Red Hot Cyber

La cybersecurity è condivisione.
Riconosci il rischio, combattilo, condividi le tue esperienze ed 
incentiva gli altri a fare meglio di te.

Cerca

RHC intervista il colonnello della GdF Gian Luca Berruti del Nucleo Speciale Frodi Tecnologiche.

Massimiliano Brolli : 13 Febbraio 2022 20:46

  

Autore: Massimiliano Brolli, Roberto Villani
Data Pubblicazione: 09/02/2022

Siamo abituati ad azioni contro il cybercrime da parte della nostra Polizia Postale, ma molti non conoscono che esiste un’altra entità di eccellenza tutta italiana, appartenente alla Guardia di Finanza, che dal 2012 lavora alacremente contro gli illeciti economico-finanziari perpetrati attraverso la rete.

Si tratta di una reparto d’élite denominato Nucleo Speciale Tutela Privacy e Frodi Tecnologiche e si occupa di contrastare il cybercrime, per tutto ciò che riguarda le frodi telematiche ed informatiche, nonché tutelare la privacy dei consumatori. Questa brigata speciale, composta unicamente da finanzieri in possesso di peculiari competenze cyber, ha competenza nazionale (la base è a Roma), spiccata proiezione internazionale e attitudini investigative innovative (tra cui l’uso dell’Intelligenza Artificiale e una unità specializzata sulle cryptovalute). E’ l’unico reparto operativo italiano capace di riuscire in più occasioni nel difficilissimo compito di deanonimizzare e smantellare interi Market sul Dark Web, arrestandone perfino i clienti e gli organizzatori. Dal 2020 è comandato dal Generale Flavio Urbani.

Tra le tante brillanti operazioni concluse nell’ultimo biennio (tra cui quelle sui falsi Green Pass, il phishing bancario, le truffe online di ogni genere e sorta e la celebre ‘Black IPTV’ sulla pirateria audiovisiva in rete) con una complessa e articolata investigazione informatica, coordinata dal IV Dipartimento della Procura della Repubblica di Milano, i finanzieri del Nucleo Speciale Tutela Privacy e Frodi Tecnologiche hanno di recente concluso un’importante indagine, sgominando un’organizzazione dedita al traffico di dati personali, appartenenti a numerosissimi ed ignari cittadini italiani.

Red Hot Cyber ha richiesto una intervista con il Colonnello Gian Luca Berruti, a capo del Gruppo Investigativo, per parlare del Nucleo e comprendere meglio i fatti accaduti, anche perché non avevamo mai visto prima d’ora un attacco al collezionismo da parte del cybercrime da profitto.

Di fatto si è trattato di un altro colpo basso alla nostra privacy, dove migliaia di generalità comprensive di numero di telefono e dell’indirizzo di residenza di clienti “selezionati” (tra i quali acquirenti di opere d’arte e numismatica di rinomate aziende del settore), venivano indebitamente trafugate, catalogate e commercializzate, senza il dovuto consenso delle vittime, mediante apposite società “schermo” costituite all’estero e intestate a prestanome.

Quanto messo in atto, era un ingegnoso sistema posto in essere unicamente per eludere le normative a tutela dei dati personali dei consumatori e di disporre senza vincoli di preziose liste di clienti a cui sottoporre successivi prodotti, con un giro di centinaia di migliaia di euro.

Gli indagati si presentavano telefonicamente anche come agenti della nota Enciclopedia Treccani, per promuovere in maniera subdola quadri ed enciclopedie ed altri prodotti, con la scusa di rivalutare le opere d’arte già in loro possesso, previo appuntamento.

Attraverso indagini ad alto contenuto tecnologico e strumenti di investigazione all’avanguardia, sono stati identificati gli ideatori ed esecutori dell’attività fraudolenta relativa al trattamento illecito dei dati; nei loro confronti sono state eseguite numerose perquisizioni nelle province di Napoli, Caserta e Milano, segnalando i fatti all’Autorità Garante per la protezione dei dati personali.

RHC: Salve Colonnello Berruti e grazie per aver dato seguito a questa intervista. Come sa, la nostra rivista si occupa di sicurezza informatica e molto spesso parliamo delle prodezze della Polizia Postale che ci consente di essere a contatto di un cyberspace più pulito. Ci può spiegare semplicemente quali sono le differenze di mandato tra le vostre operazioni e quelle della polizia Postale?

