Sommario
Nel giro di poche ore, la Polizia di Stato ha condotto due operazioni distinte ma profondamente intrecciate da un filo comune: l’uso avanzato della tecnologia per commettere crimini che mettono a rischio la sicurezza informatica e la salute pubblica. A Rimini, un cittadino straniero ricercato da anni per estorsioni informatiche a danno di aziende statunitensi è stato arrestato in un hotel grazie a una collaborazione con l’FBI. Contemporaneamente, a Torino, è finita in manette una donna condannata in via definitiva per aver promosso cure fasulle contro il cancro basate su un presunto sistema di intelligenza artificiale, chiamato Marie, che ha portato alla morte una paziente. Entrambi i casi rivelano quanto le nuove tecnologie – dal ransomware alla finta AI medica – possano essere manipolate con finalità criminali, evidenziando nuove vulnerabilità sistemiche e la necessità di un intervento istituzionale sempre più coordinato e multidisciplinare.
Operazione contro il cybercriminale a Rimini
La Polizia postale ha localizzato e fermato in un hotel di Riccione un individuo ricercato a livello internazionale per una serie di attacchi informatici che dal 2023 al 2025 hanno colpito infrastrutture statunitensi, paralizzando interi sistemi con ransomware e chiedendo riscatti milionari in criptovalute. Le indagini sono state guidate dal Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche (CNAIPIC), in sinergia con il Centro operativo per la sicurezza cibernetica dell’Emilia-Romagna e la Sezione operativa di Rimini. L’arresto, avvenuto il 31 luglio 2025, è stato possibile grazie al supporto diretto dell’FBI, con cui esiste un canale costante di scambio informativo. Il soggetto si trovava in vacanza con la famiglia e non ha opposto resistenza. Durante la perquisizione, sono stati sequestrati laptop, smartphone e contanti per diverse migliaia di euro. Tutti i dispositivi saranno sottoposti ad analisi forense per verificare la presenza di tool malevoli, log di attacchi e comunicazioni con altri membri della rete criminale. L’attività investigativa non si è limitata al fermo. Gli agenti italiani, coadiuvati da tecnici statunitensi, hanno anche provveduto al blocco di conti correnti e alla tracciabilità di transazioni sospette. Il soggetto è sospettato di aver utilizzato exploit su sistemi Windows e Linux, in particolare sfruttando vulnerabilità zero-day per ottenere accesso privilegiato alle reti di aziende target. Le sue operazioni avrebbero generato danni economici multimilionari, con ripercussioni anche sulla sicurezza nazionale degli Stati Uniti.
Dettagli sull’attività criminale informatica
Secondo fonti investigative, il modus operandi del cybercriminale era quello tipico degli attacchi ransomware avanzati: una volta compromessa la rete, venivano cifrati file e dati critici, seguiti da una richiesta di pagamento in Bitcoin o Monero per il rilascio delle chiavi di decrittazione. In molti casi, le aziende hanno preferito pagare per non interrompere l’operatività, ma in altri la mancata risposta ha portato a data leak pubblici e perdita di competitività sul mercato. La Polizia di Stato, grazie a un lavoro di intelligenza predittiva, ha anche identificato i server C2 (Command and Control) utilizzati dal gruppo. Analizzando il traffico su Tor e piattaforme P2P, gli esperti hanno isolato alcune firme digitali ricorrenti che hanno portato all’identificazione del principale sospettato. L’analisi dei suoi dispositivi potrebbe rivelare ulteriori connessioni con gruppi attivi sul dark web e reti criminali con base in Europa orientale.
