Tiina Parikka era mezza vestita quando lesse l'email. Era un sabato di fine ottobre 2020, e Parikka aveva trascorso la mattinata a organizzare piani di didattica a distanza dopo un focolaio di Covid nella scuola di cui era preside. Aveva fatto una sauna nel suo appartamento a Vantaa, appena fuori dalla capitale finlandese Helsinki, e quando era entrata in camera da letto per vestirsi, aveva controllato distrattamente il telefono. C'era un messaggio che iniziava con il suo nome e il suo numero di previdenza sociale – il codice univoco usato per identificare i finlandesi per assistenza sanitaria, istruzione e servizi bancari. "In quel momento ho capito che non era uno scherzo", dice.
L'email era in finlandese. Era stranamente educata. "La contattiamo perché ha usufruito dei servizi di terapia e/o psichiatria di Vastaamo", recitava. "Sfortunatamente, dobbiamo chiederle di pagare per mantenere al sicuro le sue informazioni personali". Il mittente chiedeva 200 euro in bitcoin entro 24 ore, altrimenti il prezzo sarebbe salito a 500 euro entro 48 ore. "Se dopo questo termine non ricevessimo ancora il nostro denaro, le sue informazioni verranno pubblicate per essere viste da tutti, incluso il suo nome, indirizzo, numero di telefono, numero di previdenza sociale e resoconti dettagliati contenenti le trascrizioni delle sue conversazioni con i terapeuti o psichiatri di Vastaamo".
Parikka deglutisce a fatica mentre rivive questo ricordo. "Il mio cuore batteva all'impazzata. Respirare era davvero difficile. Ricordo di essermi sdraiata sul letto e di aver detto a mio marito: 'Credo che sto per avere un infarto'".
Qualcuno era entrato illegalmente nei sistemi di Vastaamo, l'azienda attraverso cui Parikka aveva avuto accesso alla psicoterapia. Avevano preso possesso delle note di terapia contenenti i suoi sentimenti più privati e intimi e i pensieri più oscuri – e li stavano tenendo in ostaggio per un riscatto. La mente di Parikka correva mentre cercava di ricordare tutto ciò che aveva confidato in tre anni di sedute di terapia settimanali. Come avrebbe reagito la sua famiglia se avesse saputo cosa aveva detto? Cosa avrebbero detto i suoi studenti? La sensazione di esposizione e violazione era incommensurabile: "Sembrava uno stupro pubblico".
La terapia era stata la sua ancora di salvezza. Ora 62enne, aveva avuto tre figli all'età di 25 anni, inclusi gemelli nati estremamente prematuri negli anni '80, del peso di poche centinaia di grammi ciascuno. Uno è cresciuto con paralisi cerebrale; l'altro è cieco. Parikka ha trascorso anni destreggiandosi tra emergenze mediche, interventi chirurgici e ricoveri ospedalieri, un lavoro impegnativo e un matrimonio in crisi. "In quegli anni, nessuno mi ha mai chiesto, a me, la madre: 'Come stai?'".
Divorziò nel 2014 e incontrò il suo attuale compagno un anno dopo. A quel punto, i suoi figli erano adulti con vite indipendenti. Dopo decenni di aver messo i bisogni di tutti gli altri prima dei propri, avrebbe dovuto finalmente poter tirare un sospiro di sollievo. Invece, ebbe un esaurimento. "Avevo un'ansia a tutto campo che mi attraversava il corpo in continuazione. Non riuscivo a dormire. Avevo attacchi di panico. Non riuscivo a mangiare". Guidando ad alta velocità in autostrada un giorno, pensieri oscuri la assalirono. "Pensavo, non mi dispiacerebbe se quest'auto si schiantasse".
Alla ricerca di aiuto urgente, si rivolse a Google, che la condusse a Vastaamo, il negozio digitale one-stop della Finlandia per chi cerca psicoterapia. Non era necessaria alcuna prescrizione medica. Riuscì a prenotare una seduta per il giorno successivo. "Era così facile".
