Verosimilmente gli inquirenti sono arrivati al venditore (che gestiva il servente) con metodi investigativi classici: se spargi la voce che sei interessato ad acquistare servizi di card sharing prima o poi trovi qualcuno, fai "l'abbonamento" e sai il suo IP.
Dopodiché avranno semplicemente messo sotto osservazione quella macchina, o sul posto (con mandato di perquisizione, sequestro) o magari da fuori, con la collaborazione dell'ISP. Da lì basta ricostruire una lista di IP clienti, e con gli ISP risali agli intestatari delle connessioni. Secondo me non hanno nemmeno bisogno di sniffare il contenuto dei pacchetti, basta la lista di IP. Se anche le connessioni fossero state soggette a più strati di incapsulamento, anonimizzazione, crittazione ecc. sempre gli IP di origine e destinazione sono visibili in chiaro.
Quello che mi sorprende è che qualcuno decida di fare una cosa così, avvalendosi di internet, e si rivolga al deliquentello dietro l'angolo. Se proprio dovessi delinquere (e non devo e non voglio, ma se proprio dovessi) lo farei con un soggetto estero.
