Il Dipartimento di Giustizia degli Stati Uniti (DoJ) ha recentemente condannato nuovamente l’ex amministratore di BreachForums, Conor Brian Fitzpatrick, a tre anni di prigione per il suo ruolo nella gestione del noto forum di cybercrime e per il possesso di materiale pedopornografico. Fitzpatrick, conosciuto online come Pompompurin, ventiduenne di Peekskill, New York, aveva già ammesso la propria colpevolezza per cospirazione e richiesta di dispositivi di accesso, oltre che per il possesso di materiale illecito.
L’arresto di Fitzpatrick risale a marzo 2023, con la successiva ammissione di colpa nel luglio dello stesso anno. Nell’accordo di patteggiamento, Fitzpatrick ha accettato di rinunciare a oltre cento nomi di dominio impiegati per l’attività di BreachForums, più di una dozzina di dispositivi elettronici utilizzati nello schema criminale e criptovalute derivanti dai proventi dell’operazione.
Secondo il DoJ, Fitzpatrick ha tratto profitto dalla vendita massiccia di informazioni rubate che includevano dati personali sensibili e informazioni aziendali. Tali attività hanno generato danni così estesi che risulta difficile quantificarli, mentre il costo umano legato alla raccolta di materiale pedopornografico è considerato incalcolabile.
Questa nuova sentenza si è resa necessaria dopo che la Corte d’Appello del Quarto Circuito, nel gennaio 2025, ha annullato la precedente condanna di soli 17 giorni già scontati, ordinando una nuova valutazione del caso. In precedenza, a gennaio 2024, Fitzpatrick era stato condannato solo al tempo già trascorso in custodia e a vent’anni di libertà vigilata per il suo ruolo di fondatore e amministratore di BreachForums.
BreachForums e il mercato dei dati rubati
BreachForums, nato nel marzo 2022 dopo la chiusura di RaidForums da parte delle forze dell’ordine, è stato uno dei principali mercati criminali online, dove venivano comprati, venduti e scambiati dati sottratti a grandi aziende di tutto il mondo. Al culmine della sua attività, il forum contava circa 330.000 membri e ospitava oltre 14 miliardi di record individuali.
Nonostante i ripetuti tentativi delle autorità di chiuderlo, il mercato hacker è stato rilanciato più volte usando nuovi domini. Nel luglio 2024, l’intero database originale di BreachForums è stato pubblicato online, esponendo i dati degli iscritti. Nell’agosto 2025, il gruppo ShinyHunters, subentrato dopo l’arresto di un altro amministratore, ha dichiarato che il forum era stato compromesso e posto sotto il controllo delle forze di polizia internazionali. Di conseguenza, il forum ha cessato le attività insieme ad altri gruppi e-crime noti come LAPSUS$ e Scattered Spider.