Chi è Julius Kivimäki, l'hacker classe 1997 più ricercato d'Europa

«L'hacker più ricercato d'Europa è stato incarcerato». Così titolano le notizie sul caso di Julius Kivimäki, 27.enne condannato per avere rubato i dati clinici di 33 mila persone e averle ricattate. Ma la «carriera» del finlandese classe 1997 era iniziata a soli 13 anni, quando era salito alla ribalta in una rete di bande anarchiche di hacker adolescenti. Poco prima di diventare maggiorenne, era già stato condannato per avere messo a segno oltre 50 mila reati informatici.

Kivimäki si è introdotto nel sistema del Vastaamo, un centro privato finlandese specializzato in assistenza psicologica, e ha rubato i dati di 33.000 pazienti. La BBC ha ricostruito gli atti del criminale informatico. Tra il 2018 e il 2019 ha contattato i vertici della clinica, che hanno rifiutato di pagare la somma richiesta per impedire la pubblicazione online dei dati sanitari. Il cyber criminale ha quindi deciso di contattare direttamente i pazienti.

«All'inizio sono rimasta colpita da quanto i toni della mail fossero educati e gentili», ha raccontato una donna. «Il mittente, anonimo, aveva il mio nome e i miei dati privati, oltre al mio numero di previdenza sociale». Soprattutto, aveva le registrazioni di due anni di colloqui con il suo terapeuta, decine di sedute intime. «Se non avessi pagato un riscatto entro 24 ore, sarebbero stati pubblicati online». Quindi, la paura: «Qualcuno voleva fare soldi con i traumi della mia vita».

Il database rubato dalla psicoterapia di Vastaamo conteneva i segreti più profondi di 33.000 finlandesi, compresi minori. Conversazioni estremamente delicate. «Un attacco di questa portata rappresenta un disastro per la Finlandia: tutti conoscevano qualcuno che ne era stato colpito», ha spiegato Mikko Hyppönen, della società finlandese di cyber-sicurezza WithSecure. Le notizie sui media hanno occupato gran parte del 2020, anno pandemico e di lockdown.

L'avvocato Jenni Raiskio, che al processo ha rappresentato 2.600 vittime, ha dichiarato che il suo studio è stato contattato da persone i cui parenti si sono tolti la vita dopo la pubblicazione online delle cartelle cliniche.

Julius Kivimäki, che nella mail si firmava come ransom_man (uomo del riscatto), chiedeva alle vittime 200 euro entro 24 ore, altrimenti avrebbe reso pubbliche le loro informazioni personali. Al secondo tentativo, la cifra saliva a 500 euro. Una ventina di persone ha versato quanto richiesto, per poi rendersi conto che in realtà i loro dati erano già online.

Kivimäki, spiega la BBC, aveva infatti accidentalmente condiviso l'intero database su un forum nel darknet. Gli investigatori sono stati quasi due anni sulle sue tracce, fino a emettere un’allerta europea, facendolo diventare uno dei criminali più ricercati del continente con oltre 200 agenti coinvolti nel caso. «Una delle più grandi indagini di polizia nella storia del Paese si è chiusa attorno a un giovane finlandese già famoso nel mondo della criminalità informatica».

Kivimäki, che da adolescente si faceva chiamare Zeekill, si dedica all'hacking da quando era adolescente. All'età di 17 anni, nel 2014, è stato arrestato e successivamente dichiarato colpevole di 50.700 reati. La condanna a due anni era stata sospesa, ricevendo molte critiche nel mondo della sicurezza informatica. Infatti, il giovanissimo non si era fatto scoraggiare e aveva preso parte all'attacco DDoS ai servizi di PlayStation e Xbox Live nel giorno di Natale. Il finlandese era finito sui media di tutto il mondo e aveva persino accettato un'intervista televisiva con Sky News, durante la quale non aveva mostrato alcun rimorso per l'attacco.

Le ricerche dell'«hacker più ricercato d'Europa» si sono concluse a Parigi, dove è stato scovato «per sbaglio». La polizia è andata nel suo appartamento dopo aver ricevuto una chiamata per disturbo domestico. Lì hanno trovato Kivimäki in possesso di documenti di identità falsi.

Dopo la tempestiva estradizione in Finlandia, è iniziato il processo. I giudici hanno emesso il verdetto ritenendo Julius Kivimäki colpevole di tutti i capi di imputazione: violazione di dati aggravata, tentato ricatto aggravato, diffusione aggravata di informazioni lesive della vita privata, 20.745 tentativi di ricatto aggravato e 20 ricatti aggravati portati a termine. Oltre 30.000 crimini, tanti quante sono le vittime. La pena comminata dalla Corte è di sei anni e tre mesi di carcere. E le vittime aspettano ancora di vedere se sarà riconosciuto loro un risarcimento. Il Vastaamo è nel frattempo stato chiuso e il suo fondatore condannato per non aver protetto la privacy dei pazienti.