Carmelo Miano aveva tre milioni di dollari in bitcoin e parlava con i russi dalla sua casa romana alla Garbatella. Aveva creato un mercato illegale virtuale dal nome prestigioso: Berlusconi Market.
Il 23enne ha cominciato a infiltrarsi nei sistemi informatici del tribunale di Gela e poi in quelli della procura di Brescia e del ministero della Giustizia. Perché voleva sapere a che punto erano le indagini nei suoi confronti per i reati di truffa a un’assicurazione e per traffico di criptovalute. Da lì si è spinto a penetrare nei siti di Guardia di Finanza, Tim, Telespazio, ma anche nel dark web.
Carmelo Miano è stato recentemente arrestato: durante questi tre anni di attività illegale, Miano è riuscito ad appropriarsi di una quantità significativa di dati sensibili, il cui utilizzo rimane ancora incerto.
Il caso Miano: la vicenda
L’attività di hackeraggio è cominciata nel 2021. Innanzitutto, Miano è riuscito a infiltrarsi nei server della Guardia di Finanza, sfruttando la rete satellitare gestita da Telespazio. Questo successo iniziale ha segnato l’inizio di una serie di attacchi contro istituzioni di rilievo.
Dopo aver colpito la Guardia di Finanza, Miano è riuscito a violare i server di TIM, sfruttando le credenziali di accesso ottenute illecitamente da un dipendente. In quell’occasione, il giovane hacker ha scaricato database contenenti milioni di dati personali degli utenti. Grazie a queste informazioni, Miano è poi riuscito a penetrare nei sistemi del Ministero della Giustizia, ottenendo documenti legati alle indagini su di lui.
Nonostante il suo obiettivo principale fosse quello di monitorare le indagini su di lui, sembra che Miano avesse altre motivazioni. Infatti, le indagini hanno rivelato l’utilizzo costante del portale Russian Market 99 è un sito di e-commerce del Criminal Hacking dedicato alla vendita illegale di informazioni sensibili come password, dati bancari e carte di credito, particolarmente orientato all’Italia: per questo dovrà fronteggiare anche l’accusa di riciclaggio.
Violazioni in ambito cybersecurity: l’arresto di Miano e le reazioni
Le indagini, condotte dal team specializzato in reati informatici della Procura di Napoli e supervisionate dalla Procura Nazionale Antimafia e Antiterrorismo, hanno evidenziato l’ampiezza delle attività svolte da Miano.
Le sue azioni sono state documentate attraverso delle microspie piazzate vicino alla sua postazione. Un’importante conferma della sua identità è arrivata attraverso l’accesso a un sito pornografico, da cui è stato possibile tracciarlo.
Nonostante l’errore “banale” che ha portato alla sua identificazione, secondo gli investigatori Miano “è il più bravo che esiste in Italia”.
Il 2 ottobre la Polizia Postale ha arrestato Carmelo Miano, segnando un importante progresso nelle indagini su una serie di attacchi informatici che hanno allarmato il Paese.
Gli investigatori hanno raccolto prove significative sulle sue attività, evidenziando le sue avanzate competenze informatiche, che hanno sorpreso anche gli esperti di cybersecurity.
L’arresto ha suscitato diverse reazioni nelle istituzioni italiane e nel settore della sicurezza informatica. Il ministro dell’Interno- Matteo Piantedosi ha evidenziato la crescente minaccia degli attacchi informatici, sottolineando la gravità del rischio rappresentato dai cybercriminali e l’importanza di una risposta coordinata che coinvolga Stato, privato, ricerca e università per difendere meglio i sistemi informatici.
Le intrusioni di Miano hanno rivelato la vulnerabilità dei sistemi italiani, spingendo le aziende di cybersecurity a chiedere più formazione e aggiornamenti per gli operatori.
Dopo l’arresto, l’azienda per cui Miano lavorava – NttData – ha dichiarato di non essere a conoscenza delle sue attività criminali e ha preso provvedimenti immediati. Questo caso ha sottolineato la necessità di rivedere e potenziare i protocolli di sicurezza sia nelle istituzioni pubbliche che private.
