venerdì 13 gennaio 2017

I segreti del partigiano "Neri" sparito alla morte del Duce

Roberto Festorazzi - Ven, 13/01/2017 - 08:15

La madre di Luigi Canali ne cercò le spoglie perfino con l'aiuto di un sensitivo. Ma fu tutto inutile

Nel 1948, la famiglia di Luigi Canali, il capitano «Neri», carismatico leader morale della Resistenza comasca, si rivolse a una società di parapsicologia per ricevere lumi sulla scomparsa del proprio congiunto. «Neri», sul Lario, era stato il regista sia delle vicende seguite all'arresto di Mussolini, il 27 aprile 1945, sia della contabilizzazione dell'oro di Dongo, subito incamerato dal Pci. Siccome il comunista Canali «eccepì» sulla scelta del suo partito di impadronirsi del tesoro sequestrato ai gerarchi, ma anche sulla decisione di passare per le armi sommariamente il Duce, senza processo e senza testimoni, venne fatto sparire già pochi giorni dopo l'epilogo di Dongo: sequestrato, a Como, la mattina del 7 maggio '45, fece perdere le proprie tracce.

Si è sostenuto, da più parti, che fosse stato ammazzato sulle rive del Lario. Ma la versione più accreditata sulla sua fine induce a ritenere che fosse stato «scortato» a Milano, quindi assassinato in una Casa del Fascio rionale, divenuta dopo la Liberazione sede di una squadra speciale di sicari agli ordini del gruppo dirigente nazionale del Partito comunista. Questo luogo di orrori si trovava in via Andrea del Sarto, in zona Città Studi. La sinistra circostanza emerse soltanto durante il processo di Padova, che si celebrò nel 1957 contro i responsabili degli eccidi e delle ruberie del dopo Dongo. Ma, appunto, nel 1957 erano trascorsi ben dodici anni dalla brutale esecuzione di «Neri».

La famiglia aveva bussato a tutte le porte, per ottenere verità e giustizia su quel delitto che gridava vendetta. Anche perché neppure il cadavere del capo partigiano poté essere ritrovato e restituito ai suoi cari. A nulla erano valse le denunce, trasmesse alle autorità, ma anche del tutto inutili gli appelli rivolti tanto ai vertici delle Brigate Garibaldi quanto al Partito comunista, perché venisse fatta luce. La madre di Canali, Maddalena, si rivolse persino a Palmiro Togliatti, illudendosi che non fosse complice dei killer del suo figliolo. Ricevette, in casa sua, a Como, anche la moglie del Migliore, Rita Montagnana, che di lì a poco sarebbe stata sostituita, nel ruolo muliebre, dalla più giovane compagna Nilde Jotti.

In quella sfilata di ipocrisia, nulla le fu di conforto. Così, all'inizio del 48, in preda alla disperazione, la povera donna scrisse alla Fondazione accademica internazionale Borromeo, che aveva sede a Genova. L'istituzione era diretta dal medico Carlo Cosimo Borromeo, un singolare personaggio con oscuri trascorsi nel campo delle dottrine pseudoscientifiche dell'eugenetica. Questi, il 21 febbraio 1948, inviò alla signora Canali una lunga lettera, in cui forniva dettagli sui risultati degli approfondimenti medianici compiuti. Le indicazioni pervenute, per via spiritica, erano comunque tali da accendere qualche tenue fiammella di speranza, nella madre dolente, che cercava almeno di sapere dove si trovassero i resti del figlio.

Il dottor Borromeo, infatti, spiegava che tutte le fonti interpellate avevano concordato sulla natura violenta della morte di «Neri», «avvenuta fuori da ogni forma legale». I veggenti, tuttavia, non avevano indicato Milano come la più probabile località in cui si consumò il misfatto, quanto invece il lago di Como. Ne derivava, perciò, «la difficoltà assoluta di ritrovarne la salma», che sarebbe stata gettata nelle acque, non dalla località del Pizzo di Cernobbio, l'alto dirupo roccioso da cui i comunisti fecero precipitare le loro vittime dopo la Liberazione, ma da «una scogliera di Torno», località che si trova sulla sponda opposta del Lario. Continuava il medico-sensitivo: «Nella seduta medianica, l'evocazione dello spirito del defunto ha, con altissimo senso di umanità e di bontà, esternato il desiderio che la buona e cara mamma si astenga dal compiere atti o gesti contro gli autori: ha detto che vi è una giustizia superiore a cui non sfuggiranno i colpevoli».

