Giovedì 21 dicembre il tribunale penale di Southwark Crown Court, Londra, ha deciso il destino di Arion Kurtaj, diciottenne autistico facente parte del gruppo hacker noto come Lapsus$. Tenendo in considerazione i disturbi del neurosviluppo che caratterizzano il giovane, l’imputato è stato giudicato inadatto a partecipare al suo stesso processo e i giudici si sono limitati a riconoscere le sue responsabilità negli atti commessi, senza dar peso all’eventuale movente criminale. Nonostante le premesse, il giudizio finale è stato roboante: Kurtaj sarà internato a vita in una struttura detentiva ospedaliera, fino a quando i medici non lo considereranno più un pericolo per la società.
I cybercriminali di Lapsus$ sono emersi tra Regno Unito e Brasile nel 2021 e nel tempo hanno raffinato i loro sforzi al fine di colpire tutta una serie di aziende tech di altissimo profilo. Microsoft, Nvidia, Samsung e Uber sono tutte vittime di questi hacker. Gli investigatori hanno ipotizzato che i membri del gruppo siano estremamente giovani e che l’approccio estorsivo delle loro azioni sia accompagnato da un onnipresente senso di sfida. Kurtaj, identificato quando ancora minorenne, è stato lungamente accusato di essere una delle figure principali all’interno della gang.
Nonostante quasi tutti i colpi di Lapsus$ siano stati a loro modo degni di nota, è stata l’ultima azione di Kurtaj a catalizzare come non mai l’attenzione del pubblico e a incidere sulla decisione del giudice. Il diciottenne, nel pieno di una libertà provvisoria sotto osservazione poliziesca, è riuscito a sferrare un attacco nonostante le autorità gli avessero sequestrato il computer: stando alla BBC, l’hacker si sarebbe connesso allo schermo presente nella sua stanza d’albergo via Amazon Firestick, un media center d’intrattenimento che nelle mani di una persona comune si limiterebbe a trasmettere film in streaming, ma che nelle sue si è tramutato in un’arma micidiale.
Sfruttando questo escamotage, Kurtaj ha fatto breccia nei sistemi di sicurezza di Rockstar Games, azienda videoludica che smuove miliardi di dollari di fatturato, carpendo informazioni essenziali del prossimo gioco di punta prodotto dalla Big: Grand Theft Auto 6. Non vedendo accolte le sue richieste estorsive, il criminale ha successivamente pubblicato online il maltolto, causando un danno che l’impresa stima aggirarsi almeno sui 5 milioni di dollari, nonché su di migliaia di ore di lavoro impiegate per ripristinare i sistemi compromessi.
La Corte ha giustificato la scelta draconiana dell’ergastolo asserendo che il giovane “ha continuato a esprimere l’intento di tornare a commettere atti di crimine digitale non appena possibile”, una posizione aggravata dal fatto che Kurtaj avrebbe dimostrato comportamenti violenti durante il periodo passato in custodia. La reazione della comunità hacker non si è fatta attendere: in occasione della vigilia di Natale è stato pubblicato illegalmente online in segno di solidarietà il codice sorgente di Grand Theft Auto 5, celebre titolo di Rockstar Games.
La pena imposta a Kurtaj non mancherà di dividere l’opinione pubblica, anche perché, ufficialmente, nessuna delle vittime coinvolte nelle pratiche di Lapsus$ ha mai ammesso di aver pagato gli hacker e i criminali non hanno mai fornito informazioni utili a rintracciare o ad accedere i portafogli cripto che potrebbero contenere l’ipotetica refurtiva. Per quanto è dato sapere, formalmente le strategie dei cybercriminali non hanno mai generato i frutti desiderati e si sono limitate a causare danni relativamente contenuti.
[di Walter Ferri]
