phishing

Spionaggio russo su Signal, il caso dei bersagli italiani



Indirizzo copiato

Politici, giornalisti e manager italiani sono nel mirino di una campagna di spionaggio russa su Signal. La tecnica aggira la crittografia attraverso l’utente, punta agli account e si inserisce nella pressione cyber contro istituzioni, media e figure pubbliche europee

Pubblicato il 14 lug 2026

Dario Fadda

Research Infosec, fondatore Insicurezzadigitale.com



spionaggio signal russia
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti


Politici, giornalisti e manager italiani sono finiti nel mirino di una campagna di spionaggio condotta dalla Russia attraverso Signal, l’app di messaggistica cifrata usata da chi tratta informazioni riservate. Secondo quanto emerso, intelligence e Polizia postale stanno lavorando su una lista ristretta di bersagli selezionati per ruolo, relazioni e accesso a conversazioni sensibili.

Il caso riguarda anche la vicepresidente del Parlamento europeo Pina Picierno e si inserisce in una più ampia pressione cyber attribuita ad attori collegati a Mosca contro Paesi europei, istituzioni, media e figure pubbliche impegnate sul fronte ucraino.

Spionaggio russo su Signal: il metodo contro i bersagli italiani

La tecnica non richiede di violare la crittografia di Signal. Le vittime ricevono messaggi che imitano il servizio di sicurezza della piattaforma e vengono spinte a comunicare codici, pin o ad autorizzare il collegamento di un nuovo dispositivo. In quel momento l’attaccante può ottenere accesso all’account, alle chat e ai gruppi, aggirando la protezione attraverso l’utente.

Il messaggio ricevuto anche dal direttore di Cybersecurity360

Da notare che bastava cliccare su Consigli sulla sicurezza per apprendere ciò che è ovvio per un esperto di cybersecurity: che Signal (come altre aziende, del resto) non chiedono agli utenti i dati di accesso all’account.

Google Threat Intelligence Group aveva già descritto nel 2025 campagne di gruppi allineati alla Russia basate sull’abuso della funzione “linked devices” di Signal: un codice Qr o una pagina contraffatta può indurre la vittima a collegare un dispositivo controllato dall’attaccante. Se l’operazione riesce, i messaggi successivi vengono consegnati anche al dispositivo dell’aggressore, con una forma di ascolto persistente e difficilmente visibile all’utente meno esperto.

La stessa dinamica è stata ripresa dal public service announcement pubblicato il 20 marzo 2026 da Fbi e Cisa, che attribuisce a cyber attori associati ai servizi di intelligence russi campagne contro applicazioni di messaggistica commerciale. L’avviso specifica che gli account possono essere compromessi senza violare né la crittografia né l’applicazione, e che i bersagli includono funzionari, militari, figure politiche e giornalisti.

Perché il caso italiano pesa più di un phishing generico

La differenza rispetto a una campagna di phishing ordinaria non sta nella sofisticazione del messaggio-esca, ma nella selezione dei destinatari. Una lista ristretta di politici, giornalisti e manager indica una fase preliminare di raccolta informativa: ruoli, relazioni, appartenenza a gruppi, accesso a conversazioni riservate, posizione nel dibattito pubblico o in filiere considerate sensibili.

Per un attore statale o para-statale, un account Signal può valere più di un sito istituzionale momentaneamente irraggiungibile. Dentro una chat possono transitare contatti, bozze di decisioni, scambi tra staff, indicazioni di viaggio, rapporti con fonti giornalistiche, discussioni politiche e informazioni su aziende. Anche senza accedere allo storico completo, leggere i messaggi futuri o i gruppi attivi può offrire un quadro operativo molto utile.

Il quadro europeo degli attacchi a Signal

La campagna italiana si inserisce in un contesto già osservato in Europa. Il Cert-Eu, nel Cyber Brief pubblicato il 2 marzo 2026, ha registrato una campagna di phishing su Signal contro figure di alto profilo in Europa, con segnalazioni tedesche riguardanti politici, personale militare e giornalisti. Il 9 marzo 2026, Aivd e Mivd, i servizi di intelligence olandesi, hanno avvertito che hacker statali russi stavano conducendo una campagna globale per ottenere accesso ad account Signal e WhatsApp di dignitari, militari e funzionari pubblici, con possibile coinvolgimento anche di giornalisti.

Le segnalazioni pubbliche nel quadro europeo

Questa tabella riassume le principali segnalazioni pubbliche utili a leggere il caso italiano nel quadro europeo.

DataFonteAmbitoElemento rilevante
19 febbraio 2025Google Threat Intelligence GroupCampagne Russia-aligned su SignalAbuso dei dispositivi collegati e codici Qr malevoli
2 marzo 2026Cert-EuEuropaSegnalata campagna Signal contro figure di alto profilo
9 marzo 2026Aivd/MivdPaesi Bassi e campagna globaleTarget: dignitari, militari, funzionari e potenzialmente giornalisti
20 marzo 2026Fbi/CisaCampagna globaleAccount compromessi senza violare crittografia o app
13 luglio 2026Consiglio UeEcosistema cyber russoSanzioni contro 9 individui e 4 entità legate ad attività cyber ostili

Ddos, propaganda e spionaggio delle conversazioni

Negli ultimi anni l’Italia ha conosciuto soprattutto attacchi visibili, spesso rivendicati da collettivi filorussi e basati su Ddos: siti istituzionali, banche, trasporti, porti, aeroporti, ministeri, strutture legate a eventi pubblici. Sono operazioni pensate per produrre indisponibilità, pressione mediatica e propaganda.

