Cyber Mafia: dal Crimine Tradizionale alla Criminalità Digitale

La cyber mafia rappresenta un’evoluzione fondamentale nel panorama criminale contemporaneo, delineando un fenomeno ibrido che sintetizza elementi tradizionali delle organizzazioni mafiose classiche con le potenzialità offerte dal dominio digitale. Questo concetto identifica un complesso ecosistema criminale formato da organizzazioni strutturate che hanno integrato in modo sistematico e strategico gli strumenti informatici e le tecnologie digitali all’interno del proprio modello operativo.

Come ha sottolineato il Procuratore Nazionale Antimafia e Antiterrorismo, Giovanni Melillo:

“sono le tecnologie digitali il cardine organizzativo delle reti criminali, non solo delle reti mafiose. Esse rappresentano un moltiplicatore della capacità operativa delle reti criminali. In generale le organizzazioni criminali mafiose vivono nel cyberspace e lo piegano a fini più diversi”.

Come evidenziato nel rapporto Cyber Organized Crime della Fondazione Magna Grecia (2024), è necessario distinguere tra il cybercrime generico e il cyber organized crime. Il primo comprende le attività criminali caratterizzate dall’utilizzo di componenti tecnologiche informatiche per fini illeciti individuali o di piccoli gruppi non strutturati, mentre il secondo rappresenta un’attività criminale coordinata, svolta in modo strutturato con l’ausilio di tecnologie informatiche da parte di soggetti appartenenti al crimine organizzato, con obiettivi strategici multilivello che trascendono il semplice guadagno immediato.

L’integrazione delle tecnologie digitali nell’arsenale operativo delle mafie non è avvenuta in modo casuale né superficiale, ma risponde a precisi obiettivi strategici: la perpetrazione di attività criminali attraverso il mezzo informatico, l’espansione del concetto tradizionale di controllo territoriale verso la dimensione immateriale del cyberspazio, e l’ottimizzazione della redditività delle operazioni illecite. Si tratta dunque di una trasformazione profonda che non sostituisce ma piuttosto amplifica e potenzia i modelli criminali preesistenti.

Caratteristiche distintive della cyber mafia

Ciò che distingue in modo netto la cyber mafia dai cybercriminali “indipendenti” o dai gruppi hacker tradizionali è la persistenza di una struttura organizzativa fortemente gerarchizzata, caratterizzata da precisi rapporti di subordinazione, rituali di affiliazione e codici comportamentali rigidamente definiti. Questi elementi, tipici delle organizzazioni mafiose storiche, vengono trasferiti nell’ambiente digitale creando una forma di criminalità particolarmente resiliente e adattiva.

Come sottolinea Antonio Nicaso, coordinatore del Cybrec (Cybercrime Research Center):

“le mafie non sono avulse dal tessuto sociale ed economico; esse ne sono parte integrante e utilizzano metodologie e sistemi sempre più evoluti per ramificarsi in ogni settore dell’economia, in cui investono l’enorme liquidità di cui dispongono grazie a varie e proficue attività illecite”.

Un ulteriore elemento distintivo è rappresentato dalla continuità operativa tra mondo fisico e virtuale. Le cyber mafie non abbandonano il controllo del territorio fisico, le estorsioni tradizionali o il traffico materiale di stupefacenti, ma affiancano a queste attività storiche nuove operazioni nel dominio digitale, creando sinergie operative prima impossibili. Questa natura ibrida consente loro di sfruttare le vulnerabilità di entrambi gli ambienti e di modulare la propria presenza in base alle opportunità e ai rischi contingenti.

Vantaggi strategici del cyberspazio per le organizzazioni criminali

L’adozione del cyberspazio come arena operativa offre alle organizzazioni criminali vantaggi strategici che sarebbe miope sottovalutare. In primo luogo, le operazioni digitali consentono un significativo innalzamento del livello di anonimato e una drastica riduzione dell’esposizione fisica dei membri dell’organizzazione. La possibilità di operare attraverso identità virtuali, sistemi di comunicazione criptati e reti anonimizzate riduce drasticamente il rischio di identificazione e cattura dei membri dell’organizzazione, permettendo anche ai vertici delle famiglie mafiose di mantenere un controllo diretto sulle operazioni senza esporsi ai tradizionali rischi di sorveglianza fisica.

La dimensione intrinsecamente transnazionale di Internet rappresenta un secondo vantaggio strategico fondamentale. Se le organizzazioni criminali tradizionali hanno sempre dovuto confrontarsi con i limiti geografici e le complessità logistiche dell’espansione internazionale, il cyberspazio elimina virtualmente i confini nazionali, consentendo operazioni simultanee su scala globale con costi operativi marginali. Una cyber mafia può, nella stessa giornata e con lo stesso team operativo, colpire obiettivi in continenti diversi, sfruttare vulnerabilità in sistemi informatici distribuiti globalmente e riciclare proventi illeciti attraverso giurisdizioni multiple, il tutto senza necessità di spostamenti fisici o complesse operazioni logistiche.

