Perché Operation Ramz colpisce il phishing globale?

Interpol ha coordinato una delle più vaste operazioni contro la criminalità informatica mai condotte in Medio Oriente e Nord Africa: 201 persone arrestate, altri 382 sospetti identificati, 3.867 vittime individuate e 53 server sequestrati. Il nome dell’operazione è Ramz, un intervento multinazionale che ha preso di mira reti di phishing, malware, truffe finanziarie online e infrastrutture digitali usate per colpire utenti, aziende e istituzioni.

La portata del blitz racconta un cambio di scala. Non si tratta più soltanto della falsa email bancaria scritta male, del messaggio sospetto arrivato sul telefono o del link-trappola nascosto dietro un logo copiato. Qui emerge un ecosistema industriale: server, account compromessi, piattaforme di phishing-as-a-service, dispositivi infetti, dati bancari rubati, false piattaforme di investimento. Un mercato nero modulare, agile, a volte persino rudimentale nei metodi, ma molto efficace nel risultato. E soprattutto senza confini reali: il truffatore può stare in un Paese, la vittima in un altro, il server in un terzo, il denaro sparire in un quarto.

Il blitz che ha acceso la mappa del cybercrime

Operation Ramz si è sviluppata tra ottobre 2025 e il 28 febbraio 2026 e ha coinvolto 13 Paesi dell’area MENA: Algeria, Bahrain, Egitto, Iraq, Giordania, Libano, Libia, Marocco, Oman, Palestina, Qatar, Tunisia ed Emirati Arabi Uniti. È stata definita una prima operazione di questa scala per la regione, e il dettaglio conta: il Medio Oriente e il Nord Africa sono diventati negli ultimi anni un crocevia sempre più esposto al crimine digitale, tra crescita dei pagamenti online, espansione delle app finanziarie, uso massiccio degli smartphone e infrastrutture pubbliche e private non sempre protette con la stessa velocità con cui si digitalizzano.

Il bilancio numerico è già significativo, ma da solo non basta. Quasi 8.000 elementi di intelligence sono stati condivisi tra le autorità coinvolte per avviare o sostenere indagini. È questo il cuore operativo del caso: non la spettacolarità dell’arresto, ma la circolazione delle informazioni. Indirizzi IP, domini, server di comando e controllo, account compromessi, script, dispositivi, tracce bancarie. Piccoli frammenti sparsi, apparentemente opachi, che messi insieme diventano una mappa. È così che funziona oggi la lotta al phishing: meno sirene e più correlazioni, meno scena del crimine tradizionale e più log, hash, metadati, accessi, sessioni sospette.

Il phishing moderno non vive più soltanto nella casella di posta. Si infila nei messaggi istantanei, nelle false pagine di login, nelle pubblicità ingannevoli, nelle chiamate, nei codici QR, nelle app clonate, nelle finte piattaforme di trading. Cambia pelle con una facilità irritante. Un giorno si finge banca, il giorno dopo corriere, poi ente pubblico, exchange di criptovalute, servizio cloud, portale sanitario, ufficio immigrazione, assistenza clienti. Il suo talento è la normalità: assomiglia a ciò che usiamo ogni giorno. E proprio per questo funziona.

Phishing come industria, non come trucchetto

Il dato più interessante di Ramz è l’emersione del phishing come servizio. In Algeria, le autorità hanno smantellato un sito che offriva phishing-as-a-service, una formula che rende la truffa digitale acquistabile quasi come un abbonamento. Chi non sa programmare può comunque comprare kit pronti, pagine false, pannelli di gestione, script, modelli per rubare credenziali, sistemi per catturare password e codici temporanei. Il vecchio ladro informatico solitario, cappuccio e tastiera nell’immaginario popolare, è ormai una caricatura da poster. La realtà è più prosaica e più inquietante: fornitori, clienti, affiliati, intermediari, sviluppatori, riciclatori.

Un kit di phishing ben confezionato può replicare l’aspetto di una banca, di un servizio email o di una piattaforma di pagamento con precisione sufficiente per ingannare chi apre il link di fretta, magari dal telefono, magari mentre è in metro o in pausa pranzo. Non serve sempre violare un sistema con sofisticate tecniche da film. Spesso basta portare la vittima a fare da sola il gesto sbagliato: inserire una password, confermare un accesso, scaricare un file, autorizzare una transazione. La porta viene aperta dall’interno. Ed è questa la parte più crudele.

