Le autorità italiane, olandesi e statunitensi hanno colpito tre segmenti diversi della criminalità digitale alla fine di maggio 2026, mostrando una convergenza investigativa sempre più netta tra contrasto alla pirateria audiovisiva, repressione delle infrastrutture malevole e interruzione delle frodi tech support. In Italia, la Guardia di Finanza ha concluso l’operazione Tutto Chiaro e ha smantellato CineGoal, un’app pirata capace di sfruttare codici di autenticazione sottratti ad abbonamenti legittimi di Netflix, Disney+, Sky, DAZN e Spotify. Quasi in contemporanea, la FIOD olandese ha sequestrato 800 server collegati a una società di hosting accusata di fornire infrastrutture a gruppi filorussi per attacchi DDoS, disinformazione e interferenze. Negli Stati Uniti, due ex dirigenti di C.A. Cloud Attribution Ltd. hanno ammesso responsabilità per aver favorito truffatori specializzati in falso supporto tecnico. Il quadro complessivo mostra una criminalità digitale che non opera più soltanto attraverso singoli malware o siti pirata, ma attraverso ecosistemi strutturati, società di copertura, pagamenti in criptovaluta, call center, server esteri e modelli tecnici capaci di aggirare controlli tradizionali.
Cosa leggere
CineGoal, l’app pirata che rubava codici autentici dalle piattaforme
Il caso CineGoal rappresenta uno dei passaggi più rilevanti nell’evoluzione della pirateria audiovisiva perché non si limitava a ritrasmettere flussi ricodificati come nei sistemi IPTV tradizionali, ma sfruttava un meccanismo più sofisticato basato su codici di autenticazione originali. Secondo la ricostruzione investigativa, gli utenti installavano l’applicazione sui propri dispositivi e accedevano ai contenuti tramite server esteri incaricati di decriptare i segnali protetti. Il sistema utilizzava macchine virtuali allocate in Italia, operative ventiquattr’ore su ventiquattro, per catturare codici generati da abbonamenti leciti creati con dati fittizi. Questi codici venivano poi ritrasmessi ogni tre minuti ai dispositivi degli abbonati pirata, permettendo una qualità di visione superiore rispetto ai flussi illegali ricodificati. Il punto tecnico decisivo è che l’utente riceveva il segnale direttamente dalle piattaforme ufficiali, riducendo al tempo stesso il rischio di intercettazione e nascondendo l’indirizzo IP reale. Le autorità hanno definito il sistema “altamente avanzato e mai visto prima”, proprio perché CineGoal combinava abuso di credenziali, infrastrutture distribuite e occultamento degli utenti finali. Accanto all’app, gli investigatori hanno smantellato anche un servizio IPTV tradizionale riconducibile al cosiddetto pezzotto, confermando la coesistenza tra modelli pirata più vecchi e architetture più innovative.
Operazione Tutto Chiaro, oltre 200 finanzieri e più di 100 perquisizioni
L’operazione Tutto Chiaro ha mobilitato oltre 200 finanzieri della Guardia di Finanza di Ravenna, con il supporto dei Nuclei Speciali Tutela Privacy e Frodi Tecnologiche e dei reparti dedicati a Beni e Servizi. La Procura di Bologna ha coordinato le indagini preliminari, mentre Eurojust ha facilitato il coordinamento con le autorità francesi e tedesche per l’esecuzione dei sequestri all’estero. Gli investigatori hanno eseguito più di 100 perquisizioni sul territorio nazionale e individuato oltre 70 rivenditori coinvolti nella distribuzione del servizio illegale. Il modello commerciale appariva organizzato come una vera filiera criminale, con pacchetti annuali venduti tra 40 e 130 euro a seconda dei contenuti disponibili e dei servizi inclusi. I pagamenti avvenivano soprattutto in criptovalute oppure su conti bancari esteri intestati a soggetti fittizi, mentre i rivenditori retrocedevano una parte dei proventi agli organizzatori della frode. Il danno economico stimato raggiunge circa 300 milioni di euro in diritti non riscossi dalle società colpite, una cifra che descrive l’impatto sistemico della pirateria digitale quando supera la dimensione artigianale e si trasforma in infrastruttura commerciale parallela. La Guardia di Finanza ha già notificato sanzioni amministrative ai primi 1000 abbonati individuati, con importi compresi tra 154 e 5000 euro. I server sequestrati in Francia e Germania contenevano il codice sorgente dell’applicazione e le funzioni utilizzate per decodificare i segnali protetti. I materiali sono ora in fase di analisi per identificare tutti i soggetti coinvolti, quantificare i profitti illeciti e ricostruire l’intera rete tecnica e commerciale. L’indagine resta in fase preliminare e le responsabilità dovranno essere accertate con sentenza definitiva.