Sotto il profilo economico, i crimini informatici presentano un rapporto tra rischio e rendimento particolarmente favorevole rispetto alle attività criminali tradizionali. Un singolo attacco ransomware ben strutturato può generare profitti equivalenti a mesi di estorsioni fisiche, con un livello di esposizione personale drasticamente ridotto. Allo stesso modo, le frodi finanziarie digitali possono raggiungere volumi e capillarità impensabili per le metodologie fraudolente tradizionali, mentre il riciclaggio attraverso criptovalute e finanza digitale offre possibilità di occultamento dei capitali prima inaccessibili.

Infine, le indagini sui crimini informatici presentano complessità tecniche, giuridiche e procedurali che costituiscono un ulteriore vantaggio per le organizzazioni criminali. La volatilità delle prove digitali, la complessità delle tecniche di attribuzione degli attacchi, le difficoltà nella cooperazione internazionale e la frequente carenza di competenze tecniche specialistiche nelle forze dell’ordine creano un ambiente in cui l’impunità è statisticamente più probabile rispetto ai crimini tradizionali. Questo scenario è ulteriormente complicato dalla rapida evoluzione tecnologica, che consente alle organizzazioni criminali di adottare innovazioni offensive prima che le controparti investigative abbiano sviluppato adeguate contromisure.

Architettura organizzativa e struttura operativa della cyber mafia

La struttura organizzativa delle cyber mafie rappresenta un affascinante esempio di adattamento evolutivo, in cui meccanismi ancestrali di organizzazione criminale si fondono con paradigmi operativi propri dell’era digitale. Questa ibridazione non è casuale né improvvisata, ma il risultato di un processo adattivo in cui le organizzazioni mafiose tradizionali hanno progressivamente incorporato elementi strutturali e operativi adeguati al cyberspazio, mantenendo al contempo i propri fondamenti identitari e gerarchici.

Al vertice di queste organizzazioni ibride si colloca invariabilmente una leadership strategica composta prevalentemente da membri anziani e di alto rango dell’organizzazione mafiosa tradizionale. Questi “veterani” del crimine organizzato, pur non possedendo necessariamente competenze tecniche avanzate, mantengono il controllo delle decisioni strategiche, dell’allocazione delle risorse e della gestione dei conflitti interni. La loro autorità deriva da fattori tradizionali come il carisma personale, la storia criminale individuale e familiare, e il rispetto acquisito all’interno dell’organizzazione attraverso anni di attività. Questa leadership conserva e perpetua i riti, i codici comportamentali e i meccanismi decisionali propri delle organizzazioni mafiose classiche, garantendo una continuità culturale che rappresenta un elemento fondamentale di coesione interna.

Immediatamente subordinato al nucleo dirigenziale, si colloca un livello intermedio composto da divisioni altamente specializzate che costituiscono il vero motore operativo delle attività cyber-criminali. Queste divisioni, strutturate secondo competenze tecniche specifiche, includono hacker offensivi specializzati in diverse tecniche di attacco, esperti di sicurezza informatica dediti alla protezione dell’infrastruttura digitale dell’organizzazione, programmatori focalizzati sullo sviluppo di strumenti software dedicati, analisti finanziari esperti in criptovalute e sistemi di pagamento digitali, e specialisti in social engineering e manipolazione psicologica. Ogni divisione opera con un elevato grado di autonomia tattica, pur rimanendo subordinata agli obiettivi strategici definiti dal vertice dell’organizzazione.

Una caratteristica distintiva delle cyber mafie rispetto alle organizzazioni criminali tradizionali è il massiccio ricorso a reti di collaboratori esterni, non formalmente affiliati all’organizzazione ma reclutati nel mercato nero informatico sulla base di competenze specifiche necessarie per particolari operazioni. Questi “specialisti a contratto” possono includere programmatori esperti in linguaggi specifici, amministratori di sistemi con accesso privilegiato a infrastrutture sensibili, esperti di sicurezza informatica con conoscenza di vulnerabilità zero-day, o broker nel mercato delle criptovalute capaci di facilitare complesse operazioni di riciclaggio. Tale rete di collaborazione esterna consente alle cyber mafie di accedere a competenze specialistiche senza la necessità di un reclutamento formale, mantenendo una struttura core relativamente snella ma espandibile rapidamente in base alle esigenze operative.

L’aspetto geografico dell’organizzazione rappresenta un ulteriore elemento di innovazione: le cyber mafie tendono a strutturarsi in cellule operative semi-autonome strategicamente dislocate in diversi paesi, creando una rete transnazionale che sfrutta le specificità legislative, tecnologiche e socioeconomiche di ciascuna giurisdizione. Alcune cellule possono essere dedicate all’amministrazione dell’infrastruttura tecnica, altre alla gestione delle criptovalute, altre ancora all’esecuzione materiale di attacchi o al riciclaggio di denaro. Questa distribuzione geografica non solo complica enormemente le attività investigative, frammentandole attraverso molteplici giurisdizioni, ma consente anche una continuità operativa 24/7 e una resilienza strutturale che rende l’organizzazione particolarmente resistente agli interventi repressivi.

