Il tema trattato è la violenza sessuale facilitata da sostanze su partner inconsapevoli, e l'infrastruttura digitale che la abilita. Nessun dettaglio operativo, nessun link attivo, nessuna sostanza nominata. Solo analisi tecnica dell'ecosistema. Se stai vivendo una situazione di abuso in Italia, 1522 (anti-violenza) è gratuito, attivo 24/7, multilingue.
A. Attenzione. Portiamo luce su un caso che, senza la CNN, sarebbe rimasto dentro un gruppo privato da mille persone. La forma è tecnica; la sostanza è che mille uomini si sono organizzati per stuprare le proprie compagne e rivenderne il video. Farne notizia è il minimo.
B. Solidarietà e visibilità. Alle sopravvissute, e a chi sta vivendo situazioni simili in silenzio: non siete sole, non siete un errore statistico, e nulla di tutto questo è normalità. Rendere visibile il meccanismo serve anche a togliere al carnefice la scorciatoia del "tanto nessuno lo saprà".
C. Come è potuto succedere. Il resto dell'articolo è la risposta tecnica a una domanda morale: come fa un gruppo di mille persone con tag pubblici, livestream a pagamento e venditori di sostanze a restare online per anni? Non per magia. Per una catena precisa di fallimenti — di moderazione, di payment rail, di regolatore, di giurisdizione. Vale la pena raccontarla, così la prossima volta magari la catena si spezza prima.
- Inchiesta: CNN, pubblicata il 26 marzo 2026. Giornalisti: Saskya Vandoorne, Kara Fox, Niamh Kennedy, Eleanor Stubbs, Marco Chacón.
- Perimetro: gruppo Telegram privato "Zzz" (~1.000 utenti) + sito Motherless.com (20.000+ video taggati "sleep content", 62M visite totali a febbraio 2026).
- Monetizzazione: livestream a ~20 USD/spettatore in crypto, con direzione real-time del perpetratore; "sleeping liquids" a 175 USD/bottiglia da venditore Telegram sulla costa nordafricana.
- Tassonomia: i video erano indicizzati con hashtag espliciti come
#passedoute#eyecheck(alcuni oltre 50.000 visualizzazioni). Non era steganografia: era SEO. - Infrastruttura legale: Motherless.com è di proprietà di Kick Online Entertainment S.A., registrata in Lussemburgo. Ofcom UK l'11 febbraio 2026 ha multato l'entità £800.000 (~$1,1M), ma ha dichiarato che decidere cosa è illegale "è compito della piattaforma, non del regolatore".
- Arresto: 9 aprile 2026, Lublino (Polonia). Un sospetto identificato come "Piotr" ha confessato. Accusa: art. 197 Codice Penale polacco — forma aggravata di stupro su vittima impossibilitata a opporre resistenza. Pena prevista: 3-20 anni.
- Esito piattaforme: il gruppo "Zzz" è stato rimosso da Telegram dopo la pubblicazione. Motherless non ha risposto alle richieste di commento. Il 17 aprile 2026 è partita una petizione pubblica per il deplatforming.
In sintesi: abbiamo tag pubblici, payment rail in crypto, hosting in un paradiso fiscale, moderazione "AI-assisted" che non vede i suoi stessi hashtag, e un regolatore che ammette pubblicamente di aver delegato l'accertamento dell'illegalità all'azienda che dovrebbe sorvegliare. Non è threat intelligence: è autopsia.
Scrivo questo pezzo con una responsabilità in più. Oltre a gestire questo blog, entro regolarmente nelle scuole — superiori e università — a parlare di sicurezza informatica, di OSINT, di come si riconosce una truffa online, di come funzionano gli ecosistemi digitali del male. E dentro quelle aule ci sono ragazze e ragazzi di quindici, sedici, diciannove anni che si affacciano per la prima volta alle relazioni, ai consumi digitali, al porno, al consenso.
Il tema trattato qui non è un fatto di cronaca lontano. È la forma estrema — documentata, tracciata, quantificata — di una normalizzazione che inizia molto prima: con un video visto "per gioco", con un tag cliccato "per curiosità", con una chat "dove tanto si scherza". Un'aula in cui trenta studenti sentono parlare di '#passedout' come categoria con 20.000 video e 50.000 views per clip, è un'aula che non tornerà più a pensare che "porno è porno" e che la moderazione "ci penserà qualcuno". La vergogna — quella brutta, quella utile — la porta chi lo ha permesso, non chi lo subisce.
