Il 31 marzo 2025, nello spazio aereo sovrastante l’aeroporto Roland Regan di Whasington DC, nell’arco di tre ore, dieci diversi aerei di linea registrano una serie di falsi allarmi anticollisione, che li costringono a cambiare la propria rotta, e a posticipare l’atterraggio. Il segnale che provoca l’allerta automatica del sistema anticollisione TCAS, in dotazione a tutti i velivoli di linea da oltra quarant’anni, viene inviato da un unico cyber attacco, proviene da una no fly zone, più o meno localizzata nella posizione della casa del vicepresidente degli Stati Uniti J.D. Vance.
“Non sappiamo se si è trattato di una prova per capire la vulnerabilità del sistema o solo una coincidenza“, ha spiegato il professor Alessio Merlo, direttore del Centro Alti Studi per la Difesa, durante la Cyber crime conferenc svoltasi a Roma,
“ma la certezza che il sistema fosse fallibile di intercettazioni era emersa già ad aprile di un anno prima quando avevamo comunicato l’esito di una simulazione di un cyber attacco sul sistema TCAS”.
Il direttore del CASD, ha messo quindi in guardia su questo pericolo ricordando che l’allerta era stata mandata agli stakeholder già ad agosto 2024, quando, tramite una serie di falsi contatti aerei iniettai dall’esterno con un computer da 10000 euro e hardware SDR il CASD aveva dimostrato la vulnerabilità del sistema TCAS, un apparecchio che, sostanzialmente, invia un segnale ogni 128 microsecondi e riceve segnali nello stesso lasso di tempo, se due segnali si incrociano e la distanza dei velivoli diminuisce su una rotta costante, il sistema porta in automatico: un aereo in alto e l’altro in basso, così si evita una collisione.
Durante la conferenza si sono alternati esperti di cyber sicurezza, white hat, vale a dire hacker etici, e gestori di canali e portali digitali, ognuno ha raccontato un piccolo aneddoto, che insieme agli altri, restituisce un quadro inquietante sulla debolezza dei sistemi informatici. La cosa che stupisce di più è l’estrema facilità di infiltrazione nei canali digitali, insieme ai costi bassissimi necessari ad attuare questi attacchi, che li rendono alla misura non solo dei grandi gruppi criminali ma anche dell’hacker della porta accanto.
Per capirlo con chiarezza basta prendere in esame il caso dei dispositivi Rasberry Pi e dei POTAEbox, rispettivamente un semplice computer a scheda singola ed un device che si presenta come una scatolina, due hardware che se opportunamente manomessi con intenzioni malevole, possono entrare dentro i sistemi di gestione digitale di un’azienda e manometterla. In questo caso il racconto arriva da un ex hacker, un white hat: Luca Bongiorni, oggi cybersecurity director.
C’è stato poi l’hackeraggio del porto di Anversa. In questo caso è stata utilizzata una “ciabatta”, all’interno della quale una banda di drug dealer ha assemblato un computer, solo pochi elementi messi insieme per mandare in tilt il sistema di gestione del porto di Anversa e delle compagnie marittime.
E per concludere l’ex hacker Bongiorni ha presentato le capacità di penetrazione di un mini case delle dimensioni di un palmo, ancora una volta con all’interno un microcomputer, che allacciato alla rete lan di una stampante, si attivava nel momento in cui la stampante veniva messa in funzione e una volta entrato nel sistema, restava attivo in perpetuo con connessione 4 e 5 g.
“Sono device trasparenti di cui non si ha traccia nel momento in cui vengono iniettati nel sistema”,
ha detto Bongiorni, che ha fatto anche notare quale sia il territorio più facile da compromettere:
“il mouse jacking è uno dei rischi più comuni, perché impatta tastiere e mouse che restano negli uffici per anni e per questo sono molto vulnerabili alle intenzioni malevole. Tramite key logger si può intercettare il dispositivo e iniettare pacchetti di virus”.
