Recherche : [italia] - Cyberveille

Equalize: sotto la lente anche le chat tra l'ex di Fiera Milano Pazzali e un generale della Finanza https://www.ilfattoquotidiano.it/2025/10/19/equalize-accessi-database-viminale-notizie/8165372/

29/10/2025 18:13:05

Gli accertamenti della Procura sul generale della Guardia di Finanza Cosimo Di Gesù per possibili accessi abusivi al database del Viminale richiesti da Enrico Pazzali

Se non amici fraterni, certo buoni conoscenti e probabilmente estimatori l’uno dell’altro. Fino a quando il primo, l’ex presidente della Fondazione Fiera Enrico Pazzali, viene coinvolto nell’inchiesta milanese sui dossieraggi illegali della società Equalize, e il secondo, il generale Cosimo Di Gesù, comandante dell’Accademia della Guardia di Finanza, suo malgrado, finisce nei verbali di alcuni indagati come persona vicina a Pazzali. Ora, però, la recente analisi della copia forense dei cellulari di Pazzali solleva un’ipotesi investigativa degli inquirenti, ovvero che lo stesso Di Gesù possa avere fatto per conto dell’amico Pazzali accessi abusivi al database del Viminale, spulciando alcuni Sdi o dati riservati di aziende segnalate dall’ex manager pubblico nel marzo 2020 quando prendeva piede il progetto della costruzione dell’ospedale Covid in Fiera. Allo stato Di Gesù non risulta indagato e le verifiche sono in corso. A stimolare gli inquirenti anche una sentenza delle Sezioni unite della Corte di Cassazione per la quale il reato di accesso abusivo a un sistema informatico si applica anche a quel pubblico ufficiale che pur avendone facoltà lo consulta “per ragioni ontologicamente estranee rispetto a quelle per le quali la facoltà di accesso gli è stata attribuita”. Sempre nelle chat di Pazzali emerge che anche il presidente del Tribunale di Milano Fabio Roia nel 2020 fece un controllo su un manager di Fiera per conto di Pazzali. Verifica che secondo Roia, allo stato non indagato, rientra però in un formale e corretto rapporto giudiziario e di tutela visto che una ramo di Fiera Milano fu messo in amministrazione giudiziaria con un commissariamento concluso nel 2017.
Le chat tra Pazzali e Di Gesù risalgono a metà marzo del 2020. Il 21 marzo così Pazzali chiede informazioni “reputazionali” su sette aziende che, dirà Pazzali ai pm, dovevano lavorare per l’allestimento dell’ospedale. Di Gesù così risponde: “Lunedì mattina ti faccio sapere”. Poi scrive: “Anche noi siamo a scartamento ridotto”. Quindi un paio di giorni dopo sempre il comandante della Guardia di Finanza invia tutti i dati recuperati all’allora presidente della Fondazione Fiera elencando le varie criticità azienda per azienda: “Nel 2019 segnalata all’Anac perché ha fatto cartello in un appalto (…). Ha dato incarichi a dipendenti pubblici senza autorizzazione (…). Rapporti con Cosa nostra (…). Qualche piccola irregolarità fiscale (…). Ha utilizzato fatture inesistenti”. Insomma, secondo la Procura di Milano, quei dati erano accessibili solo attraverso terminali riservati. Di Gesù poi scrive: “Questa la situazione un po’ più di nuovo. Come ti dicevo non ho fatto la grossa”.

Gli inquirenti interpretano il termine “la grossa” come un accesso globale alla posizione Sdi e dunque, non avendola fatta, l’ipotesi è che il vertice della Finanza abbia fatto solo un accesso limitato. Ora, poi, qualche giorno prima di questa catena di chat, e cioè il 15 marzo, Di Gesù stimola Pazzali a chiedere a Fontana che domandi a sua volta al generale Giuseppe Zaffarana (all’epoca superiore di Di Gesù) di fargli una consulenza per il costruendo ospedale Covid: “Comunque Fontana potrebbe chiedere al generale Zaffarana la nostra collaborazione. Mia e dei tre miei ragazzi di Anac che, tienilo solo per te, vogliono rientrare perché lì ormai”. Quindi prospetta a Pazzali come entrare: “Magari con una convenzione al volo e solo per questa emergenza”. Quindi si raccomanda: “Ovviamente io e te non ci siamo mai sentiti. Se chiama il capo fammelo sapere”. Pazzali il 17 marzo esegue e avverte il governatore Attilio Fontana che subito si attiva, inviando al presidente di Fiera la risposta della segreteria di Zaffarana. Risposta che Pazzali inoltra a Di Gesù: “Il generale Zaffarana è impegnato in una call e subito dopo ne avrà un’altra. Potrebbe liberarsi nel pomeriggio. L’assistente chiede per agevolare: ‘Oggetto della chiamata’”. Al ché Di Gesù specifica l’oggetto a Pazzali: “Richiesta collaborazione per installazione ospedale in Fiera”. Tre giorni dopo Pazzali chiede e ottiene da Di Gesù i controlli sulle sette aziende.