Colonnello Gian Luca Berruti: Il fiore all’occhiello della Guardia di Finanza sono i Reparti Speciali, che nascono con l’intento di sviluppare “specializzazioni”. In tale contesto, il Nucleo Speciale Tutela Privacy e Frodi Tecnologiche si caratterizza per il contrasto al cybercrime nel settore della polizia economico-finanziaria. Inoltre, sulla base di tale presupposto e delle peculiari competenze dei militari del Nucleo, è stato siglato un protocollo d’intesa con l’Autorità Garante per la Protezione dei Dati Personali, al fine di progettare ed espletare attività investigative nell’ambito del trattamento illecito dei dati personali. Siamo dunque assolutamente sinergici e complementari con i colleghi della Polizia Postale e gli omologhi reparti speciali dei Carabinieri e ci fregiamo di aver condotto insieme diverse brillanti operazioni tra cui spicca ‘Exodus’ sotto il coordinamento della Procura di Napoli.

RHC: Che tipologie di skill tecnici avete al vostro interno? Immaginiamo che abbiate risorse esperte in tecniche OSINT, in ingegneria sociale. Quali possono essere gli skill sui i quali le nuove leve possano investire per entrare a far parte delle forze dell’ordine, per aiutare la comunità a contrastare il crimine informatico?

Colonnello Gian Luca Berruti: I militari in servizio presso il Nucleo Speciale Tutela Privacy e Frodi Tecnologiche sono prima di tutto appassionati della materia, la cui dinamicità e rapidità di evoluzione richiedono un aggiornamento costante e una forte dedizione.

Immaginare che alcuni dei vostri lettori leggendo l’articolo e venendo a conoscenza di questo Nucleo Speciale possano desiderare di arruolarsi nelle Fiamme Gialle e farne parte sarebbe, per noi, motivo di orgoglio. È quasi inutile precisare come le nuove generazioni siano le più adatte a questo mondo perché possessori di menti elastiche, della capacità di superare il limite della concretezza sapendo così destreggiarsi in questo mondo in continua evoluzione. Una buona preparazione informatica e l’informazione costante e aggiornata sarebbero basi già sufficienti da unire tuttavia ai requisiti più importanti, quelli morali, legati ad uno spiccato senso di responsabilità e alla volontà di fare per gli altri. Bisogna infine avere una grande disponibilità a conoscere, comprendere ed imparare ad usare gli ultimi ritrovati della tecnologia perché oggi la vera partita si gioca su questo fronte e la criminalità è particolarmente abile nel trarne beneficio. Concludo dicendo che nei prossimi anni un ruolo sempre più centrale sarà ricoperto dagli analisti: un investigatore 2.0 in grado di effettuare digitalmente le tradizionali attività di ricerca delle prove.

RHC: Andando all’operazione Treccani. Da quanto abbiamo letto, si è trattata di un’indagine a largo spettro, dove alcune aziende avevano dei prestanome al di fuori dell’Italia. Una rete altamente organizzata dove criminali di diversa natura hanno collaborato tra loro. Quale è stato il “campanello di allarme” e come vi siete accorti che qualcosa non stava funzionando al meglio?

Colonnello Gian Luca Berruti: L’indagine ha avuto inizio da una denuncia querela della società Treccani Reti S.p.a. alla quale, tale fattispecie, veniva segnalata dalla propria clientela. Le Dichiarazioni a noi rese dai clienti hanno consentito di ricostruire il modus operandi delle società denunciate, appurando la presenza di un call center che effettuava un preliminare contatto telefonico e curava successivi contatti e scambi di mail tra acquirenti e il venditore fino ad organizzare le visite presso i domicili. Le perquisizioni locali e personali, delegate dall’Autorità giudiziaria, nei confronti delle società interessate e degli indagati hanno confermato il modus operandi e restituito materiale cartaceo e digitale attestante l’acquisto di liste clienti con le relative fatture di compravendita extra UE. A seguire, anche tracciando i flussi monetari, soprattutto verso l’estero, sono state individuate le società responsabili del trattamento illecito.

RHC: I nostri lettori sono generalmente dei tecnici. Avete parlato di un’indagine “ad alto contenuto tecnologico e strumenti di investigazione all’avanguardia”. Ci può raccontare, se possibile, qualcosa in più su questa operazione dal punto di vista tecnico?Colonnello Gian Luca Berruti: Pur non potendo parlarne dettagliatamente, posso sicuramente dire che anche in questo caso sono state utilizzate avanzate tecniche di Open Source Intelligence e strumenti di altissimo profilo che hanno avuto un ruolo determinante per sgominare i partecipanti all’organizzazione criminale. I Bot e gli Avatar sono ormai strumenti imprescindibili per poter operare in maniera proficua nelle indagini di polizia giudiziaria bypassando le tempistiche connesse all’approccio tradizionale che si basava unicamente sul seguire la traccia degli indirizzi IP mediante provvedimenti giudiziari difficili da eseguire con tempismo anche per via della trasnazionalità della rete.

RHC: Abbiamo letto che la rete di vendita dell’enciclopedia Treccani ha ringraziato il NSTPFT, per aver sgominato questa banda di criminali informatici. Quanto è stata fondamentale l’azienda Treccani in questa operazione?

