Cosa sappiamo dell’inchiesta sul “cyber-spionaggio”

I giornali di oggi danno ampio spazio alle notizie su un’inchiesta per “cyber-spionaggio” avviata dalla procura di Roma, e che ieri ha portato all’arresto di Giulio e Francesca Maria Occhionero, due fratelli ritenuti responsabili di attacchi informatici per sottrarre email, documenti e altri file a migliaia di persone legate alle istituzioni, alla politica e alla finanza. L’inchiesta è piuttosto ampia e per ora dai contorni non chiarissimi: gli inquirenti sospettano che tra le persone spiate potessero esserci anche l’ex presidente del Consiglio Matteo Renzi e il presidente della Banca Centrale Europea, Mario Draghi, ma saranno necessarie altre indagini e soprattutto l’analisi di alcuni server negli Stati Uniti per avere qualcosa di più concreto. Molti dei titoli dei giornali di oggi sul “sistema” messo in piedi dagli Occhionero sono basati su ipotesi, per le quali mancano conferme certe e sono quindi da prendere con le molle.

Come è nata l’inchiesta
A marzo dello scorso anno un addetto alla sicurezza dell’Ente nazionale di assistenza al volo (ENAV) notò che alcuni suoi dirigenti avevano ricevuto email da un indirizzo sospetto, legato a uno studio legale di Roma con cui l’ENAV non aveva mai collaborato. Insospettito, fece analizzare il contenuto delle email scoprendo che lo studio legale, insieme ad altri, aveva subito un attacco informatico che aveva permesso ai suoi autori di sfruttare i suoi account di posta elettronica per inviare email contenenti un malware, software malevolo che rende controllabile a distanza un computer all’insaputa del suo proprietario. La tempistica insospettì ulteriormente i responsabili della sicurezza informatica dell’ENAV, perché da lì a pochi mesi l’ente si sarebbe quotato in borsa, ed era quindi un periodo in cui circolavano più del solito informazioni riservate e sensibili sui suoi sistemi di posta elettronica.

Terminati gli accertamenti, l’ENAV segnalò quanto aveva scoperto alla Polizia Postale, che in Italia si occupa delle indagini per i reati informatici e nelle telecomunicazioni. Furono condotte altre verifiche dagli agenti, risalendo infine al sospettato proprietario e gestore dell’ampia rete costruita intorno al malware, Giulio Occhionero.

Gli account coinvolti
Secondo la procura, in quasi sei anni di attività gli Occhionero hanno schedato 18.327 account online di vario tipo, e per almeno 1.793 sarebbero riusciti a ottenere anche le password per accedere ai loro scambi email, e in alcuni casi ai file contenuti sui loro computer o salvati online. Le informazioni raccolte erano poi catalogate in cartelle e archivi con acronimi di vario tipo, che gli inquirenti stanno provando a ricostruire. Tra le ipotesi è che “Pobu” fosse riferito a “Political & Business”, mentre “Bros” probabilmente a confratelli della massoneria, di cui Giulio Occhionero fa parte e nella quale è stato venerabile maestro della loggia “Pensiero e Azione”.

Il malware
Il software malevolo utilizzato dagli Occhionero si chiama Eye Pyramid e permette di controllare a distanza i computer sui quali viene installato. L’attacco di per sé non è molto sofisticato: di solito il malware viene inserito in una email come allegato fingendo che si tratti di un PDF, o di un documento Office, inducendo il ricevente ad aprirlo per consultarlo. L’apertura fa sì che il malware si installi nel computer e inizi a spiare le attività dell’utente, trasmettendo i dati a chi lo ha progettato senza che il proprietario del dispositivo possa accorgersene. Il malware può anche essere sfruttato per compromettere l’amministratore di sistema, in modo da rendere accessibili informazioni delle reti interne di una società, per esempio. Il successo dei software come Eye Pyramid dipende di solito dalla capacità di sfruttare la scarsa dimestichezza di alcune persone con i computer, soprattutto dal punto di vista della sicurezza. L’utilizzo di indirizzi email fidati, e già violati, per fare arrivare gli allegati aumenta la probabilità che qualche ricevente ci caschi e apra, in buona fede, gli allegati contenenti il malware. Nel caso dell’ENAV stava succedendo proprio questo, ed è probabile che la stessa cosa sia accaduta in decine, se non centinaia, di altri casi legati all’inchiesta.

I server negli Stati Uniti
Stando alle ricostruzioni della procura di Roma e alle informazioni pubblicate finora dai giornali, gli Occhionero avevano organizzato un sistema di salvataggio a distanza delle informazioni sottratte dai vari account, sfruttando alcuni server che si trovano fisicamente negli Stati Uniti. Secondo gli inquirenti, solo analizzando i dati contenuti su quei dispositivi sarà possibile capire fino a che punto si fossero spinti i due fratelli e quali account sono stati effettivamente violati e spiati, in alcuni casi per anni. Per questo motivo alle indagini ha partecipato anche l’FBI, che ha disposto il sequestro dei server negli Stati Uniti, ma saranno necessarie settimane prima che le autorità italiane ottengano i permessi necessari per analizzare il loro contenuto. Al momento non è nemmeno chiaro come i dati siano stati criptati e se ci siano quindi possibilità di decrittarli, senza conoscere password e altre impostazioni decise dagli Occhionero.