L’infrastruttura comunicativa delle cyber mafie rappresenta forse l’elemento tecnologicamente più avanzato della loro organizzazione. Sistemi di comunicazione criptati end-to-end, protocolli di sicurezza operativa paragonabili a quelli di agenzie di intelligence, meccanismi di compartimentazione delle informazioni, e procedure di autenticazione multi-fattore costituiscono lo scheletro tecnologico che garantisce la sicurezza e l’efficienza delle operazioni. Questi sistemi sono frequentemente sottoposti a revisione e aggiornamento per evitare vulnerabilità e anticipare le capacità investigative delle autorità.

Il modello italiano: una metamorfosi “camaleontica”

Le mafie italiane, con la loro secolare tradizione di adattamento e resilienza, hanno sviluppato un approccio distintivo alla criminalità informatica che la Direzione Investigativa Antimafia ha efficacemente definito “camaleontico”. Questa capacità di trasformazione e adattamento ai mutevoli scenari dell’economia regionale, nazionale ed estera rappresenta una caratteristica fondamentale dell’evoluzione delle mafie italiane verso il dominio digitale.

Nella seconda relazione semestrale del 2023, la DIA ha messo in risalto la “sussistenza di un legame crescente tra la contraffazione on line ed altri reati, tra i quali spiccano quelli cyber e finanziari, tale da rendere sempre più necessario l’approccio multidisciplinare finalizzato al contrasto delle nuove, emergenti espressioni criminali“. Inoltre, è stato evidenziato come “altri ambiti che sono divenuti mezzi di finanziamento molto redditizi per la malavita sono il settore del cybercrime con particolare riferimento al gioco d’azzardo e delle scommesse, la produzione e la commercializzazione dei beni contraffatti, opere d’arte e altri beni culturali, e di carburanti e prodotti energetici“.

Un elemento cardine di questa evoluzione è rappresentato dall’integrazione sinergica tra attività criminali tradizionali e nuove operazioni digitali. Come sottolinea il rapporto Cyber Organized Crime della Fondazione Magna Grecia, “le mafie non costituiscono un’entità distinta dal resto del tessuto sociale ed economico, ma piuttosto si infiltrano attraverso un processo di osmosi che tende a normalizzarle“.

Diversamente da altre organizzazioni criminali che hanno abbandonato le attività storiche per concentrarsi esclusivamente sul cybercrimine, le mafie italiane hanno sviluppato un modello ibrido in cui il controllo del territorio fisico, le estorsioni, l’usura e il traffico di stupefacenti tradizionali coesistono e si supportano reciprocamente con le operazioni digitali. Questa integrazione si manifesta in particolare nell’infiltrazione sistematica negli ambienti affaristico-imprenditoriali, dove i capitali illeciti generati da attività cyber-criminali vengono reinvestiti in imprese legittime, creando un circolo virtuoso di riciclaggio e generazione di nuove opportunità criminali.

La collaborazione con esperti esterni rappresenta un secondo tratto distintivo dell’approccio italiano. Piuttosto che sviluppare internamente tutte le competenze necessarie, processo che richiederebbe tempo e risorse significative, le mafie italiane hanno optato per un modello di outsourcing selettivo, reclutando specialisti informatici principalmente dall’Europa dell’Est e dalla Russia. Questa strategia consente di accedere rapidamente a competenze tecniche avanzate già consolidate, mantenendo al contempo un controllo stretto sulle operazioni attraverso i membri affiliati dell’organizzazione. La preferenza per esperti provenienti dall’Europa orientale non è casuale, ma riflette sia la disponibilità di competenze tecniche elevate a costi relativamente contenuti, sia l’esistenza di reti criminali preesistenti che facilitano il reclutamento e la gestione di questi collaboratori esterni.

Particolarmente sofisticato è l’utilizzo di aziende legali come copertura per le attività cyber-criminali. Le mafie italiane hanno sviluppato una spiccata capacità di creare ex novo o infiltrarsi in società informatiche e di telecomunicazioni legittime, utilizzandole sia come facciata per le operazioni illegali, sia come strumento per l’accesso privilegiato a infrastrutture e dati sensibili. Questo approccio dual-purpose consente di generare flussi di reddito legali che facilitano il riciclaggio, di acquisire credibilità nel settore tecnologico, e di posizionarsi strategicamente in ecosistemi digitali rilevanti. Le società di consulenza IT, le aziende di sviluppo software, i fornitori di servizi cloud e le agenzie di marketing digitale rappresentano i target preferenziali per queste operazioni di infiltrazione o creazione.