Il caso Miano: l’importanza di rafforzare la cybersicurezza nazionale
L’arresto di Carmelo Miano ha evidenziato gravi falle nei sistemi di sicurezza informatica, non solo a livello governativo, ma anche in settori chiave.
Questo episodio solleva dubbi sulla capacità delle infrastrutture digitali italiane di fronteggiare le minacce in continua evoluzione. Le sofisticate tecniche utilizzate da Miano hanno dimostrato la necessità per gli esperti di cybersecurity di rivedere e potenziare le loro strategie di difesa.
Le indagini hanno mostrato come Miano abbia sfruttato le vulnerabilità nei protocolli di sicurezza, mettendo in discussione l’efficacia delle attuali misure di protezione. Con la rapida evoluzione della tecnologia, diventa sempre più necessario per istituzioni pubbliche e private adottare un approccio proattivo e costantemente aggiornato per affrontare i nuovi tipi di attacchi.
Da questo emerge, inoltre, è l’urgenza di una collaborazione tra settore pubblico e privato per migliorare la sicurezza cibernetica.
Infine, le intrusioni nei sistemi pubblici pongono questioni di responsabilità legale e gestione del rischio. Serve chiarire chi è responsabile in caso di violazioni e stabilire regolamenti che garantiscano adeguate misure di sicurezza, ripristinando così la fiducia del pubblico nelle istituzioni.
L’episodio Miano ha dimostrato che la cybersicurezza deve essere una priorità nazionale, con un focus sulla formazione continua e la creazione di una cultura della sicurezza digitale, per un ambiente online più sicuro e resiliente.
Il caso Miano: preoccupazioni in materia di dati personali
Dal caso di Carmelo Miano emergono diverse preoccupazioni legate alla protezione dei dati sensibili e al rispetto del GDPR, tra cui:
- Violazione della sicurezza dei dati: il GDPR impone alle organizzazioni di adottare misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio associato al trattamento dei dati personali. Nel caso di Miano, è evidente che molti dei sistemi violati (come quelli della Guardia di Finanza e di TIM) presentano vulnerabilità gravi. Questa mancanza di protezioni costituisce una chiara violazione dell’articolo 32 del GDPR, che specifica che le organizzazioni devono assicurare la riservatezza, l’integrità e la disponibilità dei dati personali trattati;
- Accesso non autorizzato ai dati personali: l’hacker in questione è riuscito a penetrare nei database contenenti milioni di dati sensibili, come quelli di TIM, che trattano informazioni personali di utenti. Il GDPR considera l’accesso non autorizzato a tali informazioni come una violazione dei diritti dei cittadini europei. Ogni violazione di dati personali, come quella avvenuta, obbliga l’organizzazione a notificare il Garante della Privacy entro 72 ore e, se necessario, avvisare anche le persone interessate;
- Trattamento di dati giudiziari e sensibili: un altro aspetto critico riguarda il trattamento dei dati giudiziari e sensibili. Nel GDPR, i dati giudiziari, che comprendono informazioni legate a procedimenti legali o penali, sono considerati estremamente delicati e richiedono misure di sicurezza adeguate. L’accesso di Miano alle email tra magistrati e ai fascicoli delle indagini rappresenta una violazione grave;
- Principio di accountability: un punto fondamentale del GDPR è la responsabilità delle organizzazioni – principio di accountability. Le organizzazioni che trattano dati devono dimostrare di aver adottato tutte le misure necessarie per proteggere le informazioni personali. Le falle di sicurezza nei sistemi informatici italiani, evidenziate dall’attacco di Miano, suggeriscono che molte di queste istituzioni non sono state conformi a tali requisiti. Ciò espone le organizzazioni non solo a sanzioni, ma anche a responsabilità civili per eventuali danni causati agli individui.
In conclusione, il caso di Carmelo Miano mette in luce come la mancanza di adeguate misure di sicurezza e la vulnerabilità dei sistemi informatici possano portare a gravi violazioni del GDPR, con conseguenze legali e finanziarie significative. È un segnale forte dell’urgenza di migliorare le infrastrutture di sicurezza informatica per proteggere i dati sensibili, specialmente in ambito pubblico e istituzionale