Roma, 7 novembre 2019

Nucleo Speciale Tutela Privacy e Frodi Tecnologiche

Il Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza di Roma, ha concluso una sofisticata indagine tecnica nel mondo del Dark Web individuando gli amministratori del noto Berlusconi Market, una piattaforma di vendita on-line di ogni genere di merce illegale, sotto il coordinamento della Procura della Repubblica di Brescia. L’indagine, avviata nello scorso mese di maggio con l’operazione Darknet.Drug, aveva consentito di identificare in Barletta (BT) un vendor di sostanze stupefacenti, noto nell’ambiente del Dark Web come g00d00, e di trarlo in arresto unitamente ad un altro soggetto trovato in possesso di armi da sparo. Nel corso dell’operazione erano stati sequestrati anche 2,2 Kg. di sostanza stupefacente (cocaina, ketamina, MDMA) pronta per essere commercializzate su Internet, 163 pasticche di ecstasy già pronte e 78 francobolli impregnati di LSD. Inoltre, era stato sottoposto a sequestro un locale commerciale, sito in Barletta (BT), in cui veniva esercitata l’attività di exchange di Bitcoin, la moneta virtuale molto diffusa nel mondo dell’illegalità connessa ai traffici illeciti nel Dark Web.

I personal computer, notebook e smartphone sequestrati nel corso dell’operazione sono stati esaminati secondo le migliori tecniche di analisi forense per risalire agli amministratori del Black Market denominato Berlusconi Market, un luogo virtuale di vendita di merce illegale con guadagni di migliaia di euro mensili. Come noto, i Black Market del Dark Web sono risorse informatiche accessibili solo utilizzando browser che consentono di navigare in rete in completo anonimato (browser TOR con dominio.onion). Le risorse del Dark Web non vengono indicizzate dai comuni motori di ricerca e non sono registrate presso i pubblici registri dei domini in quanto finalizzate a garantire l’anonimato degli utenti che vi navigano. Per ottenere questo risultato la connessione viene fatta “rimbalzare” tra più server, ubicati in Stati diversi, chiamati nodi, in modo da rendere pressoché impossibile rintracciare la sua reale origine.

Inoltre, i dati scambiati vengono criptati tra un nodo e l’altro. L’accesso non è libero ma ristretto agli utenti accreditati. Grazie alla perizia e all’intuito degli investigatori nel corso dell’analisi forense dei dispositivi sequestrati ai soggetti arrestati, è emerso che i due soggetti erano coinvolti anche nella gestione del Blak Market del Dark Web denominato Berlusconi Market. Berlusconi Market si presenta come un vero e proprio mercato on-line in cui i numerosi venditori (vendor) pubblicizzano e propongono in vendita merci e servizi illegali. Berlusconi Market era gestito da due “nickname” di cui uno – VladimirPutin – con il ruolo di amministratore e l’altro – EmmanuelMacron – quale moderatore. A partire da gennaio 2019, Berlusconi Market ha rappresentato il più importante mercato del Dark Web, sia per quantità di oggetti in vendita, sia per il volume degli scambi con oltre 100.000 annunci di prodotti illegali. Berlusconi Market funziona con le stesse modalità di un normale sito di e-commerce, con la differenza che gestisce e promuove la vendita di prodotti di natura illecita, sfruttando l’anonimato del protocollo Tor, caratteristico del dark Web. La creazione di un account su tale portale è impostata su username e password, in totale anonimato. Considerando la peculiarità della merce posta in vendita, l’utilizzo del Market rende estremamente pericolosa la risorsa in questione, poiché si rivolge ad una vasta platea di acquirenti e venditori, essendo accessibile da soggetti di tutto il mondo.

I prodotti in vendita sono organizzati nelle seguenti categorie: - servizi relativi ai cosiddetti “Bank Drops”, servizi per i quali un intermediario si offre di effettuare una transazione su un conto corrente indicato dal cliente, dietro pagamento di una commissione pari ad una certa percentuale della transazione effettuata. Tale servizio viene generalmente richiesto quando si vuole celare la provenienza di una certa disponibilità finanziaria (anche in bitcoin) che verrà inviata all’intermediario, il quale provvederà a recapitare la somma al destinatario finale tramite un tradizionale bonifico bancario da un conto corrente “pulito” a sua disposizione; - annunci relativi a documenti di identità, nazionali ed esteri, riportanti i segni distintivi dei rispettivi Paesi. Vi sono diverse tipologie di documenti posti in vendita, materiali o digitali.

