L’operazione internazionale “Eastwood” rappresenta uno spartiacque nella lotta contro il cyberterrorismo. Per la prima volta, un’azione coordinata su scala mondiale ha inferto un colpo durissimo a una delle più attive cellule di hacktivisti filorussi: il collettivo “NoName057(16)”.

Un’operazione che non si è limitata a individuare i responsabili, ma ha decapitato l’infrastruttura criminale dietro migliaia di attacchi contro le democrazie europee.

Un’indagine globale contro il cyber terrorismo

Condotta dalla procura di Roma con il coordinamento della Direzione nazionale antimafia e antiterrorismo, “Eastwood” ha visto il coinvolgimento simultaneo delle autorità di Germania, Stati Uniti, Olanda, Svizzera, Svezia, Francia e Spagna, oltre al contributo fondamentale di Eurojust ed Europol. Al centro dell’indagine, cinque individui ritenuti membri attivi del gruppo “NoName057”, individuati grazie al lavoro sinergico del CNAIPIC (Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche) e dei reparti della Polizia Postale di sei regioni italiane.

NoName057 non è un semplice gruppo di cybercriminali: è una macchina bellica digitale al servizio della propaganda filorussa, nata nel marzo 2022 all’indomani dell’invasione dell’Ucraina. Il loro obiettivo è sabotare l’infrastruttura informatica delle nazioni europee considerate ostili alla Russia, colpire trasporti, sanità, telecomunicazioni, servizi finanziari, paralizzare governi e istituzioni.

Attraverso canali Telegram criptati, in particolare il famigerato “DDosia Project”, il gruppo reclutava simpatizzanti e coordinava gli attacchi. I membri aderivano scaricando un software dedicato, contribuendo con la potenza di calcolo dei propri dispositivi a sovraccaricare i server di enti pubblici e privati tramite attacchi DDoS (Distributed Denial of Service).

Le indagini hanno smantellato la complessa rete tecnologica che faceva capo a server localizzati principalmente in Russia, con centinaia di nodi intermedi utilizzati per offuscare l’origine dei segnali. Più di 600 server sono stati sequestrati o disattivati. Non solo sono stati emessi cinque mandati di arresto internazionali nei confronti di cittadini russi, ma due di questi sono considerati i vertici operativi del collettivo.

L’accusa è gravissima: associazione con finalità di terrorismo internazionale ed eversione dell’ordine democratico, ex art. 270-bis del codice penale italiano.

Cyberterrorismo e cybercriminalità: linee sottili, frontiere mobili

Il caso NoName057 evidenzia come la linea di demarcazione tra cybercriminalità e cyberterrorismo si sta progressivamente assottigliando.

In teoria, la distinzione esiste. I cybercriminali sono mossi dal profitto: furti di dati, truffe online, estorsioni ransomware. I cyberterroristi agiscono per motivazioni ideologiche o politiche: vogliono terrorizzare, destabilizzare, creare il caos per fini geopolitici o ideologici.

Nella realtà operativa, tuttavia, i confini sono sfumati. Gruppi nati con finalità economiche possono politicizzarsi, cavalcando tensioni internazionali, così come organizzazioni terroristiche possono ricorrere a tecniche tipiche della cybercriminalità – come il ransomware – per autofinanziarsi.

L’emergere del cyberwarfare, delle guerre ibride, della propaganda digitale alimentata da attori statali rende il quadro ancora più opaco. Non esistono più compartimenti stagni. L’hacker attivista, il criminale digitale e il terrorista online spesso si confondono, si sovrappongono, si scambiano strumenti e know-how.

Un ulteriore aspetto critico è che spesso risulta estremamente complesso stabilire se dietro un attacco vi sia la mano di un altro Stato. In questi casi si entra nel campo del cyberwarfare, non del terrorismo classico, e l’attribuzione diventa un’operazione molto difficile. Oltre alla digital forensic serve una sofisticata attività di intelligence, fatta di analisi incrociate, raccolta di fonti e monitoraggi strategici, senza la quale non è possibile distinguere tra l’azione di un gruppo terroristico e quella di attori statali o statalmente sponsorizzati.

