Pegasus ha spiato l'eurodeputato che indagava su Pegasus

03.07.2026 5
Pegasus ha spiato l'eurodeputato che indagava su Pegasus

Lo spyware Pegasus è stato usato per hackerare il telefono di Stelios Kouloglou, ex eurodeputato greco membro del comitato PEGA, istituito appositamente per indagare sugli abusi di Pegasus e strumenti di sorveglianza simili. Lo ha confermato Citizen Lab il 2 luglio 2026.

L'analisi forense dell'iPhone di Kouloglou ha rilevato infezioni nell'ottobre 2022 e di nuovo nel marzo 2023, mentre sedeva attivamente nel comitato incaricato di far luce proprio su questo tipo di abusi di spyware nell'UE.

Chi è Stelios Kouloglou e cos'è il comitato PEGA?

Kouloglou, giornalista investigativo greco poi diventato politico, è stato membro supplente del comitato PEGA del Parlamento europeo da marzo 2022 a luglio 2023. Il PEGA è stato istituito per indagare su come i governi UE abbiano abusato di Pegasus e software equivalenti, producendo bozze di relazione sui presunti abusi a Cipro, Grecia, Ungheria, Polonia e Spagna. Kouloglou ha richiesto lui stesso l'esame forense dopo essere diventato sospettoso, e Citizen Lab ha pubblicato i risultati come Report 194.

Come è avvenuto l'attacco

La prima infezione, il 21 ottobre 2022, ha sfruttato PWNYOURHOME, una catena di exploit zero-click che sfrutta una vulnerabilità nel software smart home di Apple: non era richiesto alcun clic, download o azione da parte di Kouloglou. Una seconda infezione è seguita all'inizio di marzo 2023. Secondo Citizen Lab, le intrusioni potrebbero aver esposto documenti riservati del comitato e deliberazioni interne, oltre ai messaggi e alle foto personali di Kouloglou.

  • Bersaglio: Stelios Kouloglou, ex eurodeputato e membro del comitato PEGA.
  • Spyware: Pegasus di NSO Group, veicolato tramite l'exploit zero-click PWNYOURHOME.
  • Infezioni: 21 ottobre 2022 e 6-7 marzo 2023.
  • Scoperta: analisi forense di Citizen Lab, richiesta dallo stesso Kouloglou, pubblicata a luglio 2026.

Una pista che porta a giornalisti russi e bielorussi

Citizen Lab non ha attribuito l'attacco a un governo specifico e afferma che non ci sono prove del coinvolgimento del governo greco. I ricercatori hanno però trovato una sovrapposizione tecnica: lo stesso indirizzo email collegato a HomeKit usato nella prima infezione di Kouloglou è comparso anche in una campagna Pegasus già documentata, rivolta a giornalisti e attivisti russi e bielorussi in esilio altrove in Europa. Ciò indica un unico cliente Pegasus con licenze per operare in più giurisdizioni europee, anziché un'operazione greca isolata.

Reazione dell'UE e nuovi appelli a limiti più severi

Kouloglou ha definito l'intrusione "sconsiderata", dichiarando ai giornalisti che ha esposto non solo scambi professionali con ministri, ma anche momenti privati con la sua famiglia. Un eurodeputato in carica ha definito l'attacco "un attacco diretto allo stato di diritto" e ha esortato la Commissione europea a imporre limiti severi all'uso dello spyware negli stati membri. La Commissione non ha risposto alle richieste di commento della stampa.

Importante: Infezioni Pegasus come questa avvengono in modalità zero-click - non richiedono alcuna azione da parte della vittima e spesso non lasciano tracce visibili, motivo per cui l'analisi forense indipendente (come quella condotta qui da Citizen Lab) è attualmente l'unico modo affidabile per individuarle.

Casi come questo ricordano che nemmeno i parlamentari che indagano sugli abusi di sorveglianza ne sono esenti - e che strumenti quotidiani come una VPN, pur non potendo fermare un exploit zero-click, restano uno dei pochi livelli a disposizione di giornalisti e attivisti comuni per rendere più difficile il tracciamento di rete da parte degli stessi operatori.

Conclusione: Un membro dello stesso comitato creato per indagare sugli abusi di Pegasus è stato hackerato con Pegasus proprio mentre svolgeva quel lavoro - e le tracce tecniche collegano l'operazione a una campagna più ampia contro giornalisti russi e bielorussi in esilio. Due anni dopo la conclusione dei lavori del PEGA, l'Europa non ha ancora limiti vincolanti su chi può acquistare e usare questo tipo di spyware.
Tag: vpn privacy surveillance cybersecurity security digital rights eu spyware

Leggi anche