Nel caso dei documenti di identità digitali, vi è la possibilità da parte dei clienti di acquistare cosiddetti template, ovvero veri e propri file editabili sui quali inserire dati anagrafici e fotografie a piacimento degli utilizzatori finali, per poi stampare un numero illimitato di documenti falsi. - più di 30.000 annunci di vendita relativi a farmaci e sostanze stupefacenti suddivisi in: Benzos (psicofarmaci), Cannabis &Hashish, Dissociatives (allucinogeni dissociativi), Ecstasy (MDMA o ecstasy), Opioids (oppioidi), Prescription (medicinali soggetti a prescrizione medica), Steroids (steroidi), Stimulants (stimolanti), Psychedelics (sostanze pischedeliche), Pharaphernalia (strumenti per l’alterazione e prodotti per il trattamento delle sostanze stupefacenti), Other (sostanze e farmaci non categorizzate), oltre alla cocaina e all’eroina; - 600 annunci riguardanti la vendita di oro, argento ed altri prodotti di gioielleria, verosimilmente di provenienza illecita o contraffatti; - più di 5.000 gli annunci relativi alla vendita di armi, esplosivi e munizionamento, tra cui armi da guerra tipo Kalashnikov; - software comprendenti diverse categorie di applicativi di carattere dannoso (virus informatici), tra cui: Botnet, Malware ed Exploits; - Security &Hosting, ove si possono rinvenire utilità di controllo remoto e VPN utili a celare il proprio indirizzo IP, tutti strumenti volti ad incrementare le misure di sicurezza in termini di anonimato online, al fine, generalmente, di camuffare la propria identità virtuale per il compimento di scopi illeciti o bypassare blocchi governativi.

Nell’ambito dell’analisi forense sono emerse le conversazioni scambiate tramite applicazioni di messaggistica istantanea con un terzo soggetto, il quale riusciva ad esercitare una sorta di controllo sui proventi legati alla piattaforma di vendita Berlusconi Market in qualità di amministratore del market stesso. L’abilità degli investigatori ha consentito quindi di identificare il terzo soggetto, ugualmente residente in Puglia. Dal complesso degli approfondimenti tecnici esperiti è emerso che i tre soggetti, hanno costituito tra loro una associazione a delinquere per l’amministrazione della piattaforma Berlusconi Market, poiché: - hanno sostenuto le spese relative al suo funzionamento; - hanno preso le decisioni relative alla gestione; - erano in possesso delle credenziali di amministratore; - hanno suddiviso tra loro i proventi illeciti maturati per circa 41 bitcoin, pari a circa 400.000,00 euro a fronte di un volume complessivo di transazioni annue pari a circa 2 milioni di euro. In sostanza, hanno allestito l’infrastruttura informatica allo scopo di gestire il Black Market, che si rivolgeva a utenti di tutta Europa e del mondo (USA, Canada, Australia), e quindi consumare una serie indeterminata di delitti in concorso con i terzi vendor, quali la vendita di armi da guerra, di sostanze stupefacenti per ingenti quantitativi e di valuta contraffatta, la ricettazione consumata mediante l'offerta in vendita di carte di credito contraffatte, documenti di identità contraffatti, di codici e credenziali relativi a carte di credito o home banking carpiti mediante accesso abusivo a sistemi informatici, tutti delitti aggravati dalla transnazionalità della condotta.

La condotta degli amministratori del Black Market agevolava quindi, in maniera determinante, la commissione dei reati in concorso con i vendor mediante la concessione di uno spazio web (vetrina) sul proprio store (negozio) virtuale, unitamente alla gestione dei pagamenti (in criptovalute), al fine di conseguire un profitto per tale attività illegale. Gli elementi raccolti grazie alle minuziose attività investigative svolte dal personale specializzato del Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza, con il costante coordinamento della Procura della Repubblica di Brescia, hanno portato all’emissione di misure cautelari personali della custodia in carcere a carico di tre soggetti (G.D.M. e G.R., residenti in Puglia e L.D.V. residente in Puglia e domiciliato a Torino). Ufficiali e agenti di polizia giudiziaria appartenenti al predetto Nucleo Speciale hanno dato esecuzione alle misure disposte, eseguendo altresì 5 perquisizioni domiciliari in Barletta (BT), Andria (BT), Putignano (BA) e Torino. Nel corso delle perquisizioni sono stati sequestrati numerosi dispositivi tecnologici (personal computer,notebook, memorie digitali e smartphone) sui quali verrà successivamente svolta l’analisi forense, anche per risalire ai vari vendor del Black Market.

Sono stati altresì sottoposti a sequestro un bilancino di precisione e numerose confezioni di presunti medicinali e farmaci illeciti, che saranno sottoposti ad analisi tecnica. Dal momento dell’esecuzione delle misure cautelari il Berlusconi Market ha interrotto l’operatività. Dopo le operazioni dell’FBI statunitense e della polizia olandese nei confronti dei Black Market “Silk Road”, “Alfa Bay” e “Hansa Market”, Berlusconi Market costituisce il quarto esempio al mondo di Black Market del Dark Web reso non più operativo.