Roma - Politici controllati sul web e due fratelli che gestiscono una vera e propria agenzia di cyberspionaggi: è così che si alza il coperchio su EyePiramid, operazione di cyberspionaggio portata alla luce dalla Polizia Postale. Ma non solo. Dall'ordinanzia di custodia cautelare per Giulio e Francesca Maria Occhionero spunta una pista che rimanda al passato.
La pista mail che riporta all'inchiesta P4
Gli investigatori del Centro nazionale anticrimine informatico (Cnaipic) hanno infatti individuato delle caselle postali alle quali dal 2010 venivano inviati i dati hackerati: Sono purge626@gmail.com, tip848@gmail.com, dude626@gmail.com e octo42@gmail.com. Indirizzi mail già noti, alle forze dell'ordine e giudiziarie ma anche alla stampa. Erano infatti emersi nel luglio 2011 nell'ambito dell'inchiesta sulla P4 dei pm di Napoli, Francesco Curcio e Henry John Woodcock. Si presupponeva l'esistenza di una lobby che si serviva di notizie riservate, ottenute attraverso sistemi informatici 'paralleli', per condizionare gare e appalti, ottenere favori, verificare procedimenti penali in corso, eludere indagini e fabbricare dossier.
Allora organi di stampa avevano svelato che gli stessi indirizzi mail erano stati utilizzati da Luigi Bisignani, finito sotto accusa insieme al parlamentare del Pdl Alfondo Papa, per scaricare dati telematici sottratti a computer di esponenti politici. Bisignani fu chiamato a rispondere di favoreggiamento e rivelazione di segreto d'ufficio e patteggiò una condanna a un anno e sette mesi di reclusione, confermata in Cassazione. Cadde invece l'accusa di associazione a delinquere, ipotesi rigettata dalla Suprema Corte di Cassazione così come dal Tribunale del Riesame di Napoli, secondo cui "non c'erano i presupposti per l'arresto perché non esistevano presupposti per contestare il reato dell'associazione a delinquere".
Un collegamento con i fratelli Occhionero
Più di 5 anni dopo, elementi di quella vecchia inchiesta giudiziaria sono tornati alla luce. Il precedente è stato sottolineato dal gip Maria Paola Tomaselli nell'ordinanza di custodia cautelare nei confronti di Giulio e Maria Francesca Occhionero. Nel documento si ricorda che "tali indirizzi sarebbero stati riconducibili ad un'attività di esfiltrazione di dati e 'dossieraggio' illecito effettuata con modalità del tutto analoghe a quelle utilizzate dal malware" oggetto dell'indagine EyePiramid. All’epoca della inchiesta sulla P4, però, "non era stato possibile risalire al suo utilizzatore".
Stesso codice, stesso gestore
Tuttavia, aggiunge il gip, "erano già evidenti indizi gravi, precisi e concordanti che a utilizzare negli anni EyePiramid e i suoi aggiornamenti fosse stata sempre la stessa persona". Questo perché "il codice era sempre stato lo stesso, con la logica conseguenza di poter ritenere che il malware fosse stato gestito nel tempo dalla stessa persona o dalla stessa organizzazione". In conclusione, fa sapere il gip Tomaselli, "si deve ritenere che l'acquirente della licenza MailBe, utilizzata all'interno del codice malevolo, corrispondeva alla persona che in questi anni gestiva il malware e ne aggiornava nel tempo le diverse versioni".
Gli investigatori del Centro nazionale anticrimine informatico (Cnaipic), nell'ambito dell'operazione EyePiramid, sono risaliti all'identità dell'autore/autori dei reati contestati a partire dal dominio hostpenta.com, collegato ad altri domini, "tutti registrati utilizzando la medesima società statunitense (Network Solutions, Llc)" e "tutti riconducibili a vario titolo a Giulio Occhionero o a società a lui collegate ove collabora con la sorella Francesca Maria Occhionero". Inoltre, prosegue l'ordinanza, ulteriori accertamenti attraverso l'Fbi hanno permesso di "appurare che la licenza relativa al componente utilizzato dal malware, dal maggio 2010 al dicembre 2015, risultava essere stata acquistata proprio da Giulio Occhionero".