Un aspetto particolarmente interessante dell’evoluzione delle mafie italiane riguarda lo sfruttamento delle competenze generazionali. Le organizzazioni mafiose tradizionali hanno progressivamente incorporato giovani membri con elevata alfabetizzazione digitale, spesso discendenti di famiglie già affiliate, creando un ponte generazionale che consente il trasferimento dei valori e dei codici comportamentali tradizionali insieme all’acquisizione di competenze tecniche moderne. Questi “nativi digitali mafiosi” rappresentano l’avanguardia della trasformazione, introducendo nuove metodologie operative pur rimanendo ancorati alla cultura e alle strutture di potere tradizionali. La loro duplice competenza, sia nei codici culturali mafiosi che nei linguaggi tecnologici contemporanei, li rende particolarmente preziosi e influenti all’interno delle organizzazioni.

Principali attività criminali nel cyberspazio

Riciclaggio digitale e criptovalute

Le mafie hanno rapidamente compreso il potenziale delle criptovalute e delle piattaforme finanziarie digitali per occultare e riciclare i proventi delle attività illecite. Come evidenzia la relazione dei servizi segreti sulla politica dell’informazione per la sicurezza del 2025, è emersa una crescente rilevanza della metodologia di trasferimento di risorse finanziarie alternative agli ordinari circuiti bancari e finanziari.

In particolare, le evidenze informative e le più recenti operazioni di contrasto investigativo hanno rivelato l’uso diffuso di strumenti quali il money muling, l’hawala per eludere i tradizionali canali bancari e le valute virtuali, testimoniando la capacità delle organizzazioni criminali di adattarsi ai mutamenti tecnologici e di sfruttare nuove opportunità di business legate all’intelligenza artificiale, ai crypto asset e al deep e dark web

Un fenomeno emblematico dell’evoluzione delle strategie di riciclaggio è rappresentato dai cosiddetti “Mafia Bond”, emersi nel 2020 grazie a un’inchiesta del Financial Times. Questi titoli rappresentano obbligazioni derivanti da debiti commerciali garantiti dallo Stato, in particolare crediti verso la sanità pubblica di imprese legate alla ‘ndrangheta, che sono stati trasformati in obbligazioni (cartolarizzati) per poi finire in portafoglio a investitori istituzionali di tutto il mondo. Questa tecnica finanziaria sofisticata consente alle mafie di perseguire congiuntamente due obiettivi tradizionali: l’usura e il riciclaggio, trasformando la liquidità illecitamente guadagnata in fondi che generano rendimenti apparentemente legali.

Questi meccanismi di riciclaggio attraverso gli asset digitali avvengono mediante transazioni pseudonime, l’utilizzo di wallet digitali distribuiti in diverse giurisdizioni, servizi di mixing e tumbling per oscurare l’origine dei fondi, exchange decentralizzati e piattaforme DeFi, oltre all’impiego di smart contract per automatizzare operazioni finanziarie complesse. Il Centro Europeo contro il cybercrime (EC3) di Europol ha programmato “miglioramenti nel supporto operativo e tecnico nel settore delle indagini sulle criptovalute“, proprio per contrastare questo fenomeno in crescita. Secondo Eurojust, negli ultimi tempi si è notato un crescente aumento di casi di sequestro e confisca di portafogli (wallet) contenenti criptovalute, un fenomeno dovuto al progressivo utilizzo delle valute digitali nel contesto criminale.

Narcotraffico digitalizzato

Il narcotraffico rimane la principale fonte di redditività per le organizzazioni criminali, ma ora viene gestito “mediante nuovi modelli organizzativi capaci di sfruttare il web soprattutto nella fase dello smercio“. Con il progredire delle tecnologie informatiche, i principali gruppi criminali utilizzano piattaforme digitali criptate per coordinare operazioni transnazionali, facilitando i contatti e gli scambi finanziari tra broker e fornitori.

Le aree di maggiore interesse per le consorterie italiane rimangono quelle del Sud America, in particolare Colombia e Messico per la produzione di cocaina, ma anche Argentina, Brasile, Costa Rica, Ecuador, Guyana e Repubblica Dominicana come territori di transito. Negli ultimi anni, una rotta fondamentale per i traffici di stupefacenti ha interessato sempre più il “Sahel” e l’Africa occidentale.

Frodi informatiche e ransomware

Le organizzazioni criminali hanno diversificato le proprie attività illecite incorporando sofisticate frodi informatiche al sistema bancario e finanziario, inclusi attacchi ransomware e DDoS, attacchi a sistemi di home banking e POS, clonazione di carte di credito, emissione di fatture per operazioni inesistenti tramite società “cartiere”, e furto di identità e dati personali. Queste operazioni generano profitti significativi con rischi relativamente bassi, sfruttando la vulnerabilità di aziende e istituzioni.

Gioco d’azzardo e betting online

Come riportato nella relazione della DIA, “l’ambito illegale del gioco d’azzardo, ‘gaming e betting’, ha mostrato come le organizzazioni criminali abbiano saputo sfruttare le opportunità offerte dalla tecnologia, ad esempio mediante la costituzione di società fittizie (cc.dd. ‘cartiere’) con sede legale in ‘paradisi fiscali’, funzionali ad incrementare i proventi, ma anche a facilitare il riciclaggio di altri capitali illeciti“. Il settore del gaming online rappresenta un’area particolarmente attrattiva per le mafie, attraverso casinò virtuali e piattaforme di scommesse, gestione di concessioni di giochi per ripulire denaro, e tecniche sofisticate di trasferimento dei capitali illeciti.

