L’ex presidente del Consiglio Matteo Renzi, Mario Draghi, e anche l'ex premier Mario Monti: sono solo alcuni dei nomi che sarebbero stati intercettati illegamente da Giulio Occhionero, ingegnere nucleare di 45 anni, e la sorella Francesca Maria, di 49, entrambi arrestati oggi dalla Polizia Postale. Una indagine condotta dalla Polizia Postale e coordinata dalla procura di Roma ha portato all'arresto dei due fratelli residenti a Londra ma domiciliati a Roma e conosciuti nel mondo dell'alta finanza capitolina. La polizia ha smantellato una centrale di cyberspionaggio che per anni ha raccolto notizie riservate e dati sensibili. Venivano spiati politici, istituzioni, pubbliche amministrazioni, studi professionali e imprenditori di livello nazionale. Ai due arrestati vengono contestati i reati di procacciamento di notizie concernenti la sicurezza dello Stato, accesso abusivo a sistema informatico aggravato ed intercettazione illecita di comunicazioni informatiche e telematiche.

Tra le vittime personaggi della politica e della finanza

Le indagini degli investigatori del Cnaipic, il Centro nazionale anticrimine informatico della Polizia postale, hanno accertato che l’ingegnere e sua sorella gestivano una rete di computer (botnet) – infettati con un malware chiamato “Eyepyramid” – che avrebbe loro consentito di acquisire per anni notizie riservate e dati sensibili di decine di persone che, a vario titolo, gestiscono la funzione pubblica e delicati interessi, soprattutto nel mondo della Finanza. L'indagine che ha portato ai due arresti odierni è partita dalla segnalazione al Cnaipic dell'invio di una mail: indirizzata all'amministratore di rilievo di un'infrastruttura critica nazionale, conteneva il virus Eyepyramid. Seguendo quella traccia gli investigatori sono risaliti alla rete botnet che, sfruttando il malware, riusciva ad acquisire da remoto il controllo dei computer e dei sistemi informatici delle vittime.

 “Infettati” pc collaboratori del cardinal Ravasi

Anche due computer in uso ai collaboratori del cardinale Gianfranco Ravasi – dal 2007 presidente del Pontificio Consiglio della cultura, della Pontifica Commissione di archeologia sacra e del consiglio di coordinamento tra accademie pontificie – risulterebbero “compromessi” nell'ambito dell'attività di spionaggio scoperta dalla Polizia Postale.

Tra gli altri spiati Saccomanni, Fassino, La Russa

Risultano spiati anche l'ex Governatore della Banca d'Italia Fabrizio Saccomanni, l'ex comandante Generale della Guardia di Finanza, Saverio Capolupo, Piero Fassino, Paolo Bonaiuti, Mario Canzio, Vincenzo Fortunato, Fabrizio Cicchitto e Ignazio La Russa. Ci sarebbe inoltre l'ex presidente della Regione Campania Stefano Caldoro e il senatore Domenico Gramazio tra le caselle di posta elettronica spiate dai due arrestati. Grazie al virus informatico i due fratelli Occhionero avevano accesso, anche con password, alle mail di numerosi politici tra cui anche l'ex ministro Brambilla e Daniele Capezzone. Nel database oggetto dell'indagine sono stati trovati domini di importanti società private o enti istituzionali come: Istruzione.it, Gdf.it, Banca d'Italia.it, Camera.it, Senato, Esteri, Tesoro, Interni, Regione Campania, Regione Lombardia, Cisl, UniBocconi.