Potersi confidare con un perfetto sconosciuto fu liberatorio. Disse alla sua terapeuta cose che non aveva mai detto a nessun altro. "Traumi nelle relazioni. La delusione e la tragedia di avere figli disabili, e l'influenza che ha avuto sulla mia vita", dice. "Cose sciocche, cose infantili. È molto umano provare odio, rabbia, furore".
Dopo che Parikka lesse l'email che la lasciò senza fiato, non sapeva a chi rivolgersi per chiedere aiuto. Corse... Chiamò i servizi di emergenza, ma la polizia le disse di liberare la linea; dovevano tenerla libera per vere emergenze. In accappatoio, telefono ancora in mano, si sentì completamente sola.
Ma Parikka era tutt'altro che sola. In tutta la Finlandia, 33.000 persone che avevano usato Vastaamo stavano scoprendo che un hacker si era impossessato delle loro note di terapia e le stava tenendo in ostaggio per un riscatto. Queste erano persone che, per definizione, erano probabilmente vulnerabili e bisognose di aiuto. Ognuna stava vivendo un terrore profondamente personale. In un paese di soli 5,6 milioni di persone, tutti conoscevano qualcuno che era stato violato.
Le note di alcune vittime erano già state selezionate e pubblicate perché il mondo le vedesse. Tre giorni prima che le email di estorsione venissero inviate, qualcuno che usava lo pseudonimo "ransom_man" aveva pubblicato sul dark web, su r/Suomi (la subreddit in lingua finlandese), e su Ylilauta, l'equivalente finlandese di 4chan. Questa volta, il post era in inglese. "Cari colleghi finlandesi", iniziava. "Abbiamo violato la clinica di psicoterapia vastaamo.fi e preso decine di migliaia di cartelle cliniche, inclusi appunti di seduta estremamente sensibili e numeri di previdenza sociale. Abbiamo richiesto un piccolo pagamento di 40 bitcoin (niente per un'azienda con ricavi annuali vicini ai 20 milioni di euro), ma l'amministratore delegato ha smesso di rispondere alle nostre email. Ora iniziamo a rilasciare gradualmente le cartelle dei loro pazienti, 100 voci al giorno".
C'era un link al dark web, dove 100 cartelle erano già in mostra. Proprio sotto, ransom_man concludeva il post con una sola parola: "Godetevele!".
Le 100 cartelle includevano quelle di politici, agenti di polizia e figure pubbliche di spicco. I loro nomi apparivano accanto a note di terapia contenenti dettagli su adulterio, tentativi di suicidio, pedofilia e violenza sessuale. Alcune delle cartelle appartenevano a bambini. E chiunque fosse dietro l'attacco mantenne la parola: il giorno dopo, altre 100 cartelle di pazienti furono caricate.
Alcune vittime cercarono disperatamente sul dark web per vedere se le loro cartelle fossero lì. Alcune pagarono il riscatto, affannandosi a procurarsi bitcoin mentre il tempo scorreva. Gli avvocati che rappresentano le vittime mi hanno detto che sono a conoscenza di almeno due casi in cui le persone si sono tolte la vita dopo aver scoperto che le loro note di terapia erano state violate.
Ma per tutti loro, era già troppo tardi. Alle 2 del mattino del 23 ottobre 2020 – il giorno prima che le email iniziassero ad arrivare in decine di migliaia di caselle di posta – ransom_man aveva caricato un file molto più grande. Conteneva ogni cartella di ogni singolo paziente nel database di Vastaamo. Gli appunti di terapia di tutti erano già stati pubblicati, gratuitamente, perché tutto il mondo li vedesse.
Chi c'era dietro il più grande crimine che la Finlandia avesse mai conosciuto? E potevano essere stati motivati da qualcosa di diverso dal denaro? Ho trascorso 18 mesi cercando di rispondere a queste domande, seguendo indagini in Europa e negli Stati Uniti. Sono culminate in una visita a una prigione e in una delle conversazioni più agghiaccianti che abbia mai avuto.
