Qualche anno fa mi interessai (link) al sito di annunci erotici bakecaincontrii.com ipotizzando, con l’ausilio di tecniche di network analysis, la verosimile esistenza di un network interregionale preposto allo sfruttamento della prostituzione. Nel 2023 il sito è stato al centro di indagini per evasione fiscale, con sequestri per circa 23 milioni di euro. Oggi prendiamo spunto da una denuncia meritoriamente pubblicata dall’ex collega @valeriolilli per dimostrare come le tecniche investigative da fonti aperte (OSINT) consentano di desumere informazioni di rilievo per identificare i possibili beneficial owner (o talune “parti correlate”) di phica.net, forum frequentato da una platea di ‘addetti ai lavori’ sul quale, secondo il collega, sono talvolta pubblicati dati sensibili, a sfondo sessuale, appartenenti a vittime ignare (c.d. “revenge porn”).

Il sito si presenta con un’interfaccia grafica piuttosto basilare ma denota un rilevante numero di thread e utenti attivi. Benché l’obiettivo della ricerca non sia l’analisi dei contenuti, rimango colpito da una discussione intitolata “Scambio foto su Telegram in segreta! LEGGERE TUTTI”, nella quale l’amministratore “PhicaMaster” invita gli utenti ad utilizzare un gruppo Telegram privato per lo scambio di contenuti espliciti.

Lo scopo dell’esercizio è acquisire informazioni e formulare ipotesi sull’identità dei soggetti interessati nella proprietà e gestione dell’asset. Il compito, prima facie, non sembra immediato. Lo stesso Garante della Privacy, in un provvedimento risalente al 28 settembre 2023, ingiungeva a phica.net l’adozione di misure volte a fermare la diffusione del materiale segnalato. Siccome il Garante si limitò a identificare ‘Phica.net’ (e non l’entità che lo amministra) quale destinatario del provvedimento, si ipotizza che l’Autorità non fosse riuscita a identificare con certezza la persona giuridica o la persona fisica cui indirizzare la comunicazione.

Avviamo quindi un ciclo di analisi strutturato per verificare se sia possibile, con l’ausilio di sole fonti aperte, attribuire la titolarità della piattaforma, identificare soggetti ad essa ipoteticamente collegati, o formulare ipotesi in tal senso.

Atteso che il sito web non fornisce alcuna indicazione sul titolare del trattamento nelle sezioni usualmente adibite, il primo passo è la verifica dei dati di Whois (attuali e storici) inerenti il dominio phica.net e il dominio ‘gemello’ phica.eu. L’adozione, in prima istanza di registrazione, di servizi di whois privacy, preclude l’acquisizione di informazioni univoche (nomi di persona, numeri di telefono, indirizzi e-mail) sul conto dell’amministratore di phica.net. Analogamente, la consultazione del Whois di phica.eu restituisce un indirizzo e-mail ([email protected]) non utile ai fini dell’analisi.

Procediamo quindi con la mappatura preliminare dell’infrastruttura fisica (server) che ospita la piattaforma. L’indirizzo IP della macchina risulta essere 104.21.91.82:

Anche in questo caso, l’informazione non è utile ai fini della ricerca, atteso che l’IP rilevato fa riferimento alla CDN (“Content Delivery Network”) di Cloudflare: l’indirizzo IP non è quello identificante il “server fisico” che ospita l’asset, rappresentando piuttosto una mera interfaccia virtuale interposta all’effettiva identificazione della macchina ospitante.

L’adozione dei layer di protezione/anonimato forniti da Cloudflare può rappresentare un rilevante fattore di impedimento rispetto alla conoscibilità dell’indirizzo IP reale, dalla quale dipende spesso la possibilità di percorrere step analitici successivi al fine di mappare ulteriori proprietà digitali ed espandere il perimetro d’indagine.

