Arrestato il 15enne che ha violato i sistemi governativi francesi. Negli USA quattro anni di carcere per i negoziatori del ransomware BlackCat

Le forze dell’ordine internazionali mettono a segno una serie di operazioni cruciali contro il cybercrime. In Francia, un quindicenne noto con l’alias breach3d è stato posto in stato di fermo per aver violato il portale governativo France Titres (ants.gouv.fr), esfiltrando e mettendo in vendita i dati anagrafici e i contatti di 11,7 milioni di cittadini. Negli Stati Uniti, il Dipartimento di Giustizia ha condannato a quattro anni di carcere due ex professionisti della cybersecurity (Ryan Goldberg e Kevin Martin) passati al “lato oscuro” come negoziatori affiliati alla cybergang BlackCat (ALPHV) per estorcere milioni di dollari ad aziende sanitarie e tecnologiche. Sempre a quattro anni è stato condannato Thomasz Szabo, il ventisettenne rumeno leader di un gruppo criminale specializzato in swatting che ha bersagliato decine di politici e giornalisti americani provocando enormi sprechi di fondi pubblici. Nel frattempo, nel settore edu-tech, il colosso Instructure (Canvas LMS) ha confermato di aver subito un cyberattacco e ha avviato indagini forensi, pur non registrando al momento furti di dati degli studenti.

France Titres subisce breach e le autorità fermano un 15enne

Le autorità francesi hanno fermato un minorenne di 15 anni accusato di avere violato il portale ants.gouv.fr, gestito da France Titres, l’agenzia responsabile di documenti amministrativi e identità digitali. L’incidente viene rilevato il 13 aprile 2025 e notificato alle autorità il 16 aprile 2025, aprendo un’indagine che porta all’identificazione dell’adolescente noto online con l’alias breach3d. Secondo gli investigatori, il giovane avrebbe offerto i dati sottratti in vendita su un forum cybercriminale. Il materiale esfiltrato include nomi completi, indirizzi email, date di nascita, indirizzi postali e numeri di telefono collegati a circa 11,7 milioni di account individuali e professionali. I dati non permettevano accessi diretti ai sistemi governativi, ma rappresentano comunque una violazione grave perché possono alimentare phishing, frodi, furti d’identità e campagne di social engineering. Il procuratore di Parigi ha aperto un procedimento sotto supervisione di un giudice istruttore, mentre i pubblici ministeri chiedono imputazione formale e sorveglianza giudiziaria.

Il caso breach3d evidenzia il coinvolgimento precoce dei minori nel cybercrime

Il fermo del giovane alias breach3d evidenzia un elemento sempre più frequente nelle indagini cyber: l’ingresso precoce di adolescenti in attività criminali digitali. L’accesso a forum underground, strumenti automatizzati, marketplace di dati e tutorial tecnici consente anche a soggetti molto giovani di compiere operazioni con impatto significativo. Nel caso France Titres, il volume dei dati coinvolti e la natura governativa del bersaglio rendono l’episodio particolarmente delicato.

Il codice penale francese prevede sanzioni pesanti per accesso non autorizzato, persistenza nei sistemi ed esfiltrazione di dati, con pene che possono arrivare fino a sette anni di reclusione e 300.000 euro di multa nei casi più gravi. L’età dell’indagato introduce però una dimensione giudiziaria complessa, dove repressione, responsabilità penale e recupero educativo devono essere bilanciati. Il caso dimostra che la prevenzione non riguarda solo aziende e governi, ma anche famiglie, scuole e comunità digitali frequentate da minori.

Ryan Goldberg e Kevin Martin condannati per attacchi BlackCat

Negli Stati Uniti, il Dipartimento di Giustizia condanna a quattro anni di carcere ciascuno Ryan Goldberg, ex incident response manager presso Sygnia, e Kevin Martin, ex negoziatore ransomware presso DigitalMint. I due vengono riconosciuti colpevoli per il loro ruolo come affiliati del gruppo ransomware BlackCat, noto anche come ALPHV, una delle operazioni estorsive più aggressive degli ultimi anni. Il caso è particolarmente rilevante perché coinvolge professionisti con esperienza diretta nella risposta agli incidenti e nella negoziazione con gruppi criminali. Tra aprile e dicembre 2023, Goldberg e Martin avrebbero pagato il 20 per cento delle riscossioni per accedere alla piattaforma ransomware ed estorsiva del gruppo. Le vittime includevano una società farmaceutica del Maryland, un produttore di dispositivi medici di Tampa, una società di ingegneria californiana, un produttore di droni della Virginia e uno studio medico della California. In un caso, una richiesta iniziale da 10 milioni di dollari si è chiusa con un pagamento da 1,27 milioni di dollari. I proventi venivano divisi e riciclati attraverso Bitcoin.

