Il Dipartimento di Giustizia degli Stati Uniti (DoJ) ha ottenuto il rinvio a tre anni di prigione per Conor Brian Fitzpatrick, noto come “Pompompurin”, fondatore di BreachForums. La sentenza, emessa il 16 settembre 2025 dal tribunale federale dell’Eastern District of Virginia, segue l’annullamento in appello della precedente decisione che gli aveva concesso il tempo già scontato (17 giorni) e vent’anni di libertà vigilata. Il giudice ha pesato la gravità dei reati: cospirazione per traffico di access device, sollecitazione alla vendita di accessi non autorizzati e possesso di materiale di abusi su minori (CSAM). Secondo il DoJ, BreachForums è cresciuto rapidamente fino a superare i 330.000 membri ed è diventato uno dei maggiori mercati anglofoni per dati rubati, nato sulle ceneri di RaidForums sequestrato nel 2022. La Corte d’Appello del Quarto Circuito, il 21 gennaio 2025, ha definito inadeguata la prima pena e ha rimandato per un nuovo giudizio. Le autorità sottolineano un messaggio netto: chi vende o facilita la vendita di dati rubati non è fuori portata. (Dipartimento di Giustizia)
Cosa leggere
Contesto e traiettoria di BreachForums
BreachForums nasce nel marzo 2022, subito dopo lo smantellamento di RaidForums, e rimpiazza di fatto il precedente hub per scambi illegali di PII, credenziali e accessi a reti aziendali. Il forum diventa in breve un “bazaar” del cybercrimine: compravendite, aste, leak coordinati e servizi di intrusione. Il DoJ quantifica la scala: oltre 330.000 iscritti e una platea di acquirenti e venditori globali. I casi citati includono set massivi di dati personali e materiale sottratto a telecom, sanità, banche, ISP e piattaforme social. Questo modello consolida il profitto, aumenta l’asimmetria informativa e degrada la fiducia nelle infrastrutture digitali. Gli scambi spingono anche l’intermediazione criminale: chi compra rivende, chi non riesce a monetizzare passa ad attacchi secondari come estorsione e phishing su larga scala.
Cronologia giudiziaria: dall’arresto al rinvio
Fitzpatrick viene arrestato nel marzo 2023 e si dichiara colpevole nel luglio 2023 per cospirazione, sollecitazione e possesso di CSAM. Nel gennaio 2024, una prima decisione gli concede la scarcerazione dopo 17 giorni con 20 anni di supervised release. Il DoJ ricorre e il Quarto Circuito il 21 gennaio 2025 annulla la sentenza, definendola sproporzionata rispetto all’impatto dei reati e alle violazioni delle condizioni di rilascio (uso non autorizzato di Internet e VPN). Il caso torna così in aula per ri-sentenza nel settembre 2025: il risultato è tre anni di detenzione federale e forfeiture di oltre 100 domini, dispositivi elettronici e criptovalute collegati ai proventi. Il segnale è chiaro: responsabilità penale effettiva, non solo misure alternative.
I capi d’imputazione e l’aggravante CSAM
Il fascicolo combina reati cyber e reati contro i minori. La cospirazione e la sollecitazione riguardano la messa a disposizione di access device e di servizi usati per frodi, furti d’identità e intrusione in sistemi protetti. L’aggravante CSAM pesa in modo determinante sul bilanciamento sanzionatorio, perché introduce una componente di danno umano che va oltre la sfera economica. Il DoJ parla di “costo incalcolabile”. In questo quadro, BreachForums è lo strumento e CSAM il moltiplicatore di gravità: un’unione che giustifica una pena detentiva e rafforza l’effetto deterrente su condotte similari.
