// 1 ZERO-DAY NELLE ULTIME 24H
Angelo Martino è stato condannato a 70 mesi di carcere per aver agito come informatore dei ransomware BlackCat/ALPHV contro cinque aziende statunitensi che lo
{"main_topic":"ransomware","topics":["cybersecurity","ransomware","infosec","enterprise","cybersec"]}

Angelo Martino è stato condannato a 70 mesi di carcere per aver agito come informatore dei ransomware BlackCat/ALPHV contro cinque aziende statunitensi che lo avevano ingaggiato come negoziatore. La sentenza, emessa il 9 luglio 2026 nel Southern District of Florida, chiude il caso del più grave tradimento documentato nella storia dell'incident response commerciale: 75,3 milioni di dollari estorti utilizzando informazioni riservate su limiti assicurativi e strategie negoziali che Martino stesso aveva sottratto ai clienti.

L'inchiesta del DOJ e dell'FBI ha ricostruito una trama durata mesi, dalla primavera all'autunno 2023, in cui la posizione fiduciaria del negoziatore è stata convertita in un asset di intelligence per il crimine organizzato informatico. La condanna include il sequestro di attività per circa 10 milioni di dollari: una villa sul mare da 1,68 milioni, una seconda casa da 396.000 dollari, portafogli di criptovalute, veicoli, un food truck e una barca da pesca di 9 metri.

Punti chiave
  • Martino ha ricevuto 70 mesi di carcere per cospirazione finalizzata all'estorsione; i coimputati Kevin Martin e Ryan Goldberg, ex DigitalMint e ex Sygnia, erano già stati condannati a 4 anni ciascuno nell'aprile 2026.
  • I cinque clienti DigitalMint vittime del tradimento hanno pagato riscatti specifici: un'organizzazione no-profit circa 26,8 milioni di dollari, un istituto finanziario circa 25,7 milioni, un'azienda dell'ospitalità circa 16,5 milioni, più altri due versamenti da 6,1 milioni e 213.000 dollari.
  • Martino ha ottenuto un account affiliato ALPHV condiviso con i complici, ricevendo una quota dei pagamenti; il gruppo versava il 20% agli amministratori di BlackCat e si divideva l'80% residuo.
  • DigitalMint ha licenziato Martino nell'aprile 2025, dopo notifica del DOJ; l'azienda non è stata accusata, ma il caso solleva interrogativi strutturali sui controlli interni del settore negoziale.

Come funzionava il doppio gioco

Il meccanismo non richiedeva vulnerabilità software ma l'asimmetria informativa tipica della crisi ransomware. Martino aveva accesso alla documentazione assicurativa dei clienti, alle valutazioni finanziarie interne e alla telemetria delle negoziazioni in tempo reale. Secondo l'accusa, ha trasferito sistematicamente questi dati agli affiliati di BlackCat per ottimizzare le richieste di riscatto.

Un estratto dell'accordo di patteggiamento, citato da CyberScoop, mostra Martino che istruisce un affiliato: "Keep denying our offers and I will let you know once I find out the max they want to pay" — traducibile in un protocollo operativo di intelligence economica applicato contro il proprio committente. Nelle chat negoziali visibili ai clienti, Martino presentava invece offerte di compromesso; nelle comunicazioni parallele con gli attaccanti, forniva il target price.

Il caso documenta anche l'attività tecnica parallela del gruppo. Oltre al tradimento dei cinque clienti DigitalMint, Martino, Martin e Goldberg hanno autonomamente dispiegato BlackCat contro altre cinque aziende tra aprile e novembre 2023, estorcendo con successo circa 1,3 milioni di dollari a una società del settore medico nel maggio 2023. Goldberg, ex manager di Sygnia, e Kevin Martin, collega di Martino in DigitalMint, gestivano l'aspetto tecnico delle intrusioni.

La struttura del compenso e il riciclaggio

Secondo quanto riportato da The Hacker News, il gruppo operava con una ripartizione standard del modello ransomware-as-a-service: il 20% alle amministratori di ALPHV, l'80% diviso tra i tre cospiratori. I proventi in Bitcoin sono stati riciclati attraverso serie di transazioni successive, secondo i documenti giudiziari citati dalla stessa fonte.

Il sequestro patrimoniale finale — circa 10 milioni di dollari — include beni diversificati che indicano liquidazione prolungata dei guadagni: non solo criptovalute, ma immobili, veicoli e attività commerciali. Martino si era costituito nel marzo 2026, rilasciato su cauzione di 500.000 dollari, e aveva patteggiato nell'aprile 2026 per cospirazione di ostruzione del commercio mediante estorsione, reato che prevedeva una pena massima di 20 anni. I coimputati avevano patteggiato nel dicembre 2025.

