🛡️ Executive Summary
- Citizen Lab conferma infezioni multiple da Pegasus sull’iPhone di Stelios Kouloglou durante il mandato nel comitato PEGA.
- Gli attacchi zero-click coincidono con fasi sensibili dell’inchiesta europea sugli abusi di spyware e possono aver esposto documenti riservati.
- Il caso impone screening forense, uso di Lockdown Mode e nuove procedure istituzionali contro lo spyware mercenario.
Pegasus ha colpito un membro del comitato europeo incaricato di indagare proprio sugli abusi dello spyware mercenario. L’ex europarlamentare greco Stelios Kouloglou, giornalista investigativo e membro supplente del comitato PEGA dal 24 marzo 2022 al 18 luglio 2023, è stato infettato più volte con il software di sorveglianza di NSO Group mentre partecipava ai lavori del Parlamento Europeo sulle violazioni dei diritti fondamentali legate a Pegasus, Predator e strumenti equivalenti. L’analisi forense di Citizen Lab, pubblicata il 3 luglio 2026, identifica compromissioni nel 2022 e nel 2023 e segnala il rischio che informazioni non pubbliche sulle attività del comitato siano state accessibili agli operatori dello spyware. Il caso è politicamente e tecnicamente grave perché rappresenta il primo episodio pubblico di un membro attivo del comitato PEGA bersagliato da Pegasus durante il mandato, trasformando l’organo investigativo europeo in target diretto della stessa minaccia che stava esaminando.
Cosa leggere
Kouloglou diventa bersaglio mentre il comitato PEGA indaga sugli spyware
Il comitato PEGA nasce nel marzo 2022 dopo le rivelazioni del Pegasus Project, con il mandato di esaminare l’uso di Pegasus e di spyware equivalenti in potenziale violazione del diritto dell’Unione Europea. I lavori toccano casi sensibili in Polonia, Ungheria, Grecia, Cipro e Spagna, con audizioni, missioni, raccolta documentale e discussioni su possibili responsabilità statali. Stelios Kouloglou, già europarlamentare di Syriza e poi indipendente, partecipa come membro supplente mantenendo in parallelo il proprio profilo di giornalista investigativo. Questo doppio ruolo lo rende un bersaglio di alto valore: da una parte ha accesso a materiali e deliberazioni parlamentari, dall’altra segue da anni vicende politiche e giudiziarie sensibili in Grecia. Secondo Citizen Lab, la compromissione avviene durante fasi di intensa attività del comitato, incluse discussioni e bozze legate alle raccomandazioni finali. Non è solo un caso di sorveglianza individuale: l’attacco può aver inciso sulla riservatezza di un’inchiesta istituzionale europea, con possibili ricadute sui privilegi parlamentari, sulla tutela delle fonti e sulla sicurezza delle comunicazioni tra deputati, assistenti, testimoni e vittime di spyware.
Le infezioni Pegasus documentate da Citizen Lab
L’analisi forense condotta da Citizen Lab sui dati raccolti dall’iPhone di Kouloglou nel maggio 2026 individua infezioni con elevata affidabilità in almeno due finestre temporali. La prima compromissione risale al 21 ottobre 2022, quando un lookup associato a HomeKit precede l’attivazione di processi collegati a Pegasus. In quel periodo Kouloglou si trova ricoverato in Grecia per un intervento chirurgico programmato e riceve la visita del giornalista investigativo Thanasis Koukakis, a sua volta vittima di spyware e testimone davanti al comitato PEGA nel contesto dello scandalo greco legato a Predator. La seconda finestra di attività avviene tra il 6 e il 7 marzo 2023, mentre Kouloglou viaggia da Atene a Bruxelles, proprio durante una fase di lavoro intenso sulle conclusioni del comitato. Il dato geografico è rilevante perché suggerisce un’operatività capace di coprire più giurisdizioni europee, inclusi territorio greco e belga. Kouloglou ha ricevuto anche notifiche di minaccia da Apple nel 2023 e nel 2024, ma non ricorda di averle viste, elemento che conferma un problema già noto: gli alert sugli spyware mercenari sono essenziali, ma possono arrivare in ritardo, essere raggruppati o non essere compresi immediatamente dalla vittima.
L’exploit zero-click sfrutta HomeKit e MessagesBlastDoorService
Dal punto di vista tecnico, il caso Kouloglou viene collegato alla catena zero-click PWNYOURHOME, una tecnica di compromissione che non richiede interazione della vittima. L’attaccante invia un archivio NSKeyedArchive appositamente costruito al servizio HomeKit, seguito dal caricamento di contenuto malevolo attraverso MessagesBlastDoorService, componente del sistema di protezione di iMessage introdotto da Apple proprio per isolare contenuti non affidabili. Il dispositivo risultava su iOS 15.5, una versione successivamente superata da mitigazioni introdotte in aggiornamenti più recenti, incluse correzioni legate a HomeKit e al trattamento dei contenuti nei servizi di messaggistica. Una volta completata la catena, Pegasus può accedere a messaggi, email, contatti, file, microfono, fotocamera e dati applicativi, trasformando lo smartphone in un sensore persistente. La forza dello spyware mercenario sta proprio nell’invisibilità operativa: nessun link da aprire, nessun allegato da eseguire, nessun segnale evidente per l’utente. Per parlamentari, giornalisti e difensori dei diritti, questa modalità elimina molte delle difese comportamentali classiche e sposta la protezione sul piano degli aggiornamenti tempestivi, dell’hardening del dispositivo, delle analisi forensi ricorrenti e dell’uso di profili di sicurezza restrittivi come Lockdown Mode.