Colonnello Gian Luca Berruti: L’azienda Treccani ha, come detto, dato impulso alle indagini tramite la sua denuncia querela. È stata, quindi, indispensabile l’attenzione che l’azienda in parola ha prestato ai propri clienti ascoltando le richieste e le lamentele degli stessi. Allo stesso modo l’azienda ha avuto piena fiducia del nostro operato ed ha collaborato alle nostre indagini mettendo a disposizione i propri responsabili.

RHC: Un’investigazione può durare molto tempo: quali sono state le azioni immediate che avete messo in atto per proteggere i dati personali sottratti?

Colonnello Gian Luca Berruti: Le investigazioni hanno permesso di sequestrare liste contenenti i nominativi di decine di migliaia di consumatori e di individuare, anche seguendo i flussi di denaro, le società che illecitamente avevano raccolto e diffuso i dati personali, mettendo, in tal modo, la parola “fine” a questo spregiudicato fenomeno. Il Reparto ha immediatamente informato le persone vittime del trattamento illecito, dopo averne verificato e tracciato scrupolosamente la catena del consenso, sia da parte degli utenti che delle aziende detentrici del dato. Successivamente sono state avviate diverse azioni di monitoraggio sulla rete finalizzate a identificare ove i dati sarebbero potuti essere diffusi e soprattutto il soggetti che avrebbero avuto interesse ad acquisirli. Tali attività possono essere eseguite in virtù delle specifiche competenze in materia di Data Protection del Colonnello Menegazzo e degli uomini del Gruppo Privacy del Nucleo, interlocutore privilegiato dell’Autorità Garante per la Protezione dei Dati Personali.

RHC: Spesso le organizzazioni criminali hanno reti molto ampie, le è capitato, mentre lavorava ad un caso, di doverne aprire un secondo trovando dei collegamenti?Colonnello Gian Luca Berruti: Certamente. Soprattutto nell’ambito delle investigazioni digitali, considerata l’ampiezza della rete internet, non è raro imbattersi in fenomeni criminali connessi e addirittura dietro ai quali si celano le stesse organizzazioni. Infatti è prassi consolidata da parte della criminalità operare contemporaneamente su più fronti ed attraverso sofisticate tecniche tali da eludere e dissimulare l’origine delle azioni malevoli rendendo ardua l’azione investigativa. Dunque la rilevazione di eventuali connessioni e collegamenti tra casi diversi è un fattore che può tornare vantaggioso ai fini dell’identificazione degli autori di un reato.

RHC: Spesso parliamo su Red Hot Cyber, che per questioni di indagini o per altri motivi, non si danno informazioni tecniche di quelle che sono le Tecniche, Tattiche e Procedure (TTPs), utilizzate durante gli attacchi informatici. Noi siamo dell’idea che la sicurezza informatica è collaborazione, è “fare rete” e se non condividiamo le esperienze, se non facciamo “lesson learned” specialmente negli attacchi ransomware, non permettiamo ad altre organizzazioni di proteggersi al meglio facendo tesoro degli incidenti avvenuti ad altre aziende.

Cosa pensa in relazione a questo aspetto?

Colonnello Gian Luca Berruti: Sono del parere che la divulgazione e la condivisione sono da sempre le armi migliori. Una giusta comunicazione effettuata con il giusto tempismo può produrre effetti importanti per la salvaguardia del cyber spazio.

È sempre più imprescindibile implementare una consolidata attività di information sharing per una rapida comprensione delle minacce in corso e favorire quindi l’adozione efficace di contromisure alle attività malevoli poste in essere dalle organizzazioni criminali. L’orientamento ad una cyber resilienza comune, che è stata man mano implementata negli ultimi anni in Italia attraverso le diverse disposizioni normative e culminate con l’istituzione di una organizzazione unica di riferimento quale l’Agenzia per la Cybersicurezza Nazionale, a mio parere, è la strada giusta per raggiungere nel medio periodo una riduzione della criminalità informatica grazie all’adozione di appropriate misure di sicurezza e alla tempestiva condivisione di dati e informazioni.

RHC: Sappiamo che le organizzazioni criminali investono le loro illecite liquidità maggiormente nei momenti di crisi sociale, e la pandemia che stiamo vivendo sta modificando il paradigma sociale, facilitando le imprese criminali. Quanto secondo lei i criminali stanno investendo o investiranno nel settore cyber?

