Quando i server si fermano
A luglio 2025 una taskforce internazionale di inquirenti informatici riesce a smascherare tre sospetti criminali. Il caso dimostra l’importanza della cooperazione internazionale di polizia, in particolare nella lotta contro i cibercriminali che operano in rete a livello transnazionale.
Mirata, coordinata e con un messaggio politico: così viene descritta dalle inquirenti e dagli inquirenti l’ondata di attacchi DDoS che nel giugno 2023 colpisce più di 200 siti Internet svizzeri. DDoS sta per «distributed denial of service» e designa un metodo di attacco in cui i server vengono subissati da enormi quantità di richieste tanto da causarne la paralisi. Lo scopo è bloccare i servizi digitali o comprometterne la disponibilità. Nel 2023 ad essere particolarmente colpita è la piattaforma del Parlamento. Il gruppo di hacker filorusso NoName057(16) rivendica gli attacchi, confermando la sua intenzione di voler destabilizzare le democrazie occidentali.
Ad attacchi ancora in corso, fedpol si rende conto che non si tratta di guasti tecnici isolati, bensì di attacchi informatici coordinati di matrice internazionale. Assieme al Ministero pubblico della Confederazione e all’Ufficio federale della cibersicurezza, fedpol avvia indagini di ampia portata.
Una risposta internazionale a una rete internazionale
Già nel 2023 fedpol solleva il caso a livello europeo e avvia, assieme al Canada, l’operazione EASTWOOD, che in seguito crescerà arrivando a coinvolgere 19 Paesi. L’operazione è coordinata da Europol e dalla Joint Cybercrime Action Taskforce (J-CAT).
Dal 2023 al 2025 si verificano in tutto il mondo centinaia di attacchi DDoS rivendicati da NoName057(16). Grazie a un’analisi dettagliata dei ciberattacchi, fedpol riesce a riconoscere uno schema. Gli indizi ottenuti sulla struttura del gruppo e gli ulteriori elementi scaturiti dalle indagini consentono di identificare i responsabili. Il risultato: nella primavera 2025 tre presunte persone chiave del gruppo di hacker vengono smascherate e segnalate per l’arresto.
Il 15 luglio 2025 viene smantellata la rete di bot, ossia un gruppo di centinaia, se non addirittura migliaia, di computer comandati a distanza da un altro computer tramite file installati in precedenza e utilizzati per compiere determinate azioni. In diversi Paesi le forze d’intervento perquisiscono abitazioni, sequestrano computer e scollegano server dalla rete. In tutto il mondo vengono disattivati più di 100 sistemi, tra cui l’infrastruttura centrale di NoName057(16). Vengono spiccati dieci mandati d’arresto, di cui due eseguiti direttamente. A oltre 1000 persone, sostenitrici della rete, viene notificato che potrebbero essere ritenute penalmente responsabili per aver installato il collegamento alla rete sui loro computer. In Svizzera non si rendono necessarie perquisizioni; a quanto risulta non ci sono computer svizzeri collegati alla rete.
Nascosti nella rete, ma non intoccabili
Il gruppo di hacker ha sempre scelto con grande consapevolezza il momento per i suoi attacchi, lanciando così messaggi dal forte valore simbolico: in occasione del discorso del presidente ucraino Volodymyr Zelensky a Palazzo federale nel giugno 2023, del Forum economico mondiale nel gennaio 2024, dell’Eurovision Song Contest a Basilea nel maggio 2025. Il gruppo vuole provocare, suscitare scalpore e seminare insicurezza. Con l’operazione EASTWOOD è però chiaro che nemmeno nello spazio digitale gli autori riescono a nascondersi nell’anonimato del mondo virtuale, se le autorità di perseguimento penale agiscono assieme con determinazione.
Il caso NoName057(16) dimostra quali siano oggi i presupposti per contrastare con successo la cibercriminalità: capacità di pensare e agire a livello transfrontaliero, know-how tecnologico e un ampio coordinamento. Un ruolo che fedpol svolge in qualità di punto di raccordo nazionale.
«Sono fiero che fedpol, insieme al Canada, abbia potuto avviare una tale operazione, che ha coinvolto così tanti Paesi. Abbiamo avuto successo grazie a un ottimo lavoro di squadra che ha visto la collaborazione della nostra rappresentanza J-CAT presso Europol, dell’informatica forense, dell’analisi criminale operativa così come delle inquirenti e degli inquirenti.»
Andreas, inquirente federale Cibercriminalità