Mi preoccupa — tecnicamente e umanamente — che un gruppo Telegram di mille uomini abbia potuto operare così a lungo. Mi preoccupa che la parola "mogli" compaia in quel contesto. Mi preoccupa che la pedagogia del consenso sia ancora un pezzo opzionale del curricolo, mentre "#eyecheck" è un tag con pagina di landing e view counter. Se insegni, se educhi, se fai genitorialità digitale, se coordini un CERT, se sei un adolescente che prova a capire dove finisce il "tanto è solo un meme": questo articolo ti riguarda, prima della parte sulla tassonomia dei tag.
Premessa: perché ne scrive un blog di security
Di solito qui si parla di SSRF, IAM misconfiguration, prompt injection, drainer di crypto. Roba dove il sangue è digitale e il peggio che possa succedere è che qualcuno perda TRX. Oggi no. Oggi il vettore sono le persone, il payload è chimico, e l'infrastruttura è un gruppo Telegram più una categoria di un sito porno con 62 milioni di visite al mese.
Il motivo per cui ne scriviamo è tecnico. Il caso CNN è un manuale di fallimento sistemico di content moderation, di platform accountability e di cooperazione tra OSINT giornalistica e law enforcement. Se lavori in trust & safety, in CERT, in una procura che si occupa di cybercrime, o se semplicemente vuoi capire perché certi contenuti restano online per anni pur essendo pubblicamente indicizzati — questo è materiale di studio.
Useremo "operatori" per gli utenti del gruppo Zzz, "piattaforma host" per Motherless, e "piattaforma C2" per Telegram (non è C2 in senso stretto, ma il comportamento sociale è quello: comando, coordinamento, exfiltration di contenuti). Le vittime sono vittime, non target. Qui non ironizziamo su di loro.
Timeline verificata
01 — Metodologia OSINT: come CNN ha bucato la bolla
La parte che più interessa un analista threat intel è come ci sono arrivati. Le ricostruzioni pubbliche di CNN descrivono una catena standard di pivoting OSINT — le stesse tecniche che si usano per mappare infrastrutture C2 di malware, applicate a un ecosistema umano.
// Catena di pivoting OSINT — ricostruzione pubblica [ 01 ] Seed discovery → Motherless.com, tag pubblici (#passedout, #eyecheck) [ 02 ] Comment mining → un utente del sito linka il gruppo Telegram "Zzz" [ 03 ] Covert enrollment → creazione di sock puppet credibili [ 04 ] Lurk + map → osservazione passiva, mappatura ruoli/vendor [ 05 ] Engagement → scambio messaggi con un operatore loquace [ 06 ] Geo-pivoting → dettagli colloquiali → Lublino, PL [ 07 ] Physical confirmation → viaggio in loco per conferma identità [ 08 ] Handoff LE → coordinamento con Procura di Lublino [ 09 ] Publication → 26 Mar 2026 [ 10 ] Follow-up → arresto 9 Apr 2026, confessione
Tradotto per chi lavora con le macchine: è un kill chain con steps di ricognizione pubblica, compromissione sociale di un gruppo privato, enumerazione dei membri, selezione del target più rumoroso (quello con OPSEC peggiore), triangolazione geografica da side-channel conversazionali, e handoff alla giurisdizione competente. La "vulnerabilità" sfruttata è una sola: l'over-sharing compulsivo in un ambiente percepito come safe.
Chi ha fatto un'operazione undercover sa che la fase più delicata è la quattro: la presenza passiva. Un nuovo iscritto che non interagisce per settimane è sospetto. Un nuovo iscritto che si presenta col trash talk giusto, appena ironico, fonde col rumore di fondo. CNN non ha rivelato la tradecraft — e fa bene, perché la stessa tecnica dovrà essere riutilizzata. Ma la struttura è pubblica: si trova negli handbook di Bellingcat e nei corsi SANS di OSINT avanzato.
02 — L'infrastruttura: due piattaforme, un Lussemburgo, zero attrito
La coppia Motherless + Telegram è ciò che in gergo si chiama un'architettura public-to-private funnel. Il sito pubblico fa da attractor — traffico di massa, SEO friendly, indicizzato. I commenti e i profili funzionano da ponte. Il gruppo Telegram è il canale privilegiato, dove il contenuto più esplicito, l'operational chat e i servizi a pagamento si scambiano fuori dallo sguardo degli scanner automatici delle tube pubbliche.
