Europol ha smantellato First VPN, un servizio descritto come un'infrastruttura 'bulletproof' per i cybercriminali. L'operazione, chiamata Operazione Zafferano, è il risultato di un'indagine internazionale iniziata nel 2021. Le autorità hanno sequestrato 33 server in 27 paesi e identificato 506 utenti del servizio.
All'operazione hanno partecipato forze dell'ordine di 18 paesi, con Francia, Paesi Bassi, Lussemburgo, Romania, Svizzera, Ucraina e Regno Unito che hanno avuto ruoli chiave. I domini di First VPN, sia gli indirizzi normali che i servizi nascosti Tor, sono stati sequestrati e ora reindirizzano a un banner dell'Operazione Zafferano. L'indagine ha portato le autorità anche a un luogo in Ucraina collegato al servizio.
Secondo Europol, First VPN si proponeva non solo come strumento per la privacy, ma come un servizio che non collabora con le autorità legali e afferma di operare al di fuori di qualsiasi giurisdizione. Era pubblicizzato principalmente sui forum di cybercriminalità in lingua russa. Le forze dell'ordine riferiscono che il servizio compariva spesso in indagini su frodi online, attacchi malware e ransomware.
Il caso First VPN mette in luce una questione complessa: il confine tra la privacy digitale legittima e l'infrastruttura usata dai criminali. Molte VPN normali non tengono registri né hanno dati utente da consegnare, ma i cosiddetti servizi bulletproof sono diversi: si rivolgono apertamente a clienti dubbi, ignorano le segnalazioni di abuso e spesso si promuovono come resistenti alle forze dell'ordine.
Operazioni come queste sollevano inevitabilmente domande sui limiti legali dell'intervento. I sequestri di server dipendono dalle leggi dei singoli paesi e gli standard per mandati, prove e procedure possono variare notevolmente. In Europa, la privacy digitale è un diritto protetto e il GDPR impone regole severe sul trattamento dei dati, rendendo l'equilibrio tra sicurezza e privacy particolarmente delicato.
Le nuove proposte dell'UE per ampliare l'accesso delle forze dell'ordine ai dati o per scansionare i messaggi privati a fini di protezione dei minori aggiungono ulteriore complessità. In questo contesto, la chiusura di First VPN non è solo un colpo all'infrastruttura dei cybercriminali, ma anche un capitolo nel dibattito in corso sul futuro della privacy online.