Colonnello Gian Luca Berruti: La pandemia ha prodotto un notevole incremento dell’utilizzo delle piattaforme online. Ciò che prima era di utilizzo di una cerchia ristretta ora è di proprietà di molti. Entrare in contatto con il mondo online è sicuramente un vantaggio, ha aiutato a sopperire alle difficoltà che questo orribile periodo ci ha presentato ma, come sempre, c’è un altro risvolto. L’esponenziale crescita delle truffe online e degli attacchi informatici non lascia che pensare che i cybercriminali abbiano potenziato i loro strumenti e che è quindi inevitabile preparare gli utenti alla “difesa digitale”. Per ridurre l’impatto dei fenomeni criminali legati alla rete è quindi necessario impartire una “educazione digitale”, una sorta di “vademecum” contenente le regole di prudenza da seguire quando si naviga in Internet, rendendo gli utenti consapevoli degli strumenti in possesso e dei rischi derivanti dall’errato utilizzo.

RHC: Cambiamo argomento, secondo lei quanto incide nel futuro la componente intelligence, nel nuovo campo Cyber? Sappiamo che la GdF come le altre FF.OO italiane ha stretti collegamenti con il settore dell’intelligence nazionale; quanto può questo settore essere rilevante nella protezione strategica ed economica degli interessi nazionali?

Colonnello Gian Luca Berruti: La prevenzione e la repressione dei fenomeni cyber, che vedono impegnati da un lato i servizi di “intelligence” dall’altro le Forze di Polizia, rappresentano ormai una delle principali attività a tutela della sicurezza nazionale e dell’ordine e la sicurezza pubblica. Ancora, l’emersione del cyberspazio come quinto dominio, presente in ogni conflitto tra Stati, rappresenta la necessità di difenderlo con la cybersecurity e sta spingendo a riflessioni ad alti livelli. È pertanto auspicabile, per una maggiore efficacia dei sistemi di protezione messi in campo, di un approccio olistico che possa includere in maniera sinergica le differenti expertise appartenenti ai differenti settori della sicurezza. La tecnologia si sviluppa rapidamente e parallelamente si sviluppano le capacità per sfruttarle in maniera illecita, da ultimo assistiamo all’approdo al Metaverso, una realtà in grado di toccare tantissimi aspetti del mondo e della vita di tutti noi e che aprirà sicuramente a scenari nuovi di criminalità i quali vanno fronteggiati con il dispiego efficace di competenze trasversali.

RHC: Ultima domanda Colonnello, molti paesi europei hanno sviluppato nuove forme di prevenzione economica e finanziaria, dalle aggressioni informatiche esterne, che molti criminali anche finanziati dagli stati più aggressivi – pensiamo alla Corea del Nord, all’Iran per esempio – portano ogni giorno verso target istituzionali. L’Italia ha nella GdF la Polizia di protezione economica e finanziaria, possiamo dire ai nostri lettori che anche l’Italia non è da meno di altri paesi?

Colonnello Gian Luca Berruti: Nonostante l’evoluzione delle aggressioni informatiche esterne e le crescenti minacce cyber con le quali si è costretti a combattere quotidianamente, la Guardia di Finanza rappresenta un potente scudo, anche nel campo informatico, a tutela degli interessi economico-finanziari del Paese. Posso affermare con certezza che l’Italia non è da meno degli altri paesi, ma è importante non abbassare mai la guardia. L’approccio innovativo che ci ha consentito di risolvere brillantemente questo e altri casi recenti rappresenta solo l’inizio della nuova frontiera investigativa che pone al centro delle indagini gli ultimi ritrovati della tecnologia a supporto degli operatori: mi riferisco ad esempio alle piattaforme olistiche a noi in uso basate su intelligenza artificiale in grado di analizzare e correlare proattivamente tra loro i big data acquisiti mediante la digital forensics con specifiche ricerche proattive sulla rete e sul dark web dei bot e degli avatar, le evidenze e le tracce rilasciate dalle aggressioni cyber e le transazioni economico finanziarie effettuate attraverso criptovalute.

Posso assolutamente confermare che nel panorama nazionale vi sono diverse realtà aziendali in grado di competere tecnologicamente in maniera brillante con i competitor stranieri, tale fattore è di buon auspicio per un approccio orientato sempre più allo sviluppo e tutela di una tecnologia nazionale sovrana.

Ricordiamo ai nostri lettori che le nostre pagine sono sempre a disposizione per dare rilievo alle operazioni svolte dalle forze dell’ordine contro la criminalità informatica organizzata.

Ringraziamo il Colonnello Gian Luca Berruti due volte, sia per averci concesso questa intervista e sia per il costante lavoro al contrasto del crimine informatico, in quanto mai come oggi l’Italia ne ha bisogno.

Massimiliano Brolli
Responsabile del RED Team di TIM S.p.a. e dei laboratori di sicurezza informatica in ambito 4G/5G. Ha rivestito incarichi manageriali in Telecom Italia che vanno dal ICT Risk Management all’ingegneria del software alla docenza.