli episodi si inseriscono in un contesto di crescente pressione cibernetica attribuita ad attori filorussi, attivi su obiettivi istituzionali e infrastrutture simboliche. Nel ribadire la posizione dell’Italia, la Farnesina ha chiarito che “l’Italia non ha alcun pregiudizio contro la Russia, non è in guerra con la Russia”, ma condanna fermamente “la violazione del diritto internazionale prodotta dall’invasione dell’Ucraina”. Una guerra che, sottolinea il ministero, la Russia continua a portare avanti “uccidendo cittadini ucraini e distruggendo installazioni elettriche, ospedali e strutture civili”. L’Italia, viene aggiunto, sostiene tutte le iniziative di pace promosse dagli Stati Uniti e rivolge “un appello alle autorità russe a negoziare con spirito costruttivo al tavolo delle trattative”. Alle accuse di Tajani ha replicato duramente Mosca. La Russia ha definito “calunnie” le dichiarazioni del ministro degli Esteri italiano sui cyberattacchi di matrice russa. “Se tali dichiarazioni vengono fatte senza prove, sono definite calunnie”, ha affermato all’agenzia Ria Novosti la portavoce del ministero degli Esteri russo, Maria Zakharova, respingendo ogni responsabilità di Mosca negli attacchi denunciati. La presa di posizione della Farnesina arriva anche in risposta alle accuse di “pregiudizi” mosse dall’ambasciata russa, che sui social ha adottato un tono apertamente canzonatorio. Nel messaggio si ironizzava sul fatto che la Russia venga indicata come responsabile “sempre e di tutto”, arrivando a citare, tra le provocazioni, lo scioglimento dei ghiacciai sulle Alpi, il maltempo in Sicilia, le malattie dei pini romani, il calo dei pesci spada nel Mediterraneo e persino “le zanzare italiane incattivite”. Una presa in giro che il ministero degli Esteri non ha accettato, sottolineando come l’attribuzione degli attacchi non sia frutto di pregiudizi, ma della rivendicazione diretta degli stessi hacker. Il gruppo Noname057(16) è attivo dal 2022 ed è già da tempo sotto osservazione da parte delle autorità europee: Europol ed Eurojust, nel luglio 2025, hanno emesso sei mandati di arresto nei confronti di membri ritenuti coinvolti nelle attività del collettivo. L'articolo Attacchi hacker ad ambasciate e siti Olimpiadi, scontro tra Roma e Mosca: “Rivendicati da Noname057(16)”, “Calunnie” proviene da Il Fatto Quotidiano.

Per fortuna la vita offline prosegue regolarmente, all’Università La Sapienza di Roma, dopo l’attacco informatico denunciato dall’ateneo il 2 febbraio 2026. La certezza è la matrice filo-russa: il grande dubbio è sulla quantità e qualità dei dati rubati. Per le risposte servirà tempo. Intanto gli esami in aula si svolgono senza intoppi, mentre i sistemi informatici sono ancora fuori uso, con gli esperti dell’Agenzia per la cybersicurezza nazionale al lavoro per ripristinarli. Ci vorrà qualche giorno. Intanto la procura di Roma ha aperto un’indagine: l’ipotesi di reato potrebbe essere l’accesso abusivo ai sistemi informatici, ma neppure l’estorsione si può escludere. Perché l’attacco informatico è giunto con un ransomware: un virus con lo scopo di bloccare l’accesso ai dati dal computer, oscurandoli con una codifica crittografica. L’unico modo per riavere i dati è pagare un riscatto: il ransomware è l’evoluzione dell’estorsione nel nuovo mondo digitale. L’ESPERTO: “NEL DARK WEB NESSUNA RIVENDICAZIONE E NESSUN DATO DELL’UNIVERSITÀ” La