| Layer | Piattaforma | Funzione | Caratteristica tecnica |
|---|---|---|---|
| Attractor | Motherless.com | Indicizzazione pubblica, discovery via tag | 20.000+ video, tag #passedout #eyecheck, 62M visite mese totale |
| Bridge | Commenti + descrizioni utente | Link al gruppo privato condivisi in chiaro | Zero auth, zero rate-limit sulla condivisione di invite link |
| C2 / coord. | Telegram "Zzz" | Coordinamento, scambio contenuti, marketplace | Gruppo privato, ~1.000 utenti, E2E parziale, media hosted Telegram |
| Payment | Wallet crypto (non specificato) | Livestream a $20, bottle $175, merce digitale | Fuori dai payment processor regolati |
| Legal shell | Kick Online Entertainment S.A. | Proprietà della piattaforma host | Registrata in Lussemburgo — giurisdizione favorevole |
Motherless e la categoria che vive dal 2008
Motherless.com non è un sito nuovo. È un aggregatore di contenuti user-uploaded che esiste dal 2008, storicamente permissivo rispetto alle "mainstream tube". Il suo modello di revenue è ads + donazioni + premium account. La categoria "sleep" non era nascosta in un angolo buio del sito: era un tag ricercabile, con pagina di landing, paginazione e contatore di views. Gli operatori non stavano bypassando la moderazione. Stavano usando la UX come da manuale.
Un crawler da 40 righe di Python, che interroga l'endpoint di search del sito con ?term=passedout e conta i risultati, avrebbe rilevato > 20.000 oggetti per anni. La "AI-assisted moderation" non è riuscita a fare quello che farebbe uno stagista del primo giorno con requests.get().
03 — La tassonomia: SEO applicato al male
Qui vale la pena soffermarsi, perché è la parte che smonta l'alibi "non potevamo saperlo" di qualsiasi piattaforma host. CNN ha documentato due tag ricorrenti:
// Tag taxonomy (fonte: CNN) #passedout → vittima incosciente #eyecheck → perpetratore solleva la palpebra per "provare" lo stato di incoscienza (alcuni video con > 50.000 views) // Nota: questi tag erano pubblicamente indicizzati da Google. // Se il tuo team trust & safety non ha un alert su "unconscious OR passed out OR eyecheck" è già troppo tardi.
Vediamolo dal punto di vista dell'adversary. In un forum criminale serio si usano cifrari a sostituzione, slang rotante, URL con entropia alta, link che scadono in minuti. Nel gruppo Zzz e su Motherless no. Il tag era esplicito, persistente, cercabile. Perché? Perché funzionava. L'OPSEC degli operatori era calibrato sulla moderazione della piattaforma, non sulla legge. Se la moderazione è assente, l'OPSEC può essere zero. È il teorema fondamentale del crimine online: il costo di sicurezza dell'attaccante è inversamente proporzionale alla diligenza del difensore.
Non era steganografia. Era SEO.
— la tassonomia dei tag, per anni, indicizzata da Google04 — La monetizzazione: $20 al livestream, $175 alla bottiglia
Il momento in cui un ecosistema di abuso passa da sottoforum a mercato è il momento in cui va preso sul serio come minaccia strutturale. CNN documenta tre revenue stream nel perimetro Zzz:
// Revenue breakdown (fonte: CNN) ┌────────────────────────────────────────────────────────────┐ │ 1. LIVESTREAM PAY-PER-VIEW │ │ price : ~$20/spettatore │ │ payment : criptovaluta (non specificata) │ │ interattiv: il pagante dirige l'operatore in real time │ │ │ │ 2. VOD & IMMAGINI │ │ price : variabile │ │ channel : group Telegram + DM 1:1 │ │ │ │ 3. "SLEEPING LIQUIDS" │ │ price : $175 / bottiglia (costa nordafricana) │ │ €150 / bottiglia (altro venditore EU) │ │ delivery : spedizione fisica internazionale │ └────────────────────────────────────────────────────────────┘ // Il livestream interattivo è la parte che spacca la categoria. // Non è un video registrato. È un abuso on-demand, co-diretto dal pagante.
Due cose, tecnicamente, contano. La prima: il pagamento in crypto bypassa l'intero sistema dei Payment Risk dei processor mainstream (il famoso concetto di "Mastercard rule" che nel 2020 ha fatto piegare Pornhub sulla verifica di età e consenso — qui non si applica proprio). La seconda: la compravendita di bottiglie di "sleeping liquid" a 175 USD configura un reato prima e oltre lo stupro — è traffico di sostanze, frode, tentato avvelenamento. Un procuratore ha una scelta di capi d'imputazione larga come un centro commerciale.
CNN non ha nominato le sostanze. Scelta editoriale corretta: fornire un brand name è fornire una SKU. Questo articolo fa lo stesso. Chi deve sapere (tossicologi, LE, trust & safety) ha già gli elenchi. Chi non deve sapere, non deve.