Caso Paragon, anche Caltagirone spiato https://www.lastampa.it/economia/2025/10/09/news/paragon_caltagirone_spiato_spyware-15343622/

10/10/2025 18:35:58

La Stampa Raffaele Angius, Gianluca Paolucci

09 Ottobre 2025

Il telefono del finanziere romano tra i protagonisti del riassetto del sistema bancario sarebbe stato attaccato con lo spyware che ha colpito anche giornalisti e personalità

opo attivisti e giornalisti, anche il mondo della finanza. È l’ultimo tassello della saga di Graphite, il software-spia sviluppato dall’azienda israeliana Paragon Solutions e utilizzato da governi e forze di polizia di diversi Paesi, tra i quali l’Italia. Secondo quanto appreso da IrpiMedia e La Stampa, un nuovo nome si aggiunge alla lista delle persone che, lo scorso gennaio, hanno ricevuto un messaggio da Whatsapp che li informava di essere stati bersaglio dello spyware. È Francesco Gaetano Caltagirone, imprenditore, editore, e tra gli uomini più ricchi d’Italia. Non è dato sapere chi abbia provato a spiarlo, ma la notifica comparsa sul suo telefono insieme ad almeno altre sette persone nel Paese è inequivocabile.

Lo stesso giorno Whatsapp ha mandato notifiche anche a Francesco Cancellato, direttore di Fanpage, e ai due fondatori della ong Mediterranea, Luca Casarini e Giuseppe “Beppe” Caccia. Nei mesi successivi sono emersi anche altri nomi. Da don Mattia Ferrari, cappellano di bordo di Mediterranea, fino a Ciro Pellegrino, caporedattore di Fanpage, fino a Roberto D’Agostino, fondatore ed editore del sito Dagospia. Tuttavia, questo è il primo caso in cui tra le persone attenzionate figura un uomo d’affari, lontano dal mondo dell’informazione o dell’attivismo.

Caltagirone è anche uno dei protagonisti della serie di operazioni che stanno ridisegnando l’assetto finanziario del Paese, azionista di Generali, Mps e Mediobanca, quest’ultima acquisita proprio da Mps (dove tra i soci c’è anche lo Stato). A questo punto solo le autorità potranno accertare se sia stato un governo straniero a prendere di mira lo smartphone di Caltagirone, ipotesi già ventilata nei riguardi di Cancellato, o se dietro l’operazione ci sia una mano italiana. Ma andiamo con ordine.

l gruppo di Whatsapp
Secondo quanto ricostruito, a dicembre del 2024 l’utenza telefonica in uso a Caltagirone sarebbe stata inserita in una chat Whatsapp, popolata da contatti a lui noti e al cui interno era stato condiviso un file Pdf. Poco dopo la chat sparisce, il Pdf con essa.

Il mese dopo, Whatsapp informa gli utenti coinvolti di aver individuato e corretto una vulnerabilità che avrebbe permesso a un attaccante di inserire uno spyware sul dispositivo del bersaglio a sua insaputa e senza che fosse necessario cliccare su alcun link o allegato. In gergo si chiamano “attacchi zero-click”, che sfruttano un errore nel sistema del dispositivo o di un’app – Whatsapp in questo caso – per inoculare un qualunque software senza lasciare traccia e soprattutto senza che il bersaglio debba interagire come nei più comuni attacchi e frodi. E lo smartphone di Caltagirone è tra i destinatari di tale notifica.