Le persone spiate
La lista delle persone prese di mira dai fratelli Occhionero è, secondo la procura, lunghissima e coinvolge personaggi di ogni tipo: da politici di spicco a funzionari e dirigenti, passando per alti prelati. Moltissime persone sono state solamente schedate: ci sono quindi informazioni sui loro indirizzi email, ma non elementi per dire che gli stessi account siano stati violati in qualche modo. Le incertezze su cosa gli Occhionero abbiano spiato e quando non consente, al momento, di sapere molto di più. Dalle carte dell’inchiesta, sappiamo comunque che furono eseguiti diversi tentativi per provare a violare un account Apple di Matteo Renzi, con un’ultima prova eseguita a fine giugno dello scorso anno. All’epoca Renzi era ancora presidente del Consiglio e utilizzava un dispositivo personale per accedere ad alcuni account di posta elettronica e ad altri servizi online. Gli Occhionero hanno subìto una prima perquisizione nell’ottobre dello stesso anno, quando presumibilmente furono interrotte le attività di controllo: questo significa che per un centinaio di giorni avrebbero potuto spiare parte delle comunicazioni di Renzi. Il condizionale è necessario perché – è bene ripeterlo – a oggi non sappiamo se il tentativo di installare il malware andò a buon fine.

Negli elenchi c’è anche Mario Draghi, verso il quale sarebbe stato eseguito almeno un tentativo da parte degli Occhionero tramite un suo vecchio indirizzo email della Banca d’Italia, ancora attivo. Come per Renzi, e molte altre personalità importanti della politica e della finanza, non si sa ancora se l’attacco sia mai andato a buon fine. La lista delle persone potenzialmente spiate è molto lunga e comprende Piero Fassino, Michela Brambilla, Fabrizio Saccomanni, Mario Monti, Ignazio La Russa, Vincenzo Scotti, Gianfranco Ravasi, dirigenti di azienda e diverse personalità legate alle forze dell’ordine.

Come usavano i dati
La procura per ora non ha dato molte informazioni su come venissero utilizzati i dati sottratti nelle presunte attività illecite degli Occhionero. L’ipotesi prevalente è che le informazioni fossero utilizzate per guadagnare prestigio e rilievo all’interno della massoneria, allargando conoscenze e possibilità di influenza tra i suoi membri. Nel caso in cui gli Occhionero fossero anche venuti in possesso di informazioni finanziarie sensibili, c’è la possibilità che i dati fossero sfruttati per operazioni e speculazioni di vario tipo, ma anche in questo caso sarà necessario del tempo per verificare le ipotesi con i dati contenuti nei server e ricostruendo contatti e attività dei due fratelli.

Giulio e Francesca Maria Occhionero
Il Corriere della Sera scrive che Giulio Occhionero, 45 anni, è “un genio della matematica” e appassionato di massoneria, della quale avevano già fatto parte suo padre e ancora prima suo nonno. Laureato in Ingegneria nucleare ed esperto di finanza quantistica, aveva fondato la società Westlands Security e realizzato algoritmi per le previsioni finanziarie, venduti a diverse banche in giro per il mondo. In seguito si era costruito diverse opportunità in Italia, creando una fitta rete di contatti nel mondo degli affari, compreso Ubaldo Livolsi, ex amministratore delegato di Fininvest ricordato soprattutto per l’operazione finanziaria che portò alla costituzione di Mediaset, salvando le aziende di Silvio Berlusconi dai guai finanziari a metà degli anni Novanta. Ora gli inquirenti dovranno capire in che misura gli affari di Occhionero e i suoi successi fossero legati alle presunte attività di spionaggio online.

Francesca Maria Occhionero ha 49 anni, una laurea in Chimica conseguita nel 1993 all’Università la Sapienza di Roma a pieni voti e una storia professionale che si è legata spesso a quella del fratello Giulio. Consulente per la Westlands Security del fratello, aveva partecipato a diverse attività, compresa la gestione di alcuni affari per parte delle infrastrutture del porto di Taranto. Le persone che la conoscono intervistate dai giornali, e per lo più parte del gruppo sportivo “Bancari romani” di cui Occhionero fa parte da appassionata runner, hanno detto di essere rimaste sorprese dalla notizia dell’arresto e di non avere mai sospettato che potesse svolgere attività illecite.

La versione di Giulio Occhionero
Per ora l’avvocato di Giulio Occhionero si è limitato a dire che il suo assistito “nega di aver fatto attività di spionaggio: i server all’estero li aveva per lavoro”. Ha poi aggiunto che Occhionero “nega di aver fatto alcunché di illecito”.

Cosa succede adesso
Le accuse formulate finora dalla procura di Roma potranno trovare conferme, o smentite, solo nelle prossime settimane quando e se gli inquirenti avranno la possibilità di analizzare i file contenuti nei server posti sotto sequestro negli Stati Uniti. I tempi non sono chiari e dipenderanno almeno in parte dalla giustizia statunitense. Anche se molti elementi devono ancora essere chiariti, la vicenda dimostra quanto sia spesso sottovalutata la sicurezza informatica da parte di chi ricopre ruoli di rilievo, anche di tipo istituzionale. Il capo della Polizia, Franco Gabrielli, nella serata di ieri ha disposto la rimozione di Roberto Di Legami dalla direzione della Polizia Postale, perché non avrebbe avvisato per tempo Gabrielli e dato il necessario rilievo alla vicenda.