Un ex eurodeputato greco impegnato nell'indagine sugli abusi degli spyware è stato a sua volta colpito da Pegasus, il software di sorveglianza sviluppato da NSO Group. La conferma arriva dai ricercatori di Citizen Lab, unità dell'Università di Toronto specializzata in diritti digitali, che hanno identificato intrusioni sul telefono di Stelios Kouloglou tra il 2022 e il 2023.
Il dato più significativo riguarda il ruolo ricoperto da Kouloglou: l'ex giornalista e politico faceva parte della commissione PEGA del Parlamento europeo, incaricata di esaminare gli attacchi spyware attribuiti a governi europei. È la prima volta che un membro di quel comitato viene pubblicamente identificato come vittima dello stesso tipo di tecnologia che stava contribuendo a indagare.
Kouloglou ha definito la compromissione del suo telefono un atto “sconsiderato”. Un eurodeputato in carica ha parlato di un “attacco diretto allo stato di diritto” e ha chiesto alla Commissione europea di intervenire con limiti più severi all'uso degli spyware nei 27 Stati membri. Il caso riapre la frattura fra l'uso dichiarato di questi strumenti contro la criminalità grave e il loro impiego contro giornalisti, parlamentari e figure critiche.
I ricercatori non hanno attribuito l'operazione a un Paese specifico. Hanno però rilevato che il cliente governativo avrebbe usato lo stesso indirizzo email caricato con Pegasus già osservato in una precedente campagna contro giornalisti europei. La riutilizzazione di quell'indirizzo suggerisce, nella valutazione tecnica, che il cliente avesse l'autorizzazione di NSO Group a usare Pegasus per operazioni su telefoni in più Paesi europei.
Le intrusioni individuate risalgono a ottobre 2022 e ad almeno due episodi nel marzo 2023. L'attacco ha sfruttato una vulnerabilità nel software iPhone di Apple, già corretta ma non ancora aggiornata sul dispositivo di Kouloglou. Si trattava di un exploit zero-click: lo spyware poteva entrare nel telefono e sottrarre dati senza che l'utente cliccasse su link, aprisse allegati o compisse alcuna azione.
La falla abusava di un difetto già scoperto nel software per la smart home usato sugli iPhone. Una volta installato, Pegasus poteva accedere a messaggi, corrispondenza, dati di localizzazione e foto. L'attacco di ottobre coincide con una fase di scambi intensi via email e messaggi, tra ottobre e novembre 2022, prima della consegna di una prima bozza del rapporto sugli abusi spyware in Cipro, Grecia, Ungheria, Polonia e Spagna.
La tempistica include anche un dettaglio personale: Kouloglou si trovava in ospedale per un intervento programmato. In quel contesto, gli operatori dello spyware avrebbero potuto intercettare audio ambientale, incluse conversazioni legate alla sua salute o agli incontri con i visitatori. I nuovi attacchi del 6 e 7 marzo sono avvenuti mentre viaggiava da Atene a Bruxelles, durante un periodo di audizioni della commissione e mesi prima dell'adozione del rapporto finale.
Kouloglou ha dichiarato di non sapere con certezza perché fosse stato preso di mira, ma di ritenere che il motivo fosse il suo lavoro nella commissione europea sugli abusi di Pegasus. Ha raccontato la rabbia provata nello scoprire che non solo gli scambi professionali, ma anche i momenti più privati della sua vita erano stati esposti. L'ex eurodeputato ha annunciato l'intenzione di fare causa a NSO Group e ha spiegato di rendere pubblica la vicenda per democrazia, diritti umani e lotta alla corruzione.
Per imprese, istituzioni e utenti ad alto rischio, il caso mostra quanto la sicurezza mobile sia ormai un terreno di governance, non solo di protezione tecnica. Patch non installate, strumenti di sorveglianza commerciali e autorizzazioni opache possono trasformare uno smartphone in una fonte di intelligence politica. La vicenda sposta ancora una volta l'attenzione europea sulla necessità di regole più stringenti, controlli verificabili e responsabilità chiare nell'uso degli spyware governativi.