Cybersecurity nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber L'esperto risponde News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

cyber spionaggio

L’ombra di Kaspersky: servizi segreti svizzeri nel caos e dati riservati trasmessi in Russia

Home Attacchi hacker e Malware: le ultime news in tempo reale e gli approfondimenti
Indirizzo copiato

Il caso dei dati riservati del Fis, trasmessi per anni a Kaspersky, sospetta di legami con il Cremlino, ha sollevato gravi dubbi sulla sicurezza dei dati svizzeri e sulla dipendenza da fornitori esterni, oltre a compromettere la fiducia nelle relazioni tra intelligence. Ecco come Gru e Fsb avrebbero avuto accesso diretto a informazioni sensibili

Pubblicato il 5 giu 2025
Gabriele Iuvinale

Senior China Fellows at Extrema Ratio

Nicola Iuvinale

Senior China Fellows at Extrema Ratio

Decreto sicurezza: le assenze in ambito cyber

Un’inchiesta di SRF ha rivelato che un team informatico dei servizi segreti svizzeri (Fis), guidato da un agente identificato come “W.”, ha trasmesso per anni dati riservati all’azienda russa Kaspersky, sospettata di legami con i servizi segreti russi (Gru e Fsb).

Nonostante gli avvertimenti internazionali ricevuti già dal 2018, il Fis ha reagito con anni di ritardo.

La vicenda ha sollevato gravi dubbi sulla sicurezza dei dati svizzeri, sulla dipendenza da fornitori esterni e ha innescato un’indagine amministrativa esterna, compromettendo gravemente la fiducia nelle relazioni tra i servizi di intelligence.

Deepfake, dal ricatto al cyber spionaggio: una minaccia per individui e Nazioni

La storia: l’ombra russa sui servizi segreti svizzeri

Ciò che è iniziato nel 2020 con un incontro segreto in una Ginevra blindata, si è trasformato in uno dei più grandi scandali di sicurezza nella recente storia svizzera.
L’inchiesta di SRF Investigativ ha rivelato una vicenda di vasta portata che getta un’ombra inquietante sul servizio delle attività informative della Confederazione (Fis), l’agenzia di intelligence svizzera.

Al centro dello scandalo c’è un dipendente del Fis, noto come “W.”, e la sua presunta stretta collaborazione con l’azienda russa di software Kaspersky. Secondo le rivelazioni, per anni, tra il 2015 e il 2020, un team informatico del Fis avrebbe trasmesso informazioni riservate a Kaspersky.

La situazione è resa estremamente esplosiva dalle accuse dei servizi segreti occidentali, secondo cui Kaspersky sarebbe strettamente legata al Cremlino, con le informazioni che sarebbero giunte direttamente ai servizi segreti russi come il Gru e l’Fsb.

Questa presunta fuga di notizie avrebbe avuto conseguenze potenzialmente letali. Un servizio segreto amico, infatti, avrebbe specificamente avvertito che alcune vite erano in pericolo.

Particolarmente precario è il collegamento temporale con il caso Skripal in Uk nella primavera del 2018, un periodo in cui ambienti dei servizi segreti svizzeri erano coinvolti nelle indagini e ora si sospetta che informazioni cruciali su quel caso possano essere trapelate in Russia.

Italia in pericolo con Kaspersky? Il parere degli esperti e le domande da porsi

La dipendenza pericolosa

L’inchiesta descrive un “servizio segreto con vita propria”: il team informatico del Fis avrebbe agito in parte in autonomia.

Si parla di server propri, telefoni cellulari privati per le comunicazioni ufficiali e accordi segreti, una condotta che ricorda un romanzo di spionaggio. Addirittura, campioni di malware – prove chiave negli attacchi informatici – sarebbero stati forniti a Kaspersky come “dono”.

Molte comunicazioni e flussi di dati non erano documentati e venivano gestiti tramite indirizzi email privati o chat di Threema. Secondo un rapporto interno, questa dipendenza era “essenziale” per il team, in quanto il Fis non avrebbe avuto risorse sufficienti per la cyber ricognizione, creando una “dipendenza pericolosa”.

Nonostante gli avvertimenti espliciti da parte dei servizi amici, che già nel 2018 mettevano in guardia contro “W.” e il trasferimento illegale di dati alla Russia, il Fis ha impiegato due anni per reagire.

“W.” è stato sospeso solo nel 2020. Un ulteriore elemento di irritazione è il fatto che, al momento della sua partenza, abbia portato con sé il suo portatile di lavoro e che i dati siano stati apparentemente cancellati, con l’incertezza su chi abbia ordinato tali cancellazioni.

