È ancora avvolta nel mistero la vicenda di Carmelo Miano, l’hacker arrestato nei giorni scorsi capace di penetrare in Procure ed aziende.
Gli hanno dato la caccia per anni prima di riuscire fermarlo, mentre continuava ad apparire e scomparire da un sito all’altro, da una porta d’accesso, dalla pagina login di un portale. Era sempre riuscito a sparire portando con sé la refurtiva: milioni di file, dati sensibili ed informazioni riservate. Ora Carmelo Miano è in carcere. Eppure la sua storia continua a presentare lati oscuri.
Uno tra tutti: perché l’hacker ha trafugato tutte quelle informazioni? Possibile che abbia agito, oltre che per se stesso nell’ostacolare l’indagine che lo riguardava, anche per conto di altri? Un “mago”, come l’ha definito il procuratore capo di Napoli Nicola Gratteri, certo. Ma che ha anche imbarazzato interi apparati istituzionali ed industriali.
“Era facile entrare se i tuoi avversari erano incapaci di difendersi. Ciò che maggiormente sconforta è che lui ha fatto una serie di dichiarazioni che, lette con attenzione e senza immaginarlo come un guascone, parlano di una strada trovata spianata. Non c’erano misure di sicurezza. Si tratta di una frase dal tono auto-assolutorio. Lui ammette di essere entrato, ma se guardiamo al Codice Penale, all’articolo 615 ter, che si occupa dell’accesso abusivo ai sistemi informatici, allora dobbiamo dire che se non ci sono misure di sicurezza, non c’è nemmeno il reato. Ciò può lasciare allibiti”.
A parlare è Umberto Rapetto, esperto di sicurezza informatica, generale della guardia di finanza in congedo, scrittore, docente universitario e consulente di numerose Procure. Rapetto è l’ufficiale che ha catturato e fatto condannare gli hacker penetrati nei sistemi di sicurezza del Pentagono e della Nasa.
Episodi di bullismo nel passato dell’hacker
Facciamo quindi un passo indietro. Carmelo Miano è nato a Sciacca, in Sicilia, 24 anni fa e risulta residente a Gela. Famiglia benestante, figlio di un funzionario sanitario, ha una sorella minore che studia medicina. Ha frequentato il liceo scientifico dimostrando le sue doti. Dai 4 ai 15 anni ha attraversato anche una storia di bullismo. Aggressioni da parte dei compagni, che lo hanno costretto ad un ricovero, che gli avrebbero causato numerosi problemi di salute. Da due anni ha spostato il suo domicilio a Roma, nel quartiere della Garbatella. Qui lavorava per la Ntt Data, il colosso giapponese proprio della cyber security comunque estraneo all’inchiesta.
“Non faccio certo il tifo per il pirata informatico – ha continuato Rapetto – ma non riesco ad ammettere che soggetti che gestivano sistemi informatici delicatissimi e che avevano il dovere di proteggere tali sistemi, non lo abbiano fatto. C’è una linea di demarcazione tra i reati compiuti dall’hacker e quelli che sono sull’altro versante e che è rappresentata dalle misure di sicurezza. Se c’erano davvero allora è colpevole l’hacker; se non c’erano ci dovrebbero essere sanzioni in capo a chi non adotta misure in grado di proteggere informazioni che non sono delle istituzioni, ma di cittadini i cui dati sono stati raccolti. Se non sono state adottate le misure e Miano ha fatto ciò che ha voluto, ciò è di una gravità inaudita”.
Il 24enne in appena 4 anni ha violato i sistemi informatici del Ministero della Giustizia, della guardia di finanza, di Tim e di Telespazio. A luglio 2021 ha violato le credenziali di un dipendente di Noovle spa, un’azienda del gruppo Tim, prelevando dai database i dati di 36,5 milioni di abbonati. Da qui è poi entrato nei portali del Ministero, scaricando decine di terabyte di file. Tra le altre cose, ha eseguito ricerche mirate sulle posizioni private dei pm e degli ufficiali di polizia giudiziaria che stavano conducendo indagini sul suo conto.