La FIOD sequestra 800 server e colpisce l’hosting filorusso
In Olanda, la FIOD ha condotto un’operazione contro una società di web hosting accusata di violare le sanzioni europee e di fornire infrastrutture a entità russe e bielorusse sanzionate. Gli agenti hanno sequestrato 800 server, laptop, telefoni e documentazione amministrativa, eseguendo perquisizioni in data center situati a Dronten e Schiphol-Rijk, oltre che in sedi operative a Enschede e Almere. L’infrastruttura offriva colocation, connettività ad alta capacità verso gli internet exchange di Amsterdam e Francoforte, oltre a supporto tecnico per il traffico in ingresso in Europa. Al centro dell’indagine figura Stark Industries, società fondata il 10 febbraio 2022 e inserita dall’Unione Europea nella lista delle sanzioni il 20 maggio 2025. Dopo la sanzione, parte dell’infrastruttura sarebbe stata trasferita a una nuova società olandese, WorkTitans B.V., operativa con il brand THE.Hosting, considerata dagli investigatori una struttura di copertura per aggirare i divieti.
La FIOD ha arrestato due persone: un uomo di 57 anni di Amsterdam, direttore e azionista indiretto della società di hosting, e un uomo di 39 anni dell’Aia, responsabile di un’azienda che forniva connettività internet ai server. Le accuse riguardano la messa a disposizione di risorse economiche a entità sanzionate russe e bielorusse, in un quadro investigativo fondato sulla Sanctiewet e sulla Wet op de economische delicten. L’operazione conferma che la guerra ibrida non dipende soltanto da malware, botnet o gruppi hacktivisti, ma anche da infrastrutture commerciali capaci di garantire continuità operativa, capacità di traffico e resilienza tecnica.
NoName057(16), DDoS e disinformazione nella guerra ibrida
Tra i principali utilizzatori dell’infrastruttura sequestrata in Olanda figurava il gruppo hacktivista filorusso NoName057(16), noto per campagne di distributed denial-of-service contro organizzazioni, servizi pubblici e soggetti ritenuti ostili alla linea geopolitica russa. Secondo l’impianto accusatorio, la rete di hosting avrebbe fornito supporto concreto ad attività della Federazione Russa dirette a minare democrazia e sicurezza, comprese operazioni di interferenza, cyberattacchi, campagne di disinformazione e manipolazione dell’informazione. Questo elemento rende il sequestro olandese diverso da una semplice operazione contro un provider negligente. Il nodo investigativo riguarda infatti l’uso di infrastrutture europee per sostenere attività destabilizzanti legate a soggetti sanzionati, in un contesto in cui le restrizioni contro Russia e Bielorussia si sono intensificate dopo l’invasione dell’Ucraina. La disponibilità di 800 server rappresenta un asset operativo rilevante per l’esecuzione di attacchi DDoS, hosting di contenuti, gestione di nodi tecnici e supporto a campagne ibride. La rimozione fisica dei sistemi, insieme all’acquisizione della documentazione amministrativa e dei dispositivi aziendali, permette agli investigatori di ricostruire contratti, flussi finanziari, clienti, catene di controllo e possibili passaggi societari utilizzati per eludere le sanzioni. Il caso dimostra come la repressione del cybercrime geopolitico richieda ormai competenze finanziarie, capacità forense digitale e analisi societaria, perché l’infrastruttura offensiva può nascondersi dietro apparenti servizi commerciali di hosting, connettività e colocation.