05 — "AI-assisted moderation" e altre favole per adulti
Dopo la pubblicazione, Telegram ha rilasciato una dichiarazione che ha la stessa struttura retorica di tutte le dichiarazioni post-scandalo di Silicon Valley: "contenuti che incoraggiano violenza sessuale sono esplicitamente proibiti dai ToS e rimossi quando scoperti". La moderazione — dicono — è "AI-assisted" più segnalazioni utente.
"Quando scoperti" fa tutto il lavoro pesante della frase. Se il meccanismo di scoperta è la segnalazione utente in un gruppo privato da mille membri che si auto-selezionano come partecipanti attivi — la probabilità di segnalazione tende a zero per costruzione. È come dire che il tuo SIEM intercetta gli attacchi "quando un attaccante apre un ticket".
Motherless, dal canto suo, ha mantenuto il profilo comunicativo della lapide: zero risposta alle richieste di commento di CNN. È, tecnicamente, la scelta giusta dal punto di vista del legal risk. È, eticamente, l'ammissione più rumorosa possibile. Quando una piattaforma non può o non vuole difendere i propri processi, c'è solo una conclusione: non ha processi.
06 — Il buco regolatorio: quando Ofcom si fa Ponzio Pilato
L'11 febbraio 2026 — sei settimane prima del pezzo CNN — Ofcom, l'autorità britannica per le comunicazioni, ha emesso una Confirmation Decision contro Kick Online Entertainment S.A. Multa: £800.000 (~$1,1M). Motivazione: violazioni procedurali dell'Online Safety Act sul processo di moderazione.
Poi — e qui serve masticare il passaggio due volte — Ofcom ha dichiarato a CNN che decidere se un singolo contenuto è illegale "è compito della piattaforma, non del regolatore". Leggete di nuovo. Il regolatore della safety online dice che l'accertamento dell'illegalità dei contenuti tocca all'operatore vigilato. È il momento in cui il garante del pollaio dice che la qualifica di "volpe" la decidono le galline per acclamazione.
"Decidere se un contenuto è illegale è compito della piattaforma, non del regolatore."
— Ofcom UK, dichiarazione a CNN, marzo 2026
La posizione di Ofcom non è pazza in linea di principio — l'Online Safety Act è un regime di duty of care, non di revisione editoriale. Il regolatore valuta processi, non singoli contenuti. Ma quando il processo risulta in 20.000 video taggati #passedout indicizzati per anni, dire "non è roba mia" è un perfetto esempio di accountability gap strutturale. Il contenuto non ha un regolatore. Ha un'azienda in Lussemburgo.
07 — L'arresto: art. 197 CP polacco, confessione, handoff riuscito
Il 9 aprile 2026 la Procura distrettuale di Lublino, in Polonia, ha arrestato un uomo identificato pubblicamente solo come "Piotr". Il soggetto ha confessato i fatti. L'accusa è formalizzata ex art. 197 § 3 pkt 2 Kodeks Karny — forma aggravata di stupro con vittima che si trova in uno stato di incapacità di resistere (traduzione dall'originale polacco: "wobec osoby pozostającej w stanie wyłączającym swobodę kierowania swoim postępowaniem"). Pena edittale: 3-20 anni di reclusione.
Dettaglio operativo di merito: prima dell'handoff alla LE, CNN ha compiuto un physical verification step — si è recata fisicamente nella città polacca indicata dagli indizi conversazionali per confermare l'identità. Questo è il gold standard dell'OSINT investigativa: nessun arresto deve partire da una geolocalizzazione "quasi certa". L'ultimo miglio lo fa un essere umano che vede una porta di casa.
08 — Lezioni tecniche, ad uso di chi lavora in difesa
Per team Trust & Safety
- Tag auditing continuo: query programmatiche settimanali sulla propria tassonomia per keyword di rischio (
unconscious,passedout,sleeping,eyecheck, e i loro stemi). Il fatto che servano delle LLM per farlo è ormai una scusa superata. - Bridge detection: monitoraggio dei link Telegram nei commenti e nelle descrizioni utente. Un'espressione regolare da 30 caratteri copre il 95% dei casi.
- Consent signal verification: per le piattaforme di user-generated adult content, l'approccio Mastercard/Visa post-2020 deve essere policy di default, non optional — verifica età + verifica consenso documentata per ogni performer.
Per analisti Threat Intel e OSINT
- Pattern public-to-private funnel: cercare sempre il ponte tra tube pubbliche e canali privati. Il ponte è dove gli operatori fanno attrition — e dove l'OSINT entra senza breaching.
