Si parla di:
Toggle
C’è un dettaglio che rende il caso di Stelios Kouloglou diverso da tutti gli altri scandali Pegasus degli ultimi anni: l’eurodeputato greco non era una vittima qualsiasi, ma il membro di una commissione d’inchiesta del Parlamento Europeo istituita proprio per indagare sugli abusi dello spyware commerciale. Secondo un report pubblicato il 3 luglio 2026 dal Citizen Lab dell’Università di Toronto, il telefono di Kouloglou è stato infettato con Pegasus nell’ottobre 2022 e almeno altre due volte nel marzo 2023, proprio nei momenti cruciali della stesura del rapporto finale della commissione PEGA. È la prima volta che un membro della commissione viene pubblicamente identificato come bersaglio dello stesso strumento che era chiamato a indagare.
La commissione PEGA e il suo bersaglio interno
La commissione d’inchiesta PEGA (Pegasus and Surveillance Spyware) è stata istituita dal Parlamento Europeo nel marzo 2022, dopo che un consorzio internazionale di giornalisti aveva rivelato l’uso diffuso dello spyware Pegasus di NSO Group contro giornalisti, avvocati, attivisti e politici in diversi Stati membri, tra cui Ungheria, Polonia, Spagna e Grecia. Kouloglou, giornalista ed ex parlamentare di SYRIZA, sedeva nella commissione mentre questa raccoglieva testimonianze e redigeva le prime bozze del suo rapporto, concentrate in particolare sugli abusi documentati a Cipro, Grecia, Ungheria, Polonia e Spagna.
Il fatto che proprio lui sia finito nel mirino, mentre la commissione lavorava a conclusioni che avrebbero potuto imbarazzare governi europei, ha immediatamente sollevato interrogativi sulla natura dell’attacco. Un eurodeputato in carica ha definito l’episodio “un attacco diretto allo stato di diritto”, chiedendo alla Commissione Europea di imporre limiti stringenti all’uso dello spyware nei 27 Stati membri. La Commissione, contattata dai giornalisti, non ha risposto.
Timeline degli attacchi: due finestre, due momenti chiave
Il Citizen Lab ha ricostruito con precisione forense due finestre di compromissione, entrambe coincidenti con fasi decisive del lavoro della commissione:
- 21 ottobre 2022 — Prima infezione confermata, nel pieno delle discussioni via email e messaggistica di ottobre-novembre 2022, in vista della consegna della prima bozza del rapporto sugli abusi in Cipro, Grecia, Ungheria, Polonia e Spagna. Il momento coincide inoltre con un ricovero ospedaliero di Kouloglou per un intervento chirurgico programmato, circostanza che potrebbe aver permesso agli operatori dello spyware di intercettare anche conversazioni ambientali relative alla sua salute o scambi con i visitatori.
- 6-7 marzo 2023 — Due ulteriori infezioni, mentre Kouloglou viaggiava da Atene a Bruxelles per le audizioni della commissione, mesi prima dell’adozione finale del rapporto scritto.
Kouloglou ha raccontato ai giornalisti di TechCrunch la rabbia provata nello scoprire la compromissione: “Ti rendi conto che tutti i tuoi dati personali sono stati presi — non solo gli scambi professionali o i messaggi con i ministri, ma anche le cose molto private, i momenti felici e quelli tristi”. L’eurodeputato ha annunciato l’intenzione di citare in giudizio NSO Group.
PWNYOURHOME: l’exploit zero-click che passa da HomeKit
Dal punto di vista tecnico, l’infezione del 2022 sfrutta una catena di exploit già documentata dal Citizen Lab in precedenti ricerche e nota con il nome in codice PWNYOURHOME, attiva contro iOS 15 e iOS 16 a partire da ottobre 2022. Si tratta di un exploit zero-click in due fasi che colpisce due processi distinti del sistema operativo iPhone: il primo stadio prende di mira il framework HomeKit — il sistema Apple per la gestione della smart home — mentre il secondo stadio sfrutta iMessage per ottenere l’esecuzione di codice e l’installazione dello spyware.
La vulnerabilità sfruttata riguarda un problema di deserializzazione in NSKeyedUnarchiver, una classe già abusata in precedenti catene di exploit zero-click contro iMessage. Poiché non richiede alcuna interazione da parte della vittima, il bersaglio non riceve notifiche, non deve cliccare link né aprire allegati: lo spyware si installa silenziosamente, consentendo l’accesso a messaggi, cronologia delle chiamate, dati di geolocalizzazione, foto e — nel caso dei modelli più recenti — anche all’attivazione da remoto di microfono e fotocamera.
Apple ha corretto le falle sfruttate da PWNYOURHOME con il rilascio di iOS 16.3.1, introducendo tra l’altro un nuovo controllo che rifiuta di decodificare determinati messaggi HomeKit a meno che non provengano da una fonte plausibile. Il problema, come spesso accade con gli attacchi Pegasus, è che l’aggiornamento correttivo non era ancora installato sul dispositivo di Kouloglou al momento dell’attacco dell’ottobre 2022 — una finestra di esposizione che gli operatori dello spyware hanno sfruttato attivamente.