Stati Uniti, ex dirigenti ammettono il ruolo nelle truffe tech support
Negli Stati Uniti, Adam Young, ex amministratore delegato, e Harrison Gevirtz, ex responsabile della sicurezza di C.A. Cloud Attribution Ltd., hanno dichiarato colpevoli il 22 maggio 2026 del reato di misprision of a felony. La società forniva servizi di tracking telefonico, registrazione delle chiamate e inoltro, strumenti apparentemente leciti ma utilizzati da clienti coinvolti in frodi di telemarketing e falso supporto tecnico. Dal 2017 all’aprile 2022, Young e Gevirtz avrebbero fornito numeri telefonici, pool rotanti e call center in Tunisia a soggetti noti per commettere truffe. Secondo l’accusa, i due dirigenti sapevano che i servizi venivano impiegati in schemi fraudolenti e avrebbero persino consigliato venditori e operatori su come indirizzare l’offerta verso clienti criminali. L’uso di grandi pool di numeri rotanti serviva a ridurre i reclami, evitare la chiusura degli account e ostacolare il tracciamento da parte delle autorità. Il call center tunisino impersonava il supporto tecnico di Microsoft o Apple, inducendo le vittime a concedere accesso remoto ai computer, ricevere fatture false e consegnare dati personali e finanziari. Il tratto più grave del caso riguarda la consapevolezza della filiera: i dirigenti non avrebbero semplicemente ignorato segnali di abuso, ma avrebbero facilitato l’incontro tra truffatori, la compravendita di chiamate e la continuità dei servizi. Le vittime erano spesso anziani e persone vulnerabili, esposte a perdite economiche, paura e umiliazione. L’FBI ha collegato queste attività a schemi capaci di sottrarre oltre 6 milioni di dollari a 6500 vittime in un solo caso recente, mentre il rapporto 2025 dell’Internet Crime Complaint Center attribuisce alle truffe tech support perdite per almeno 2,1 miliardi di dollari negli Stati Uniti. Young e Gevirtz rischiano fino a tre anni di carcere federale e una multa fino a 250000 dollari, con sentenza fissata al 16 giugno 2026.
Una repressione coordinata contro pirateria, hosting malevolo e frodi online
Le tre operazioni mostrano l’evoluzione della repressione internazionale contro una criminalità digitale sempre più industrializzata. In Italia, le autorità hanno colpito una forma avanzata di pirateria audiovisiva che non si limitava a violare diritti d’autore, ma abusava direttamente dei meccanismi di autenticazione delle piattaforme ufficiali. In Olanda, la FIOD ha interrotto un’infrastruttura utilizzata per supportare attacchi DDoS, disinformazione e attività filorusse collegate a entità sanzionate. Negli Stati Uniti, le autorità hanno agito contro un anello della catena che abilita le truffe tech support, dimostrando che il contrasto non può fermarsi agli operatori finali del call center ma deve raggiungere chi fornisce numeri, routing, registrazione, inoltro e capacità organizzativa. Il filo comune è la trasformazione del cybercrime in servizio. CineGoal vendeva accessi pirata con logica di abbonamento; Stark Industries, WorkTitans B.V. e THE.Hosting avrebbero garantito capacità infrastrutturale a soggetti sanzionati; C.A. Cloud Attribution Ltd. forniva strumenti telefonici a truffatori già noti. Questa struttura per servizi rende più difficile l’attribuzione, ma permette anche alle autorità di colpire punti centrali della catena criminale. Il sequestro di server, codice sorgente, documentazione amministrativa, dispositivi e flussi finanziari permette di passare dal contrasto episodico alla ricostruzione industriale delle reti criminali. La collaborazione tramite Eurojust, lo scambio informativo tra autorità europee e l’intervento dell’FBI indicano una risposta più matura rispetto alla frammentazione tradizionale delle indagini digitali. Le piattaforme di streaming subiscono perdite da abbonamenti mancati, le organizzazioni pubbliche ed economiche affrontano interruzioni causate da attacchi DDoS e disinformazione, mentre le vittime delle frodi telefoniche perdono denaro e fiducia nel supporto informatico legittimo. Le indagini proseguono per quantificare i profitti illeciti, identificare ulteriori responsabili e prevenire nuove forme di criminalità digitale fondate su automazione, anonimizzazione, società di facciata e infrastrutture transnazionali.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
