Truffe su Internet, denunciati in 7: chiedevano un "riscatto" in bitcoin

Il cryptolocker è un virus trasmesso via email apparentemente proveniente, ad esempio, da corrieri per le spedizioni o agenzie governative nazionali, contenenti link o allegati che una volta aperti criptano il contenuto delle memorie dei computer, anche collegati in rete. Gli utenti, per riaprire i file, erano costretti a pagare un "riscatto" in bitcoin (una moneta virtuale, esprimibile con un numero a 8 cifre decimali) a fronte del quale veniva loro inviato via email un programma per la decriptazione.

L’attività criminale si era diffusa già da diversi mesi e aveva fatto diverse vittime, anche “eccellenti” visto che nella trappola sono caduti in tutta Italia (oltre che tantissimi privati e aziende) anche diversi sedi governative, come tribunali, uffici comunali e anche alcune strutture delle diverse forze dell’ordine.

Le indagini, partite già da alcuni mesi, hanno avuto una svolta decisiva nel marzo di quest’anno a seguito di una denuncia sporta dall’amministratore delegato di una società in cui una impiegata aveva incautamente aperto un link pervenuto in allegato a una email che preannunciava un rimborso su una spedizione Sda.

Una volta aperto il link, è stato in realtà scaricato il “Cryptolocker”, che ha criptato il contenuto delle memorie dei pc aziendali. Il computer risultava bloccato su una pagina che dava informazioni sul riscatto da pagare per ottenere il ripristino dei dati indicando un sito attraverso il quale effettuare il pagamento in bitcoin: www.coinbit.it.

I responsabili della ditta, seguendo le istruzioni fornite dai criminali, pagavano il riscatto e ricevevano per posta elettronica il file che consentiva il ripristino dei dati sui computer aziendali.

Partendo da queste informazioni, la polizia ha individuato una persona in provincia di Padova nei confronti della quale venivano immediatamente attivate delle indagini che consentivano di far emergere elementi di responsabilità riconducibili a un vero e proprio sodalizio (che aveva anche una società in Estonia, sulla quale sono ancora in corso accertamenti) i cui appartenenti si presentavano come semplici intermediari di coinbit che non solo si dichiaravano estranei alla diffusione del virus, ma anzi sui propri siti invitavano le malcapitate vittime a non pagare alcun riscatto in caso di attacco bensì a sporgere denuncia alla polizia postale.

In realtà erano perfettamente al corrente della natura illecita dei proventi incamerati poiché la polizia trovava le tracce non solo delle transazioni effettuate a seguito del pagamento dei riscatti ma addirittura recuperava centinaia di messaggi che gli indagati si inviavano via smartphone.

In questi messaggi si scambiavano consigli sulla diffusione del cryptolocker, sul riciclaggio del denaro, su come comportarsi davanti alle forze di polizia in caso di perquisizione o di assunzione di sommarie informazioni, indicazioni su nomine di avvocati di fiducia e altro. Erano messaggi del tipo: “Cercate di essere vaghi… E dire il meno possibile”, “Se non avete un avvocato di fiducia potete usare avv……”, “Devo fare un cryptolocker pure io”, “Un acquisto ora, 2 giorni fa un altro” e “Oggi già 3 scaldate gli avvocati”.

Dai primi riscontri risulta che l’associazione abbia incamerato oltre 277.000 euro di proventi illeciti.

Il pm titolare dell’indagine, Lucia Baldovin, ha emesso 7 decreti di perquisizione informatica tutte eseguite tra le province di Bergamo, Brescia e Padova e ordinato il sequestro preventivo del sito coinbit.it, con un decreto emesso dal gip Giorgio Nicoli.

Le perquisizioni hanno permesso di sequestrare un’ingente quantità di materiale informatico: computer, hard disk, tablet, pen drive usb, smartphone, carte di credito e documentazione ritenuta utile per il proseguimento delle indagini. Sono state denunciate sette persone.

I denunciati hanno tutti, a eccezione di un quarantenne che ha un’attività nel settore informatico, un’età compresa tra i 23 e i 27 anni, e risultano disoccupati.