Il caso Signal segue una logica diversa. Non punta al disservizio, ma alla raccolta informativa. Il valore non è far cadere un portale per qualche ora, ma entrare in conversazioni dove circolano elementi non pubblici. Per questa ragione il danno potenziale è meno visibile e più difficile da misurare: può emergere solo quando una fonte viene esposta, una decisione viene anticipata, una rete di contatti viene ricostruita o una campagna di pressione viene costruita su informazioni sottratte.

Il contesto geopolitico rafforza il quadro. Il 13 luglio 2026 il Consiglio dell’Unione europea ha denunciato l’ecosistema cyber russo, composto da servizi di intelligence, gruppi criminali, hacktivisti e società private, e ha annunciato misure restrittive contro nove individui e quattro entità. Nella stessa comunicazione, l’Ue ha indicato il 16th Centre del Fsb come controllore di gruppi di minaccia, tra cui Turla, e ha citato attività contro governi e infrastrutture critiche europee-

Come funziona l’attacco russo agli account Signal

Lo schema più ricorrente parte da un messaggio che sembra provenire dal supporto o dal servizio di sicurezza dell’app. La vittima riceve un avviso su presunte attività sospette, tentativi di accesso o nuove misure di protezione. A quel punto viene spinta a comunicare un codice, inserire un pin, cliccare un link o autorizzare il collegamento di un dispositivo.

Dispositivi collegati e punto di ingresso

Signal consente agli utenti di collegare dispositivi secondari, come computer o iPad, dal menu “Linked devices”. La documentazione ufficiale spiega che il collegamento avviene dal telefono e prevede la scansione di un codice Qr generato dal nuovo dispositivo (support.signal.org). Proprio questo meccanismo, se manipolato con una pagina o un messaggio fraudolento, può diventare il punto di ingresso.

Account compromessi e nuovi bersagli

Per i profili ad alto rischio, il problema non riguarda solo il singolo account. Un account compromesso può diventare un moltiplicatore: permette di osservare gruppi, identificare contatti, inviare messaggi credibili ad altri bersagli e costruire ulteriori campagne di spear phishing. Fbi e Cisa avvertono che, una volta compromesso l’account, gli attaccanti possono vedere messaggi e contatti, inviare comunicazioni e condurre nuove attività di phishing verso altri account (ic3.gov)

Difese per politici, giornalisti, manager e organizzazioni

La risposta non può limitarsi a dire agli utenti di “fare attenzione”. Quando il bersaglio è selezionato per il suo ruolo, la difesa deve diventare organizzativa. Servono procedure chiare per la gestione degli account di messaggistica, canali alternativi per verificare richieste anomale e istruzioni specifiche per chi tratta informazioni riservate.

Il primo controllo è semplice: verificare periodicamente i dispositivi collegati e rimuovere quelli non riconosciuti. A questo si aggiungono aggiornamenti costanti dell’app, pin robusti, blocco dello schermo, verifica dei contatti attraverso canali separati e divieto operativo di comunicare codici o autorizzare collegamenti su richiesta di un messaggio ricevuto in chat.

Regole interne per conversazioni e gruppi

Per redazioni, partiti, istituzioni e aziende strategiche, la misura più importante è definire regole di classificazione delle conversazioni. Non tutte le informazioni devono transitare su app commerciali, anche se cifrate. Le comunicazioni più sensibili dovrebbero passare su canali approvati, con gestione centralizzata degli accessi, logging dove compatibile con le esigenze di riservatezza e procedure di incident response già note agli utenti.

Un altro passaggio riguarda i gruppi. Le chat collettive sono spesso il vero obiettivo: un solo account compromesso può esporre discussioni di più persone. Per questo è necessario rivedere periodicamente i membri, ridurre i gruppi permanenti, eliminare account non più necessari e usare messaggi a scomparsa dove il contesto lo consente, sapendo che questa funzione non neutralizza un accesso in tempo reale da parte di un dispositivo già collegato.

Sicurezza nazionale digitale e vulnerabilità degli utenti

Il caso italiano conferma una tendenza già evidente nelle campagne europee: gli attori ostili scelgono il percorso che offre il miglior rapporto tra rischio e risultato. Se rompere la crittografia è difficile, aggirare l’utente può essere più efficace. Questo sfrutta la grande ondata di strumenti largamente diffusi che sono apparsi dopo anni di grande gap digitale a tutti i livelli. Questo gap ha evidentemente creato grandi “buchi” nella cultura digitale delle persone che utilizza questi strumenti e campagne come questa sfruttano esattamente questo gap.

Per la cybersecurity nazionale, questo significa allargare il perimetro di protezione oltre reti, server e infrastrutture. I bersagli sensibili sono anche persone: parlamentari, assistenti, dirigenti, giornalisti, consulenti, manager, funzionari. La loro sicurezza digitale non può dipendere solo da comportamenti individuali, perché l’attaccante studia ruolo, tempi, relazioni e pressione psicologica.

La campagna su Signal non riduce il valore delle applicazioni cifrate. Mostra però che la cifratura protegge il canale, non ogni decisione dell’utente. Per chi gestisce informazioni di interesse politico, industriale o istituzionale, la sicurezza della messaggistica deve diventare parte della protezione dell’identità digitale, delle fonti, dei processi decisionali e delle reti di relazione.

Partecipa alla community

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Articoli correlati

0
Lascia un commento, la tua opinione conta.x