Il concetto di “seguire il denaro”, per ottenere degli importanti risultati investigativi, è sicuramente presente nella storia della polizia giudiziaria nazionale, considerando l’antimafia, prima, e l’antiterrorismo, dopo, specie all’indomani dell’11 settembre 2001, e all’instaurarsi di un frameworkinternazionale più puntale per contrastare Al Quaeda, ISIS e sigle satelliti (ma anche indipendenti, tipo Hezbollah).

Follow the money: l’insegnamento di Giovanni Falcone

Quanto atteso dagli inquirenti potrebbe quindi spaziare dal recupero di fondi altrimenti distratti, all’individuazione di prestanomi e, contestualmente, di quei reali fruitori del denaro nel frattempo accumulato. Ancora, dal ricostruire le transazioni occorse tra soggetti differenti (anche con commistione tra persone giuridiche e fisiche) fino all’interfacciarsi con ordinamenti giuridici e/o statuali differenti e quindi anche con reati, a volte, altrove non più perseguibili.

Protagonista assoluto, specie per il particolare momento storico che ha vissuto – fragilità del sistema politico nazionale, transizione tra il contrasto all’eversione a quello verso una criminalità organizzata sempre più strutturata, con anche attacco fisico a figure istituzionali, e contigua alla politica e all’imprenditoria, fino alle intervenute modifiche al codice di rito e ristrutturazione uffici giudiziari – è stato, indubbiamente, Giovanni Falcone.

“Seguire il denaro” è quindi diventato un mantra, certamente unitamente ad altri strumenti presenti nella faretra dell’investigatore, sicuramente oggi supportato dalla tecnologia intervenuta, dall’interazione con banche dati sempre più strutturate e con una maggiore cooperazione internazionale, sia di polizia che giudiziaria (EPPO, Eurojust, Europol, Interpol, sono esempi tangibili di ciò, unitamente all’ordine europeo d’indagine).

Tecnologie e nuovi paradigmi investigativi

Un’epoca in cui, come facilmente riscontrabile, sia in atti giudiziari che, conseguentemente, nelle sentenze che hanno caratterizzato il contrasto alla criminalità organizzata, almeno dal primo maxi processo fino ai rapporti annuale della Direzione Investigativa Antimafia (vds. Rel. DIA sul primo semestre 2022, criptovalute ed NFT erano un fenomeno d’interesse per la C.O.), constatando l’importanza di intercettare i fondi, affiancando ciò al fiorire di nuove tecniche investigative ma soprattutto l’approccio a nuovi paradigmi supportati da una normazione in fieri, anche di taglio sovranazionale.

Facile quindi (seppur eufemisticamente, ovvio – ndr.) descrivere un passaggio dalla verifica cartolare della documentazione finanziaria al seguire una transazione economica oggi basata sull’interazione tra token, blockchain e quindi denaro “non fiat” che, di fatto, per sua natura, non ha neppure un riferimento centrale come emittente, e che richiede – perdipiù – anche una sua conversione successiva, per poter essere spesa come di consueto.

È in questo nuovo contesto che si muovono le indagini, anche utilizzando “approcci spartani”, come può essere l’osint, l’open source intelligence, l’utilizzo di applicativi dedicati e di professionalità “nuove”, nell’ambito della polizia giudiziaria.

Dalla tradizione all’approccio digitale, come cambiano le indagini

Nel corso degli anni, le forze di polizia italiane hanno perfezionato le proprie tecniche per “seguire il denaro”, un metodo, come già accennato, assolutamente cruciale per contrastare le attività illegali. In tempi di PNRR(e quindi di fondi afferenti al Next Generation Europe e al dopo pandemia da Covid19) è “facile” ricondurre tale azione all’impedire la distrazione di fondi che altrimenti pregiudicherebbero il raggiungimento di mileston e target.

Ovviamente condotte criminose come il riciclaggio di denaro, le frodi finanziarie e le grandi evasioni fiscali alle entrate, o comunque concernenti le truffe aggravate ai danni dello Stato, e di conseguenza, mancati introiti alla spesa pubblica, sono molto più “comuni” di quel che si potrebbe pensare, e non hanno come protagonisti solo affiliati alla criminalità organizzata.

Come richiamato in premessa, in passato, le indagini finanziarie erano incentrate su analisi minuziose rivolte ai documenti cartacei posti a disposizione da istituti di credito ed enti finanziari, quindi gli accertamenti venivano eseguiti manualmente.

Il trascorrere del tempo, e l’ovvio incedere della tecnologia, ha comportato un mutamento operativo in favore di una maggiore digitalizzazione dei dati che, trattati, sarebbero diventati una florida base informativa, sempre in forza di decreti emessi dalla magistratura, sia essa in sede civile, penale o tributaria.

