Texas porta TP-Link in tribunale: supply chain cinese, router vulnerabili e lo scontro sulla sicurezza

Il Texas apre un fronte legale contro TP-Link e lo fa usando un lessico che, negli Stati Uniti, pesa come una sentenza già scritta: rischio Cina, inganno verso i consumatori, sicurezza nazionale. L’azione del procuratore generale Ken Paxton punta a dimostrare che la catena di fornitura e alcune scelte di marketing avrebbero creato un quadro opaco sulle origini e sulla postura di sicurezza dei router venduti nello Stato, mentre le vulnerabilità note e lo sfruttamento in campagne reali trasformerebbero quei dispositivi in un punto d’ingresso privilegiato per attori ostili. Nel racconto della causa, il nodo non è solo tecnico. È geopolitico, industriale e, soprattutto, domestico: il router come oggetto “banale” che vive in casa e in ufficio, ma che può diventare un sensore invisibile e un ponte verso le reti. Nello stesso flusso di notizie, però, l’attenzione si sposta anche altrove e disegna un quadro più ampio: un cittadino nigeriano, Matthew Abiodun Akande, viene condannato a otto anni negli Stati Uniti per una catena di frodi fiscali alimentata da malware e phishing; in Africa, un’operazione coordinata con INTERPOL porta a 651 arresti e allo smantellamento di infrastrutture criminali che sfruttano social, messaggistica e app predatorie. Tre storie diverse, un’unica ossessione contemporanea: la criminalità digitale come industria, e la risposta istituzionale come prova di forza.

Texas contro TP-Link: quando il router diventa questione di Stato

Secondo il Texas, la controversia nasce da un’ipotesi precisa: i router e i dispositivi di rete di TP-Link sarebbero stati presentati ai consumatori con un’immagine rassicurante su sicurezza e privacy, mentre l’azienda avrebbe “mascherato” aspetti rilevanti legati a origini, componentistica e superficie d’attacco. L’indagine, nella ricostruzione fornita, parte a ottobre 2025, quando l’ufficio del procuratore generale valuta possibili scenari di accesso ai dati degli utenti attraverso hardware di largo consumo, mettendo al centro la domanda che negli USA sta diventando dottrina: fino a che punto una supply chain con radici in Cina può esporre i cittadini a obblighi di cooperazione con l’intelligence? Il punto sensibile, qui, non è l’etichetta in sé, ma la fiducia che l’etichetta genera. “Made in Vietnam” sugli apparati, a fronte di componenti dichiarati come quasi interamente importati dalla Cina, diventa il simbolo di una narrazione commerciale che la causa vorrebbe ribaltare in tribunale: non un dettaglio logistico, ma un elemento che influenzerebbe la percezione di rischio del consumatore. Paxton lega questo tema alle leggi cinesi che impongono alle aziende, soprattutto quando toccano settori strategici e dati, di cooperare con le autorità. In altre parole, la denuncia costruisce un ponte tra catena industriale e scenario di sorveglianza, sostenendo che l’utente finale non avrebbe avuto gli strumenti per capire cosa stava comprando davvero. TP-Link respinge l’impianto accusatorio, nega che il governo cinese o il Partito Comunista Cinese controllino l’azienda, i prodotti o i dati, e rivendica che le informazioni degli utenti statunitensi sarebbero conservate su infrastrutture Amazon Web Services domestiche. È una difesa che mira a separare il fatto tecnico, dove i dati stanno, dal fatto politico, chi potrebbe chiederli. Ma la causa texana sembra voler dimostrare che, in un mondo di vulnerabilità firmware e botnet, non basta dire “non siamo controllati”: serve provare che l’intero ciclo di vita del prodotto non favorisca compromissioni e abusi.