Nel caso che qui ci occupa, un indirizzo IP realmente collegato a phica.net è comunque acquisibile con (almeno) due tecniche differenti.

A) Consultazione di un motore di ricerca IoT (“Internet of Things”)

La ricerca effettuata su Censys tramite mera immissione della stringa “phica.net” ci consente di acquisire diversi indirizzi IP non appartenenti alla CDN di Cloudflare ma collegati all’infrastruttura web di nostro interesse:

Notiamo che gli indirizzi IP fanno riferimento al provider di servizi di hosting OVH (Francia).

B) Ricezione di una mail dal dominio phica.net

La registrazione, con un account di posta creato ad-hoc, al sito phica.net, ci permette di ricevere una mail di verifica dell’account. L’analisi dell’header (intestazione) della mail rivela che l’indirizzo IP del server di posta mittente (mail server) è 178.32.141.187, annoverato fra quelli censiti dal motore di ricerca IoT:

Abbiamo quindi tracciato un collegamento forte fra il dominio phica.net e le infrastrutture informatiche dell’hosting provider OVH presso una serie di indirizzi IP, fra cui 178.32.141.187.

L’acquisizione di queste informazioni consentirebbe all’Autorità Giudiziaria di avviare procedure di rogatoria internazionale per ottenere dati sull’identità del sottoscrittore del contratto di hosting con OVH.

Sospendiamo momentaneamente le verifiche ricorsive sugli indirizzi IP e tentiamo di esperire percorsi investigativi più snelli ed immediati.

Si prospettano alcune strade:

1. Analisi del codice sorgente del sito web phica.net
2. Analisi dei certificati SSL del dominio phica.net con finalità di subdomain discovery

Analisi del codice sorgente

Con questo step di verifica ottengo un codice di tracciamento Google Analytics utilizzato per monitorare le prestazioni (accessi/page views, etc) del sito web. Il codice è rintracciabile cercando la stringa ‘UA-’ all’interno del codice HTML della home page:

Possiamo utilizzare ricorsivamente il codice di tracciamento UA-200721 e rilevare se esso è utilizzato per monitorare ulteriori siti web. La verifica ha esito positivo indicando come il medesimo codice sia stato storicamente utilizzato dai seguenti siti:

Abbiamo quindi ampliato significativamente il perimetro di ricerca ad (almeno) altri 3 siti.

Analisi dei certificati SSL del dominio phica.net con finalità di subdomain discovery

I certificati SSL crittografano la comunicazione fra il browser degli utenti e il server che eroga i contenuti web. A partire dai certificati SSL è talvolta possibile ottenere informazioni inerenti ulteriori siti/sottodomini che utilizzano i medesimi certificati.

Nel caso di specie, i certificati SSL relativi al dominio phica.net sono stati utilizzati per un nutrito elenco di sottodomini, fra cui webcam.phica.net (già rilevato con la tecnica dei codici di tracciamento Google):

La consultazione del sito webcam.phica.net evidenzia una evocativa home page il cui layout è del tutto distinto dal forum principale phica.net.

La pagina web è deindicizzata dai principali motori di ricerca e sembra scollegata dagli applicativi del forum phica.net. Tuttavia, contiene indicazioni esplicite sulla persona giuridica titolare del trattamento dei dati; persona giuridica che, quindi, potrebbe essere collegata anche al dominio principale oggetto di indagine. Si tratta della società spagnola B4 Web Sociedad Limitada:

La società titolare del trattamento è stata successivamente sostituita con la britannica Atelier Noire Ltd.

Dalla lettura della sezione privacy si desume che il Data Protection Officer di webcam.phica.net utilizza un indirizzo e-mail ([email protected]) afferente il dominio ragazzeinvendita.com, sul conto del quale, per il momento, sorvoliamo, limitandoci ad osservare che il footer di quest’ultimo sito reca evidenza di un’impresa terza sita in Bulgaria, la Hydra Group Eood, preposta a gestire i flussi di pagamento.