Nel caso di Ramz, le indagini hanno colpito non solo persone, ma anche infrastrutture. I 53 server sequestrati sono un punto essenziale perché il cybercrime non esiste nel vuoto: ha bisogno di macchine, domini, hosting, pannelli, strumenti di distribuzione del malware, archivi di dati, nodi da cui coordinare campagne e ricevere informazioni rubate. Quando si spegne un server, non si cancella per sempre il problema, ma si interrompe una filiera. Si rompono collegamenti, si recuperano tracce, si identificano vittime, si rallentano campagne già in corso. È come togliere corrente a un laboratorio clandestino: magari ne nascerà un altro, ma quello smette di produrre.

La collaborazione con società specializzate in cybersicurezza mostra anche un altro aspetto: le polizie non possono più lavorare da sole. Le aziende che monitorano minacce, botnet, domini malevoli e infrastrutture criminali vedono spesso segnali prima che diventino casi giudiziari. Possono individuare account compromessi, server di comando e controllo, campagne attive, flussi anomali. Le autorità, poi, hanno gli strumenti legali per sequestrare, arrestare, interrogare, mettere insieme responsabilità. Due mondi diversi, a volte diffidenti, ma ormai costretti a parlarsi.

Le piste aperte tra Qatar, Giordania, Oman e Maghreb

Le ricostruzioni operative mostrano un mosaico molto concreto. In Qatar sono stati individuati dispositivi compromessi i cui proprietari, secondo quanto emerso, erano a loro volta vittime inconsapevoli: computer o sistemi usati per diffondere minacce digitali senza che chi li possedeva sapesse davvero che cosa stesse accadendo. È una dinamica frequente. Il dispositivo infetto diventa un piccolo ingranaggio di una macchina più grande, una stanza buia affittata a sua insaputa dentro una casa normale.

In Oman è stato identificato un server collocato in una residenza privata che conteneva informazioni sensibili e presentava vulnerabilità gravi, oltre a un’infezione malware. Qui il confine diventa sottile: non ogni server problematico nasce come server criminale, ma un sistema vulnerabile può trasformarsi in una risorsa per altri. Una macchina lasciata esposta, configurata male, non aggiornata, può diventare ponte, deposito, cassetta degli attrezzi. Il cybercrime ama gli spazi dimenticati: vecchi sistemi, software non patchati, credenziali deboli, servizi aperti verso Internet senza controllo.

In Algeria il caso del phishing-as-a-service è più diretto. Le autorità hanno sequestrato un server, un computer, un telefono e dischi contenenti software e script per campagne fraudolente, con un sospetto arrestato. È un dettaglio che aiuta a capire la natura ormai “artigianale-industriale” del fenomeno: strumenti replicabili, riutilizzabili, vendibili. Una catena di montaggio fatta di codice, domini usa e getta, template grafici e database di bersagli.

In Marocco sono stati sequestrati computer, smartphone e hard disk con dati bancari e software usati per operazioni di phishing. Tre persone risultano coinvolte in procedure giudiziarie, mentre altri soggetti restano sotto indagine. È la parte più vicina alla vita quotidiana delle vittime: conti, carte, accessi, risparmi. Il phishing non ruba soltanto “dati”, parola fredda, quasi asettica. Ruba tempo, fiducia, notti insonni, telefonate alla banca, denunce, imbarazzo. Ruba la sensazione minima di controllo sul proprio denaro.

Quando la vittima diventa ingranaggio

Il caso più disturbante arriva dalla Giordania. La polizia ha localizzato un computer usato per gestire truffe finanziarie legate a una falsa piattaforma di trading. Le vittime venivano spinte a investire su un servizio dall’apparenza legittima, che poi si chiudeva dopo il deposito dei fondi. Fin qui, purtroppo, una storia già vista: promessa di rendimento, grafici luminosi, interfacce curate, consulenti finti, pressione psicologica. Una scenografia digitale messa su per far sembrare razionale ciò che è solo predazione.