Rischio istituzionale per il Parlamento Europeo
La compromissione di un membro del comitato PEGA apre un fronte istituzionale più ampio della privacy individuale. Un telefono infettato da Pegasus durante riunioni, trasferte, scambi con assistenti parlamentari e contatti con testimoni può esporre contenuti non pubblici, bozze di relazioni, strategie politiche, agende di audizioni e comunicazioni riservate. Questo scenario può configurare un’interferenza diretta nei lavori di un organo parlamentare europeo e mina la fiducia nella capacità delle istituzioni di indagare su abusi di sorveglianza senza diventare esse stesse oggetto di sorveglianza. Citizen Lab sottolinea che non è stato possibile attribuire pubblicamente l’operazione a uno specifico governo cliente di NSO Group, ma osserva sovrapposizioni tecniche con una campagna già collegata a giornalisti e attivisti russi e bielorussi in Europa. L’assenza di attribuzione certa non riduce la gravità del caso: mostra piuttosto la difficoltà di controllare un mercato in cui licenze, operatori e infrastrutture possono produrre effetti transnazionali. Per il Parlamento Europeo, il punto critico è definire se le misure di sicurezza adottate finora siano adeguate per deputati che trattano dossier sensibili su intelligence, diritti fondamentali, corruzione, difesa e tecnologie dual-use.
Il caso greco e la lunga ombra di Predator
L’attacco contro Kouloglou si inserisce in un contesto europeo già segnato da scandali nazionali. In Grecia, il caso Predator e le rivelazioni sul cosiddetto “Greek Watergate” hanno coinvolto giornalisti, politici, funzionari e figure pubbliche, creando una delle crisi più gravi sulla sorveglianza nell’Unione Europea. Thanasis Koukakis, che visita Kouloglou nel giorno della prima infezione documentata, è una delle vittime note di spyware e una figura centrale nella ricostruzione dello scandalo greco. Il comitato PEGA aveva dedicato attenzione specifica proprio alle dinamiche greche, incluse le relazioni tra società private, apparati statali, esportazioni tecnologiche e controlli insufficienti. La presenza di Pegasus nel caso Kouloglou non equivale automaticamente a un collegamento con il governo greco, e Citizen Lab non attribuisce l’operazione ad Atene. Tuttavia, la coincidenza temporale con i lavori del comitato e con i dossier greci dimostra quanto gli spyware mercenari possano interferire con processi democratici e investigativi anche quando l’attribuzione resta opaca. La minaccia non riguarda più solo dissidenti o giornalisti isolati, ma il cuore delle procedure parlamentari che dovrebbero garantire accountability.
Pegasus conferma il fallimento della deterrenza europea
La vicenda mostra il limite delle risposte europee agli abusi dello spyware. Il comitato PEGA aveva prodotto raccomandazioni per rafforzare controlli, trasparenza, accountability, assistenza alle vittime e limiti all’uso di strumenti intrusivi. Eppure, a distanza di anni, un membro dello stesso comitato risulta essere stato infettato durante i lavori. Il problema è strutturale: gli spyware mercenari sono venduti come strumenti per contrastare terrorismo e criminalità grave, ma nella pratica sono stati più volte documentati contro giornalisti, oppositori, avvocati, funzionari pubblici e attori della società civile. NSO Group sostiene di vendere i propri prodotti solo a governi autorizzati per finalità legittime, ma le evidenze raccolte negli anni da Citizen Lab, Amnesty International e consorzi giornalistici indicano un abuso ricorrente. Il caso Kouloglou aggiunge un elemento di escalation: se un comitato parlamentare che indaga sugli abusi può essere sorvegliato durante il proprio mandato, la deterrenza politica non sta funzionando. L’Unione Europea deve quindi passare da relazioni e raccomandazioni a controlli effettivi su acquisto, uso, esportazione, auditing e responsabilità legale degli operatori.
Le misure operative per deputati e istituzioni
La risposta immediata passa da misure tecniche e organizzative. I deputati europei e il personale coinvolto in dossier sensibili dovrebbero sottoporre periodicamente i dispositivi a screening forense tramite strutture interne come la direzione ITEC del Parlamento Europeo o laboratori indipendenti qualificati. Lockdown Mode sugli iPhone riduce la superficie di attacco contro exploit zero-click, sacrificando alcune funzionalità ma aumentando la resilienza per profili ad alto rischio. È necessario separare dispositivi personali e istituzionali, ridurre l’uso di canali non cifrati, aggiornare rapidamente iOS, limitare app non indispensabili, applicare policy di retention sui messaggi e definire procedure per la gestione degli alert Apple. A livello istituzionale, il Parlamento dovrebbe pubblicare rapporti periodici sulle minacce informatiche contro deputati e staff, istituire un protocollo obbligatorio di risposta agli spyware e garantire assistenza legale e tecnica alle vittime. Il caso Kouloglou dimostra che la sicurezza dei dispositivi mobili non è più un tema accessorio per le istituzioni democratiche: è una condizione operativa per proteggere deliberazioni, fonti, indagini e integrità del mandato parlamentare.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.