Un cliente governativo con licenza multi-paese
Il Citizen Lab non ha attribuito pubblicamente l’attacco a un governo specifico, ma un dettaglio tecnico rende il quadro più inquietante: l’indirizzo email utilizzato come vettore d’infezione da chi ha colpito Kouloglou è lo stesso già osservato in una precedente campagna che aveva infettato i telefoni di giornalisti in diversi paesi europei. Il riutilizzo dello stesso indirizzo — e quindi, presumibilmente, della stessa infrastruttura di comando e controllo — suggerisce che il cliente governativo di NSO Group disponesse di un’autorizzazione per operare lo spyware Pegasus contro bersagli in più Stati membri dell’Unione Europea, non in uno soltanto.
Questo elemento è cruciale per il dibattito politico che ne è seguito: se la licenza NSO copre operazioni cross-border all’interno dello spazio europeo, i meccanismi di controllo nazionale sull’export e sull’uso dello spyware — già ritenuti insufficienti dallo stesso rapporto PEGA — risultano ancora più permeabili di quanto documentato finora.
NSO Group tra sanzioni USA e tentativi di riabilitazione
NSO Group resta in gran parte bandita dall’uso governativo negli Stati Uniti, a seguito di un ordine esecutivo dell’amministrazione Biden che vieta l’impiego federale di spyware commerciale capace di violare i diritti umani. Nel 2025 l’azienda israeliana ha confermato che un gruppo di investitori statunitensi non identificato ha versato decine di milioni di dollari nella società, in quella che gli osservatori hanno letto come un tentativo di riabilitare il marchio NSO in vista di un possibile ingresso nel mercato americano — un percorso già criticato per la scarsa trasparenza degli impegni dichiarati dall’azienda.
Il caso Kouloglou arriva quindi in un momento delicato: mentre NSO cerca legittimazione commerciale, un membro della stessa commissione UE nata per indagarla diventa l’ennesima prova pubblica che gli abusi non si sono fermati.
Implicazioni e due righe per i difensori
Per chi opera in ruoli ad alto rischio — parlamentari, giornalisti, avvocati per i diritti umani, ricercatori di sicurezza, dissidenti — il caso conferma alcune priorità difensive ormai consolidate ma spesso disattese:
- Aggiornamenti tempestivi: gli exploit zero-click di Pegasus sfruttano quasi sempre vulnerabilità già note ma non ancora patchate sul dispositivo bersaglio. Applicare gli aggiornamenti iOS entro 24-48 ore dalla pubblicazione riduce drasticamente la finestra di esposizione.
- Lockdown Mode: la modalità di isolamento introdotta da Apple su iOS disabilita molte delle superfici di attacco usate dagli exploit zero-click (inclusi determinati messaggi HomeKit e allegati iMessage complessi), ed è fortemente consigliata per soggetti ad alto rischio.
- Verifica forense periodica: strumenti open source come Mobile Verification Toolkit (MVT), sviluppato da Amnesty International, permettono di analizzare backup iOS/Android alla ricerca di indicatori di compromissione noti legati a Pegasus e spyware simili.
- Riavvii regolari del dispositivo: molte varianti di Pegasus non sopravvivono a un riavvio senza reinfezione, complicando la persistenza per gli attaccanti — una contromisura semplice ma efficace in assenza di altre difese.
- Segnalazione a Citizen Lab o Access Now: chi sospetta di essere bersaglio di spyware commerciale può richiedere supporto tecnico gratuito attraverso l’Access Now Digital Security Helpline.
Il caso Kouloglou dimostra ancora una volta che lo spyware di livello statale non conosce eccezioni istituzionali: nemmeno chi indaga sugli abusi è al riparo dal diventarne bersaglio. Per il Parlamento Europeo, la domanda che resta aperta è se le raccomandazioni della stessa commissione PEGA — largamente rimaste lettera morta — troveranno finalmente attuazione concreta.
Indicatori tecnici e riferimenti
Spyware: NSO Group Pegasus
Catena di exploit: PWNYOURHOME (zero-click, iOS 15/16)
Vettori sfruttati: HomeKit (stage 1) + iMessage/NSKeyedUnarchiver (stage 2)
Patch correttiva: iOS 16.3.1
Date di compromissione confermate (dispositivo Kouloglou):
- 21 ottobre 2022
- 6 marzo 2023
- 7 marzo 2023
Strumenti di verifica consigliati:
- Mobile Verification Toolkit (MVT) - github.com/mvt-project/mvt
- Access Now Digital Security Helpline
Fonte primaria: Citizen Lab, University of Toronto
"Member of Committee Investigating Spyware Hacked With Pegasus" (3 luglio 2026)