Le parole chiave dell’accusa
Le dichiarazioni ufficiali costruiscono un perimetro etico e operativo. Per il DoJ, la sentenza “dimostra l’impegno nel portare alla giustizia chi vende dati rubati”; per l’U.S. Attorney dell’EDVA, “i profitti personali di Fitzpatrick provenivano da grandi quantità di informazioni sensibili”; per l’FBI, “nessuno è fuori portata” nell’ecosistema criminale. Queste frasi non sono retorica: definiscono il percorso probatorio, il coordinamento inter-agenzia e l’uso esteso di forfeiture per drenare liquidità alle piattaforme. La strategia accusa l’architettura del mercato, non solo i singoli scambi.
Scala del danno: dai numeri alle conseguenze
La valutazione del danno richiede due lenti. La prima è quantitativa: milioni di record personali e asset aziendali esposti, database con oltre 14 miliardi di record pubblicizzati nella fase apicale del forum, con oltre 300.000 utenti registrati. La seconda è qualitativa: esfiltrazioni su sanità, telecomunicazioni, infrastrutture critiche, e lo sfruttamento dei pacchetti per impersonificazione, frodi e movimento laterale. Questi numeri indicano impatto sistemico, perché alimentano catene di minacce per mesi o anni. La ri-sentenza tiene conto di questa persistenza del danno.
Il ruolo dell’appello del Quarto Circuito
La Corte d’Appello del Quarto Circuito ha chiarito il quadro: la pena del gennaio 2024 non rifletteva la gravità e il carattere dei reati. Il vacatur del 21 gennaio 2025 ha rimodellato i criteri per la risposta penale a forum criminali con scala industriale. Nel testo della decisione emergono elementi di violazione delle condizioni e di incoerenza con gli obiettivi di deterrenza. La giurisprudenza sposta così l’asticella per casi simili, segnalando che clemenza e misure alternative richiedono basi rigorose.
BreachForums nel 2024–2025: intermittenze, takeover e “spegnimento”
Dopo il primo sequestro e il rilancio, BreachForums attraversa fasi di intermittenza e contese di leadership. Nel 2025, compaiono dichiarazioni e accuse di compromissione, con rivendicazioni di ShinyHunters su controllo delle infrastrutture e di chiavi PGP, seguite da uno spegnimento improvviso a metà agosto 2025. Il forum torna offline, mentre canali Telegram e altri punti di ritrovo cercano di ereditare traffico e fiducia. Per i difensori, il segnale è duplice: da un lato il pressing investigativo funziona; dall’altro gli attori tendono a frammentarsi e a migrare anziché essere neutralizzati definitivamente.
Perché questa sentenza è diversa dalle precedenti?
La differenza non è solo nella durata. La ri-sentenza unisce deterrenza e disgorgement: colpisce la libertà personale e svena gli asset. Colpisce inoltre un nodo di scambio e non solo l’autore individuale. In passato, pene brevi seguite da supervised release lasciavano spazio a remediation soft; qui l’incarcerazione e la forfeiture formano una matrice che punta a disarticolare l’economia del forum e a spaventare gli aspiranti sostituti. È un messaggio alla filiera criminale: operatori, broker, rivenditori e clienti.
Implicazioni per l’ecosistema criminale
L’impatto più visibile è la discontinuità nell’offerta di dataset e accessi. Ma il cambiamento più importante è culturale: investire in un forum centrale diventa rischioso perché esposto a sequestri, takeover o honeypot mascherati. La comunità si sposta verso spazi più effimeri: canali chiusi, chat a invito, marketplace a tempo. Questo riduce la comodità e aumenta i costi di transazione per gli attori, erodendo i margini. La perdita di reputazione di un hub trascina venditori e acquirenti verso soluzioni alternative meno scalabili.
Ricadute per le vittime e le comunità difensive
Per le vittime, la sentenza è una forma di giustizia e uno stop a ulteriori monetizzazioni. Non annulla i danni, ma riduce il riuso criminale di alcuni asset e accelera le azioni di rimedio. Per le comunità difensive, l’esito dimostra la sinergia tra forze dell’ordine, intelligence privata e ricerca. I comunicatori possono usare casi come questo per educare clienti e dipendenti sulla catena del valore del furto dati: dalla compromissione iniziale al dump su forum, fino all’abuso prolungato in frodi e ricatto.
