Esiste una categoria di ironia cosmica cosi' perfetta che nemmeno uno sceneggiatore la scriverebbe, per paura di sembrare esagerato. Tipo: metti su una commissione europea apposta per indagare su uno spyware che spia politici, giornalisti e attivisti in mezza Europa. Ci metti dentro un eurodeputato. E mentre lui indaga sullo spyware, lo spyware indaga su di lui.
Benvenuti nel caso Stelios Kouloglou, l'uomo che e' stato spiato con Pegasus mentre faceva parte della commissione che doveva smascherare Pegasus. Se fosse un episodio di Black Mirror diresti "vabbe', troppo". E invece e' successo davvero, e lo certifica un report pubblicato venerdi' 3 luglio 2026 dal Citizen Lab dell'Universita' di Toronto.
Chi e' il tizio spiato
Stelios Kouloglou non e' esattamente l'ultimo arrivato: giornalista televisivo greco diventato politico, eletto al Parlamento europeo con SYRIZA (sinistra) e in carica dal 2015 al 2024. Dal marzo 2022 al luglio 2023 e' stato membro sostituto della commissione PEGA, l'organismo che l'Europarlamento ha creato apposta dopo lo scandalo Pegasus Project del 2021 — quello che aveva rivelato come diversi governi europei usassero spyware per spiare giornalisti, attivisti e oppositori.
Tradotto: il suo lavoro, letteralmente, era andare in giro a intervistare le vittime dello spyware e ricostruire chi spiava chi. Un mestiere che, a quanto pare, ti mette in cima alla lista dei "da tenere d'occhio".
Tre infezioni, tutte nei momenti giusti
Il Citizen Lab ha trovato tracce forensi di tre infezioni separate sul suo iPhone. E qui la faccenda diventa inquietante nei tempi:
- 21 ottobre 2022: mentre Kouloglou era ricoverato in ospedale per un intervento programmato, dieci giorni prima di una missione della commissione in Grecia e Cipro, e mentre circolavano le bozze del primo report PEGA.
- Marzo 2023: altre due infezioni a un giorno di distanza l'una dall'altra, mentre viaggiava tra Atene e Bruxelles nella fase finale dei negoziati sul report della commissione.
Insomma, non lo hanno beccato a caso mentre guardava video di gatti: lo hanno colpito esattamente quando aveva tra le mani i documenti piu' sensibili. Il metodo? Un attacco zero-click: nessun link da cliccare, nessun errore da parte sua. Sfruttava una vulnerabilita' di Apple non ancora corretta sul suo telefono. Apple, dal canto suo, gli aveva mandato ripetuti avvisi di "attacchi sponsorizzati da uno Stato" nel 2023 e 2024, e ha fatto sapere che la falla e' stata poi patchata.

E chi e' stato? Mistero (comodo)
Qui arriva la parte frustrante. Il Citizen Lab non ha identificato il committente. Pegasus e' prodotto dalla societa' israeliana NSO Group, che lo vende — dice — solo ad agenzie governative. Ma "agenzia governativa" e' un insieme piuttosto ampio quando parli di sorveglianza.
Quello che i ricercatori hanno trovato e' che l'infrastruttura dietro l'attacco combacia con una campagna gia' usata contro giornalisti e attivisti russi e bielorussi in esilio in Europa. E che la licenza NSO coinvolta permetteva infezioni in piu' Paesi dell'Unione: dettaglio che restringe di parecchio la lista dei sospetti, senza fare nomi. NSO, contattata, non ha risposto. Ovviamente.
"Io che sono membro della commissione Pegasus che indaga su Pegasus e allo stesso tempo vengo hackerato da Pegasus: era qualcosa di davvero troppo sconsiderato." — Stelios Kouloglou

Perche' dovrebbe fregarti
Facile liquidarla come "roba da politici". Ma il punto e' un altro, e il Citizen Lab lo mette nero su bianco: questo e' il primo caso confermato di un membro della commissione PEGA spiato con Pegasus mentre la commissione era operativa. L'infezione poteva esporre scambi riservatissimi tra i membri, testimonianze protette, atti parlamentari — potenzialmente proprio a chi la commissione stava indagando.
In parole povere: se puoi spiare l'organo che dovrebbe controllare lo spionaggio, hai appena disattivato l'antifurto entrando dalla porta di servizio. Kouloglou l'ha chiamato "un attacco diretto allo stato di diritto", e per una volta la frase da comunicato non e' esagerata. Lo spyware mercenario non minaccia solo il singolo con l'iPhone: minaccia il meccanismo stesso che dovrebbe tenerlo sotto controllo. E se la sentinella e' la prima a farsi bucare, la domanda diventa una sola: chi controlla i controllori?
Fonti:

Commenti (0)
Moderazione umana, firma anonima accettata. Per favore, niente insulti né maiuscole compulsive.
Ancora nessun commento.