La Finlandia è stata classificata come il paese più felice della Terra dalle Nazioni Unite per gli ultimi otto anni consecutivi. Leader mondiale nell'assistenza all'infanzia e nell'istruzione, la Finlandia è anche famosamente high-tech: è il paese più digitalizzato d'Europa, rinomato per il suo settore delle comunicazioni (come patria della Nokia) e all'avanguardia nell'innovazione in cybersecurity e intelligenza artificiale. Ma la Finlandia è anche un luogo di estremi. Ha più band heavy metal pro capite di qualsiasi altra nazione. Nell'estremo nord, per i pochi giorni intorno al solstizio d'inverno, il sole non sorge.
Vastaamo era stata a lungo considerata un esempio di come la Finlandia stesse gestendo bene la tecnologia digitale. Fondata nel 2008 dall'imprenditore Ville Tapio e da sua madre Nina, psicoterapeuta, l'obiettivo era rendere la terapia accessibile alle masse e rimuovere lo stigma del chiedere aiuto. La piattaforma rendeva facile per le persone vedere chi era disponibile, dove e quale approccio terapeutico utilizzassero. Il logo aveva... la palette di colori di un kit di pronto soccorso, con scritte bianche in una nuvola di dialogo verde. "Vastaamo" significa "un luogo per risposte". Era una piattaforma attraente anche per i terapeuti: non dovevano preoccuparsi di marketing o fatturazione – Vastaamo si occupava di tutto. L'azienda forniva persino un'interfaccia digitale dietro le quinte dove i terapeuti potevano prendere e conservare i loro appunti. Questa formula, combinata con la crescente domanda di servizi di terapia, significava che Vastaamo cresceva rapidamente. Aprì una propria rete di circa 20 cliniche in tutta la Finlandia, impiegando più di 220 psicoterapeuti entro il 2018, portando alcuni in Finlandia a definirla "il McDonald's della terapia". Negli anni prima che Zoom e Teams facessero parte della nostra vita quotidiana, la terapia remota offerta anche da Vastaamo era rivoluzionaria. Nel 2019, una società di private equity acquistò una quota di maggioranza dell'azienda, fruttando alla famiglia Tapio un guadagno di oltre 5 milioni di euro.
Meri-Tuuli Auer, 30 anni, descrive l'uso di Vastaamo come "simile a Uber per la terapia – comodo, accessibile, relativamente economico". Scelse il suo terapeuta perché offriva psicoterapia cognitiva – e le piaceva la sua foto. "Sembrava simpatico. Sembrava accessibile".
La casa di Auer, alla periferia di Helsinki, è un tripudio di rosa. Ci sono bambole Barbie, libri Barbie e borse a tema Barbie sui suoi scaffali, oltre a una scintillante auto sportiva Barbie decappottabile. Un palo da pole dance occupa un posto d'onore al centro del suo soggiorno.
"Sono una personalità mista", mi dice sorseggiando tè in tazze dei Mumin. "Amo stare con le persone, ma ho quel presentimento, quel dubbio: forse pensano tutti che io sia piena di stronzate, stupida e brutta e che non sappia cosa sto facendo". Auer ha lottato con la depressione per gran parte della sua vita. Quando aveva 18 anni, era in una relazione segreta e difficile con un uomo di 29 anni più grande di lei, che fece crollare ulteriormente la sua autostima. Beveva molto. "Se non fossi andata in terapia, non so cosa sarebbe successo di me. Forse c'è un altro universo in cui non sono arrivata ai 30 anni".
Gran parte del costo del trattamento di Auer era coperto dal sistema sanitario finlandese; pagava solo circa 25 euro per ogni seduta settimanale. Stava facendo grandi progressi. "Dopo essere andata in terapia nel 2018 e 2019, avevo acquisito un senso di sicurezza di base. Questo è andato perso nel 2020".
L'amministratore delegato di Vastaamo sapeva che il registro pazienti dell'azienda era tenuto in ostaggio per un riscatto settimane prima che i clienti lo scoprissero. Il 28 settembre 2020, Ville Tapio ricevette un'email che chiedeva l'equivalente in bitcoin di 450.000 euro per mantenerlo al sicuro. Le cartelle pazienti campione allegate all'email dimostravano che l'estorsore non stava bluffando. Tapio chiamò una società di cybersecurity per indagare.
