La conferma tecnica dell’infezione Pegasus sul telefono di Stelios Kouloglou, giornalista greco ed ex membro del Parlamento europeo, riporta il dossier spyware dentro il perimetro operativo di imprese, PA e soggetti regolati italiani: non solo sorveglianza politica, ma gestione dei dispositivi di vertice, protezione dei dati personali, catena dei fornitori e tempi di risposta agli incidenti. Secondo l’inchiesta pubblicata da TechCrunch, il telefono di Kouloglou è stato compromesso mentre lavorava nella commissione europea incaricata di indagare proprio sugli abusi di Pegasus e di spyware equivalenti.
I ricercatori del Citizen Lab dell’Università di Toronto hanno indicato infezioni nel 2022 e nel 2023, con attacchi zero-click contro un iPhone che sfruttavano una vulnerabilità già corretta da Apple ma non ancora installata sul dispositivo. Per le aziende italiane che rientrano negli obblighi cyber, l’episodio si innesta in un quadro già aggiornato dal recepimento nazionale della NIS2: la pagina ACN sulla normativa NIS ricorda che il decreto legislativo 138/2024 ha recepito la direttiva europea nell’ordinamento italiano.
▶” frameborder=”0″ allow=”accelerometer; autoplay; encrypted-media; gyroscope; picture-in-picture” allowfullscreen title=”Vedi il video”>
Il bersaglio era dentro l’indagine
Il punto centrale è la posizione della vittima. Kouloglou era membro sostituto della commissione PEGA, istituita dal Parlamento europeo per investigare sull’uso di Pegasus e di spyware di sorveglianza equivalenti negli Stati membri. Nella relazione tecnica del Citizen Lab, i ricercatori scrivono di aver trovato prove forensi ad alta confidenza che il suo dispositivo è stato infettato mentre la commissione esaminava abusi legati a questi strumenti.
La cronologia rende il caso particolarmente delicato sul piano istituzionale. Il primo episodio rilevato cade intorno al 21 ottobre 2022, in una fase di scambi intensi su email e messaggi in vista della prima bozza del rapporto PEGA. Il lavoro della commissione riguardava, secondo la ricostruzione citata, casi e accuse con focus su Cipro, Grecia, Ungheria, Polonia e Spagna.
Il Parlamento europeo aveva formalizzato il mandato della commissione il 10 marzo 2022. Nella decisione istitutiva della commissione PEGA, l’assemblea citava la richiesta di 290 eurodeputati e attribuiva al nuovo organismo il compito di indagare presunte violazioni o cattiva amministrazione nell’applicazione del diritto dell’Unione legate all’uso di Pegasus e strumenti equivalenti.
Secondo TechCrunch, Kouloglou ha definito la compromissione deliberata del telefono una condotta “spericolata”. Un eurodeputato in carica l’ha descritta come un attacco diretto allo Stato di diritto, chiedendo alla Commissione europea limiti più stringenti all’uso degli spyware nei 27 Stati membri. La Commissione, contattata da TechCrunch, non ha risposto prima della pubblicazione; anche NSO Group non ha risposto alla richiesta di commento sul report del Citizen Lab.
Zero-click, patch e dati personali
Il vettore tecnico indicato dal Citizen Lab è un exploit zero-click: non richiede un clic, l’apertura di un allegato o altre azioni dell’utente. Nel caso di Kouloglou, i ricercatori collegano l’infezione a una vulnerabilità nel software HomeKit usato dagli iPhone; la falla era stata corretta, ma il dispositivo risultava ancora esposto perché l’aggiornamento non era stato installato.
La lezione pratica per le imprese italiane è meno banale della formula “aggiornare i telefoni”. Gli attacchi zero-click riducono il valore delle sole campagne di awareness: non basta addestrare un manager a non aprire link sospetti se lo spyware può entrare senza interazione. Servono inventario dei dispositivi, finestre di aggiornamento più brevi per gli utenti ad alto rischio, controllo MDM dove compatibile con la privacy e una procedura per trattare gli avvisi dei vendor come eventi di sicurezza, non come notifiche personali da archiviare.
Secondo la ricostruzione forense, Pegasus poteva accedere a messaggi, corrispondenza, dati di localizzazione e foto. TechCrunch riporta anche che l’infezione del 21 ottobre 2022 coincideva con un ricovero programmato di Kouloglou in ospedale; in quella finestra, gli operatori dello spyware avrebbero potuto captare audio ambientale o conversazioni con visitatori. Il Citizen Lab usa una formulazione prudente: il materiale medico o conversazioni avvenute nella stanza potrebbero essere state intercettate.
La pista europea resta senza attribuzione
Il Citizen Lab non attribuisce l’operazione a un governo specifico. La cautela è un elemento sostanziale: nel report non emergono indicazioni che colleghino l’infezione al governo greco e i ricercatori scrivono di non avere prove che la Grecia fosse cliente di NSO Group o utilizzatrice di Pegasus. Al tempo stesso, il report segnala una sovrapposizione tecnica con una precedente campagna contro giornalisti e attivisti russofoni e bielorussofoni in Europa.
