Quando l’infrastruttura hosting diventa un’arma: cosa ci insegna il sequestro olandese

La scorsa settimana le autorità olandesi hanno portato a termine un’operazione di grande rilievo: 800 server sequestrati, due arresti e lo smantellamento di un’infrastruttura di hosting che, secondo gli inquirenti, avrebbe supportato campagne di cyber-attacco e disinformazione legate a entità russe e bielorusse.

A prima vista si tratta dell’ennesima notizia di sicurezza informatica. In realtà nasconde lezioni importanti su responsabilità dell’infrastruttura, elusione delle sanzioni e velocità con cui un provider può trasformarsi, volontariamente o meno, in un attore di guerra geopolitica.

L’operazione: una struttura a strati

Il caso colpisce per la complessità tecnica. Non si tratta di una singola azienda che opera con leggerezza da un data center, ma di una catena di soggetti.

Stark Industries era il fornitore principale. Nata poche settimane prima dell’invasione russa del 2022, quando le sanzioni UE sono arrivate nel maggio 2023 ha semplicemente spostato l’infrastruttura su una nuova società olandese, WorkTitans B.V., operante con il brand THE.Hosting.

A fornire i server fisici, la connettività e l’accesso agli internet exchange di Amsterdam e Francoforte era Mirhosting, con sede ad Almere. Il traffico poteva così entrare in Europa senza destare sospetti.

Ogni livello offriva una parvenza di legittimità: i provider di hosting potevano dire di fornire solo risorse di calcolo, quelli di colocation di offrire soltanto connettività. Il risultato? Responsabilità diluite.

Il problema dell’opacità

Per chi offre servizi di hosting in modo trasparente, il caso pone una questione centrale: quanto sappiamo davvero di ciò che accade sui nostri server?

La maggior parte dei provider si affida ai reclami di abuso. Ma se il cliente è organizzato e ben finanziato, può mantenere un’apparenza di normalità mentre gestisce infrastrutture per DDoS o campagne coordinate. L’indagine ha collegato i server di WorkTitans agli attacchi del gruppo NoName057(16), un collettivo filorusso noto per colpire infrastrutture critiche. Non si tratta di abusi occasionali, ma di un uso deliberato.

Elusione delle sanzioni

L’aspetto forse più rilevante è il riferimento esplicito alle sanzioni UE. Stark Industries era già inserita nella lista dal maggio 2023; invece di chiudere, l’operazione ha semplicemente cambiato forma giuridica.

Questo dimostra che le sanzioni perdono efficacia se esiste un workaround tecnico semplice. Servono quindi:

• procedure KYC più rigorose per hosting e colocation
• verifiche approfondite sui soggetti che gestiscono connettività verso gli exchange europei
• integrazione in tempo reale delle liste di sanzioni nei processi di onboarding
• obbligo di segnalazione trasparente alle autorità

Cosa significa per chi offre hosting

Se gestisci piattaforme di hosting, VPS o server dedicati, l’operazione olandese impone un cambio di rotta immediato.

1. Protocolli di indagine rapidi
Ricevere un reclamo su infrastrutture DDoS o attività illecite non può tradursi in “vediamo tra 48 ore”. Serve la capacità di intervenire in modo immediato.

2. Monitoraggio reale dell’infrastruttura
Log e analytics devono andare oltre le metriche di performance. È necessario rilevare anomalie di traffico, picchi di connessioni in uscita verso target sensibili e comportamenti incoerenti rispetto all’uso dichiarato.

3. Affidabilità della filiera
Provider di colocation, transito e internet exchange vanno scelti con attenzione. Un solo anello debole può compromettere l’intero ecosistema.

4. Essere pronti a essere scelti
Gli attori malevoli cercano provider in giurisdizioni percepite come meno vigili. Questo richiede sia maggiore attenzione operativa sia disponibilità a collaborare con le autorità.

Infrastruttura e conflitto

Il sequestro olandese si inserisce in un trend più ampio: l’uso dell’infrastruttura internet come strumento di conflitto. Cyber-attacchi e disinformazione non sono più solo problemi di sicurezza; sono leve geopolitiche.

I provider di hosting e cloud non sono più soggetti neutrali. Che ci piaccia o no, siamo in prima linea. Non significa trasformarsi in agenzie di polizia, ma accettare la responsabilità di ciò che transita sui propri server e agire con decisione quando si individua un abuso.

Prospettive future

L’operazione è stata coordinata e ha coinvolto più agenzie. La vera domanda è se resterà un caso isolato o segnerà l’inizio di una nuova fase di enforcement. Con il progressivo inasprimento delle sanzioni, è probabile che si moltiplichino sequestri e pressioni sui provider perché dimostrino di non essere complici.

Per chi opera correttamente, si tratta di una buona notizia: enforcement più efficace significa meno concorrenza sleale e la possibilità di offrire servizi in un ambiente più pulito. Per i clienti significa minore rischio di interruzioni improvvise. Per l’intero settore, è il momento di prendere sul serio prevenzione degli abusi e conformità alle sanzioni. Il tempo in cui bastava dire “noi hostiamo solo bit” è finito.