Si tratta di esempi in cui l’intenzione malevola era esercitata da un criminale, ma nello scenario cyber in cui viviamo, tra guerre di rete e di informazioni, i sistemi cyber sono spesso anche progettati e messi in pratica dai governi.
Un caso border line è quello dello spyware Graphite, prodotto dalla società israeliana Paragon, e utilizzato per intercettare il direttore di Fanpage Francesco Cancellato, e gli attivisti della ONG Mediterranea: Luca Casarini, Beppe Caccia e Don Mattia Ferrari.
Secondo, Luca Cadonici, digital forensics expert, si è trattato in questo caso di un intervento di spionaggio ed hackeraggio con un profilo difficile da inserire nelle lacunose ed ambigue normative attuali, che prevedono la possibilità di spiare criminali e personaggi che mettono a rischio la sicurezza nazionale, ma non cittadini comuni e giornalisti.
Ma ripercorriamo brevemente l’accaduto nella Graphite Investigation.
Il 31 gennaio 2025 una fonte interna a Meta rileva lo spyware di Paragon, ed avvisa i bersagli che sono stati presi di mira. Whatsapp intercetta quindi l’attacco, che stava avvenendo inserendo l’utente in chat di gruppo ed inviando un file di spionaggio che triggerava un exploit anche senza l’apertura del file. Graphite lavorava in background, inviando i dati ad un server.
Il COPASIR, composto da cinque deputati e cinque senatori, conduce quindi un’indagine e scopre così che Paragon era stato richiesto dall’intelligence italiana. Tra le clausole del contratto era previsto che fossero intercettati solo i messaggi inviati in tempo reale con una comunicazione end-to-end, ma non i messaggi in memoria. L’intelligence può infatti predisporre intercettazioni preventive se ha avuto un via libero dalla Corte di appello di Roma, ma gli spyware possono anche estirpare dati archiviati purché si abbia un’autorizzazione del potere esecutivo. E’ qui si trova quindi un’altra contraddizione. Graphite si muoveva quindi in un contesto legale? In teoria sì, ma molte procedure sono state quantomeno anomale.
Per mitigare il rischio spyware cosa si può fare? Secondo Luca Cadonici:
.
“bisogna prima di tutto disattivare le anteprime dei messaggi che sono spesso il veicolo scelto dalle spie. Si sfrutta Meta per dare comandi e Google per caricare materiale”
Tanti casi che segnalano una situazione di rischio diffuso. Ma la buona notizia è che gli utenti sono sempre più accorti, e hanno permesso alla PA di risparmiare 87000 euro l’anno scorso.
In questo cyber scenario infatti non poteva mancare la pubblica amministrazione, e in particolare PagoPA, il cui profilo di pagamento nel 2025 è stato clonato e sottoposto a phishing. Il sistema di frode è stato sconfitto in questo caso tramite le oltre 47.000 segnalazione degli utenti e la collaborazione di Google Allert, che segnalava la frode nel suo motore di ricerca.
“Gli utenti sono fondamentali per smascherare questo tipo di attacchi”
ha detto Mirko Caruso, che si occupa di rischi e sicurezza per PagoPa, e ha aggiunto
“che sono corrosivi anche della fiducia nello Stato perché prendono di mira app di utilità pubblica”, e ha sottolineato come: “la sicurezza sia in questo caso un abilitatore sociale”.
Per concludere questo piccolo viaggio nel mondo della criminalità Cyber fatto di furto di dati, soldi, identità, è importante ricordare il diritto alla segretezza e l’importanza della privacy. Lo facciamo con le parole di Pier Luca Toselli, esperto in investigazioni digitali ed ex finanziere, che citando una sentenza della cassazione del 13 ottobre 2025, ha detto:
“bisogna evitare un penetrate sacrificio del diritto alla segretezza (…), perché è illegittimo che il pubblico ministero acquisisca la totalità dei messaggi”, anche quelli non utili alle indagini.
rutinastory 