Nasce da una segnalazione di Francesco Di Maio, responsabile della sicurezza della società Enav spa, l'indagine della Polizia Postale e della Procura di Roma (beneficiando "della piena collaborazione" delle autorità Usa) sull'attività di cyberspionaggio messa in piedi dall'ingegnere Massimo Occhionero e dalla sorella.
Cosi un ingegnere nucleare di 45 anni, Giulio Occhionero, e la sorella Francesca Maria, 49 anni, entrambi residenti a Londra ma domiciliati a Roma e conosciuti nel mondo dell'alta finanza capitolina. Sono le due persone finite in carcere per il presunto cyberspionaggio di poilitici e istituzioni, tra cui Renzi e Draghi.
Il primo marzo del 2016 Di Maio "segnalava - si legge nell'ordinanza cautelare del gip Maria Paola Tomaselli - l'avvenuta ricezione di una email contenente un allegato malevolo, da cui ricevuto il 26 gennaio precedente e apparentemente inviato dallo studio legale del professor Ernesto Stajano".
Questa mail era risultata sospetta perché Di Maio non aveva mai avuto relazioni dirette con Stajano né con il suo studio legale. E così, anziché visualizzarla e scaricarne l'allegato, l'ha inviata per l'analisi tecnica alla società Mentat Solutions srl, che opera nel settore della sicurezza informativa e della malware analysis. Dall'esame dei dati tecnici si scopriva che questa mail partiva dal mittente Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo., utilizzando un mail server di proprietà della società Aruba spa con indirizzo IP 62.149.158.90. Da verifiche fatte presso Aruba risultava che l'indirizzo Ip "apparteneva ad un nodo di uscita della rete di anonimizzazione TOR, stratagemma informatico che di fatto impedisce l'identificazione dell'effettivo utilizzatore". L'account mittente (Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.) faceva parte - hanno scoperto quindi gli inquirenti - di una serie di account collegati a studi legali risultati compromessi a seguito di una infezione informatica. Dall'istruttoria è poi emerso che il file analizzato presentava numerose analogie con un altro malware diffuso in precedenti campagne di spear-phishing che dipendenti della società Mentat avevano già avuto modo di studiare nell'ottobre del 2014, quando la società Eni spa era stata destinataria di messaggi 'malevolì al pari dell'Enav.
L'indagine è partita dalla segnalazione al Cnaipic dell'invio di una mail: indirizzata all'amministratore di rilievo di un' infrastruttura critica nazionale, conteneva il virus Eyepyramid. Seguendo quella traccia gli investigatori sono risaliti alla rete botnet che, sfruttando il malware, riusciva ad acquisire da remoto il controllo dei computer e dei sistemi informatici delle vittime.
Gli indizi raccolti in altre inchieste lasciano intendere che la vicenda di spionaggio scoperta dalla Polizia "non sia un'isolata iniziativa dei due fratelli ma che, al contrario, si collochi in un più ampio contesto dove più soggetti operano nel settore della politica e della finanza secondo le modalità" adottate da Giulio e Francesca Maria Occhionero. E' quanto scrive il gip nell'ordinanza di custodia cautelare. Il riferimento è al "diretto collegamento" tra le condotte di cui i due sono accusati "ed interessi illeciti oscuri": un collegamento "desumibile dal rinvenimento, nel corso delle indagini, di quattro caselle di posta elettronica già utilizzate per attività similari, secondo quanto emerso dalle indagini relative alla cosiddetta P4". In ogni caso, precisa il giudice, "allo stato un collegamento con altri procedimenti penali non è dimostrato".
Giulio Occhionero è legato "con gli ambienti della massoneria italiana, in quanto membro della loggia 'Paolo Ungari - Nicola Ricciotti Pensiero e Azione' di Roma, della quale in passato ha ricoperto il ruolo di maestro venerabile, parte delle logge di Grande Oriente d'Italia".
Gli indizi raccolti in altre inchieste - secondo quanto scrive il gip nell'ordinanza di custodia cautelare - lasciano intendere che la vicenda di spionaggio scoperta dalla Polizia "non sia un'isolata iniziativa dei due fratelli ma che, al contrario, si collochi in un più ampio contesto dove più soggetti operano nel settore della politica e della finanza secondo le modalità" adottate da Giulio e Francesca Maria Occhionero. Il riferimento è al "diretto collegamento" tra le condotte di cui i due sono accusati "ed interessi illeciti oscuri": un collegamento "desumibile dal rinvenimento, nel corso delle indagini, di quattro caselle di posta elettronica già utilizzate per attività similari, secondo quanto emerso dalle indagini relative alla cosiddetta P4". In ogni caso, precisa il giudice, "allo stato un collegamento con altri procedimenti penali non è dimostrato".