Di Legami: 20000 le vittime di EyePyramid

Sarebbero circa 20000 le vittime accertate sinora dalla Polizia Postale nell'ambito dell'inchiesta Eye Pyramid. Ma “molte di più potrebbero emergerne dall'analisi dei server dislocati negli Stati Uniti e sequestrati grazie alla collaborazione della Cyber Division dell'Fbi”, ha spiegato a Cyber Affairs il direttore della Polizia Postale e delle Comunicazioni, Roberto Di Legami. “L'operazione ha portato questa mattina all'arresto di due cittadini italiani residenti a Londra ma domiciliati a Roma, un ingegnere nucleare e sua sorella, entrambi noti negli ambienti dell'alta finanza. La nostra attività è però iniziata mesi addietro, quando il centro nazionale anti crimine informatico della Polizia Postale, il Cnaipic, ha ricevuto da parte di un amministratore di un'infrastruttura critica nazionale la segnalazione dell'arrivo di una mail strana, con mittente sospetto. Attraverso l'analisi di questa comunicazione è emerso che conteneva un malware, riconducibile a un cittadino italiano”, ha spiegato Di Legnami. La segnalazione ha portato alla scoperta di una rete, particolarmente estesa, di computer infetti da questo malware. “Si tratta del primo attacco Apt di questo tipo che rileviamo in Italia. Per anni, grazie a questa attività, i responsabili di queste operazioni hanno ottenuto informazioni sensibili e notizie riservate, inviandoli a un centro di comando e controllo situato negli Stati Uniti. Da qui i dati venivano poi smistati in oltre dieci drop zone dislocate sempre negli Usa. Poi, con pazienza certosina, quanto raccolto veniva ordinato in singole cartelle che identificavano le vittime: ad esempio sotto la sigla Bros – fratelli – sono stati rinvenuti gli appartenenti a logge massoniche, mentre in una cartella chiamata Pobu (Politicians Business), erano catalogati gli osservati appartenenti al mondo politico”.

Che uso veniva fatto di queste informazioni?  Di Legami dice di ritenere che l'attività di dossieraggio avesse una duplice finalità: da un lato avere informazioni e dunque potere, dall'altro aumentare sempre di più la magnitudo del malware e l'estensione della rete. Non sarebbe emerso finora un uso ricattatorio di queste informazioni “ma pensiamo che questi dati, sempre attraverso altre società negli Usa, possano essere stati usati per ottenere indebiti e immediati ritorni economici nella conduzione di alcune operazioni di business”. Ora, ha aggiunto Di Legami, “la Polizia sarà impegnata in un'intensa attività di ricostruzione sia della rete di scatole e società con cui si è operato, sia della rete di favoreggiatori di questa attività, sia per comprendere, nel modo più accurato possibile, l'entità delle vittime e degli effetti di queste operazioni illecite. In Italia abbiamo trovato un deposito contenente documenti cartacei e altro materiale informatico che sono ora sotto sequestro”.

“Occhionero appartenente a massoneria”

Giulio Occhionero è legato “con gli ambienti della massoneria italiana, in quanto membro della loggia ‘Paolo Ungari – Nicola Ricciotti Pensiero e Azione' di Roma, della quale in passato ha ricoperto il ruolo di maestro venerabile, parte delle logge di Grande Oriente d'Italia”. È quanto si legge nell'ordinanza di custodia cautelare.

Trovate caselle posta utilizzate da P4

Gli indizi raccolti in altre inchieste lasciano intendere che la vicenda di spionaggio scoperta oggi “non sia un'isolata iniziativa dei due fratelli ma che, al contrario, si collochi in un più ampio contesto dove più soggetti operano nel settore della politica e della finanza secondo le modalità” adottate dai fratelli Occhionero. È quanto si legge ancora nell'ordinanza di custodia cautelare. Il riferimento è al “diretto collegamento” tra le condotte di cui i due sono accusati “ed interessi illeciti oscuri”. Collegamento “desumibile dal rinvenimento, nel corso delle indagini, di quattro caselle di posta elettronica già utilizzate per attività similari, secondo quanto emerso dalle indagini relative alla cosiddetta P4”. Al momento, comunque, un collegamento con altri procedimenti penali non è dimostrato. In particolare, le indagini hanno accertato che, almeno in una versione del virus utilizzato, i dati carpiti dai pc “infettati” venivano inviati a quattro indirizzi mail che risultavano essere già emersi nel luglio 2011 nel corso del procedimento della cosiddetta P4. Uno degli indirizzi “sarebbe collegato a operazioni di controllo da parte di Luigi Bisignani nei confronti dell'onorevole Papa e delle Fiamme Gialle”.

