Le metamorfosi di Dmitry Smilyanets devono aver sbalordito anche gli 007 americani, tanto da non ostacolare un prodigioso salto della barricata: da fuorilegge accolto nella terra di Putin a “soldato” per la sicurezza informatica occidentale, nel pieno della guerra in Ucraina. Questa è la storia di un ex delinquente russo, autore di uno dei colpi più memorabili della storia, redento per i suoi peccati. Oggi è regolarmente impiegato in uno dei colossi globali della cybersecurity, Recorded Future, sostenuto dalla Cia. Tra i finanziatori annovera In-Q-Tel, il fondo di venture capital della Central Intelligence Agency. La multinazionale della sicurezza informatica lavora con aziende e pubbliche amministrazioni in tutto il globo, inclusa l’Italia.
Smilyanets non è l’unico hacker ad aver compiuto il grande balzo dal crimine alla legge, ad indossare la divisa delle guardie dopo aver dismesso la casacca dei ladri. Ma quanti provenivano da un Paese che minaccia di usare l’atomica contro l’Occidente? Per timore del sabotaggio russo, giova ricordare, gli Usa hanno bandito in tutto il Paese l’antivirus Kaspersky. Dunque non c’è dubbio: se Smilyanets siede negli uffici di Recorded Future, nessun rischio. Del resto nel giugno 2022 (4 mesi dopo l’invasione di Putin) anche il Wall Street Journal ha raccontato la gesta dell’ex genio del crimine convertito alla legalità e al buon costume americano: il giornalista Bob McMillan lo descrive nel suo appartamento a Brooklyn, mentre in giardino sventolano 6 bandiere a stelle e strisce e la griglia sul barbecue attende le bistecche da offrire al vicinato.
Partiamo dalla fine, il posto in ufficio di un cittadino modello: nella sua pagina Linkedin si presenta come Product manager del colosso americano Recorded Future. Ecco il suo biglietto da visita: “Sfrutto il mio background unico come ex membro di un’organizzazione di hacker d’élite con sede in Russia, nonché le mie competenze in ingegneria sociale, analisi dei dati e strategia di prodotto, per creare e migliorare prodotti che aiutano i nostri clienti a prevenire, rilevare e rispondere agli attacchi informatici”. Un’organizzazione di hacker d’élite, scrive Smilianets con un eufemismo: per la precisione, una banda di 5 criminali capace di rubare (tra il 2005 e il 2013) 160 milioni di dati di carte di credito. Poco meno della popolazione di Italia, Francia e Spagna unite.
“Una delle più grandi violazioni di dati della storia”, ha sentenziato il procuratore degli Stati Uniti per il New Jersey William E. Fitzpatrick, pronunciando la condanna il 14 febbraio 2018. Per Smilyanets la pena è la reclusione per 4 anni e tre mesi. Il suo compito era rivendere i dati delle carte sul mercato nero mentre gli altri 4 della banda facevano il resto. Vladimir Drinkman, “il miglior hacker del mondo” violava le reti informatiche con l’aiuto di Alexander Kalinin, spianando la strada a Roman Kotov, maestro nel furto delle informazioni. I dati trafugati dai tre criminali russi approdavano su server celati da sterpaglie, dentro una baracca in Ucraina grazie alla perizia di Mikel Ritikov. Smilyanets rivendeva ciascun numero di carta incassando tra i 10 e 50 dollari. Lui e Drinkman sono stati arrestati in un hotel di Amsterdam nel luglio 2013.
Nel suo ultimo post su Vkontakte prima delle manette – ironia della sorte – Smilyanets si è congedato con una battuta sugli 007 americani (oggi tra i finanziatori del suo datore di lavoro): “L’eredità degli e-sport russi, solo la CIA e l’MI6 potrebbero mai parlarne male”. In calce al post campeggiava la foto dei Moscow Five, il team degli sport elettronici fondato proprio da Smilyanets. Giusto un anno prima, secondo la testata Meduza, il patron dei Moscow Five aveva annunciato un finanziatore speciale per la sua squadra: l’imprenditore Sergey Matviyenko, uno dei 500 uomini più ricchi in Russia e figlio di Valentina, presidente del Consiglio federale russo ed ex governatrice di San Pietroburgo. Non è l’unico legame con le istituzioni russe: il papà è l’avvocato moscovita Viktor Smilyanets. Sul suo sito leggiamo: “Fornisco assistenza legale in casi penali in qualsiasi unità investigativa del Ministero degli Affari Interni, del Comitato Investigativo e dell’FSB (i servizi segreti russi, ndr)”.