Secondo la ricostruzione di altre vittime e della stessa Citizen Lab, è proprio questo il metodo con il quale Graphite è stato propagato tra i suoi bersagli. Il sistema non colpisce a caso, ma è programmato per installarsi esclusivamente sul telefono del bersaglio, lasciando indenni le altre persone nel gruppo.

Alla luce dell’allerta diramata dall’app di messaggistica, lo smartphone viene riportato alle impostazioni di fabbrica, eliminando il problema ma anche rimuovendo ogni elemento che avrebbe permesso di trovare tracce dello spyware. Contattato, l’ufficio stampa del gruppo Caltagirone non ha risposto a una richiesta di commento.

Una pioggia di notifiche
Della vicenda si è occupata una indagine del Copasir – Comitato parlamentare per la sicurezza della Repubblica, ovvero l’organo del parlamento che esercita il controllo sull'operato dei servizi segreti italiani – che si è svolta la scorsa primavera e ha riguardato i casi al tempo noti. Secondo quanto ricostruito nel rapporto del comitato (reso pubblico) è stato possibile accertare che Caccia e Casarini sono stati effettivamente oggetto di attività di sorveglianza dei servizi, «finalizzata a prevenire la minaccia alla sicurezza nazionale da parte di individui sospettati di svolgere attività di favoreggiamento dell’ingresso di soggetti stranieri nel territorio nazionale». Cosa sia successo invece nel telefono di Cancellato non si è mai saputo e il governo ha sempre respinto ogni addebito a riguardo, come detto, arrivando a ipotizzare la pista di un servizio segreto estero.

Le cose si sono complicate in aprile, quando un’altra notifica – questa volta inviata da Apple – ha informato una seconda infornata di bersagli della potenziale compromissione dei propri dispositivi. Tra questi Ciro Pellegrino, caporedattore di Fanpage. Sebbene sul dispositivo di Cancellato non sia stato trovato nulla, non può essere un caso che nella medesima testata si sia registrata una seconda infezione di Paragon. Fanpage è nota per indagini sotto copertura, tra le quali Gioventù meloniana che, grazie al lavoro di una giornalista infiltrata in Gioventù Nazionale, mette a nudo l’imprinting di estrema destra e le nostalgie fasciste del ramo giovanile del partito della presidente del Consiglio, Giorgia Meloni. Successive analisi sul telefono di Pellegrino, svolte nei laboratori di Citizen Lab a Toronto, hanno permesso di confermare la presenza di Paragon sul suo dispositivo.

Solo a giugno le procure di Roma e Napoli hanno disposto accertamenti sui dispositivi delle persone sottoposte a sorveglianza, disponendo analisi irripetibili sugli smartphone. In seguito a questa notizia ulteriori nomi di vittime di Paragon sono stati resi pubblici: uno è Roberto D’Agostino, il fondatore di Dagospia. L’altra è Eva Vlaardingerbroek, influencer olandese di estrema destra e residente a Roma.

«I governi dispongono di così tanti strumenti diversi per mettere sotto controllo un bersaglio che è semplicemente impensabile che tutti siano simili o facilmente identificabili» spiega a IrpiMedia una fonte che ha analizzato alcuni dei dispositivi. «Non solo esistono molti più spyware di quelli prodotti da Paragon o Nso, ma c’è un’intera rete di scambi di favori anche tra Paesi: se io non posso svolgere un’intercettazione su uno specifico cittadino, lo chiedo al Paese affianco», spiega l’esperto senza poter entrare nel merito di casi comprovanti tali affermazioni per ragioni di riservatezza. Contattata da IrpiMedia e La Stampa, Paragon non ha risposto a una richiesta di commento.
Chi sono i clienti di Paragon
Tra gli addetti ai lavori Graphite è uno spyware ben noto. Paragon Solutions è un’azienda nata in Israele che produce, sviluppa e ricerca tecnologie della sorveglianza ai massimi livelli. Il suo prodotto principale è attualmente tra i più quotati, soprattutto da quando un’azienda concorrente, Nso, ha dovuto ridurre drasticamente la propria attività in seguito a diversi scandali legati a un uso non consono della propria tecnologia da parte di numerosi governi, come raccontato anche da IrpiMedia con storie che vanno dal Marocco al Messico.