Le norme che regolano la creazione di archivi digitali a supporto delle indagini finanziarie

La successiva creazione di archivi digitali, a supporto delle indagini finanziarie, è stata regolamentata nel tempo da differenti norme, già il Decreto Legislativo 218/1997 ebbe a normare l’accertamento fiscale anche con adesione alla conciliazione giudiziale, migliorando l’efficienza di quelle attività tecniche ora eseguite con maggiore celerità. Anche l’ambito penale è stato interessato – inevitabilmente – in particolare con disposizioni extra codicem.

Il Decreto Legislativo 231/2007, la legge 90/2024 e il MOG 231

Il Decreto Legislativo 231/2007, per esempio, tra l’altro recentemente innovato in forza della l. 90/2024 (G.U. 02.07.2024), circa il rafforzamento della cybersicurezza nazionale e il contrasto ai crimini informatici.

Il MOG 231 ha di fatto stabilito le disposizioni in materia di prevenzione dell’uso del sistema finanziario, con lo scopo di contrastare condotte lesive come il riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo.

Il decreto, quindi, ha introdotto l’obbligo per gli intermediari finanziari di segnalare le operazioni sospette all’Unità di Informazione Finanziaria(U.I.F.), il quale alimenta un database che sarà poi accessibile alle forze di polizia, per tutte le verifiche che il caso prospetti.

Il codice antimafia

Ancora, anche il codice antimafia, nella fattispecie il Decreto Legislativo 159/2011, ha istituito le misure di prevenzione patrimoniali e personali, includendo – nell’istruttoria delle pratiche necessarie all’ottenimento delle misure stesse, a carico di particolari individui, in funziona della loro pericolosità e continuità – la raccolta informativa da indagine finanziaria.

Nuovi livelli di sicurezza e profilazioni

Questi archivi digitali hanno quindi reso le operazioni più efficienti (tempi, costi, funzionalità), ma hanno anche introdotto nuovi livelli di sicurezza e profilazioni, misure necessarie per proteggere le informazioni sensibili che vi sono contenute, e qui le norme da citare potrebbero essere davvero tante, tra tecniche e disposizioni di legge (triade CIA, ISO 27001, GDPR, DPR15/2018, per esempio).

La nuova connotazione ibrida del crimine nell’era digitale

Tuttavia, con l’avvento della tecnologia e lo sviluppo dell’ecosistema digitale, che oggi la società vive, anche i crimini hanno assunto una connotazione sempre più ibrida, al punto che talune attività sono disimpegnate a cavallo tra il mondo reale, concreto, e quello virtuale, dematerializzato.

Criptovalute e riciclaggio di denaro

Esempio concreto, da affiancarsi a quanto riportato da fonti investigative oramai consolidate, come possono essere le relazioni annuali della Direzione Investigativa Antimafia, del Servizio d’Informazione della Repubblica o rese in occasione dell’inaugurazione dell’Anno Giudiziario, le criptovalute vengono utilizzate abitualmente come appoggio al riciclaggio di denaro, anche affiancandolo a reati satelliti come la stampa di carta moneta contraffatta.

Caso “da manuale” (ndr.) è l’operazione condotta dal Comando Antifalsificazione Monetaria dell’Arma dei Carabinieri, nel Gennaio 2023, la stessa ha avuto naturali propaggini investigative che hanno coinvolto collaterali uffici esteri di polizia, come la Gendarmeria Francese, e naturalmente, l’Interpol, quale ideale punto di raccordo info-operativo, data la tematica: spendita di monete false, anche all’estero, nel dark web, con introiti in criptovalute.

Interessante il constatare, sulla falsa riga di quanto fin qui detto, come le attività d’indagine portate avanti sono frutto di un connubio tra tecniche tradizionali (osservazioni, pedinamenti, intercettazioni, perquisizioni), “moderne” (come l’analisi dei flussi delle criptovalute) e scientifiche (analisi dei reperti, con individuazione frammenti impronte digitali/palmari sulle banconote false, analisi delle impronte e quindi attribuzione delle stesse ai sospettati).

L’attività descritta ha avuto la sua conclusione nel mese di maggio 2024, allorquando i carabinieri, con il supporto tecnico di Young Platform(principale exchange italiano), hanno proceduto alla conversione delle criptovalute in moneta corrente e alla successiva confisca, versando al Fondo Unico Giustizia 11.000 euro.