Infiltrazione negli appalti pubblici digitali

Le organizzazioni criminali hanno sviluppato metodologie avanzate per infiltrarsi nei processi di appalti pubblici digitalizzati, con particolare attenzione ai fondi del PNRR e ad altri importanti progetti nazionali. La DIA evidenzia il rischio concreto di accaparramento da parte delle mafie di “fondi pubblici stanziati per il perfezionamento del Piano nazionale di ripresa e resilienza“. Le tecniche includono manipolazione di gare online, alterazione dei sistemi di approvvigionamento elettronico, creazione di società “ad hoc” per partecipare a bandi pubblici, e corruzione di funzionari attraverso canali digitali.

Uno degli aspetti più innovativi emersi dalle recenti analisi è che le capacità informatiche delle organizzazioni criminali potrebbero consentire loro di aggiudicarsi appalti senza necessariamente ricorrere alla corruzione. Come evidenziato nel rapporto della Fondazione Magna Grecia, la criminalità organizzata può sfruttare le vulnerabilità informatiche delle pubbliche amministrazioni per ottenere informazioni privilegiate sulle gare d’appalto o addirittura manipolare i sistemi di valutazione delle offerte. Questo rappresenta un cambiamento di paradigma rispetto al modello tradizionale di infiltrazione basato sulla corruzione di funzionari pubblici, rendendo il fenomeno ancora più insidioso e difficile da identificare.

Il sistema italiano di contrasto al riciclaggio digitale e alle cyber mafie

Negli ultimi anni, l’Italia ha sviluppato un sistema articolato e sofisticato per affrontare la crescente minaccia delle cyber mafie e del riciclaggio digitale. Come evidenziato nel Report Annuale 2024 della Polizia Postale e per la Sicurezza Cibernetica, la complessità dello scenario criminale nel dominio cibernetico ha richiesto una risposta sempre più strutturata e coordinata tra le varie istituzioni specializzate.

La Polizia Postale nel contrasto ai crimini informatici

La Polizia Postale per la Sicurezza Cibernetica ha progressivamente ampliato il proprio mandato originario, diventando l’avanguardia nazionale nel contrasto ai crimini informatici. Come sottolinea il Dirigente Superiore Ivano Gabrielli, Direttore del Servizio Polizia Postale, nel 2024 l’approvazione del DDL Cybersicurezza (L. 90 del 2024) ha potenziato le capacità di prevenzione e contrasto, dotando le forze dell’ordine di strumenti normativi avanzati e di una più completa architettura istituzionale che, arricchita dalla capacità di coordinamento della DNA, permette una più efficace osmosi operativa tra Forze dell’ordine, Magistratura e Presidenza del Consiglio.

Un passo particolarmente significativo è stata l’istituzione, presso la Polizia Postale, del Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (CNAIPIC), che coordina la risposta nazionale agli attacchi informatici contro le infrastrutture strategiche del paese, spesso obiettivo di gruppi criminali organizzati. Nel 2024, come riportato dal Primo Dirigente Cristiano Leggeri, l’azione del CNAIPIC si è sviluppata sia sul fronte preventivo, con attività di monitoraggio e analisi della minaccia cyber, sia sul fronte investigativo, concludendo alcune delle più rilevanti operazioni nel settore.

A questo si aggiunge l’avvio del Comitato di Analisi per la Sicurezza Cibernetica (CASC), un tavolo interistituzionale voluto dal Ministro dell’Interno, al quale periodicamente tutte le componenti delle Forze dell’Ordine, con la partecipazione della Difesa, del comparto intelligence e dell’ACN, portano le proprie competenze e know-how operativo per la condivisione di scelte coordinate nel contrasto alla minaccia criminale in ambito cyber.

Nel 2024, come documentato nel loro Report Annuale, la Polizia Postale ha gestito oltre 54.000 fascicoli d’indagine e denunciato quasi 8.000 persone, dimostrando l’intensità dell’impegno nel contrastare le nuove forme di criminalità digitale. Il Commissariato di P.S. Online, che funge da ponte con i cittadini, ha ricevuto circa 3 milioni di visite, 82.000 segnalazioni e 23.000 richieste di assistenza, con una percentuale significativa (28,9%) riguardante attività di phishing, una delle tecniche più utilizzate per accedere illecitamente a dati finanziari e personali.

Il ruolo della UIF nel sistema antiriciclaggio

Al centro del sistema nazionale antiriciclaggio troviamo l’Unità di Informazione Finanziaria (UIF), istituita presso la Banca d’Italia nel 2008 come Financial Intelligence Unit italiana. La UIF rappresenta il fulcro del sistema, con il compito fondamentale di ricevere, analizzare e disseminare le segnalazioni di operazioni sospette (SOS) trasmesse da tutti i soggetti obbligati. Con un organico di circa 190 addetti organizzati in tre Servizi e tredici Divisioni, l’UIF svolge un ruolo di raccordo cruciale tra la componente privata e quella pubblica del sistema.