Vulnerabilità firmware e exploitation: il tassello che rende la storia credibile

Le cause per “marketing ingannevole” sulla sicurezza funzionano solo se l’accusa riesce a trasformare una percezione in un fatto. In questo caso, il Texas richiama un contesto di vulnerabilità note e sfruttate che spostano il discorso dall’astratto al concreto: non solo “potrebbe accadere”, ma “sta accadendo”. Nel testo emergono due riferimenti chiave che, sul piano narrativo, sono esplosivi: da un lato l’attenzione delle agenzie federali su falle attive nei dispositivi TP-Link, dall’altro il richiamo a botnet e campagne che utilizzano proprio router di quel marchio come base operativa. La denuncia cita CISA e un elenco di sei vulnerabilità sfruttate. Anche senza entrare nel dettaglio di ogni CVE, il messaggio che passa è chiaro: il router non è un elemento neutro, e se viene gestito con firmware vulnerabile diventa un moltiplicatore. Il fatto che negli Stati Uniti, già a dicembre 2024, si sia parlato di un possibile bando o di indagini avviate da enti come Dipartimento di Giustizia, Commercio e Difesa, rafforza l’idea di una pressione istituzionale crescente sul brand e, per estensione, sull’intero segmento “cheap networking” che popola case, scuole e piccole imprese. Qui la questione tecnica si intreccia con una dinamica tipica delle reti domestiche: il router è spesso l’oggetto più trascurato, raramente aggiornato, con credenziali deboli, esposto a internet. Basta un’onda di exploit o un’operazione di password-spray perché un parco installato enorme si trasformi in una piattaforma di attacco.

Quad7 e il modello botnet: quando la periferia di rete diventa infrastruttura offensiva

Nel racconto compare una botnet descritta come Quad7 o CovertNetwork-1658, associata a campagne di password-spray e costruita in larga parte su router TP-Link compromessi. Il riferimento a una segnalazione di Microsoft nel 2024 ha una funzione precisa: sposta l’attenzione dalla singola vulnerabilità al modello industriale. Le botnet moderne non hanno bisogno di installare malware su PC “classici” se possono trasformare dispositivi di rete, invisibili e sempre accesi, in nodi di scanning e attacco. È qui che il nodo “Cina” acquista, nella narrativa legale, un valore aggiunto: se gruppi di hacking cinesi sfruttano vulnerabilità firmware in prodotti di massa, il confine tra criminalità opportunistica e operazioni sponsorizzate dallo Stato può diventare deliberatamente ambiguo. La causa texana insiste proprio su questo, sostenendo che tali dispositivi sarebbero stati utilizzati da attori allineati a interessi della Repubblica Popolare per condurre attacchi contro gli Stati Uniti. Anche se, in un tribunale, dimostrare l’attribuzione non è semplice, la pressione reputazionale è enorme: l’idea che il router “di casa” possa essere un canale per una sorveglianza silenziosa o una base per attacchi distribuiti è una leva potente su un pubblico già sensibilizzato.

Cosa chiede il Texas: disclosure, stop e sanzioni civili

L’obiettivo dichiarato non è solo punire. Il Texas chiede pene civili e, soprattutto, ingiunzioni che imporrebbero a TP-Link una disclosure più chiara sulle origini e sulle componenti cinesi, e che mirano a bloccare la raccolta di dati senza consenso informato. In altre parole, la causa prova a trasformare una disputa geopolitica in un meccanismo di compliance commerciale, usando la tutela del consumatore come grimaldello. Questo tipo di iniziativa non arriva nel vuoto. Nel testo viene ricordato che a dicembre 2025 il Texas aveva già avviato azioni contro produttori di TV accusati di raccolta dati segreta tramite tecnologia ACR. Il filo conduttore è un’idea di sovranità dei dati locale: non importa solo se un dispositivo “funziona”, importa se osserva, cosa osserva, dove invia e come viene venduto al pubblico.

Il caso Akande: Warzone RAT, phishing mirato e frodi fiscali come catena di montaggio

Mentre sul fronte TP-Link si parla di supply chain e sicurezza nazionale, la storia di Matthew Abiodun Akande racconta un’altra faccia del cybercrime: l’operazione paziente, ripetuta, industriale, che sfrutta fiducia e disattenzione per trasformare dati personali in denaro contante. Akande, 37 anni, viene condannato a otto anni di carcere, con tre anni di supervised release e un ordine di restituzione di 1,28 milioni di euro. Il caso ruota attorno all’hacking di aziende legate alla fiscalità in Massachusetts e alla compilazione di oltre 1.000 dichiarazioni fraudolente, con una richiesta complessiva di rimborsi per oltre 7,43 milioni di euro e un incasso effettivo superiore a 1,19 milioni di euro. Il dettaglio tecnico che spiega la durata e la portata dell’operazione è l’uso di Warzone RAT, acquistato con licenze e abbinato a un crypter per eludere i controlli. La catena è classica, ma resta devastante perché funziona: email di phishing che impersonano un CEO di un’azienda di ingegneria e architettura, documenti fiscali come esca, link verso Dropbox che nasconde un eseguibile camuffato, installazione del RAT, movimento laterale e furto di SSN e dati fiscali. Il denaro finisce su conti controllati da complici negli Stati Uniti, che prelevano cash e trasferiscono una parte in Messico su istruzioni del regista. Anche la timeline dice molto di come oggi il cybercrime venga trattato come un crimine transnazionale “tradizionale”: arresto a Heathrow nell’ottobre 2024, estradizione negli USA a marzo 2025, passaggi investigativi precedenti in Messico. È un percorso che dimostra una cosa: quando c’è denaro e ci sono vittime misurabili, la cooperazione tra Stati tende a funzionare, e il criminale non può più contare sul confine come scudo.