Seguire i movimenti delle criptovalute

Stante quanto sopra, dalla transazione bancaria si passa quindi al seguire i movimenti delle criptovalute, significando anche lo sviluppare delle nuove capacità investigative (forma mentis) e tecniche per tracciare le monete virtuali. Non si tratta solo delle blockchain aperte come possono essere, a titolo esemplificativo, Bitcoin, Ethereum, Litecoin e Ripple, ma anche di piattaforme “meno trasparenti” come Monero.

Le blockchain, infatti, sono registri digitali decentralizzati che riportano tutte le transazioni effettuate con una certa criptovaluta.

Ogni transazione è verificata e registrata in un blocco, che viene poi aggiunto a una catena di blocchi (ecco perché “blockchain”).

La tecnologia appena descritta, a fronte di quanto si pensi generalmente, garantisce trasparenza e immutabilità delle transazioni realizzate, rendendo anche difficile l’alterazione dei dati una volta scolpiti, permettendo delle interrogazioni senza uffici intermediari, come invece avviene nel sistema finanziario “ordinario”, ma semplicemente tramite la tecnologia proprietaria che, comunque è accessibile tramite vari portali.

Le transazioni quindi saranno visibili e ricostruibili, nei loro passaggi, attraverso siti come Etherscan.com, Blockchain.info o Blockchair.com, oppure, ancora, grazie a programmi di taratura enterprise, del tipo Chainalysis e Crystal Blockchain.

Inoltre, è possibile utilizzare strumenti open source, oppure anche programmare semplici applicazioni, sfruttando le API dei portali dove risiedono le transazioni d’interesse, per scaricare l’intera catena offline, come avviene per i Bitcoin.

Il caso Monero

Ovviamente non può essere tutto “facile”: Monero rappresenta un caso particolare.

Questa è una valuta che offre transazioni private e non rintracciabili, rese possibili dall’utilizzo di firme ad anello e indirizzi stealth, tutto ciò rende la moneta particolarmente attraente alla criminalità transnazionale. È stata infatti utilizzata in passato per attività illecite come il traffico di droga proveniente dal Sud America; già nel 2016, AlphaBay, uno dei siti più popolari dove acquistare Lsd liquido o cannabis ibrida, aveva inserito Monero, giustappunto per le sue caratteristiche di riservatezza, nel paniere utile per gli acquisti.

Un’ulteriore difficoltà può essere opposta dalle svariate operazioni esigibili tramite app ed exchange e dalle relazioni intercorrenti tra le cripto currencies e il mercato azionario (acquisto, vendita, utilizzo per acquistare beni, servizi, azioni, swap tra valute e cash out).

Le monete virtuali nei giochi online e nel metaverso

Prescindendo dall’ambiente economico e/o finanziario, anche le piattaforme di gioco online utilizzano monete proprietarie e nel metaverso si è osservato un crescente utilizzo monete virtuali per facilitare lo scambio di denaro e il riciclaggio di capitali.

A dire la verità il fenomeno non è recente, d’altronde il “metaverso” potrebbe essere semplificato come “una bolla” associata all’insorgenza del mercato della visione aumentata, e non solo, ma già dai primi anni 2000, con l’esperienza di Second Life, piattaforme analoghe venivano già utilizzate, anche, per scopi illeciti.

Case study

Saranno presentati alcuni schemi attraverso cui sarà possibile tracciare un flusso di valute virtuali, aiutandosi con delle piattaforme verticali sul tema, alcune di queste sono liberamente accessibili, altre ovviamente, avranno un’audience limitata agli attori istituzionali, altre ancora sono presenti sul mercato con differenti licenze, quindi non sempre free.

Nel primo esempio si farà riferimento a Crypto Currencies seguita attraverso piattaforma enterprise, su unica blockchain, conoscendo alcuni portali d’interesse.

Immagine 1

Le piattaforme che aiutano a ricostruire i movimenti delle crypto

Tornando a quanto già descritto, ricreando degli ideali crossroad: se l’indagine avrà come oggetto delle transazioni su una unica blockchain e anche una sola crypto currencies, la ricostruzione dei movimenti sarà possibile grazie a piattaforme come chainalysis.com, oppure (ma solo per le forze dell’ordine) expert.crystalintelligence.com. Per l’analisi on-chain si utilizzano anche altri strumenti come:

• Blockchain Explorer per analizzare le transazioni e lo stato dei wallet on-chain;

• Metasleuth per l’analisi on-chain del money flow.

• Bitquery per l’analisi dei wallet e la visione delle quantità di token mosse in entrata e in uscita.