La consultazione dei registri d’impresa spagnoli e britannici consente di pervenire ad una immediata identificazione del socio unico di B4 WEB SL e del titolare effettivo di Atelier Noire Ltd, un soggetto di origini italiane (R.M.) che sul proprio profilo Facebook riporta di lavorare presso la sopracitata impresa bulgara.

Infatti, la consultazione dei registri pubblici della Bulgaria rivela come la medesima persona fisica sia socio unico di Hydra Group e di ulteriori imprese operanti in Bulgaria.

Il soggetto identificato coincide con l’amministratore / titolare di phica.net? Non vi è certezza di ciò, ma posso ipotizzare che lui lo conosca. Le notizie di stampa del 30 agosto 2025 riferiscono che l’amministratore del forum (ad oggi non indagato) sarebbe stato identificato; allo stato, non risultano elementi idonei a sovrapporre tale soggetto ai soci o titolari effettivi delle imprese menzionate.

Concludendo, in poco meno di 1 ora tecniche di ricerca OSINT oramai consolidate hanno consentito l’identificazione di terze parti collegate all’asset informatico di interesse.

Disclaimer

Mi dissocio da alcune ricostruzioni giornalistiche che, a partire dal 29 agosto 2025, tendono ad attribuire in maniera assertiva la titolarità di Phica.eu/Phica.net alle sopracitate imprese di diritto estero e, quindi, ai rispettivi soci. Queste imprese sono state da me definite “terze parti collegate all’asset informatico di interesse”, e non “terze parti proprietarie/titolari/gestori” del dominio. In particolare, evidenzio come il brand Ragazze in Vendita afferisca primariamente al dominio ragazzeinvendita.com (sul quale vengono pubblicati video erotici) e alla piattaforma di affiliate marketing RIVcash (rivcash.com), che eroga servizi di affiliate marketing ai webmaster di siti erotici (come webcam.phica.net). Aver riscontrato tracce degli identificativi univoci di B4 Web SL e Atelier Noire Ltd nella privacy policy di webcam.phica.net è un dato di sicuro interesse che, però, non consente di trarre conclusioni ma solo di fare ipotesi (che rimangono allo stato attuale soltanto congetture). Al massimo, è possibile rilevare come una forma, in apparenza durevole, di “collaborazione” (o di rapporto commerciale) fra Ragazze in Vendita/RIV e Phica sia desumibile da diverse tracce lasciate online, fra cui:

a) l’intervento dell’amministratore del forum di Phica (il sopracitato PhicaMaster) sul forum deputato al servizio dei clienti di RIVcash. Nell’intervento, avvenuto il 3 novembre 2010, PhicaMaster chiedeva lumi su alcuni aspetti tecnici della piattaforma RIV. Un intervento precedente è anche databile al 19 ottobre 2009.

b) nel 2012, il sito phicabook.com (collegato a Phica per via del codice di tracciamento Google Analytics — v. sopra) esponeva un popup del sito ragazzeinvendita.com.

c) a tutt’oggi la sitemap di webcam.phica.net è ospitata da ragazzeinvendita.com; come evidenziato dal file robots.txt caricato all’URL https://webcam.phica.net/robots.txt.

d) già nel 2010 il sito phica.net esponeva popup che rimandavano ai servizi di ragazzeinvendita.com, mentre dagli account Twitter/X di @PhicaNetwork venivano divulgati, nel 2014 e nel 2015, link con referral per la registrazione ai servizi di ragazzeinvendita.com.

Questi elementi sembrerebbero indicare che già a partire dal 2009/2012 sussistesse una forma di più o meno stabile collaborazione (presumibilmente di natura commerciale B2B, quindi perfettamente legittima) fra i gestori di Phica e quelli di RIV/Ragazze in Vendita. Qualsiasi altra interpretazione è, allo stato attuale delle conoscenze acquisite, quantomeno imprudente.