Dal 2007 al 2023, il numero di Segnalazioni di Operazioni Sospette è cresciuto in modo esponenziale, passando da circa 12.500 a oltre 150.000 all’anno. Solo nel 2023, queste segnalazioni hanno riguardato 1.400.000 soggetti (persone fisiche e giuridiche), 980.000 rapporti finanziari e 1.800.000 operazioni.

Per quanto riguarda specificamente il contrasto al riciclaggio digitale e alle criptovalute, la UIF ha sviluppato competenze specifiche relative al monitoraggio delle transazioni in valute virtuali. Ha potenziato le proprie capacità di analisi delle segnalazioni relative a transazioni digitali, ha sviluppato indicatori specifici per identificare schemi di riciclaggio che sfruttano asset virtuali e ha intensificato la collaborazione con le Financial Intelligence Unit estere per tracciare i flussi transfrontalieri

La Guardia di Finanza e il contrasto alle frodi finanziarie digitali

La Guardia di Finanza, attraverso il Nucleo Speciale di Polizia Valutaria (NSPV) e il Nucleo Speciale Frodi Tecnologiche, ha assunto un ruolo determinante nelle indagini finanziarie sulle cyber mafie. Le unità specializzate del Corpo hanno implementato tecniche investigative all’avanguardia per il tracciamento delle criptovalute e sviluppato partnership con gli exchange di valute virtuali per intercettare tempestivamente operazioni anomale potenzialmente riconducibili a gruppi criminali organizzati.

Queste attività si integrano con quelle della Sezione Financial Cyber Crime della Polizia Postale. Secondo il Vice Questore Luigi Bovio, “le evidenze acquisite nella più recente azione di contrasto ai fenomeni criminali hanno permesso di registrare una persistente diffusione di condotte truffaldine, tali da necessitare l’istituzione di una apposita Divisione con il precipuo intento di contrastare i reati finanziari”. Per affrontare la crescente minaccia delle criptovalute, sono stati specializzati 42 operatori, 6 del Servizio Polizia Postale e 2 per ciascuno dei 18 Centri Operativi per la Sicurezza Cibernetica diffusi sul territorio nazionale.

Come evidenziato nel Report della Polizia Postale, le principali minacce nel settore finanziario includono campagne di phishing (anche nelle varianti del “vishing” e dello “smishing”), frodi basate su tecniche di social engineering (con particolare riferimento alla BEC fraud) e l’uso crescente delle criptovalute per riciclare proventi illeciti. Secondo il documento, “la possibilità di conseguire ingenti guadagni attraverso condotte delinquenziali che possono essere realizzate massivamente e su larga scala ha inevitabilmente determinato un innalzamento dello spessore delinquenziale dei soggetti attivi, spesso associati in consorterie criminali.”

Cooperazione nazionale e internazionale

Un passo fondamentale nell’evoluzione del sistema istituzionale di contrasto alle cyber mafie è rappresentato dal recente accordo siglato il 7 agosto 2024 tra la Polizia di Stato, l’Agenzia per la cybersicurezza nazionale (ACN) e la Direzione Nazionale Antimafia e Antiterrorismo. Questo protocollo mira a strutturare il flusso delle informazioni tra questi organismi, a seguito delle recenti modifiche legislative che hanno dettato una nuova disciplina sul necessario raccordo tra di essi.

In merito all’accordo, il Capo della Polizia, Direttore Generale della Pubblica Sicurezza, Vittorio Pisani, ha dichiarato che “con la sigla dell’odierno Protocollo, la Polizia di Stato attiva le risorse e le capacità della Polizia Postale che, attraverso la rete dei Centri Operativi presenti su tutto il territorio, è oggi chiamata ad offrire il proprio supporto alle procure distrettuali nell’attività investigativa, favorendo il dialogo tra le istanze della resilienza e quelle del contrasto alla criminalità informatica.”

Il Procuratore Nazionale Antimafia e Antiterrorismo, Giovanni Melillo, ha aggiunto che “il protocollo oggi adottato costituisce un importante strumento di sostegno dell’azione di contrasto delle minacce criminali alla sicurezza cibernetica nazionale che le procure distrettuali sono chiamate a svolgere in un quadro normativo che ne rafforza significativamente poteri e relative responsabilità.” Questo accordo rappresenta un passo cruciale per affrontare le “attività ostili, spesso legate all’azione di organizzazioni criminali internazionali e di attori che possono operare anche al servizio di entità di tipo statuale, mirate ad aggredire la superficie digitale del Paese con attacchi dagli effetti sempre più pervasivi e pericolosi.”

Il Direttore Generale dell’ACN, Bruno Frattasi, ha sottolineato che si tratta di “un accordo molto importante per l’Agenzia, che suggella e rafforza la cooperazione istituzionale, con la DNA e la specialità della Polizia di Stato, per finalità che coniugano, nell’equilibrio voluto dal legislatore, le esigenze di giustizia con quelle di resilienza cibernetica“.