• Arkham Intelligence per l’analisi ad ampio spettro di un wallet, quindi di un portafoglio digitale, anche se a dire il vero è il tramite tra utente e conto, quindi le informazioni attingibili sono sulla falsa riga di un ideale estratto conto: bilancio attuale, storico ed eventuali etichette del wallet. In questi casi l’obiettivo è cercare di intercettare il beneficiario finale e soprattutto l’Exchange su cui procedere poi a investigazione diretta, per arrivare a cui porre le giuste domande atte ad identificare il malfattore.

Altre piattaforme permettono l’analisi di singole transazioni ma, come detto, vuoi per funzionalità sviluppate, oppure per differenti tagli nella licenza, non sempre mettono a disposizione uno strumento di link analisyscon possibilità di individuare nodi e collegamenti tra gli stessi (grafo e archi). Per esempio: blockchain.info, blockchair.com, etherscan.io, ma anche Paterva Maltego, parzialmente nella versione community edition o casefile, permettono di ricostruire tutte le transazioni, facendo fruire di una rappresentazione chiara grazie alla possibile personalizzazione delle icone “di grafo” e archi.

Dalla soluzione più semplice, quella descritta poco fa, con una sola tipologia di criptovaluta, è possibile anche immaginare uno scenario ibrido, significando differenti valute in vendita o acquistate, o in swap tra esse, o protagoniste, come accennato in precedenza, di scambi a livello di mercato azionario o che interagiscano tramite compilazione di uno smart contract.

In questi casi, si comprenderà, come l’utilizzo di piattaforme verticali ed enterprise possono realmente fare la differenza. Esempi concreti possono essere “chain analysis” ed “expert intelligence“. Anche “Paterva Maltego” può dare il giusto contributo.

Per meglio rendere l’idea della complessità dell’accertamento richiesto si propone l’immagine seguente.

Immagine 3

Infine, alla base delle attività investigative, prescindendo dal rispetto degli ovvi protocolli e best practices esistenti, vi è la curiosità e la voglia di esprimersi dei singoli operatori.

Il sistema operativo tsurugi-linux

Un esempio concreto è il seguire il flusso di una criptovaluta attraverso un programma sviluppato in python, da Antonio Broi (aka Vis@n) che sarà inserito nella prossima distribuzione di tsurugi-linux.

Tsurugi è un sistema operativo ideale per le attività DFIR, quindi di digital forensics e di incident response, due i punti rilevanti: prodotto interamente italiano, e sviluppato da tecnici forensi; a livello di kernel viene già inserito il blocco in scrittura, significando un’alta prestazione circa le attività di copia forense e di analisi on site, senza possibilità di alterare il contenuto dei drive in analisi.

Tornando all’applicativo che ricostruisce tutte le transazioni della criptovaluta, questo realizza il tracciamento non solo tra i punti mittente e destinatario ma tutto il contesto collegato, permettendo di ricostruire l’ecosistema per poi evidenziare le transazioni di interesse tra “vittima” e “truffatori” e quindi di identificare gli exchange finali dove risiedono gli indirizzi ethereum.

Tutto questo permette di poter identificare e far emergere l’identità dei soggetti attivi, potendole ricondurre a “bande Criminali” oppure, per la natura del contesto, se “Crimine Organizzato”.

Un case study su piattaforma Ethereum

Si riporta di seguito, a titolo esemplificativo e anonimizzandola, un case study su piattaforma Ethereum e che vede confluire i capitali dei “criminali” su indirizzi ETH gravitanti su cinque differenti Exchange.

Immagine 4

In particolare, grazie all’interpolazione delle due immagini, è possibile vedere come la vittima abbia effettuato diverse transazioni, queste sono state evidenziate con il colore giallo.

Alcune delle transazioni culminano in alto, verso cinque nodi di colori differenti, questi rappresentano altrettanti indirizzi ETH.

Interessante osservare come quegli stessi indirizzi gravitassero, grazie a delle transazioni verificate con hash, all’interno di grandi exchange.

All’attività tecnica seguirà quella ordinaria, significando il relazionarsi con Autorità Giudiziaria, riportare e argomentare quanto ricostruito, richiedere le informazioni necessarie all’operatore economico, per poter quindi giungere all’identificazione di chi ha attivato la truffa.

Conclusioni

Le attività investigative nell’universo cyber oramai rappresentano la quotidianità. Non meraviglia se anche il legislatore ha compreso che, seppur con sfaccettature differenti, l’universo della cybersicurezza non può essere scisso dai reati informatici e, per ovvia conseguenza, come anche ricordato in alcune occasioni dal Procuratore della Repubblica di Napoli, Nicola Gratteri, seguire le crypto currencies rappresenta la nuova sfida della moderna polizia giudiziaria e dell’Autorità giudiziaria, sulla scia, giustappunto, delle idee propugnate da Giovanni Falcone.

 

AGENDA DIGITALE 14.8.2024