Che cosa cambia per i gestori di forum e broker di accesso
I gestori capiscono che il profilo di rischio personale sale. Non si tratta più solo di takedown e migrazione a un nuovo dominio. L’appello vincente del DoJ dimostra che la messa alla prova cede il passo a incarcerazioni significative quando i volumi e la pericolosità sociale sono elevati. Per i broker che trattano accessi RDP, sessioni VPN, token cloud e piattaforme interne, la frammentazione dei canali abbassa la domanda e complica l’incontro tra offerta e acquirenti, erodendo prezzi e velocità di monetizzazione.
Lezioni per i CISO: dal rischio forum al rischio supply di dati
I CISO dovrebbero tradurre questa vicenda in policy operative. Il primo punto è mappare in modo continuo il mercato nero per cogliere segnali di dump imminenti. Il secondo è trattare i dataset rubati come “asset tossici” di lunga durata: il riutilizzo può emergere mesi dopo in phishing mirato, SIM swap, abusi KYC e furti d’identità. Il terzo è estendere la telemetria per correlare alert di credential stuffing con annunci o vendite su forum e canali chiusi. Questo richiede collaborazioni con intelligence provider e la condivisione di IOC con CERT e ISAC.
Il ruolo di Project Safe Childhood e la cornice etica
L’inclusione di CSAM attiva il perimetro di Project Safe Childhood, iniziativa lanciata nel 2006. La presenza di materiale di abusi su minori cambierà sempre la proporzione della risposta giudiziaria. In termini etici, la vicenda ribadisce che la mercificazione di dati personali e la violenza sui minori non sono scindibili quando coesistono nello stesso profilo criminale. È qui che la deterrenza mira più in alto, richiamando l’interesse pubblico e la protezione delle fasce vulnerabili.
BreachForums “al buio” e la diaspora nei canali alternativi
Dopo l’agosto 2025, il forum risulta offline in scia a claim di compromissione e controllo da parte di forze dell’ordine. Alcuni attori spingono la narrativa del “honeypot”, altri negano. Il risultato pratico è la perdita di centralità del brand e la diaspora verso spazi frammentati. Per chi difende, ciò crea una finestra per monitorare canali emergenti e mappare nuove trust chain. Per chi attacca, significa ricominciare a costruire reputazione e garanzie di escrow, con tempi più lenti e rischi più alti.
La narrativa mediatica e l’effetto deterrente
Testate cyber e mainstream hanno amplificato l’esito, ricordando il ruolo di FBI, Criminal Division e U.S. Attorney. L’eco pubblica spinge sponsor, hosting e fornitori di servizi a rivedere tolleranze e SLA su abusi. La deterrenza nasce anche da qui: pubblicità della pena, chiarimento delle condotte punite e tracciabilità delle confische. Ogni ciclo di relancio dei forum diventa più costoso e instabile. La ri-sentenza a tre anni contro Conor Brian Fitzpatrick struttura un precedente operativo su tre assi. Primo: deterrenza penale e forfeiture colpiscono non solo l’autore ma anche l’economia del forum, con drenaggio di domini, dispositivi e crypto. Secondo: il vacatur del Quarto Circuito crea giurisprudenza che alza l’asticella per le pene in casi di mercati di dati rubati con volume e impatto sociali elevati. Terzo: l’effetto rete che faceva la forza dei forum subisce una disarticolazione; per i difensori diventa il momento di consolidare monitoraggio su canali post-forum, integrare telemetria con intelligence esterna e rinsaldare playbook di incident response orientati a riuso dei dati. La sentenza non chiude il ciclo del cybercrime, ma ne aumenta i costi e riduce la scalabilità degli attori, spostando l’equilibrio verso ecosistemi più frammentati e più esposti alle indagini.