Dmitri ha sempre professato fede putiniana. Secondo Meduza, nel marzo 2012 pubblicò una foto della sua scheda elettorale con la croce sul partito dello Zar, corredata dal commento: “Credo in lui! Questo è per un leader forte!”. Poi la fotografia di una tavola rotonda con rappresentanti dell’amministrazione Putin, condivisa con la didascalia: “Abbiamo discusso di problemi con gli e-sport in Russia”. Infine, l’immagine di una bandiera russa con uno stralcio dell’inno nazionale: “La nostra lealtà verso la Patria ci dà forza”.
Malgrado il pedigree, a Smilyanets e Drinkman poteva andare peggio. Rischiavano rispettivamente 25 e 35 anni di carcere: il primo se l’è cavata con 51 mesi e 21 giorni, il secondo con 144 mesi di prigione. Gli altri tre condannati – Kalinin, Kokov e Ritikov – sono latitanti. Per aver rubato i dati di 130 milioni di carte di credito, l’hacker di origine cubane Albert Gonzalez rimediò una pena negli Usa a 20 anni di carcere, nel 2010. Era già dietro le sbarre quando passò all’Fbi la soffiata sui crimini di Drinkman.
La banda dei 5 causò perdite da centinaia di milioni di dollari: solo tre aziende denunciarono un ammanco per 300 milioni. Fu violata la rete informatica di colossi come la borsa valori Nasdaq e la catena francese Carrefour. Al Wall street journal, Smilyanets sminuisce come se il colpo fosse un buffetto: “Il carding (furto dei dati delle carte, ndr) non è un crimine. È un’azione senza vittime. Non c’è colpa, perché anche se i soldi fossero stati rubati a un titolare di carta, la banca li avrebbe rimpiazzati. L’assicurazione avrebbe coperto le perdite per la banca. La tesoreria avrebbe stampato più contanti e coperto l’assicurazione. Quindi alla fine, come mi è stato spiegato e detto, non c’è stata nessuna vittima”. Il comunicato federale che annuncia la condanna rammenta invece “perdite incommensurabili per le vittime del furto, in costi associati a identità rubate e false accuse”.
“Questi imputati hanno rappresentato una vera minaccia per la nostra economia, la privacy e la sicurezza nazionale e non possono essere tollerati”, decretò il procuratore Fitzpatrick. Gli fece eco l’agente speciale McKevitt, responsabile dell’ufficio di Newark dei servizi segreti statunitensi: “Il Secret Service continuerà a sviluppare modi innovativi per proteggere l’infrastruttura finanziaria degli Stati Uniti e assicurare alla giustizia i criminali informatici”. Tra i “modi innovativi”, non sarebbe escluso l’assoldare criminali da Mosca. Talvolta, il delitto premia. O lascia impuniti.
Come per Alexander Kalinin, condannato con Smilyanets e Drinkman ma a piede libero da latitante. Impossibile dire se sia lo stesso Alexander Kalinin assunto dal colosso informatico russo Group-IB. Di certo, il gigante della cybersecurity nato all’ombra del Cremlino ha accolto tra i suoi ranghi Nikita Kislitsin, accusato nel 2014 dal Dipartimento di Giustizia Statunitense per il furto di credenziali (cioè password e username) dal social network Formspring (oggi defunto). Group-IB, per i suoi legami con Mosca, non può vendere antivirus e software alla Pubblica amministrazione italiana. Tuttavia collabora con aziende private, fornitori della Pa e istituzioni di prestigio: come il CertFin sostenuto da Bankitalia, per tutelare la sicurezza informatica del sistema bancario italiano. Nel Vecchio Continente invece è partner di Europol. Ma questa è un’altra storia.