Ma il valore di un prodotto, nel mercato della sorveglianza, non è dato solo dalla bontà del software in sé, bensì dalla capacità dell’azienda che lo produce di aggirare i sistemi di sicurezza di smartphone, computer, dispositivi Android o Apple, in modo che possa funzionare su qualunque bersaglio e qualunque tecnologia. Esattamente il tipo di servizio che offre Paragon, che nel tempo ha raccolto anche investimenti dell’Unione Europea.

A dicembre del 2024, circa un mese prima dell’invio delle notifiche che hanno svelato uno dei trucchi di Paragon per infettare i dispositivi, il fondo d’investimento statunitense AE Industrial Partners, focalizzato sui settori aerospaziale, difesa, cyber sorveglianza, ha acquistato la società per 900 milioni di dollari, secondo quanto riportato da testate di settore. Fonti pubbliche indicano come attualmente Graphite continui a chiudere contratti con le agenzie statunitensi. Ultima in ordine di tempo è l’Ice, agenzia federale per il controllo delle frontiere e dell’immigrazione, con un contratto da due milioni di dollari. Fonti di IrpiMedia a conoscenza del contratto tra Paragon e l’Italia sostengono che questo sarebbe «nell’ordine delle decine di milioni di euro, intorno ai trenta».

Dalla sua, negli anni, Paragon è stata capace di accreditarsi come alternativa “etica” alla concorrente Nso. Niente scandali, solo clienti legittimi e statali e solo «Paesi democratici che hanno superato con successo il suo rigoroso processo di due diligence e verifica», ha spiegato la stessa azienda in una nota lo scorso giugno. Sebbene i contratti stipulati dall’azienda non siano pubblici, la stessa ha dichiarato che prevedono il divieto di utilizzare Graphite contro giornalisti e attivisti.

Ufficialmente è questa la ragione per cui già a inizio febbraio, appena dopo l’arrivo delle notifiche, Paragon aveva annunciato che avrebbe rescisso unilateralmente il contratto con l’Italia. Una versione più tiepida del rapporto tra il governo e l’azienda israeliana approderà nella relazione del Copasir, in cui si parlerà di “rescissione concordata” tra le parti. In ogni caso è difficile comprenderne il senso nel caso in cui anche Paragon dovesse credere che non è stato il governo italiano a spiare quantomeno i giornalisti, bensì un altro loro cliente.

Dopo aver inizialmente negato ogni addebito, il governo italiano ha dovuto ammettere di aver utilizzato Graphite nei confronti di Luca Casarini e Beppe Caccia non in qualità di attivisti per i diritti umani, ma «in riferimento alle loro attività potenzialmente relative all’immigrazione irregolare». Tolto Yambio che come detto non è stato attaccato tramite Graphite, rimane la notifica ricevuta da Cancellato.
Un mondo torbido
Nel mercato della cyber sorveglianza c’è un mondo di ricercatori impegnati a scoprire le vulnerabilità di ogni sistema, in modo che possano essere utilizzate per spiare bersagli. Una è la vulnerabilità di Whatsapp, analizzata grazie a Citizen Lab, che permetteva di installare da remoto Graphite senza che fosse richiesta un’interazione da parte del bersaglio. L’altra è quella di Apple, che ha portato alla notifica di Ciro Pellegrino e ad altri giornalisti.

In tutti i casi, i reporter si sono rivolti a Citizen Lab per avere i propri dispositivi analizzati. Come confermato dalla stessa organizzazione nei propri report, ciascuna analisi ha fatto emergere elementi di compromissione compatibili proprio con lo spyware israeliano.
Secondo quanto ricostruito dai tecnici e confermato da fonti indipendenti, la vulnerabilità trovata sugli iPhone colpiti è legata ad iMessage, l’app di messaggistica istantanea di Cupertino che smista sia i messaggi scambiati tra iPhone sia gli sms. Anche in questo caso si tratta di zero-click: Paragon ha trovato un modo per rompere i meccanismi di sicurezza dell’iPhone inviando un messaggio contenente un file immagine.

«Sono attacchi costosissimi, tecnicamente complessi, e che hanno un proprio mercato che vale miliardi» spiega una fonte del settore sotto richiesta di anonimato. Secondo quattro esperti consultati per la realizzazione di questo articolo, gli attacchi rivolti verso i dispositivi Android o Apple valgono «intorno al mezzo milione di euro per bersaglio, in quanto più vengono usati più è possibile che siano scoperti dal produttore del pezzo di tecnologia vulnerabile», spiega una fonte.