Ex professionisti cybersecurity mostrano il rischio insider nel ransomware

Le condanne di Goldberg e Martin rappresentano un segnale forte contro il rischio insider nel settore cybersecurity. I due imputati non erano semplici affiliati privi di competenze, ma professionisti che conoscevano procedure di risposta agli incidenti, dinamiche di negoziazione e vulnerabilità operative delle vittime. Questa conoscenza avrebbe aumentato l’efficacia delle estorsioni e reso più credibile la pressione sulle aziende colpite. La cospirazione includeva anche Angelo Martino, 41 anni, della Florida, che ha patteggiato nell’aprile 2026. Il gruppo è accusato di avere ostacolato il commercio tramite estorsione, sfruttando infrastrutture ransomware per colpire aziende statunitensi in settori sensibili. Le dichiarazioni di colpevolezza del dicembre 2025 e le sentenze del 2026 confermano la volontà delle autorità americane di perseguire con durezza non solo gli operatori tecnici, ma anche chi usa competenze professionali per facilitare pagamenti e riciclaggio.

Thomasz Szabo condannato per ring rumeno di swatting online

Un altro fronte giudiziario riguarda Thomasz Szabo, 27 anni, indicato come leader di un’organizzazione rumena dedita allo swatting. Un tribunale federale statunitense lo condanna a quattro anni di prigione e tre anni di libertà vigilata per avere fondato e diretto una comunità online che incoraggiava falsi allarmi bomba e minacce alle autorità. Szabo è stato estradato dalla Romania nel novembre 2024, confermando la cooperazione internazionale su reati nati online ma capaci di generare conseguenze fisiche reali. Il ring avrebbe preso di mira oltre 75 pubblici ufficiali, diversi giornalisti e quattro istituzioni religiose. Tra le vittime figurano almeno 25 membri del Congresso o familiari, sei alti funzionari dell’esecutivo federale, 13 funzionari federali delle forze dell’ordine e della magistratura e 27 funzionari statali. Un membro del gruppo avrebbe effettuato più di 25 chiamate di swatting in un solo giorno, causando uno spreco stimato di oltre 500.000 dollari di fondi pubblici in due giorni. Il caso mostra come lo swatting non sia una provocazione digitale, ma un crimine che mette a rischio vite e risorse pubbliche.

Instructure rivela incidente cyber e avvia indagine forense

Nel settore edu-tech, Instructure, azienda nota per la piattaforma Canvas LMS, comunica il 1° maggio 2026 di avere subito un incidente cibernetico riconducibile a un threat actor criminale. La società avvia un’indagine con esperti forensi esterni per determinare l’estensione dell’attacco e ridurre l’impatto sui propri servizi. Alcune componenti, tra cui Canvas Data 2 e Canvas Beta, vengono messe in manutenzione a partire dal 1° maggio. Al momento della disclosure non risultano confermati furti di dati né impatti diretti su studenti, scuole o università clienti. L’azienda dichiara però di voler fornire aggiornamenti man mano che l’indagine procede. Il caso è rilevante perché le piattaforme educative gestiscono dati sensibili di studenti, docenti e istituzioni, oltre a integrare sistemi di autenticazione e strumenti collaborativi. Un incidente in questo settore può produrre effetti operativi ampi anche prima di una conferma formale sull’esfiltrazione dei dati.

Condanne e indagini mostrano una risposta coordinata delle autorità

Le azioni giudiziarie contro il 15enne francese, gli affiliati BlackCat e il ring di swatting indicano una risposta sempre più coordinata delle autorità europee e statunitensi. Nel caso francese, il monitoraggio dei forum criminali contribuisce a collegare l’alias online alla persona fisica. Nel caso BlackCat, l’indagine segue flussi finanziari, pagamenti in Bitcoin e relazioni tra affiliati. Nel caso Szabo, l’estradizione dalla Romania dimostra che la distanza geografica non garantisce impunità. Questi procedimenti mandano un messaggio chiaro: il cybercrime viene perseguito anche quando coinvolge minori, professionisti del settore o gruppi transnazionali. La repressione si affianca a un lavoro investigativo tecnico sempre più sofisticato, capace di collegare infrastrutture digitali, identità online, criptovalute e attività fisiche. Per le organizzazioni, questo scenario conferma l’importanza di conservare log, segnalare incidenti rapidamente e collaborare con le forze dell’ordine.

Impatto sulle vittime tra dati personali ransomware e sicurezza pubblica

Il breach di France Titres espone milioni di cittadini francesi a rischi di abuso dei dati personali. Anche se le informazioni rubate non consentono accessi diretti ai sistemi, possono essere usate per phishing mirato, truffe telefoniche, furti d’identità e campagne di impersonificazione. La quantità dei record coinvolti rende l’impatto potenziale molto ampio e difficile da contenere nel tempo, perché dati come data di nascita e indirizzo postale non possono essere ruotati come una password. Gli attacchi BlackCat hanno invece colpito aziende in settori critici come farmaceutico, dispositivi medici, droni e sanità, con danni economici e operativi diretti. Lo swatting ha sottratto risorse alle forze dell’ordine e messo a rischio vittime innocenti attraverso interventi armati basati su false segnalazioni. L’incidente Instructure riguarda un settore educativo già molto dipendente da piattaforme digitali. Insieme, questi casi mostrano che il cybercrime non resta confinato al mondo virtuale ma produce conseguenze concrete su cittadini, imprese e servizi pubblici.