Nell’ottobre del 2021 è poi entrato nel sistema della guardia di finanza attraverso la rete satellitare gestita da Telespazio spa, una società di Leonardo. Ci è riuscito tramite un computer di bordo della nave pattugliatore “Greco”, in quel momento ormeggiata a Brindisi. La postazione digitale della nave non sarebbe stata dotata di antivirus e all’utenza dei vertici era possibile accedere anche senza password. Ha poi messo sotto scacco 56 delle 59 postazioni presenti negli uffici giudiziari di Gela, dalle quali, attraverso un account di super-administrator, ha esteso il suo controllo ai server del Ministero della Giustizia dislocati a Napoli.
Ancora tra settembre ed ottobre 2021 l’hacker ha violato due server della rete della Procura di Brescia oltre alla postazione di lavoro in uso ad un sostituto procuratore, da cui ha esfiltrato migliaia di file contenenti atti giudiziari. Miano ha interamente copiato 19 caselle mail della Procura di Brescia e Gela tra cui quelle relative al deposito di comunicazioni notizie di reato, ricezione atti e ancora gli indirizzi deposito atti penali. È anche riuscito a guadagnare 7 milioni di euro sul mercato delle criptovalute. Il 24enne si sarebbe collegato a un portale russo, Russian Market 99, dove è possibile la compravendita di dati sensibili come, per esempio password e dati bancari.
“Il fatto che sia un ragazzino vuol dire poco. Quando comandavo il Gat (il nucleo speciale frodi tecnologiche delle fiamme gialle, ndr) il ‘tiratore scelto’ era un ragazzino di 15 anni. – ha commentato Rapetto – Lui aveva pendenze giudiziarie e può aver cominciato ad entrare nei siti del Ministero, che comunque non ha fascicoli online. È bizzarro che cercava lì qualcosa che lo riguardava. È entrato anche nella posta elettronica ed a quel punto potrebbe essersi messo al servizio di qualcuno. Potrebbe aver agito su commissione”. Un’ipotesi sulla quale è al lavoro la Procura partenopea anche se Miano ha affermato di aver agito da solo, senza alcun mandante.
Le accuse contro Carmelo Miano
Sfiorato da inchieste giudiziarie a Brescia ed a Gela, il giovane è dunque finito in manette. Catturato nella sua abitazione presa in affitto, dopo aver visitato un sito porno. L’arresto da parte della polizia postale è avvenuto quando i computer erano accesi. Quindi è stato possibile accedere alle macchine in maniera aperta e avere tutto decifrato. Il pool reati informatici della Procura di Napoli gli ha contestato i reati di accesso abusivo aggravato a strutture informatiche e diffusione di malware e programmi software, commessi in concorso.
Oltre che su Miano, infatti, l’attenzione della polizia giudiziaria, si è focalizzata su altre sei persone. Tra gli indagati ci sarebbero il padre ed un agente, amico di famiglia. La stessa Procura partenopea, una volta aperta l’indagine, per evitare l’intrusione da parte dell’hacker, è stata costretta a non utilizzare mail ed altri sistemi di messaggistica.
Al momento il 24enne si trova presso il carcere Regina Coeli di Roma, dove è in attesa dell’interrogatorio di garanzia del gip. Il suo legale ha presentato un’istanza al Riesame di Napoli per chiedere l’attenuazione della misura cautelare del carcere. Nella richiesta depositata dal legale è stata sottolineata l’insussistenza del pericolo di fuga, del rischio di inquinamento delle prove e della possibilità di reiterare i reati contestati. Secondo l’avvocato, inoltre, il dossier dovrebbe essere trasferito alla Procura di Perugia. Il motivo è che dopo “gli accessi, ammessi da Miano, alle caselle di posta elettronica di alcuni magistrati inquirenti” vi sarebbe “l’incompetenza funzionale delle procure della Repubblica di Napoli e di Roma”.
“I fascicoli vengono mossi tra i magistrati e tra la polizia giudiziaria. – ha concluso Rapetto – Non c’è nulla che sia raggiungibile via internet. I fascicoli sono di carta. Ogni singola Procura è un’isola a sé stante. Non sappiamo in quante realtà sia penetrato, ma lui aveva il doppione della chiave di casa. È un fatto di enorme gravità. I sistemi informatici non sono stati in grado di scoprire i tentativi, di intercettarli né di capire quale flusso in uscita ci può essere stato. Ragionando sulla mia esperienza, ciò che spaventa è che possa aver rivenduto le chiavi. Dubito che abbia sul suo pc tracce di quello che ha fatto. Le avrà ‘parcheggiate’ in giro per il mondo”.