Il dottor Borromeo, nella medesima lettera, forniva ragguagli anche sulla sorte della compagna di Canali, la staffetta partigiana «Gianna» (Giuseppina Tuissi). Questa, sulla base dei risultati dell'inchiesta condotta a suo tempo da chi scrive, la sera del 23 giugno 1945, mentre indagava sulla scomparsa del proprio uomo, fu scaraventata nel lago, dal Pizzo di Cernobbio, da elementi prezzolati del Partito comunista: una manovalanza del crimine politico attinta localmente. Ma ecco le parole del medico: «Per la Gianna invece, nel momento in cui sfugge alle ricerche altrui e se ne suppone la fine per martoriata violenza nel viaggio di ritorno a Como (proveniente dall'alto lago dove si era spinta per cercare la verità sulla fine di Neri, ndr), la seduta medianica accenna a una donna che getta nel lago la bicicletta, lascia sulla strada oggetti personali».

Ma, anziché finire vittima dei suoi sicari, «Gianna», nella raffigurazione degli eventi fornita dallo studioso del paranormale, fugge e riesce a salvarsi: «Risale una montagna non molto alta (Piazzola)», quindi valica «una frontiera e si nasconde timorosa e pavida sotto altro nome in un piccolo paesino sperduto del vicino Canton Ticino, dove dovrebbe trovarsi ancora». La felice sorte finale della giovane Tuissi non era altro che un'informazione fallace. Ciononostante, mamma Maddalena seguitò a sondare l'istituzione del dottor Borromeo, come fanno fede le successive lettere ricevute dalla donna, rimaste custodite nelle carte private della famiglia Canali.

Ricerche e tentativi analoghi vennero esperiti anche a margine del processo di Padova del '57. Nella speranza di ritrovare almeno le spoglie di «Neri», un rabdomante venne condotto sulle tracce di una ex Casa del Fascio che forse, dico forse, non era quella di via Andrea del Sarto di cui ci siamo occupati prima, perché l'indicazione portava in un'altra zona di Milano, vicina al Cimitero Monumentale. In base a informazioni che un sacerdote, don Luigi Granzella, aveva ricevuto in confessionale, era emerso infatti che «Neri» fosse stato murato in un pilastro o in una parete che un tempo aveva ospitato una fontanella. Il veggente, esaminato lo spazio, se n'era uscito con un responso sconcertante: «Qui non sento acqua, ma cadaveri».

La Corte di Assise di Padova domandò a quel punto a Roma il permesso di abbattere la porzione di manufatto, ma giunse un incomprensibile veto. Così, ancora oggi, al Cimitero Monumentale di Como, sulla lastra tombale della famiglia Canali, una fotografia ricorda «Neri», senza però che nel sepolcro riposino i suoi poveri resti.

#AppleVesuvio, la colpa non è (solo) della tastiera

La Stampa
nadia ferrigo

Se scrivi «Vesuvio» compare «lavali»: ecco perché



«Vendo IPhone 6S 64GB acquistato a fine Agosto 2016. prezzo vantaggioso perché Razzista. #AppleVesuvio». «Cara @Apple ti amo dal 1987 non mi puoi fare questo correggi il bug!!! #AppleVesuvio». «Senza parole. Ormai la discriminazione contro i napoletani raggiunge dei picchi impensabili. #AppleVesuvio ». Ma che c’entra la Apple con il Vesuvio? Nel pomeriggio Radio Kiss Kiss Napoli ha scoperto che digitando la parola Vesuvio sui dispositivi Apple, tra le parole suggerite compare come primo risultato «lavali». Il riferimento è un noto coro razzista, che purtroppo tutti conosciamo e non ripeteremo. Dopo il tweet e il programma radio, l’hastag #AppleVesuvio è rimbalzato su Twitter, tra chi chiede alla Apple di correggere il bug e chi invece accusa il colosso californiano di razzismo. 

Una spiegazione c’è ed è molto semplice. Si tratta della tastiera predittiva: quando scriviamo una parola, ne viene proposta una selezione tra quelle normalmente più usate. Per esempio se scriviamo «andiamo a» seguono le parole «fare», «vedere» e «prendere». Con «buon» invece seguono «buongiorno» e «buonasera», e così via. Quel che vi viene proposto dal nostro smartphone si affina e cambia: insomma Apple impara da quel che noi scriviamo, basandosi sul nostro vocabolario e sulle frasi più usate. Se scriviamo «capra», seguirà «cavoli», e via dicendo. Radio Kiss Kiss ha chiesto alla Apple di rimediare. Ma per chi non hai mai smesso di condividere e diffondere inni razzisti e di pessimo gusto, tanto da farli entrare nel nostro vocabolario, c’è ben poco da fare. 

I pacchi di Norcia

La Stampa
massimo gramellini

Vorrei offrire il mio personalissimo mattoncino di comprensione all’assessora ai servizi sociali del comune terremotato di Norcia, crocifissa dai suoi compaesani per la bizzarra decisione di assegnare le prime venti «soluzioni abitative di emergenza» sulla base di un sorteggio. E che cos’altro poteva fare, povera donna? A parte cambiare nome, perché una burocrazia che chiama le case «soluzioni abitative» meriterebbe solo per questo di trascorrere il resto della sua esistenza all’addiaccio.