Durante il raid, però, sono state trovate 15 persone che materialmente operavano nella truffa. Gli investigatori hanno poi stabilito che non erano semplicemente complici ordinari, ma vittime di tratta, reclutate in Paesi asiatici con false promesse di lavoro, private dei passaporti e costrette o spinte a partecipare allo schema. Due presunti organizzatori sono stati arrestati. Questo dettaglio rompe la cornice comoda del “criminale informatico” come figura unica e lineare. Dentro alcune reti ci sono carnefici, intermediari, tecnici, prestanome, ma anche persone sfruttate. Il crimine digitale, qui, tocca il crimine più antico: il controllo fisico di esseri umani.

È una lezione amara. Dietro una chat apparentemente automatica o un call center fraudolento può esserci qualcuno obbligato a recitare una parte. Dietro il messaggio che invita a investire può esserci una stanza, un passaporto confiscato, una minaccia. Il phishing sembra immateriale, quasi pulito nella sua freddezza tecnica. In realtà lascia impronte molto materiali: persone truffate, lavoratori intrappolati, server sequestrati, telefoni pieni di dati rubati.

Perché il Medio Oriente e il Nord Africa sono diventati un fronte sensibile

La regione MENA è un laboratorio complesso per la cybersicurezza. Da un lato ci sono Paesi con ambizioni digitali fortissime, investimenti in fintech, smart city, servizi pubblici online, telecomunicazioni, logistica e infrastrutture energetiche. Dall’altro lato c’è una superficie d’attacco in crescita: più servizi connessi, più identità digitali, più pagamenti, più piattaforme, più dispositivi. Ogni nuovo sportello online è anche una nuova porta da proteggere. Ogni app che semplifica la vita a milioni di utenti diventa, per qualcuno, una possibile imitazione.

Il phishing prospera dove si incontrano fiducia e fretta. Nei mercati in rapida digitalizzazione, molti utenti entrano in servizi finanziari online senza aver maturato una lunga abitudine alla verifica dei messaggi, dei domini, delle autorizzazioni. Ma non è una questione di ingenuità geografica. Succede ovunque, anche in Europa, negli Stati Uniti, in Asia. La differenza è il ritmo: quando la digitalizzazione corre più veloce dell’educazione alla sicurezza e degli investimenti difensivi, i criminali trovano spazio. Una crepa sottile, poi un varco.

Le campagne più efficaci non puntano solo sulla tecnologia. Puntano sul contesto. Una falsa comunicazione bancaria nei giorni in cui una banca sta davvero aggiornando i propri servizi. Un messaggio su una consegna quando l’e-commerce è al picco. Una finta verifica dell’identità in periodi di nuove regole amministrative. Un investimento truffa durante una fase di entusiasmo per criptovalute, materie prime, valute estere o trading online. Il criminale non inventa sempre da zero: copia l’attualità, la piega, la indossa come una maschera.

Per questo Operation Ramz ha valore oltre i confini dei 13 Paesi coinvolti. Mostra che il contrasto non può limitarsi a inseguire singoli autori dopo la denuncia. Deve colpire l’architettura: infrastrutture, fornitori, account, domini, flussi di denaro, strumenti riutilizzabili. È meno soddisfacente da raccontare rispetto al grande arresto spettacolare, ma più efficace. Se il cybercrime è una rete, bisogna tagliare nodi, non solo catturare mani.

Che cosa insegna Ramz a utenti e aziende

La prima lezione è semplice, quasi banale, e proprio per questo spesso ignorata: il phishing non è un errore individuale, è un sistema di pressione. Funziona perché sfrutta abitudini normali. Aprire una mail, leggere un messaggio, confermare un pagamento, entrare in un servizio, rispondere a un avviso. Non prende di mira soltanto persone distratte. Colpisce professionisti, funzionari, imprenditori, studenti, pensionati, dipendenti pubblici, impiegati di banca, tecnici. A volte basta un momento storto. Un attimo, appunto.

Per gli utenti, la prudenza utile non è vivere nel sospetto permanente, che sarebbe impossibile e anche piuttosto triste. È introdurre piccoli attriti nei momenti critici. Controllare il dominio prima di inserire credenziali. Non aprire link arrivati da messaggi che chiedono urgenza. Entrare nei servizi digitando l’indirizzo o usando l’app ufficiale, non passando dal collegamento ricevuto. Diffidare delle piattaforme di investimento che promettono rendimenti rapidi, bonus, consulenti insistenti, guadagni garantiti. Nessun investimento serio ha bisogno di trascinare una persona al deposito con il fiato sul collo.