In vendita documenti di identità trafugati da hotel italiani – https://cert-agid.gov.it/news/in-vendita-documenti-di-identita-trafugati-da-hotel-italiani/

15/08/2025 12:26:23

CERT-AGID cert-agid.gov.it - È stata recentemente rilevata l’attività di vendita illegale di documenti d’identità trafugati da hotel operanti sul territorio italiano. Si tratta di decine di migliaia di scansioni ad alta risoluzione di passaporti, carte d’identità e altri documenti di riconoscimento utilizzati dai clienti durante le operazioni di check-in.

Secondo quanto dichiarato dallo stesso attore malevolo “mydocs“ – che ha posto in vendita il materiale su un noto forum underground – i documenti sarebbero stati sottratti tra giugno e luglio 2025 tramite accesso non autorizzato nei confronti di tre strutture alberghiere italiane.

Aggiornamento del 08/08/2025: nella giornata odierna, lo stesso autore ha reso disponibile sul medesimo forum una nuova raccolta di 17.000 documenti d’identità, sottratti a un’ulteriore struttura ricettiva italiana.

Aggiornamento del 11/08/2025: il medesimo attore malevolo, durante il fine settimana del 9-10 agosto, ha pubblicato nuovi post nei quali pone in vendita ulteriori collezioni, per un ammontare – secondo le sue dichiarazioni – di oltre 70.000 nuovi documenti d’identità dichiarati, esfiltrati a quattro differenti hotel italiani.

Aggiornamento del 13/08/2025: nella tarda serata di ieri, l’attaccante “mydocs” ha pubblicato sul medesimo forum un nuovo annuncio di vendita relativo a documenti d’identità sottratti a due ulteriori strutture alberghiere. Secondo quanto dichiarato, si tratterebbe di circa 3.600 unità. Con quest’ultima rivendicazione, il totale degli hotel italiani coinvolti salirebbe a dieci. Non si esclude che possano emergere ulteriori casi nei prossimi giorni.

Aggiornamento del 14/08/2025: la scorsa notte, il noto attore malevolo ha messo in vendita, sempre sullo stesso forum, ulteriori documenti d’identità relativi a due nuove strutture ricettive, per un totale dichiarato di circa 9.300 scansioni.

I documenti personali – in questo caso ottenuti tramite compromissione dei dati appartenenti a strutture ricettive, ma più comunemente attraverso attività di phishing – possono rappresentare un asset di grande valore per gli attori malevoli, che li utilizzano per mettere in atto diverse tipologie di truffe sempre più sofisticate:

creazione di documenti falsi basati su identità reali;
apertura di conti bancari o linee di credito fraudolente;
attività di social engineering per colpire le vittime o le loro cerchie personali e professionali;
furto di identità digitale con ripercussioni legali o economiche per le persone coinvolte.
Sebbene episodi analoghi fossero già emersi nel maggio 2025, l’incremento delle vendite illecite di documenti di identità conferma l’urgenza di rafforzare la consapevolezza e le misure di protezione, tanto da parte delle organizzazioni che li gestiscono quanto da parte dei cittadini.

Conclusioni
Considerata la frequenza crescente di queste attività illecite, è sempre più evidente quanto sia fondamentale che le strutture che raccolgono e gestiscono documenti d’identità adottino misure rigorose per la protezione e la sicurezza delle informazioni, garantendo non solo un corretto trattamento dei dati, ma anche la salvaguardia dei propri sistemi e portali digitali da accessi non autorizzati.

In tale contesto, anche i cittadini hanno un ruolo fondamentale nella protezione della propria identità. È importante verificare periodicamente che non ci siano segnali di utilizzi indebiti dei propri dati – come richieste di credito o apertura di conti non autorizzati – ed evitare la condivisione di copie dei documenti personali su canali non sicuri o non necessari. In caso di sospetti abusi o furti d’identità, è sempre opportuno segnalare tempestivamente l’accaduto alle autorità competenti.

Infocert, in vendita nel deep web milioni di dati di utenti italiani https://www.wired.it/article/infocert-spid-furto-dati/

31/12/2024 12:58:53

InfoCert, uno dei principali fornitori di identità digitale, ha confermato la violazione annunciata sui forum da criminali informatici. I dati rubati potrebbero essere usati per attacchi phishing mirati