L’indagine amministrativa esterna e indipendente

Di fronte a questa crisi, il nuovo ministro della difesa, Martin Pfister, ha mostrato determinazione. Ha annunciato un’indagine amministrativa esterna e indipendente per verificare l’attuazione delle precedenti raccomandazioni e, in particolare, per accertare se sussistano ancora contatti non ufficiali con attori russi.

Pfister ha informato gli altri sei membri del Consiglio federale, le commissioni parlamentari competenti e il Controllo federale delle finanze (Cdf), sottolineando l’importanza cruciale di un servizio di intelligence funzionante per la protezione e la sicurezza della Svizzera.

Il doppio controllo

L’autorità di vigilanza Ab-Nd ha recentemente criticato il fatto che, a gennaio 2025, non fosse ancora stato istituito un principio di doppio controllo nel team informatico del Fis.

Nonostante le gravi accuse, “W.”, che ora lavora come esperto di sicurezza informatica e fa apparizioni pubbliche, respinge ogni accusa, affermando tramite il suo avvocato che sono “completamente inventate” e che aveva collaborato pienamente all’indagine interna senza che gli fossero mosse accuse.

Danno alla fiducia tra i servizi segreti internazionali

Questa vicenda ha già causato un grave danno alla fiducia tra i servizi segreti internazionali. Interni al settore, come l’ex vice del Bnd Arndt Freytag von Loringhoven, hanno avvertito che tali sospetti minano seriamente le collaborazioni, con molte di esse ora relegate in secondo piano.

La possibilità che la fiducia possa essere pienamente ripristinata rimane incerta.

Analisi tecnica: cyber sicurezza e compromissione del Fis

L’inchiesta di Srf Investigativ ha messo in luce una serie di vulnerabilità operative e procedurali profonde all’interno del servizio delle attività informative della Confederazione (Fis) svizzero, con implicazioni dirette sulla ciber sicurezza nazionale e sulla fiducia nelle relazioni internazionali.

Il fulcro dell’indagine è la presunta collaborazione non autorizzata e prolungata di un team informatico del FIS con l’azienda russa di cyber security Kaspersky.

Architettura e gestione dei dati non convenzionale e rischi associati

L’analisi rivela che il team guidato da “W.” operava con un approccio altamente atipico e pericoloso alla gestione delle informazioni.

L’utilizzo di server propri e telefoni cellulari privati per comunicazioni ufficiali rappresenta una grave deviazione dai protocolli di sicurezza standard per un’agenzia di intelligence:

  • vulnerabilità dei server propri e “shadow IT“: l’implementazione di server autonomi al di fuori dell’infrastruttura IT centralizzata del Fis introduce punti di fallimento e vulnerabilità significative. Questi server, operando come “shadow IT”, potrebbero non essere stati soggetti agli stessi audit di sicurezza, patching regolari, monitoraggio delle minacce e controlli di accesso applicati all’infrastruttura ufficiale. Ciò aumenta esponenzialmente il rischio di compromissioni esterne o infiltrazioni da parte di attori delle minacce, inclusi servizi segreti stranieri con capacità avanzate (Apt);
  • rischio dell’uso di dispositivi personali (Byod non governato). L’impiego di telefoni cellulari privati e indirizzi email personali per scopi ufficiali è un esempio lampante di Byod (Bring your own device) non governato. Questi dispositivi spesso mancano dei controlli di sicurezza granulari, delle policy di gestione del ciclo di vita del dato e delle soluzioni Mdm (Mobile device management) presenti sui dispositivi aziendali. Questo li rende vettori potenziali per malware mirato, attacchi di phishing altamente sofisticati e data exfiltration non rilevata. Le comunicazioni su canali non sicuri (come chat di Threema non controllate centralmente) possono essere intercettate e decifrate, compromettendo gravemente la riservatezza delle operazioni e l’identità degli agenti.

Collaborazione tecnica, trasferimento di intelligence e rischi di contro-intelligence

La presunta condivisione di campioni di malware (malware samples) con Kaspersky come “dono” è un aspetto tecnicamente critico. I campioni di malware rappresentano intelligence tecnica (Techint) di altissimo valore.