La truffa AI che ha causato la morte di una paziente
Quasi in parallelo, a Torino, un’altra operazione ha scoperchiato l’abisso dell’abuso tecnologico in ambito sanitario. La protagonista è una donna di 55 anni, fondatrice dell’organizzazione Unisono, già condannata in via definitiva a 9 anni di carcere per associazione a delinquere, esercizio abusivo della professione medica e truffa aggravata. L’organizzazione prometteva cure alternative basate su una presunta AI denominata Marie, in grado – secondo la propaganda online – di elaborare diagnosi personalizzate a partire dai parametri vitali inviati tramite Whatsapp, Telegram o Facebook. In realtà, dietro l’apparenza di sofisticazione algoritmica si nascondevano semplici script, progettati per rispondere automaticamente in base a parole chiave, senza alcuna logica clinica. Le indagini della Polizia postale hanno accertato che almeno una delle vittime, una donna oncologica, ha interrotto la chemioterapia e rifiutato interventi chirurgici affidandosi unicamente alle indicazioni dell’AI Marie. La paziente è deceduta pochi mesi dopo. Altre vittime, ancora in vita, si sono trovate in condizioni di forte disagio fisico e psicologico, in uno stato di soggezione emotiva verso la truffatrice.
Analisi del sistema Marie e dell’impatto psicologico
L’analisi forense effettuata sui codici sorgente dell’AI Marie ha rivelato che si trattava di un sistema rudimentale scritto in Python, basato su condizioni logiche semplici (if-else) per generare output pseudo-medici. Nessun componente di machine learning era realmente implementato, ma la prontezza delle risposte e la struttura delle conversazioni simulava un sistema intelligente, ingannando le vittime con un realismo superficiale. L’elemento più grave, secondo la Polizia, è il condizionamento psicologico esercitato sulle vittime: molte di loro erano malate terminali o in condizioni di forte vulnerabilità, ed erano spinte a inviare donazioni giornaliere per ottenere le risposte dell’AI. La truffa ha generato un giro d’affari documentato di oltre 100.000 euro, in parte in contanti e in parte tramite bonifici e ricariche digitali.
Integrazione tra indagini cibernetiche e mediche
Entrambi i casi evidenziano come la tecnologia sia divenuta lo strumento centrale di nuove forme di criminalità, che richiedono competenze ibride per essere contrastate. A Rimini, la Polizia ha applicato tecniche classiche del cybercrime investigation: reverse engineering dei malware, analisi delle comunicazioni cifrate, tracciamento delle criptovalute. A Torino, invece, le indagini hanno richiesto una forte collaborazione con oncologi, psicologi clinici e esperti di comunicazione digitale, per documentare non solo il danno economico, ma anche quello morale e sanitario. In entrambi i casi, la cooperazione internazionale si è rivelata essenziale: nel primo, con l’FBI e l’Interpol per la cattura del criminale informatico; nel secondo, con social network e provider digitali per la rimozione dei profili falsi, il tracciamento dei pagamenti e la sospensione di attività sospette.
Nuove minacce emergenti tra AI e cybercrime
La Polizia di Stato ha messo in evidenza, con questi due interventi, l’emergere di un crimine tecnologico ibrido, in cui le linee tra frode, estorsione e manipolazione psicologica si confondono sempre più. L’uso di AI simulata per trarre in inganno vittime vulnerabili rappresenta un nuovo paradigma di pericolo: non si tratta più solo di codici maligni, ma di narrazioni digitali credibili costruite per suscitare fiducia, empatia e speranza. Dall’altra parte, il cybercriminale arrestato a Rimini rappresenta l’archetipo dell’attore malevolo transnazionale: competente, mobile, mimetizzato tra i comuni cittadini, ma in grado di compromettere reti strategiche, colpire in silenzio e monetizzare danni a scala industriale. Nel caso della truffa Unisono, il presunto sistema AI denominato Marie si basava su script Python senza alcun apprendimento automatico, con risposte automatizzate in base a parole chiave. La latenza delle risposte era ottimizzata per creare un effetto “in tempo reale”, ma non vi era alcuna elaborazione semantica reale. L’obiettivo era indurre dipendenza comunicativa e ottenere continui versamenti da parte delle vittime. Nel caso del cybercriminale di Rimini, le analisi preliminari rivelano uso di exploit combinati su Windows Server, RDP e vulnerabilità VPN per propagare payload ransomware via protocolli SMB. I dispositivi sequestrati contengono log di esfiltrazione dati e chiavi GPG usate per criptare comunicazioni con il dark web.