- OPSEC proporzionale alla moderazione: dove la moderazione è assente, l'OPSEC degli operatori è ridicolo. Questo è un regalo: pivota veloce, prima che qualcuno maturi.
- Physical last mile: l'OSINT termina con l'essere umano sul posto. Nessun arresto su pura geolocation. La lezione CNN/Lublino è didattica.
Per policy, regulators, CERT
- Mind the Luxembourg gap: le jurisdictional-arbitrage di paradiso-fiscale-di-Schengen sono feature, non bug. Ofcom ha fatto quello che poteva (duty of care procedurale) ma non aveva jurisdiction di merito. DSA europeo dovrebbe chiuderlo. Verificheremo.
- Payment deplatforming: il vero strangolamento delle economie di abuso passa dai payment processor e dagli ad network, non dai regolatori di comunicazioni. Il caso Pornhub 2020-2021 lo dimostra. La petizione del 17 aprile è già sulla strada giusta.
Conclusioni: una questione di architettura, non di "mele marce"
La tentazione narrativa è chiudere dicendo "mille uomini mostri si sono trovati online". È vero, ma è l'analisi più inutile che si possa fare. I mille uomini esistevano. Esistono. Esisteranno. Il punto tecnico è un altro: l'infrastruttura digitale ha reso il loro coordinamento a costo marginale zero, la moderazione ha fallito alla detection di una keyword di inglese elementare, il pagamento ha trovato un rail fuori dal perimetro regolato, e il framework legale più avanzato d'Europa ha dichiarato di non poter decidere.
In threat intel insegniamo una cosa: l'attaccante sceglie la linea di minor resistenza. Lungo la linea Motherless → Zzz → crypto → Lussemburgo la resistenza è nulla. Fino a che non arriva un'inchiesta giornalistica — cioè un attore privato — a fare quello che decine di regolatori pubblici non hanno fatto. Il sistema ha funzionato: non per disegno, ma per coincidenza. This is fine, come disse il cane nella stanza in fiamme.
Due cose ancora. Primo: i cinque giornalisti di CNN — Saskya Vandoorne, Kara Fox, Niamh Kennedy, Eleanor Stubbs, Marco Chacón — hanno fatto un lavoro che in qualsiasi altro ambito si chiamerebbe operazione sotto copertura e avrebbe richiesto mandato. Lo hanno fatto con la cartella stampa del Primo Emendamento e il cuore forte. Standing ovation. Secondo: tre sopravvissute hanno accettato di parlare. Se stai leggendo e sei una di loro — o hai il dubbio di esserlo — il 1522 in Italia è gratuito, 24/7, multilingue. Non lascia tracce in bolletta. Non si deve scusare di niente.
Il gruppo "Zzz" è chiuso. I video taggati "sleep" su Motherless — al momento della pubblicazione di questo articolo — risultavano ancora indicizzati. La petizione di deplatforming è attiva. Un arresto effettuato, 999 operatori non identificati noti a CNN. Questa storia non è finita. Stay tuned.
Fonti primarie e verificate
- CNN (inchiesta primaria, 26 Mar 2026): Exposing a global 'online rape academy' that is teaching men how to abuse women and evade detection — Vandoorne, Fox, Kennedy, Stubbs, Chacón.
- CNN (follow-up, 9 Apr 2026): Polish man arrested following undercover CNN investigation into online rape networks.
- CNN (video, 17 Apr 2026): Petition to deplatform porn website at center of CNN global rape investigation.
- Snopes (fact-check sui numeri): CNN reported on 'online rape academy,' but '62M men' figure misrepresents findings — chiarisce che le 62M sono visite al sito, non membri del gruppo.
- Cybernews (angolatura cybercrime): Sex forum users gave their wives lethal cocktails to livestream the rape of their unconscious bodies.
- PBS Amanpour & Company (27 Mar 2026): March 27, 2026 episode — rilancio in prime time.
- The Mirror US: Online 'rape academy' where men are taught how to drug and assault their wives exposed.
- Outlook India: CNN Exposé: 20,000+ 'Sleep' Videos — Online Networks Profiting from Abuse of Women.
Tutte le affermazioni numeriche e giuridiche di questo articolo sono verificate contro ≥2 fonti autorevoli indipendenti. Non sono nominate sostanze, brand di "sleeping liquid", username Telegram specifici, wallet address, né ricostruiti metodi tradecraft non già pubblicati. Nessun link operativo. Se ritieni che una fonte sia stata interpretata in modo impreciso, segnala via LinkedIn: rettifichiamo in chiaro.