Il caso Kouloglou sposta il rischio spyware dal dissenso politico alla governance: patch, screening dei dispositivi e procedure GDPR/NIS diventano presidio operativo.
La sovrapposizione riguarda un indirizzo email caricato con Pegasus, già osservato in una campagna precedente e riutilizzato nel caso Kouloglou. Secondo il Citizen Lab, nel modello infrastrutturale di Pegasus questo tipo di indirizzi tende a essere specifico per operatore. La stessa infrastruttura non basta a identificare un Paese, ma suggerisce che il cliente avesse autorizzazione all’uso dello spyware in più giurisdizioni europee.
Gli episodi successivi confermati cadono tra il 6 marzo 2023 e il 7 marzo 2023, mentre Kouloglou viaggiava da Atene a Bruxelles in una fase di audizioni e discussioni della commissione. La relazione segnala inoltre notifiche Apple di minaccia ricevute in tre date: 2 marzo 2023, 29 agosto 2023 e 10 aprile 2024. Le notifiche, precisa Citizen Lab, non sono alert in tempo reale e possono arrivare mesi dopo il targeting.
Per consigli di amministrazione, studi legali, media, operatori finanziari e fornitori della PA, questo dettaglio cambia la sequenza di risposta. Un avviso arrivato mesi dopo non serve a “bloccare” l’attacco già avvenuto, ma deve innescare conservazione del dispositivo, analisi forense, mappatura dei dati potenzialmente esposti e valutazione delle comunicazioni sensibili trattate nel periodo. Apple, nella guida Apple sulle notifiche spyware, descrive questi avvisi come notifiche destinate ad assistere utenti presi di mira da spyware mercenario.
Per le aziende conta la compliance
In Italia l’angolo operativo passa da due piani: cybersecurity e protezione dei dati. Se un telefono aziendale o usato per attività professionali contiene email, chat, documenti, posizione, foto o informazioni sanitarie, l’eventuale esfiltrazione deve essere valutata anche come possibile violazione di dati personali. Le istruzioni del Garante Privacy prevedono che le notifiche oltre il termine delle 72 ore siano accompagnate dai motivi del ritardo, dentro il quadro di applicazione del GDPR.
La NIS2, recepita in Italia dal D.Lgs. 138/2024, aggiunge un secondo livello per soggetti essenziali e importanti: governance del rischio, misure tecniche e organizzative, gestione degli incidenti e attenzione alla supply chain. Il caso Pegasus non significa che ogni PMI debba trattare ogni smartphone come un bersaglio governativo, ma suggerisce una segmentazione: profili executive, legali, relazioni istituzionali, sicurezza, ricerca e sviluppo e personale che lavora su dossier regolati meritano controlli più severi rispetto al parco mobile ordinario.
Tra le azioni concrete rientrano patching forzato per dispositivi critici, registrazione degli avvisi Apple e Google nel sistema di ticketing security, procedure per isolare e preservare un device sospetto, contatti preventivi con un laboratorio forense e policy chiare sull’uso di account personali per lavoro sensibile. Per chi tratta segreti industriali o informazioni di clienti regolati, la verifica dovrebbe includere anche le app di messaggistica e collaborazione più usate dai vertici.
L’Europa dovrà scegliere il confine
Il dossier non nasce nel vuoto. L’European Parliamentary Research Service, in una sintesi del giugno 2023, ricordava che Pegasus e spyware equivalenti erano stati usati da organismi governativi contro giornalisti, politici, funzionari, diplomatici, avvocati, imprenditori e attori della società civile. La stessa scheda indicava che il Parlamento vedeva la necessità di standard comuni europei sull’uso degli spyware da parte degli Stati membri.
Il nuovo elemento è il bersaglio: non un osservatore esterno, ma un componente dell’organismo che stava ricostruendo abusi e responsabilità. Citizen Lab raccomanda alle istituzioni UE indagini immediate, screening dei dispositivi di eurodeputati e staff coinvolti nei lavori PEGA, maggiore uso delle capacità di verifica forense del Parlamento e un programma analogo anche per Commissione europea e assemblee nazionali.
Per l’Italia, il precedente parla a regolatori e imprese insieme. ACN, Garante Privacy, autorità settoriali e grandi operatori non devono attendere un caso nazionale identico per aggiornare le procedure: la linea di difesa passa da governance dei dispositivi mobili, classificazione delle comunicazioni di vertice, prove di escalation e responsabilità definite tra IT, legal, compliance e top management.
Kouloglou ha detto a TechCrunch di voler fare causa a NSO Group e di aver scelto di rendere pubblica la vicenda per democrazia, diritti umani e lotta alla corruzione. Per le imprese, il punto operativo è più asciutto: gli spyware mercenari restano strumenti rari, costosi e mirati, ma quando entrano su un telefono di vertice possono trasformare un dispositivo personale nel punto di accesso a documenti, trattative, dati sanitari, contatti istituzionali e strategie aziendali.
#Adessonews seleziona nella rete articoli di particolare interesse.
Se vuoi leggere l’articolo completo clicca sul seguente link
Marco Ferretti
Source link


