Un’operazione federale senza precedenti ha scosso le fondamenta del crimine organizzato transnazionale, svelando un sofisticato schema di jackpotting ATM che ha colpito il cuore del sistema finanziario statunitense. Il Dipartimento di Giustizia (DOJ) ha formalizzato le accuse contro 54 individui affiliati alla famigerata gang venezuelana Tren de Aragua, smantellando una rete che, dal 2021, ha sottratto circa 37 milioni di euro forzando l’erogazione di contanti dai distributori automatici. Questa indagine non si limita a perseguire una frode bancaria; rivela come un’organizzazione designata come terrorista straniera stia sfruttando vulnerabilità tecnologiche critiche, utilizzando il famigerato malware Ploutus, per finanziare attività illecite che spaziano dal traffico di droga alla tratta di esseri umani, minacciando direttamente la sicurezza nazionale.
Cosa leggere
La rete criminale e le accuse federali
L’atto d’accusa depositato il 9 dicembre 2025 rappresenta un punto di svolta nella lotta contro il crimine cibernetico organizzato. Ventidue imputati devono rispondere di reati gravi quali frode bancaria, furto con scasso e riciclaggio di denaro, mentre un secondo documento del 21 ottobre ne accusa altri 32 di cospirazione per danno informatico. Le pene potenziali sono severe, con rischi fino a 335 anni di reclusione per i crimini cumulati. Le indagini, coordinate con l’Ufficio del Procuratore del Nebraska e supportate da agenzie federali come l’FBI e il Secret Service, hanno mappato una struttura gerarchica che risponde a leader come Hector Rusthenford Guerrero Flores, noto come “Niño Guerrero”, già sanzionato per il suo ruolo apicale nell’organizzazione.
Il modus operandi della gang Tren de Aragua evidenzia una pianificazione militare: reclutatori specializzati selezionano individui per la sorveglianza e l’installazione del software malevolo, mentre i proventi vengono rapidamente riciclati per alimentare l’espansione del gruppo. La classificazione della gang come organizzazione terroristica straniera sottolinea l’urgenza dell’intervento, mirato a recidere i flussi finanziari che sostengono operazioni violente ben oltre i confini americani.
Il meccanismo tecnico: Malware Ploutus in azione
Al centro di questa frode multimilionaria c’è Ploutus, un malware scoperto per la prima volta in Messico nel 2013 e costantemente evoluto per aggirare le difese moderne. Gli affiliati della gang accedono fisicamente agli sportelli automatici, spesso sostituendo l’hard drive o inserendo una chiavetta USB per iniettare il codice malevolo nel sistema operativo Windows che gestisce la macchina. Una volta installato, Ploutus prende il controllo del modulo dispensatore, permettendo ai “muli” del denaro di prelevare somme ingenti digitando codici specifici sulla tastiera dell’ATM o inviando comandi via SMS.
La pericolosità di Ploutus risiede nella sua capacità di cancellare le tracce digitali post-attacco, rendendo complessa l’analisi forense. Le varianti utilizzate da Tren de Aragua sono state adattate per colpire modelli diffusi come quelli prodotti da Diebold, dimostrando una conoscenza tecnica approfondita delle vulnerabilità hardware e software. Con oltre 1.529 incidenti tracciati fino all’agosto 2025, è evidente come il gruppo abbia industrializzato il processo di jackpotting ATM, trasformandolo in una fonte di reddito scalabile e difficilmente tracciabile.
Impatto economico e risposta delle istituzioni
Le perdite stimate in 37 milioni di euro rappresentano solo la punta dell’iceberg. Oltre al danno diretto per le istituzioni finanziarie, costrette a costose riparazioni e indagini interne, l’impatto si riversa sui consumatori attraverso interruzioni dei servizi e potenziali aumenti dei costi bancari. Le autorità federali, attraverso le voci di funzionari come Matthew R. Galeotti e Lesley Woods, hanno enfatizzato come questi fondi rubati non siano destinati all’arricchimento personale, ma al potenziamento di un’infrastruttura criminale che minaccia la stabilità sociale.
In risposta, le banche stanno accelerando l’implementazione di contromisure avanzate, inclusi aggiornamenti firmware critici che bloccano l’esecuzione di codice non autorizzato e sistemi di monitoraggio comportamentale in tempo reale. Tuttavia, la rapidità con cui il malware si adatta richiede una vigilanza costante e una collaborazione internazionale sempre più stretta per anticipare le mosse di gruppi ibridi che fondono violenza fisica e sofisticazione digitale.
Domande frequenti sul Jackpotting ATM
Cos’è il jackpotting ATM e come funziona?
Il jackpotting è una tecnica di attacco informatico in cui i criminali installano malware su un distributore automatico (ATM) per costringerlo a erogare tutto il contante contenuto al suo interno. Questo avviene solitamente tramite accesso fisico alla macchina e l’uso di software specifici come Ploutus.
Chi è la gang Tren de Aragua?
Tren de Aragua è una potente organizzazione criminale transnazionale originaria del Venezuela. È coinvolta in attività come traffico di droga, estorsioni e tratta di esseri umani, ed è stata recentemente designata dagli USA come organizzazione terroristica straniera per le sue operazioni violente e il crimine informatico.
Qual è il ruolo del malware Ploutus in questi attacchi?
Ploutus è il malware utilizzato per prendere il controllo del modulo dispensatore di contante degli ATM. Permette ai criminali di inviare comandi diretti alla macchina per erogare denaro senza utilizzare carte bancarie, spesso attivando la funzione tramite tastiera o messaggi remoti.
Quali sono le conseguenze per gli imputati di questa operazione?
I 54 individui incriminati affrontano accuse federali gravi, tra cui frode bancaria, riciclaggio di denaro e danno informatico. Se condannati, rischiano pene detentive estremamente severe, che possono arrivare fino a 335 anni di carcere per i reati cumulati.