Le informazioni mediche sono un bersaglio ovvio per i potenziali estorsori, dice Antti Kurittu, lo specialista della sicurezza assunto da Tapio. Ma questo era qualcos'altro: "Qualunque cosa io dica a un terapeuta è, per sua stessa natura, molto più privata di quanto lo sia la mia pressione sanguigna", dice, asciutto.
Kurittu era stato un detective, che investigava sui crimini informatici per la polizia finlandese; dice di aver insistito che venissero informati del tentativo di estorsione in modo che potessero iniziare un'indagine parallela. Nel frattempo, iniziò a ispezionare il server di Vastaamo, cercando indizi su chi potesse essere dietro l'attacco – e una delle prime cose che notò fu quanto fosse stata lassista la sicurezza. "Era decisamente inadatto allo scopo di memorizzare questo tipo di informazioni", dice. Mi dice che il database delle cartelle pazienti era accessibile via internet; non c'era firewall e, forse più grave, era protetto da una password vuota, quindi chiunque poteva semplicemente premere invio e aprirlo. Kurittu determinò che chiunque avesse violato Vastaamo probabilmente stava solo scansionando internet alla ricerca di qualsiasi sistema mal protetto... Gli hacker cercavano database di valore da cui trarre profitto. "Hanno testato varie casseforti bancarie per vedere quali erano sbloccate e hanno trovato per caso questa", spiega Kurittu.
I nostri segreti più privati – cose che non vorremmo mai esporre al mondo – sono là fuori online.
Per diverse settimane, l'hacker e Vastaamo comunicarono via email, ma Vastaamo non considerò mai di pagare il riscatto. Farlo avrebbe significato fidarsi della promessa di un criminale di cancellare le cartelle. Inoltre, nota Kurittu, va contro il carattere finlandese. "I finlandesi possono essere un gruppo testardo. Non siamo noti per pagare riscatti in silenzio o facilmente, il che per me è un punto di orgoglio nazionale".
Dopo che l'hacker, usando l'alias "ransom_man", iniziò a diffondere le cartelle dei pazienti per fare pressione sull'azienda, Kurittu monitorò da vicino il server usato per pubblicarle. Sospettava che la persona dietro l'attacco fosse finlandese o avesse vissuto a lungo in Finlandia, poiché sapeva quali nomi notevoli evidenziare dalle cartelle dei pazienti.
Quando Auer venne a conoscenza della violazione, scaricò un browser per accedere al dark web per la prima volta. "Ho pensato, devo solo controllare se le mie cartelle sono lì", dice. Non trovò il suo nome nel primo lotto pubblicato e chiuse il file senza leggere le cartelle di nessun altro. Ma vide altri discutere ciò che avevano visto. "Le persone avevano già selezionato quelle che pensavano fossero le parti più divertenti delle cartelle dei pazienti. Ridevano del dolore di queste persone. Un bambino di 10 anni era andato in terapia, e la gente lo trovava divertente".
Auer iniziò a cadere in una spirale. "Mi sono chiusa in casa. Non volevo uscire; non volevo che nessuno mi vedesse", ricorda. Aveva poche speranze che l'hacker fosse catturato. "Non è che diffidi della polizia finlandese – è solo che sembrava un compito impossibile".
Tuttavia, il file molto più grande che ransom_man aveva caricato sul dark web – contenente tutte le cartelle dei pazienti di Vastaamo – conteneva anche indizi cruciali sulla sua identità. I primi tre lotti di note di terapia erano stati pubblicati manualmente, ma quando l'hacker tentò di automatizzare il processo, caricò accidentalmente non solo tutte le note di terapia ma l'intera cartella home. Il file fu online solo brevemente prima di essere rimosso, accompagnato da un post che diceva "ops :D" – ma ransom_man aveva commesso un errore critico.
"Dopo aver passato diverse serate