Spiati politici e figure istituzionali come l'ex premier Renzi, pubbliche amministrazioni, studi professionali e imprenditori di livello nazionale. Lo ha scoperto la Polizia che ha smantellato una centrale di cyberspionaggio che per anni ha raccolto notizie riservate e dati sensibili.
Intanto cambia il capo della Polizia postale alla luce dell'inchiesta sul cyberspionaggio. Il capo della polizia Franco Gabrielli ha disposto l'avvicendamento al vertice, e all'attuale direttore, Roberto Di Legami, è stato assegnato un nuovo incarico. Tra i motivi alla base della decisione anche l'aver sottovalutato la portata dell'indagine sullo spionaggio dei politici senza informare i vertici del Dipartimento di pubblica sicurezza. Alla fine dell'estate un primo scivolone di Di Legami sul caso Cucchi.
Il mio assistito nega di aver fatto attività di spionaggio, i server all'estero li aveva per lavoro". E' quanto affermato dall'avvocato Stefano Parretta, difensore di Giulio Occhionero, prima di entrare nel carcere di Regina Coeli dove è previsto l'interrogatorio di garanzia dopo gli arresti di ieri. "Oggi risponderà alle domande del gip - aggiunge - ha cose da chiarire: questa è una vicenda ancora tutta da scrivere e lui nega di aver fatto alcunchè di illecito".
Ai due vengono contestati i reati di procacciamento di notizie concernenti la sicurezza dello Stato, accesso abusivo a sistema informatico aggravato ed intercettazione illecita di comunicazioni informatiche e telematiche. Le indagini degli investigatori del Cnaipic, il Centro nazionale anticrimine informatico della Polizia postale, hanno accertato che i due fratelli gestivano una rete di computer (botnet) - infettati con un malware chiamato 'Eyepyramid' - che avrebbe loro consentito di acquisire, per anni, notizie riservate e dati sensibili di decine di persone che, a vario titolo, gestiscono la funzione pubblica e delicati interessi, soprattutto nel mondo della Finanza.
Il malware Eye Pyramid è vecchio c'è bisogno di un team che lo aggiorna, aggiunge funzionalità e lo rende invisibile. Lo spiega all ansa l'esperto di sicurezza Andrea Zapparoli Manzoni, che sottolinea come i due arrestati, sono sconosciuti al mondo degli hacker, "sono dei prestanome, dietro c'è uno sponsor". "Spiare quasi 20 mila persone vuol dire un'operazione in scala industriale - osserva l'esperto - e fare restare invisibile il malware per lungo tempo presuppone capacità di alto livello che non sono nelle possibilità delle due persone arrestate. Tra i domini usati, ad esempio, c'è eyepyramid.com che non userebbe neanche una persona sprovveduta. Questa è una storia affascinante a cui manca un pezzo".
Risultano spiati inoltre gli account di diverse altre figure istituzionali. Tra questi l'ex premier Mario Monti, l'ex Governatore della Banca d'Italia Fabrizio Saccomanni, dell'ex comandante Generale della Guardia di
Finanza, Saverio Capolupo. Ed ancora Piero Fassino, Paolo Bonaiuti, Mario Canzio, Vincenzo Fortunato, Fabrizio Cicchitto e Ignazio La Russa.
Ma in mano ai due fratelli c'era un database che conteneva un elenco di 18.327 username il nome con cui un utente viene riconosciuto online di cui 1.793 corredate da password e catalogate in 122 categorie denominate 'Nick' che indicano la tipologia di target ...politica, affari, etc... oppure le iniziali di nomi e cognomi.
Tra i portali oggetto dell'attività dei due anche quello della Banca d'Italia, della Camera e del Senato. E risultano "compromessi" pure due computer in uso ai collaboratori del cardinale Gianfranco Ravasi, dal 2007 presidente del Pontificio Consiglio della cultura, della Pontifica Commissione di archeologia sacra e del consiglio di coordinamento tra accademie pontificie. L'organizzazione aveva immagazzinato le informazioni trafugate in alcuni server sequestrati in Usa.