Operazione Red Card 2.0: 651 arresti e la risposta africana al cybercrime industriale

La terza storia è forse quella che più sposta la prospettiva. L’operazione Red Card 2.0, condotta tra 8 dicembre e 30 gennaio, porta a 651 arresti, identifica 1.247 vittime, recupera oltre 3,94 milioni di euro e collega le attività a perdite finanziarie superiori a 41,26 milioni di euro. Vengono sequestrati 2.341 dispositivi e smantellati 1.442 siti malevoli. L’operazione si muove sotto l’ombrello dell’African Joint Operation against Cybercrime (AFJOC) con il coordinamento di INTERPOL, coinvolgendo 16 Paesi. Il dato interessante non è solo quantitativo, ma qualitativo: le frodi descritte non sono un’unica “botnet” o un singolo schema, ma un portafoglio criminale che sfrutta la fiducia delle persone e l’asimmetria informativa. In Nigeria si parla di gruppi che reclutano giovani per phishing e furto d’identità, con abbattimenti di oltre 1.000 account social usati per truffe; emergono anche casi di accesso a infrastrutture di operatori telecom tramite credenziali rubate a dipendenti. In Kenya gli arresti si legano a frodi veicolate da social e messaggistica che spingono vittime verso investimenti fasulli. In Costa d’Avorio spiccano le app di prestito predatorie, con commissioni nascoste e pratiche di recupero crediti abusive, un modello che mescola fintech e coercizione. La frase attribuita a Neal Jetton di INTERPOL chiude il cerchio emotivo del fenomeno: i sindacati cybercriminali infliggono danni non solo finanziari ma anche psicologici, colpendo individui, imprese e comunità con promesse false. Ed è proprio qui che la storia Red Card diventa complementare alle altre due: se il Texas porta in tribunale un produttore di dispositivi per il rischio sistemico, e gli Stati Uniti condannano un attore per frodi fiscali, l’Africa mostra che l’azione coordinata può colpire il cybercrime come rete economica, non solo come “hacker singolo”.

Un unico scenario: trust, infrastrutture e la guerra del consenso digitale

Mettendo insieme i tre casi, emerge un’architettura comune. Da una parte c’è la fiducia nel dispositivo, nel marchio, nel “Made in”, nella promessa di sicurezza. Dall’altra ci sono le infrastrutture, cioè router, account, cloud, social network e piattaforme di pagamento che possono essere trasformate in vettori. In mezzo ci sono le persone, che subiscono la conseguenza più concreta: privacy indebolita, reti compromesse, identità rubata, denaro sottratto, vita quotidiana resa più fragile. La causa del Texas contro TP-Link, se andrà avanti, potrebbe diventare un precedente nel modo in cui gli Stati americani trattano la sicurezza dei prodotti consumer come un tema di tutela del consumatore e di sicurezza nazionale allo stesso tempo. La condanna Akande ribadisce che il crimine digitale, quando lascia tracce finanziarie solide, viene trattato con strumenti duri e cooperazione internazionale. Red Card 2.0 dimostra che la risposta istituzionale non è più confinata alle potenze occidentali, ma si sta strutturando anche in contesti dove il cybercrime ha assunto forme industriali legate a truffe su larga scala. In questo scenario, la parola che conta davvero è accountability: chi produce hardware di rete, chi gestisce dati, chi opera campagne criminali, chi alimenta l’economia delle truffe. Perché oggi la sicurezza non è solo patch e firewall. È la capacità di impedire che la tecnologia di massa diventi, per design o per incuria, il motore invisibile di una nuova normalità: quella in cui la frode e la compromissione sono un costo permanente dell’essere connessi.