richiesta di riscatto generalmente approda sul dark web, ma non nel caso dell’università capitolina. “Scandagliandolo non vi è traccia, manca la rivendicazione e neppure un dato dell’università sembra essere stato ancora pubblicato”, dice a ilfattoquotidiano.it Marco Lucchina, esperto di sicurezza informatica della società Cynet. “O la rivendicazione non è mai stata pubblicata, oppure solo per poco tempo e ripresa da pochissimi utenti”, prosegue l’addetto ai lavori. In casi analoghi le ipotesi sono due: “Il riscatto in denaro è stato pagato subito, oppure qualcosa è andato storto ai criminali e il furto dei dati è stato solo parziale”. Lucchina tende a dubita della prima opzione: “onestamente tenderei ad escludere la seconda opzione, trattandosi di un ente pubblico”. Dunque i criminali potrebbero non essere riusciti a mettere le mani su tutti i dati dell’Università. Le sicurezza sono nelle peculiarità dell’attacco informatico. L’autore è il gruppo Femwar02, una gang poco nota. Ha colpito in Francia e Germania, mai la Russia e i Paesi russofoni: ecco perché, secondo gli inquirenti, i criminali sono amici del Cremlino. Anche il software malevolo è diverso: ad infettare i sistemi universitari è stato il ransomware Bablock. Chi lo utilizza non rivendica i suoi crimini sui “Data leak site” del dark web, ovvero i siti con l’annuncio di informazioni rubate. Al contrario, i criminali di Bablock prediligono inviare una mail alla vittima, sostiene un rapporto firmato Group-Ib nel 2023. IL RANSOMWARE NOTICE: “CIAO, SE STAI LEGGENDO SEI STATO HACKERATO” Su internet è reperibile il cosiddetto “ransomware notice” destinato alla Sapienza: cioè la richiesta del riscatto che appare sul pc infettato dopo aver crittografato i dati. Di solito rimanda ad un file con le istruzione per il pagamento: ma cliccando sul documento parte il countdown per avere i soldi con la minaccia di pubblicare tutti i dati; generalmente, una parte delle informazioni viene pubblicata all’istante nel darkweb. Ma alla Sapienza nessuno ha cliccato, rassicurano fonti con gli occhi sul dossier. In tal caso, il conto alla rovescia sarebbe stato di 72 ore. Ecco l’incipit del “ransomware notice”: “Ciao, se stai leggendo questo messaggio significa che sei stato hackerato. Oltre a crittografare tutti i tuoi sistemi ed eliminare i backup, abbiamo anche scaricato le tue informazioni riservate”. Il messaggio prosegue intimando alla vittima cosa non fare: “Contattare la polizia, l’FBI o altre autorità”. Infine la minaccia: “Se non paghi il riscatto, attaccheremo di nuovo in futuro”. IL VIRUS BABLOCK, CHE NON COLPISCE IN RUSSIA Il virus BabLock è stato scoperto per la prima volta dai ricercatori di Group-IB nel gennaio 2023. I criminali che lo utilizzano, oltre ad evitare comunicazioni sul ark web, di solito avanzano richieste modeste per il settore, da 50 mila doallari fino a 1 milione, per consentire al “gruppo di operare in modo furtivo e di rimanere al di fuori del radar dei ricercatori di sicurezza informatica”. Il virus malevolo è stato utilizzato almeno da giugno 2022, secondo Group-Ib. Oltre all’Europa avrebbe colpito Asia e Medio Oriente. Salvi invece la Russia e i Paesi satelliti. L'articolo Attacco hacker alla Sapienza, rischio dati pubblicati nel dark web. L’esperto: “Per ora non si trova nulla, neppure la richiesta di riscatto” proviene da Il Fatto Quotidiano.