La dimensione transnazionale della cyber criminalità organizzata ha reso indispensabile anche un rafforzamento della cooperazione internazionale, ambito in cui l’Italia ha assunto un ruolo di leadership. Particolarmente significativa è la partecipazione alla Rete Operativa Antimafia @ON, di cui la DIA è ideatore e Project Leader. Questa rete, finanziata dalla Commissione Europea, coinvolge 42 Forze di Polizia in rappresentanza di 37 Paesi e costituisce uno strumento fondamentale per lo scambio rapido ed efficace di informazioni nel contrasto alle mafie in ambito europeo e globale.

Sul fronte internazionale, il Report Annuale 2024 della Polizia Postale evidenzia anche il significativo impegno profuso dalla Quinta Divisione in contesti internazionali, in particolare nel G7 – Italia, nel sottogruppo denominato High Tech Crime, e in Europol, dove sono stati ricoperti vari ruoli nel Consiglio di amministrazione dell’European Cyber Board, un organismo volto a individuare le tecnologie più innovative a supporto delle investigazioni.
Innovazione tecnologica e prospettive future

In questa direzione, la Quinta Divisione del Servizio Polizia Postale ha avviato nel 2024 un importante programma di potenziamento delle dotazioni tecnologiche a supporto delle investigazioni nel settore del cybercrime, con particolare attenzione alle tecnologie di sicurezza informatica per la protezione delle infrastrutture IT. Come sottolinea il Primo Dirigente Tecnico Santo Mirabelli, la divisione ha dato “forte impulso agli aspetti di Innovazione e Ricerca, con approfondite attività di ricerca di mercato per comprendere le tecnologie disponibili e in via di sviluppo“, consolidando collaborazioni con il mondo accademico attraverso progetti innovativi che vedono l’impiego dell’intelligenza artificiale per la cybersecurity.

Nonostante l’efficacia comprovata di questo sistema, sono state individuate diverse aree di possibile miglioramento, tra cui l’estensione della tutela penale al contenuto stesso delle SOS (non solo all’identità del segnalante), l’armonizzazione dei presidi informatici adottati dalle diverse autorità e l’ulteriore evoluzione dei sistemi di sicurezza informatica.

Il nuovo Regolamento Antiriciclaggio dell’UE

L’evoluzione del sistema antiriciclaggio italiano continua nel contesto del nuovo assetto regolamentare dell’Unione europea (AML Package), che prevede la costituzione di una nuova Autorità antiriciclaggio europea con sede a Francoforte, che opererà sia come supervisore antiriciclaggio che come meccanismo di supporto e coordinamento delle FIU nazionali.

Il nuovo Regolamento Antiriciclaggio dell’UE (EU-AMLR), che si applicherà direttamente in tutti gli Stati membri dell’UE a partire dal 10 luglio 2027, comporterà significative estensioni dell’ambito di applicazione delle normative antiriciclaggio, in particolare per quanto riguarda gli obblighi di notifica al registro sulla trasparenza. Il regolamento prevede un sistema unificato a livello UE per la determinazione dei titolari effettivi e amplia notevolmente la portata delle società soggette a obblighi di notifica.

In particolare, gli obblighi di notifica si applicheranno a:

• Tutte le entità giuridiche di diritto privato create nell’UE, incluse le società quotate e le partnership (con alcune limitate eccezioni);
• I trustee o persone che ricoprono posizioni equivalenti in istituti giuridici speciali;
• Entità giuridiche create al di fuori dell’UE in caso di: acquisizione di beni immobili nell’UE, ricezione di contratti pubblici da autorità dell’UE, stabilimento di rapporti d’affari con soggetti obbligati nell’UE, o acquisto di beni di lusso nell’UE (veicoli a motore di almeno 250.000 euro o imbarcazioni e aeromobili di almeno 7,5 milioni di euro).

Questa armonizzazione normativa rappresenta un passo importante verso un approccio più uniforme e rigoroso in materia di trasparenza e antiriciclaggio a livello europeo, con implicazioni significative anche per il sistema italiano di contrasto al riciclaggio digitale e alle cyber mafie.

Un passo fondamentale nell’evoluzione del sistema istituzionale di contrasto alle cyber mafie è rappresentato dal recente accordo siglato il 7 agosto 2024 tra la Polizia di Stato, l’Agenzia per la cybersicurezza nazionale (ACN) e la Direzione Nazionale Antimafia e Antiterrorismo. Questo protocollo, firmato presso il Palazzo del Viminale, mira a strutturare il flusso delle informazioni tra l’ACN, la DNA e la Polizia Postale per la Sicurezza Cibernetica del Dipartimento della Pubblica Sicurezza, a seguito delle recenti modifiche legislative che hanno dettato una nuova disciplina sul necessario raccordo tra questi organismi.