Contengono spesso indicatori di compromissione (IOCs), tecniche, tattiche e procedure (TTPs) di attori delle minacce (per esempio, attori sponsorizzati da stati), e persino informazioni su infrastrutture di comando e controllo (C2):

  • compromissione della CTI (cyber threat intelligence). La condivisione non controllata di questi campioni compromette la cyber threat intelligence (CTI) del Fis e potenzialmente quella dei suoi partner. Se Kaspersky, o entità ad essa collegate (come Gru e Fsb), ha accesso a questi campioni, può analizzarli per: ○ sviluppare contromisure (per esempio, firme antivirus, regole di rilevamento IDS/IPS) che, se utilizzate malevolmente, potrebbero essere dirette contro gli stessi strumenti di attacco o di sorveglianza del FIS o dei suoi alleati; ○ ottenere informazioni sulle capacità operative del FIS, inclusi i loro strumenti di attacco (malware, exploit) o di sorveglianza digitale; ○ comprendere le priorità investigative del FIS basate sul tipo e sull’origine del malware che stavano analizzando;
  • rischi di “reverse engineering” e attribution denial. La fornitura di malware samples consente il reverse engineering. Se questi campioni finiscono nelle mani di servizi segreti avversari, potrebbero essere studiati per:
    • replicare o modificare il malware per scopi offensivi;
    • sviluppare metodi per eludere le difese o per rendere gli strumenti del FIS inefficaci;
    • identificare le origini o l’attribuzione degli attacchi cibernetici, compromettendo la capacità del Fis di operare in modo furtivo o di negare la propria implicazione.
  • vulnerabilità nell’indagine Skripal: il collegamento temporale con il caso Skripal suggerisce una potenziale compromissione delle indagini di contro-intelligence riguardanti operazioni di servizi segreti russi su suolo europeo. La fuga di informazioni in questo contesto è estremamente grave, poiché potrebbe aver messo a rischio agenti, fonti e metodi investigativi.

Mancanza di governance, due diligence e ritardi nella risposta

La rivelazione che la collaborazione con Kaspersky fosse “essenziale” a causa della carenza di risorse interne per la ciber-ricognizione evidenzia una dipendenza strategica non gestita e una profonda lacuna nella governance dell’agenzia:

  • Outsourcing di funzioni critiche e valutazione del rischio. L’outsourcing di funzioni di ciber-ricognizione a un’azienda con presunti legami diretti con un’agenzia di intelligence straniera (FSB/GRU) rappresenta un’enorme esposizione al rischio geopolitico e di contro-intelligence. Un servizio di intelligence non dovrebbe delegare capacità chiave come la raccolta e l’analisi di Osint (open source intelligence) o Sigint (signals intelligence) basate su piattaforme informatiche senza un controllo totale, indipendente e un processo di vetting approfondito sui fornitori;
  • Due diligence insufficiente e alert fatigue. L’incapacità o la lentezza del Fis nel reagire agli avvertimenti espliciti dei servizi amici (dal 2018 al 2020) indica una mancanza critica di due diligence continua sui propri partner e un potenziale fallimento nella gestione degli avvertimenti di contro-intelligence. I servizi di intelligence alleati sono fondamentali per la condivisione di informazioni su attori delle minacce e vulnerabilità; ignorare questi avvertimenti, forse per “alert fatigue” o per una sottovalutazione del rischio, ha avuto conseguenze dirette sulla sicurezza;
  • mancanza del principio di doppio controllo. La critica dell’AB-ND a gennaio 2025 sulla mancanza del principio di doppio controllo nel team informatico del Fis è cruciale. Questo principio è fondamentale per prevenire abusi di potere, frodi e, in questo caso, operazioni non autorizzate. La sua assenza ha permesso al team di “W.” di operare con un’autonomia eccessiva e senza un adeguato sistema di bilanciamento dei poteri.

Gestione degli incidenti e data exfiltration post-sospensione

Il fatto che “W.” abbia portato con sé il suo “laptop personale diservizio” dopo la sospensione e che si sospetti la cancellazione di dati è un indicatore di gravi lacune nella gestione degli incidenti e nella policy di offboarding:

  • mancanza di trattato forense. In un’operazione di sicurezza critica che coinvolge presunte violazioni e spionaggio, qualsiasi dispositivo utilizzato da un agente sospettato di mala condotta dovrebbe essere immediatamente isolato, posto in custodia e sottoposto a analisi forense digitale approfondita. La perdita del laptop e la potenziale cancellazione dei dati significano la perdita irrecuperabile di prove digitali critiche, che potrebbero aver dettagliato l’entità della collaborazione, i dati compromessi, le comunicazioni interne e l’identità di eventuali altri complici.
  • Data exfiltration ulteriore. La possibilità di cancellazione dei dati suggerisce un tentativo di occultamento delle prove o, peggio, una potenziale ulteriore esfiltrazione di dati sensibili prima della completa disconnessione dell’agente dai sistemi del Fis.

