Gli investigatori di Pegasus hanno trovato Pegasus

19

Stelios Kouloglou conosceva il gioco. Era un eurodeputato e faceva parte della task force speciale dell’UE che cacciava lo spyware. Nell’estate del 2022 ha viaggiato per il continente, sedendosi con le vittime della sorveglianza digitale, svelando uno scandalo che ha coinvolto giornalisti, capi di polizia e politici. Pensava di avere in mano la lente d’ingrandimento. Non sapeva che l’obiettivo si stava rivolgendo verso di lui.

Poi sono usciti i dati. Il suo iPhone è stato compromesso. Di Pegaso. Lo stesso strumento per cui era stato assunto.

“È stata una cosa davvero troppo sconsiderata”, dice.

È uno scherzo oscuro. Un investigatore colpito dal crimine su cui indaga. Kouloglou ha trascorso anni ad approfondire queste questioni prima di entrare in parlamento, quindi non era ingenuo riguardo alle minacce. Ancora. Lo shock colpisce in modo diverso quando è il tuo telefono a squillare con malware. Adesso è arrabbiato. Giustamente.

Ecco lo sfondo che probabilmente conosci ma che devi ascoltare di nuovo. Pegasus non è solo un’app che scarichi per sbaglio. Sfrutta le falle di iOS e Android per oltrepassare le difese. Una volta dentro? La telecamera gira. Il microfono rimane aperto. Messaggi, foto, liste di contatti, tutto va a chi ha pagato. Sviluppato da NSO Group, un’azienda israeliana che ha recentemente visto la maggioranza delle sue azioni acquistate da investitori statunitensi nel 2025, lo spyware viene venduto ai governi. Teoricamente per catturare i terroristi. In pratica? Spesso utilizzato su giornalisti, attivisti e politici fastidiosi.

Il Citizen Lab dell’Università di Toronto ha pubblicato il rapporto forense venerdì scorso. Il tempismo non potrebbe essere peggiore. O meglio, a seconda se ti piace il dramma. Il telefono di Kouloglou non è stato preso di mira nemmeno una volta. Ma più volte. La prima il 21 ottobre 2202, mentre era in ospedale per riprendersi da un intervento chirurgico elettivo. Immaginare. Sdraiato lì. Vulnerabile. Quindi un giornalista investigativo greco, Thanasis Koukakis, che era stato hackerato da un altro pezzo di spyware chiamato Predator, gli fa visita. Parlano. Forse riguardo al comitato. Forse riguardo al caso.

Poi silenzio. Fino a marzo 2023. La commissione si stava preparando per le udienze chiave. Stavano per interrogare i venditori di spyware. È allora che Pegasus colpisce ancora. Il 6 e 7 marzo. Coincidenza? Dimmelo tu.

L’ironia è soffocante.

Hannah Neumann, un’altra eurodeputata della commissione che ha tendenze ambientaliste e sicuramente non è sottile al riguardo, lo ha definito assurdo. Gli aggressori non stavano solo guardando il ragazzo. Stavano guardando l’indagine.

“Abbiamo spiato le indagini di spionaggio”, dice Neumann a WIRED. È così che è andata.

I ricercatori del Citizen Lab hanno fatto un’analisi approfondita. Non sono riusciti a individuare chi abbia ordinato i colpi. Nessuna pistola fumante puntata contro una specifica agenzia governativa. Questa volta hanno esplicitamente escluso il governo greco, il che è importante perché la Grecia era nel mezzo del suo pasticcio di spyware in stile “Watergate” che coinvolgeva il software Predator di Intellexa nello stesso periodo. Ma le impronte coincidono. I vettori di attacco si sono sovrapposti ai tentativi contro sette giornalisti di lingua russa e bielorussa tra la fine del 2020 e l’inizio del 2023. È uno schema. È sempre uno schema.

John Scott-Railton di Citizen Lab lo dice senza mezzi termini.

“È aperta la stagione dello spyware per i legislatori europei.”

Nessuno è preparato. Parlamenti nazionali? Indifeso. L’UE? Dormire.

Kouloglou ammette di aver probabilmente visto gli avvisi di “Lockdown” di Apple, gli avvisi che dicono “ehi, qualcuno potrebbe averti hackerato”. Li ha ricevuti nel marzo e nell’agosto del 2303. Di nuovo nell’aprile del 2404. Ma le notifiche arrivano in ritardo. Quando arriva la lettera, il furto è compiuto. Non ricorda comunque di averli visti. Chi cerca errori sul proprio schermo quando è impegnato a salvare la democrazia?

Ciò che preoccupa la maggior parte delle persone è che nulla è cambiato. Il Comitato PEGA ha terminato i suoi lavori. Ha consegnato un elenco di richieste. Costruire un laboratorio tecnologico dell’UE per l’analisi forense. Creare una task force anti-spyware per le elezioni. Mettere in sicurezza i canali. Passarono gli anni. La polvere si depositò. E poi bam. Un membro del comitato si radica.

L’Europa ha ignorato il problema fino a quando il problema non l’ha alimentata.

Il portavoce del Parlamento europeo non ha fornito dettagli su WIRED ma ha indicato alcuni “sistemi di screening” per gli eurodeputati. Misure. Espansioni della tutela. Sembra un gergo tecnico per dire “ci stiamo provando”. Ma provaci di più. Le raccomandazioni stanno raccogliendo stampo digitale.

Scott-Railton definisce la situazione imbarazzante. E non ha torto. Altre nazioni si sono mosse. Gli Stati Uniti hanno sanzionato i venditori, vietato i visti e utilizzato ordini esecutivi per raffreddare il mercato dello spyware. L’Europa si limita a discutere. Nel frattempo l’intelligenza artificiale lo sta rendendo più economico. Più facile. Più veloce. La barriera all’ingresso sta scomparendo.

Kouloglou considera la violazione come una violazione della sua vita personale. Messaggi con i bambini. Con parenti. Non solo cose di lavoro. Vita.

“Non è solo una questione di privacy. È giustizia. Democrazia.”

Vuole responsabilità. Ma la responsabilità richiede azione. Finora il silenzio è più forte degli allarmi spyware.