Per le aziende il discorso è più duro. Non basta fare il corso annuale con slide dimenticabili e quiz finale. Serve ridurre l’impatto dell’errore umano: autenticazione multifattore resistente al phishing, monitoraggio degli accessi anomali, gestione seria delle password, segmentazione dei sistemi, aggiornamenti puntuali, backup isolati, procedure di risposta agli incidenti, simulazioni realistiche. E soprattutto serve sapere cosa fare nei primi minuti. Quando un account viene compromesso, il tempo non è un dettaglio: è il corridoio in cui l’attaccante corre prima che qualcuno accenda la luce.

Le piccole imprese sono spesso le più esposte. Non hanno grandi reparti di sicurezza, ma trattano dati, pagamenti, credenziali, fatture, clienti, fornitori. Il phishing contro le aziende non mira sempre a svuotare direttamente un conto. Può cercare accessi email per frodi successive, intercettare conversazioni commerciali, modificare IBAN su fatture, entrare in sistemi cloud, rubare documenti da usare per ricatti o truffe più credibili. Il primo messaggio sembra innocuo. Il danno arriva dopo, quando il criminale ha imparato il tono, i nomi, le scadenze, le abitudini interne.

Anche le istituzioni pubbliche hanno un problema specifico: la fiducia. Quando i cittadini ricevono comunicazioni da enti, ministeri, comuni, agenzie fiscali o servizi sanitari, spesso reagiscono in fretta perché temono sanzioni, blocchi, ritardi, perdita di benefici. I criminali lo sanno. Le campagne che imitano enti pubblici usano il linguaggio dell’obbligo, della scadenza, della verifica. Poche parole, un logo, un pulsante. L’autorità diventa esca. E quando l’esca funziona, non perde solo la vittima: perde credibilità anche il servizio vero.

Una rete colpita, non cancellata

Operation Ramz non chiude il capitolo del phishing nella regione MENA, né altrove. Sarebbe ingenuo pensarlo. Le reti criminali si ricompongono, cambiano dominio, spostano server, reclutano nuovi affiliati, comprano altri strumenti. Il cybercrime ha una capacità di adattamento quasi biologica: perde un arto e ne fa crescere un altro, magari più piccolo, magari meno efficiente, ma vivo. La differenza è che ogni operazione di questo tipo alza il costo dell’impunità. Sequestra macchine, espone metodi, identifica sospetti, avvisa vittime, costringe i gruppi a ricominciare da capo.

Il punto forte di Ramz è proprio il messaggio operativo: non si colpisce solo chi clicca o chi ruba, si colpisce l’ambiente che rende possibile la truffa. Server, script, dati bancari, piattaforme fasulle, dispositivi compromessi, account violati. È una lotta meno visibile di una pattuglia per strada, ma ormai altrettanto concreta. Le frontiere digitali non coincidono con quelle politiche, e questo rende tutto più difficile. Però anche la cooperazione può attraversarle. Quando 13 Paesi condividono dati, quando aziende private forniscono intelligence tecnica e quando le autorità riescono a trasformare segnali dispersi in azioni giudiziarie, la rete criminale perde invisibilità.

Resta la fragilità di fondo. La nostra vita digitale è costruita su fiducia rapida: clicchiamo, confermiamo, autorizziamo, sincronizziamo. Ogni gesto è comodo. Ogni comodità, se non protetta, è anche una fessura. Ramz mostra che il phishing non è un fastidio laterale della modernità, ma una delle sue ombre più redditizie. Un’economia parallela che vive copiando l’economia legale, imitandone i colori, i moduli, le urgenze, le promesse.

La notizia, quindi, non è solo che 201 persone sono state arrestate. La notizia è che il phishing viene trattato sempre più come criminalità organizzata transnazionale, con infrastrutture da smantellare e vittime da identificare, non come una serie di piccoli raggiri isolati. È un passaggio culturale, prima ancora che investigativo. Finché lo si guarda come un incidente individuale, vince la vergogna della vittima. Quando lo si guarda come industria criminale, entra finalmente in scena la responsabilità di chi lo organizza, lo vende, lo ospita e lo alimenta.