A complicare ulteriormente il quadro vi è un’altra criticità operativa. Anche quando gli autori degli attacchi vengono identificati, le indagini internazionali si scontrano con la difficoltà di procedere a una loro estradizione e a un processo in presenza. Non di rado i cyberterroristi si trovano o si rifugiano in Paesi che rifiutano la cooperazione giudiziaria o addirittura li proteggono per ragioni geopolitiche, rendendo inefficaci i provvedimenti giudiziari emessi in ambito europeo o internazionale.

L’evoluzione del terrorismo nell’era digitale

Il cyberterrorismo non è che l’ultima evoluzione della minaccia terroristica tradizionale. Il tratto distintivo rispetto alla semplice criminalità informatica non è lo strumento utilizzato, ma il fine perseguito: panico, destabilizzazione politica, sovversione dell’ordine democratico.

La rivoluzione informatica ha offerto ai gruppi terroristici vantaggi enormi: possibilità di agire a distanza, mantenere l’anonimato, cancellare le tracce, coordinarsi su scala globale con costi minimi.

Nell’ecosistema hacker esistono categorie ben distinte:

• hacktivisti politici, che agiscono per protesta contro governi o multinazionali;
• terroristi informatici, che mettono le proprie competenze al servizio di ideologie radicali;
• cybermercenari, spesso ex membri di servizi segreti o accademici, pronti a vendere le proprie competenze al miglior offerente, sia esso un gruppo criminale o un’organizzazione terroristica.

Non mancano gli esempi di propaganda online, canali criptati, newsgroup estremisti, vere e proprie piattaforme digitali dedicate al reclutamento e al finanziamento occulto. Internet consente ai gruppi terroristici di propagandare le proprie idee con costi irrisori, raggiungendo platee planetarie, e di bypassare i tradizionali sistemi di controllo investigativo.

Cyberterrorismo: il fronte normativo

La guerra al terrorismo informatico si combatte non solo sui server, ma anche nei tribunali. In Italia, la normativa si è evoluta per affrontare il nuovo scenario.

La legge n.547 del 1993 ha introdotto per la prima volta i reati informatici.

La legge 48 del 2008, che ha ratificato la Convenzione di Budapest sulla cyber criminalità, ha armonizzato il quadro normativo con le direttive europee.

• La legge n.438 del 2001 ha rafforzato la disciplina contro il terrorismo internazionale, riformulando l’art. 270-bis c.p.
• Ulteriori aggravanti sono state introdotte nel 2015 con la legge n.43, che punisce più severamente l’addestramento terroristico via internet e l’istigazione tramite strumenti telematici.

In particolare, l’art. 270-quinquies punisce chi diffonde tecniche di addestramento terroristico in rete, mentre l’art. 414 prevede pene più severe per l’apologia e l’istigazione se veicolate attraverso il web.

Una minaccia in continua mutazione

L’operazione “Eastwood” conferma che il cyberterrorismo non è un fenomeno marginale, ma una minaccia concreta e in espansione. Non bastano più firewall e antivirus. Serve una risposta sistemica, che integri tecnologia, intelligence, cooperazione internazionale e un robusto impianto giuridico.

La guerra informatica si combatte in silenzio, tra linee di codice e server anonimi, ma ha effetti devastanti sul mondo reale. E quando a colpire non sono solo criminali, ma organizzazioni motivate da obiettivi politici e geopolitici, il rischio diventa sistemico.

Nel cyberspazio, il terrorismo ha trovato un nuovo campo di battaglia. E il primo passo per contrastarlo è riconoscerne le forme, comprenderne le logiche, rafforzare gli strumenti giuridici e investigativi.

L'articolo Dentro l’Operazione “Eastwood”: tra le ombre del cyberterrorismo e la propaganda proviene da il blog della sicurezza informatica.