Necessità di nuovi strumenti e approcci innovativi

Nonostante i significativi progressi, il contrasto alla cyber mafia incontra ancora numerose sfide e criticità. La natura intrinsecamente volatile delle prove digitali complica i procedimenti giudiziari, richiedendo specifiche procedure di acquisizione forense per garantirne l’integrità e l’ammissibilità in sede processuale. I limiti giurisdizionali rappresentano un altro ostacolo fondamentale, poiché la natura globale di Internet consente alle organizzazioni criminali di distribuire la propria infrastruttura digitale attraverso molteplici giurisdizioni.

La legge “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici” rappresenta un potenziale strumento per affrontare queste sfide, con l’obiettivo di potenziare la lotta al cybercrime considerando il crescente numero di attacchi informatici nei settori cruciali come le PMI, il sistema sanitario e finanziario, e la Pubblica Amministrazione. Il testo prevede pene più severe per l’accesso abusivo ai sistemi informatici e introduce sanzioni pecuniarie per chi detiene o fornisce programmi dannosi. Una novità importante è l’obbligo di notifica entro 24 ore degli incidenti per la PA centrale, regioni, comuni, ASL e altri soggetti pubblici, con la possibilità per l’Agenzia per la Cybersicurezza Nazionale di effettuare ispezioni e applicare multe in caso di ritardi ricorrenti.

Il persistente gap di competenze tecniche tra le organizzazioni criminali e le forze dell’ordine, la limitatezza delle risorse disponibili rispetto alla portata del fenomeno, e la rapida evoluzione tecnologica costituiscono ulteriori elementi di criticità che richiedono un ripensamento continuo delle strategie di contrasto.

Come osserva Luca Piccinelli, Chief Cyber Security & Privacy Officer di Huawei Italia, “Il cybercrime si insedia all’interno delle reti, siano esse di trasporto per telecomunicazioni, applicazioni o elementi di calcolo di catene block-chain. Quando esse sono dedicate a servizi verticali e considerate a supporto di specifici servizi, in esse si potrebbe insinuare la criminalità mafiosa mediante attacchi che intervengono nelle applicazioni e nei software di comparto che sono protetti singolarmente ma non in un ambiente più completo che traguarda l’Hardware ed il Software trasversalmente, il cosiddetto Security Target“.

Le politiche di contrasto devono necessariamente evolversi verso un approccio multidimensionale che integri risorse legali, tecnologiche e investigative, promuovendo la cooperazione tra settore pubblico e privato e sviluppando competenze specializzate per investigatori e magistrati. La formazione continua e l’aggiornamento delle competenze degli operatori del diritto e delle forze dell’ordine diviene quindi un elemento cruciale, così come la creazione di unità specializzate capaci di comprendere sia le dinamiche criminali tradizionali sia le nuove metodologie informatiche utilizzate dalle organizzazioni mafiose.

Conclusioni: una sfida in continua evoluzione

La cyber mafia rappresenta una delle più complesse sfide criminali del XXI secolo, combinando la resilienza delle organizzazioni mafiose tradizionali con le potenzialità offerte dalle tecnologie digitali. Le organizzazioni criminali italiane hanno dimostrato una notevole capacità di adattamento, radicandosi “nel territorio nazionale e all’estero, cioè ovunque vi sia la possibilità di perseguire i propri affari illeciti, d’inserirsi nei circuiti legali dell’economia e, comunque, di trarre rapidi ed ingenti profitti inquinando i circuiti economico-finanziari“.

La Presidente della Commissione Parlamentare Antimafia, Chiara Colosimo, ha evidenziato come la “Google generation criminale” non commetta solo reati propri del sistema cibernetico ma utilizzi il mezzo nelle comunicazioni e nella consumazione delle condotte per reati comuni. Un esempio significativo è rappresentato dagli ordini impartiti dai capi mafia agli associati non più attraverso i pizzini ma con i dialetti regionali che sfuggono – in ragione della loro particolarità socio-lessicale – agli algoritmi di controllo, veicolati attraverso piattaforme social come TikTok o YouTube, o tramite canzoni neomelodiche. In questo contesto, anche le emoji possono assumere significati codificati: emblematico è il caso della figura del cuore nero trasmessa come ordine di uccidere.

Il cyberspazio ha fornito un terreno particolarmente fertile per questa espansione, permettendo alle mafie di moltiplicare la propria capacità operativa e di estendere il proprio raggio d’azione ben oltre i confini tradizionali. La lotta a questa nuova dimensione del crimine organizzato richiede un ripensamento degli approcci investigativi e preventivi, con una maggiore integrazione tra competenze tradizionali e digitali.

Solo attraverso un impegno coordinato a livello nazionale e internazionale sarà possibile contenere l’espansione della cyber mafia e proteggere cittadini, imprese e istituzioni. Il futuro della sicurezza dipenderà sempre più dalla capacità di anticipare le evoluzioni tecnologiche del crimine organizzato e sviluppare contromisure adeguate, mantenendo un equilibrio tra efficacia investigativa e tutela dei diritti individuali nel mondo digitale. La sfida è complessa, ma non impossibile, a patto che si investa adeguatamente in formazione, tecnologia e cooperazione internazionale.