Una serie di cyberattacchi ai portali delle sedi del ministero degli Esteri, compresa quella di Washington, e ad alcuni siti delle Olimpiadi invernali, anche agli alberghi di Cortina, è stata sventata. La mano dietro i tentativi? Il vicepremier e ministro degli Esteri, Antonio Tajani, non ha dubbi: “Si tratta di azioni di matrice russa”. Ad alcuni giorni dall’attacco informatico che ha bucato il sito dell’Università La Sapienza di Roma, mettendo sotto scacco il funzionamento di numerosi rami dell’ateneo, il capo della Farnesina svela che siti istituzionali sono nuovamente finiti nel mirino di una banda di cyber-pirati in quello che, nella narrazione di Tajani, pare un tentativo di guerra ibrida alla vigilia dei Giochi invernali Milano-Cortina, al via venerdì 6 febbraio con la cerimonia di inaugurazione. I cyberattacchi, ha sottolineato il ministro, sono stati sventati “grazie anche al lavoro che ha fatto la nostra direzione generale con la riforma del ministero degli Esteri”. La sicurezza cibernetica “diventa fondamentale, quindi sono molto soddisfatto”, ha proseguito specificando che “naturalmente abbiamo avvisato tutte le altre autorità”. Non è escluso che i tentativi fatti nei confronti delle sedi del ministero degli Esteri sia stati fatti dalla stessa mano artefice dell’attacco a La Sapienza, il cui sito è stato bucato con un ransomware, un programma malevolo in grado di rendere inaccessibili i dati sui computer, oscurandoli con una chiave crittografica. Se il proprietario vuole riavere i dati, deve pagare un riscatto, generalmente in criptovalute. Sulla vicenda la procura di Roma ha aperto un’inchiesta ipotizzando il reato di accesso abusivo ai sistemi informatici. L'articolo Tajani: “Sventati cyberattacchi russi ai siti di Milano-Cortina e alle sedi all’estero della Farnesina” proviene da Il Fatto Quotidiano.

La procura di Roma aprirà un fascicolo per accesso abusivo ai sistemi informatici dopo l’attacco informatico contro i sistemi e gli archivi digitali dell’università La Sapienza di Roma. Gli inquirenti attendono un’informativa degli investigatori, mentre la Polizia postale è a caccia di indizi per ricostruire il colpo. Intanto, il sito pubblico dell’università è inaccessibile e i sistemi informatici interni sono bloccati (per garantire l’integrità e la sicurezza dei dati) paralizzando il lavoro amministrativo. Fonti qualificate attribuiscono l’intrusione a gruppi filo russi, senza specificare il nome del collettivo di cyber criminali. L’Italia è stata già nel mirino di pirati informatici riuniti sotto la sigla NoName, come ritorsione per la posizione a sostegno dell’Ucraina. L’attacco (denunciato ieri) è andato in porto grazie ad un ransomware, un programma malevolo in grado di rendere inaccessibili i dati sui computer, oscurandoli con una chiave crittografica. Se il proprietario vuole riavere i dati, deve pagare un riscatto, generalmente in criptovalute. Un’estorsione in formato digitale: così funziona il ransomware. A quanto ammonta la richiesta di denaro inoltrata alla Sapienza non si sa. La buona notizia è che l’ateneo romano aveva dei backup, copie di dati del sistema scollegate da internet: quelle sono salve e consentono ai tecnici di “bonificare” i sistemi. Tecnicamente, per riavere i dati, l’università dovrebbe aprire un link inviato dai criminali: giungerebbero ad una pagina nel dark web con la richiesta del riscatto. Da quel momento, partirebbe il conto alla rovescia di 72 ore. Alla scadenza, senza il pagamento, i dati universitari criptati dai criminali andrebbero distrutti. Intanto, gli esperti dell’Agenzia per la cybersicurezza nazionale sono al lavoro con i tecnici dell’università per rimettere in funzione i servizi fuori uso e implementare nuove misure di sicurezza. Secondo Gianluca Galasso, capo del servizio operazioni e gestione delle crisi cyber, servono ancora “alcuni giorni di lavoro, poi riprenderanno regolarmente tutti i servizi universitari”. Già ieri, in via precauzionale, è stato disposto l’immediato blocco dei sistemi di rete per impedire che il virus rischiasse di infettare anche le aree sane. L’attività didattica nelle aule prosegue senza intoppi, ma i disagi ci sono: impossibile prenotare gli esami, scaricare i bollettini per il pagamento delle tasse o anche solo consultare il proprio libretto universitario e verbalizzare i voti. A pagarne il prezzo potrebbero essere gli studenti con scadenze o esami imminenti. L'articolo Attacco informatico dei filo-russi all’Università La Sapienza. Il ricatto: “72 ore per pagare o addio ai dati” proviene da Il Fatto Quotidiano.