Database con oltre 18mila username

Un elenco di 18327 username di cui 1793 corredate da password e catalogate in 122 categorie denominate “Nick” che indicano la tipologia di target oppure le iniziali di nomi e cognomi: questo il database nelle mani dei due arrestati.

Almeno cento dispositivi infettati – Circa 100 i dispositivi infettati identificati dalla polizia. In particolare, si legge negli atti, è stata accertata la compromissione di 20 studi legali, molti dei quali specializzati in diritto amministrativo e commerciale. In alcuni casi sono risultati infettati fino a 5 pc della rete dello studio. Intrusioni anche in diversi studi professionali, di commercialisti, consulenti del lavoro, architetti e di due società di recupero crediti. Inoltre risultano infettati un pc della seconda università di Napoli (segreteria facolà di Lettere), della Regione Lazio (quello della dirigente dell'ufficio contenzioso), del sindacato Cgil Funzione pubblica Torino. In Vaticano, compromessi i pc in uno a due collaboratori di Ravasi e quello della Casa bonus pastor, una struttura alberghiera di proprietà del Vicariato di Roma. Gli investigatori precisano che si tratta di un elenco al ribasso dato che si tratta delle vittime accertate nel periodo in cui l'utenza fissa di Giulio Occhionero era intercettata, vale a dire per poco più di un mese.

L’esperto: “Storia affascinante a cui manca un pezzo” – “Il malware Eye Pyramid è vecchio c'è bisogno di un team che lo aggiorna, aggiunge funzionalitàe lo rende invisibile”, ha detto all'ANSA l'esperto di sicurezza Andrea Zapparoli Manzoni, che sottolinea come i due arrestati, sconosciuti al mondo degli hacker, “sono dei prestanome, dietro c’è uno sponsor”. “Spiare quasi 20mila persone vuol dire un'operazione in scala industriale – ha detto l'esperto – e fare restare invisibile il malware per lungo tempo presuppone capacità di alto livello che non sono nelle possibilità delle due persone arrestate. Tra i domini usati, ad esempio, c’è eyepyramid.com che non userebbe neanche una persona sprovveduta. Questa è una storia affascinante a cui manca un pezzo”.

Almeno due tentativi di intrusione sulla mail di Renzi a giugno 2016

Sarebbero almeno due i tentativi di intrusione nella mail personale dell'ex presidente Renzi e sarebbero avvenuti a giugno del 2016, secondo quanto emerge dall'ordinanza di custodia cautelare nei confronti dei fratelli Occhionero. Nel database sequestrato dagli investigatori e contenente oltre 18000 username, infatti, c’è un lungo elenco di persone che sarebbero state prese di mira dagli indagati e nei confronti delle quali sarebbero scattati i tentativi di intrusione più o meno riusciti. I tentativi di accesso all'account privato di Renzi, attraverso il malware, sarebbero avvenuti il 12 giugno alle 11.18 e il 30 giugno alle 07:08. Il 23 giugno 2016 e il 9 luglio (rispettivamente alle 6.06 e alle 19:41) il tentativo ha riguardato invece la mail di Draghi e sempre a giugno dell'anno scorso (20 e 30) quelle di Saccomanni. Tra giugno e luglio del 2016 anche le intrusioni sulle mail di Fassino, Bonaiuti, Vincenzo Scotti, Maria Vittoria Brambilla, La Russa, Vincenzo Fortunato, Mario Canzio. Quattro i tentativi fatti su due account dell'ex premier Monti: il 20 maggio (alle 6:39), il 6 (15:49), 20 (6:05) e 30 (23:20) giugno. Risalgono invece al 2012 i tentativi di accesso alla mail dell'allora comandante generale della Gdf Saverio Capolupo – il 12 ottobre alle 5:25 e il 13 novembre alle 8 del mattino – e del generale Poletti, sempre della Gdf (l'11 maggio e il 9 giugno 2012).