Implicazioni strategiche e raccomandazioni tecniche

Questo incidente solleva questioni fondamentali sulla maturità della ciber sicurezza operativa e sulla governance interna all’interno delle agenzie di intelligence.

Per prevenire simili compromissioni in futuro, il Fis e le autorità di vigilanza svizzere dovrebbero implementare urgentemente:

  • rafforzamento massiccio delle capacità interne. Investire significativamente nello sviluppo di competenze interne avanzate in ciber-ricognizione (Osint, Sigint), analisi malware, reverse engineering e contro-intelligence digitale. Questo ridurrebbe la dipendenza da fornitori esterni, specialmente in settori critici per la sicurezza nazionale;
  • standardizzazione IT rigorosa e enforcement policy. Applicare rigorosamente policy IT uniformi e standard di sicurezza di alto livello (per esempio, NIST Cybersecurity Framework, ISO 27001, o standard specifici per l’intelligence) a tutti i livelli operativi e per tutto il personale. Ciò include l’implementazione e l’applicazione coatta di:
    • controlli di accesso basati sul bisogno di conoscere (need-to-know) e privilegi minimi;
    • crittografia end-to-end per tutte le comunicazioni ufficiali;
    • uso esclusivo di dispositivi aziendali sicuri, gestiti tramite MDM (mobile device management) e Endpoint detection and response (EDR);
    • Audit di sicurezza periodici e penetration test indipendenti.
  • miglioramento continuo della due diligence e della threat intelligence sharing. Implementare processi robusti e dinamici di due diligence per tutte le partnership, i fornitori e gli accordi con terze parti. Migliorare la capacità di assimilare, analizzare e agire prontamente sulla threat intelligence condivisa da partner internazionali fidati, senza ritardi indebiti;
  • protocolli di incident response (IR) e offboarding resilienti. Stabilire e testare regolarmente piani di risposta agli incidenti (IRP) che includano procedure dettagliate per la gestione delle crisi, l’isolamento dei sistemi compromessi e l’acquisizione forense di tutti i dispositivi e account digitali in caso di sospetto di comportamento improprio, violazione o compromissione. I protocolli di offboarding devono garantire la revoca immediata di tutti gli accessi e il recupero di tutte le attrezzature e dati aziendali;
  • rafforzamento della governance e controlli interni. Introdurre una rigida separazione dei compiti e controlli interni multilivello per tutte le operazioni di cibersicurezza e intelligence, in particolare quelle che coinvolgono dati sensibili o collaborazioni esterne. Il principio di doppio controllo deve essere universalmente applicato per prevenire che un singolo individuo o un piccolo team possa operare autonomamente e senza supervisione e audit adeguati.

Prospettive future

Questo scandalo serve da monito severo sull’importanza cruciale di una robusta postura di cibersicurezza, di una governance inflessibile e di una cultura della sicurezza interna per proteggere le informazioni sensibili e la credibilità internazionale di un Paese.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

I
Gabriele Iuvinale
Senior China Fellows at Extrema Ratio
I
Nicola Iuvinale
Senior China Fellows at Extrema Ratio

Leggi anche:

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • Cybersecurity, che cos'è e come le aziende possono aumentare il loro livello di sicurezza informatica

  • guida

    Dati, reputazione e fiducia: i pilastri della cybersecurity, ecco la guida pratica per mettere in sicurezza le aziende

    16 Set 2025

    di redazione affiliazioni Nextwork360 e Federico Parravicini

    Condividi
  • valutazione-del-cyber-risk-cybersecurity360

  • sicurezza informatica

    Dalla minaccia alla metrica: ecco la valutazione del cyber risk

    24 Ott 2025

    di Mattia Lanzarone

    Condividi
  • Smantellata una delle maggiori operazioni di Sim farm mai scoperte: un rischio per la sicurezza nazionale

  • frodi e spam

    Smantellata una delle maggiori Sim farm mai scoperte: un rischio per la sicurezza nazionale

    26 Set 2025

    di Luisa Franchina e Tommaso Diddi

    Condividi
  • WhatsApp invita ad aggiungere la mail al proprio account: quali vantaggi e cosa implica

  • instant messaging

    WhatsApp invita ad aggiungere la mail al proprio account: vantaggi e rischi futuri

    19 Giu 2025

    di Mirella Castigli

    Condividi