// 2 ZERO-DAY · 1 CVE · 1 EXPLOIT · 1 ADVISORY NELLE ULTIME 24H
Il Treasury sanziona First VPN Service e il suo amministratore ucraino per supporto a gruppi ransomware. È la prima volta contro un provider VPN. Cosa cambia per

Il 13 luglio 2026 il Dipartimento del Tesoro statunitense ha sanzionato First VPN Service (1VPNS) e il suo amministratore ucraino Dmytro Rashevskyi per aver fornito servizi di anonimizzazione a gruppi ransomware. È la prima volta che l'Office of Foreign Assets Control (OFAC) colpisce un provider VPN, estendendo la linea del fuoco dai criminali alla loro infrastruttura abilitante. L'azione segue di due mesi un takedown europeo che ha smantellato 33 server e recuperato database utenti.

Punti chiave
  • Il Treasury OFAC ha designato 1VPNS, Rashevskyi e il fornitore bielorusso di cryptors Yegeniy Silayev il 13 luglio 2026: è la prima sanzione US contro un provider VPN.
  • Rashevskyi operava dal 2014 usando false identità ("Maksim Sorin", "Roman Chabanenko") per eludere i controlli dei provider di infrastruttura.
  • 1VPNS prometteva no-log policy e rifiuto di cooperare con le forze dell'ordine, vendendo su forum cybercriminali russofoni.
  • Il Treasury non ha nominato i gruppi ransomware specifici coinvolti; le vittime includono municipalità, ospedali, scuole e imprese americane con perdite per miliardi di dollari.

Il modello d'affari di 1VPNS: anonimato come servizio

First VPN Service operava dal 2014 come fornitore specializzato per un mercato ben definito: gli attori del crimine informatico organizzato. Rashevskyi gestiva la piattaforma ricorrendo sistematicamente a false identità per acquistare server e infrastruttura da provider che altrimenti avrebbero rifiutato il business. I nomi "Maksim Sorin" e "Roman Chabanenko" — citati esplicitamente nel comunicato Treasury — funzionavano come layer operativo supplementare, mascherando la reale proprietà del servizio.

Il marketing di 1VPNS era calibrato su due promesse: nessuna conservazione di log e nessuna cooperazione con le autorità. Queste caratteristiche, legittime per provider privacy-oriented, venivano vendute su forum cybercriminali russofoni come garanzia di immunità giudiziaria. Il Treasury ha sottolineato che la piattaforma è stata utilizzata da gruppi ransomware i cui attacchi hanno colpito municipalità, ospedali, scuole, imprese e società di servizi finanziari americani, causando — secondo la stima del Tesoro — perdite per miliardi di dollari.

L'operazione europea che ha preparato il terreno

La sanzione OFAC non è arrivata dal nulla. Nei giorni 19-20 maggio 2026, forze dell'ordine europee con il supporto dell'FBI hanno condotto un takedown coordinato contro l'infrastruttura di 1VPNS. L'operazione, documentata da Europol, ha portato allo smantellamento di 33 server e all'acquisizione del database utenti. Edvardas Sileris, responsabile del European Cybercrime Centre di Europol, ha dichiarato: "Per anni i cybercriminali hanno considerato questo servizio VPN come un gateway all'anonimato. Credevano li mettesse al di là della portata delle forze dell'ordine. Questa operazione dimostra che si sbagliavano."

L'operazione di maggio ha incluso perquisizioni domiciliari e interrogatori, sebbene il dossier non specifichi se Rashevskyi sia stato arrestato. Il coordinamento transatlantico è proseguito con l'azione del Treasury di luglio, che trasforma il risultato operativo europeo in vincolo giuridico permanente: il blocco di proprietà e transazioni per qualsiasi persona soggetta alla giurisdizione statunitense.

"Treasury is using every available tool to disrupt the cybercriminal ecosystem and protect the American people." — Gene Lange, Treasury, funzioni di Under Secretary for Terrorism and Financial Intelligence

La sanzione estesa: dai criminali ai loro fornitori

L'azione OFAC del 13 luglio ha designato tre entità: 1VPNS come società, Rashevskyi come amministratore, e Yegeniy Vladimirovich Silayev come fornitore indipendente. Silayev, cittadino bielorusso, è stato sanzionato per la produzione e vendita di "cryptors" — strumenti progettati per mascherare ransomware e altro malware come programmi legittimi, eludendo rilevamento da antivirus e EDR. Il Treasury ha precisato esplicitamente che questi strumenti sono distinti da "legitimate encryption tools", chiarendo la linea tra crittografia legittima e evasione della sicurezza.

La sanzione si basa sull'Executive Order 13694 come emendato, e sull'EO 14390 del 6 marzo 2026. Il meccanismo blocca qualsiasi proprietà o interesse patrimoniale delle entità designate che si trovi in possesso o controllo di persone statunitensi, vietando transazioni che le coinvolgano. L'azione è coordinata con il Foreign, Commonwealth & Development Office (FCDO) britannico, che ha sanzionato contemporaneamente altri cybercriminali non direttamente collegati a 1VPNS.

Perché è importante

Il dossier non specifica se altri provider VPN simili a 1VPNS siano sotto osservamento, né documenta linee guida per la compliance del settore. Il Treasury non ha reso noti i nomi dei gruppi ransomware che hanno utilizzato il servizio, rendendo impossibile una mappatura dell'ecosistema criminale abilitato. Non emerge inoltre se l'acquisizione del database utenti nell'operazione di maggio abbia già prodotto investigazioni derivate o nuove designazioni.

La natura esatta dei danni — oltre alla citazione generica di "miliardi di dollari" — non è dettagliata in modo verificabile. Il brief non documenta inoltre lo stato attuale dell'infrastruttura 1VPNS dopo il takedown di maggio: se residui del servizio persistano in forma frammentata, o se la sanzione finanziaria abbia chiuso ogni possibilità di ripresa operativa. Infine, il contenuto specifico di un cybersecurity advisory dell'FBI menzionato dal Treasury non è riportato nel dossier.

Un segnale per l'industria della privacy

La novità regolatoria è precisa: per la prima volta Washington non colpisce solo chi esegue il ransomware, ma chi fornisce gli strumenti che lo rendono possibile. La sanzione colpisce simultaneamente due layer dell'ecosistema — anonimizzazione (VPN) ed evasione (cryptors) — con una strategia di disruption della catena del valore criminale che era finora rimasta teorica. Per i provider di servizi IT, la conseguenza è un'espansione del rischio compliance: la clientela "no-questions-asked" non è più solo eticamente controversa, ma potenzialmente sanzionatoria.

Il marketing basato su "no logs" e "no cooperation" — pratica diffusa nel settore privacy commerciale — assume ora una duplice valenza. Da garanzia legittima di riservatezza per utenti legittimi, può diventare indicatore di rischio regolatorio quando associato a canali di distribuzione criminali. La linea di demarcazione, fino a oggi gestita a livello di reputazione aziendale, potrebbe tradursi in verifiche di due diligence imposte dai framework di compliance internazionale.

Fonti

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti


Fonti e riferimenti
  1. therecord.media
  2. mlex.com
  3. news.az
  4. home.treasury.gov
  5. recordedfuture.com