La sentenza include un'udienza di restituzione fissata per il 17 settembre 2026, dove sarà determinato l'importo dovuto alle vittime. Il dossier non specifica se le aziende danneggiate abbiano ottenuto rimborsi parziali o totali attraverso polizze assicurative o azioni legali contro DigitalMint.

L'impatto strutturale sulla filiera incident response

Il caso Martino esemplifica una vulnerabilità organizzativa specifica: la mancanza di standard fiduciari nell'industria della negoziazione ransomware, settore non regolamentato dove i professionisti gestiscono liquidità critica e informazioni sensibili senza oversight equivalente a quello dei consulenti finanziari regolamentati. I compensi basati su percentuale del riscatto — o addirittura su fee di processing — creano tensioni strutturali che il caso rende esplicite.

Coveware, competitor di DigitalMint nel settore, ha già eliminato le commissioni di processing per i pagamenti riscatto come risposta diretta a questa vicenda, secondo quanto riportato da Centrexit. La misura, tuttavia, risolve solo uno degli incentivi distorti: rimane aperta la questione del controllo interno sui negoziatori che gestiscono simultaneamente informazioni strategica e accesso ai sistemi di comunicazione con gli attaccanti.

Il DOJ, attraverso l'Assistant Attorney General A. Tysen Duva, ha indicato che sono in corso "other unrelated instances of alleged fraud in the cybersecurity industry". Il dossier non specifica se queste indagini abbiano già prodotto accuse formali o se riguardino ulteriori operatori della stessa filiera.

"Angelo Martino sold out the very victims he was hired to represent, handing their confidential negotiating positions to BlackCat actors to drive up ransoms and enrich himself" — Brett Leatherman, Assistant Director, FBI Cyber Division

Perché è importante

La sentenza di Martino non è un caso isolato di criminalità individuale ma un segnale d'allarme su un mercato della sicurezza operante in condizioni di opacità strutturale. Le aziende che subiscono un incidente ransomware delegano in stato di vulnerabilità la gestione della crisi a fornitori esterni; il caso documenta che questa delega può essere weaponizzata contro di esse.

Il dossier non specifica quali controlli interni DigitalMint avesse implementato, né quali metodi Martino abbia utilizzato per occultare le comunicazioni con gli affiliati BlackCat al proprio datore di lavoro. L'azienda ha dichiarato di non avere avuto conoscenza dei fatti e di avere applicato controlli "industry-standard" che sono stati aggirati.

Per i CISO e i decisori aziendali, la vicenda solleva questioni di dueggianza: la verifica del background dei negoziatori incident response, la struttura contrattuale dei rapporti fiduciari, la separazione dei ruoli tra chi ha accesso alle informazioni assicurative e chi comunica con gli attaccanti. Il dossier non documenta standard settoriali emergenti su questi punti né misure correttive specifiche oltre alla decisione Coveware sulle commissioni di processing.

La fonte non specifica se il modello di compenso di DigitalMint per Martino includesse incentivi legati all'entità dei riscatti negoziati. Non emergono sovrapposizioni infrastrutturali che colleghino l'attore a ulteriori operatori del settore non già menzionati nelle fonti.

Le altre vittime e il contesto ALPHV

Il gruppo BlackCat/ALPHV, prima dello shutdown operato dal DOJ nel dicembre 2023, aveva colpito oltre 1.000 vittime in tutto il mondo, secondo The Hacker News. L'operazione di disruption ha incluso il rilascio di uno strumento di decrittazione FBI che, secondo i documenti citati da CyberScoop, ha permesso di evitare riscatti per circa 99 milioni di dollari a centinaia di organizzazioni.

I tre cospiratori hanno operato nella fase ascendente del gruppo criminale, sfruttando l'infrastruttura di affiliate marketing prima della sua paralisi giudiziaria. Lo status operativo attuale dei restanti affiliati ALPHV non è documentato nel brief; il dossier si limita a registrare la data di disruption del dicembre 2023.

Martino, 41 anni, aveva una carriera nel cybersecurity risalente almeno al 2015, con precedenti impieghi presso Booz Allen Hamilton, Tracepoint e TRM Labs. La traiettoria professionale — da contractor governativo a fornitore di servizi commerciali di crisi a condannato per cospirazione criminale — solleva interrogativi sulla mancata ricorrenza di segnali d'allarme nei controlli di hiring del settore, che il brief non documenta.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti


Fonti e riferimenti
  1. cyberscoop.com
  2. centrexit.com
  3. thehackernews.com
  4. helpnetsecurity.com
  5. securityweek.com