In teoria, per dare un tetto a chi lo ha perduto esisterebbero criteri migliori di una botta di fortuna. Ma non adesso e non nel nostro Paese, dove le istituzioni godono presso la cittadinanza della stessa fiducia suscitata da un ubriaco che cammina nudo in mezzo alla strada cantando una romanza di Al Bano. Non è difficile immaginarsi gli effetti che avrebbe un’assegnazione normale basata su requisiti normali, quale per esempio la data di presentazione della richiesta. Un attimo dopo, tra le care macerie spunterebbero le accuse di brogli, raccomandazioni, amanti, mazzette, ricatti. 

Sul web fiorirebbero i vaffa, i sospetti, i gomblotti. E gli esclusi finirebbero per appellarsi al primo Tar di passaggio, che sospenderebbe all’istante l’efficacia del provvedimento, rimandando democraticamente tutti - vincitori e vinti - a prendere freddo dentro le tende. Nella patria della sfiducia l’unica alternativa all’immobilismo è dunque diventata la tombola? Pare di sì. A patto che non cominci a girare voce che truccano pure quella. 

Sostituzioni

La Stampa
jena@lastampa.it

Mentre Gentiloni guarisce, c’è qualcuno che può sostituirlo a palazzo Chigi?
No, Matteo, tu no.

Tutti i dettagli e i misteri di EyePyramid

La Stampa
carola frediani

Come è nata l’indagine? Che piste ha seguito? Come nasce il malware? Come lo stanno inseguendo anche ora i ricercatori? Ecco quello che abbiamo ricostruito



EyePyramid è il nome che è stato dato a un software malevolo usato per infettare e spiare una serie di target di alto profilo. È anche il nome dell’inchiesta, condotta dal pm Eugenio Albamonte, che l’altro ieri ha portato in carcere i fratelli Giulio e Francesca Maria Occhionero, accusati dagli inquirenti di essere dietro una vasta operazione di cyberspionaggio, che avrebbe colpito anche professionisti e politici di primo piano. Ieri gli indagati hanno respinto ogni addebito, dicendo di essere stati a loro volta vittima di attacchi informatici. Ma cosa sappiamo di EyePyramid? Abbiamo ricostruito alcuni dei punti principali, e come – sia gli inquirenti sia una crescente fetta di ricercatori – si siano mossi o si stiano muovendo dietro le sue tracce.

Nascita di un’inchiesta
I primi a imbattersi nel malware sono gli analisti della società italiana di cybersicurezza Mentat Solutions, a partire da alcune mail malevole indirizzate a Eni. Siamo a fine 2014, diversi mesi prima della nascita dell’inchiesta, che sembra avviarsi però solo nel marzo 2016 dopo la segnalazione di Francesco Di Maio, dirigente della funzione security di Enav – società nazionale per l’assistenza al volo - che due mesi prima avrebbe individuato una mail sospetta inviata all’ente per cui lavora.
Questa mail arriverebbe dallo studio legale del prof Ernesto Stajano (che risulterà poi esserne vittima).

Di Maio segnala la mail al Cnaipic, il Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche, unità specializzata della Postale nata nel 2008, con cui Enav è convenzionata. Contattati da La Stampa, sia Di Maio che Federico Ramondino, titolare di Mentat Solutions, hanno preferito non rilasciare commenti, ma è certamente dalle loro mosse che si inizia a prendere consapevolezza del malware, incredibilmente passato inosservato per anni, malgrado target e vittime eccellenti.

L’infezione via mail
Lo studio Stajano – si capirà poi - in realtà sarà solo uno di una quindicina di studi legali e attività professionali colpiti e compromessi dal malware EyePyramid. Questo perché tra le informazioni raccolte dal software, una volta infettato il pc di un target, c’erano, oltre a password e contenuti delle mail, anche i contatti di un account. Ad alcuni di questi indirizzi venivano poi inviate nuove mail dalle caselle già compromesse, in modo da rendere più credibile il messaggio con l’allegato malevolo. Ma l’attacco non avveniva sempre in modo così mirato e preciso. E a volte gli indirizzi usati odoravano di spam.

Come sono risaliti agli indagati
Sono due i fili tirati dagli investigatori che hanno portato agli indagati. Entrambi nascono soprattutto dallo studio del codice del malware. Infatti, dall’analisi dell’allegato malevolo, Mentat Solutions risale a uno dei server di comando e controllo attraverso il quale gli attaccanti gestivano delle macchine infettate (1133), e dove c’erano anche i file di configurazione delle stesse macchine, oltre che documenti esfiltrati, cioè sottratti ai target.

Una parte dei documenti e dei dati dalle vittime, una volta estratti, passavano da un servizio mail (sul dominio Gmx.com) per poi essere rimbalzati su un altro account mail del dominio Hostpenta.com.
Questo dominio – come anche Enasrl.com, collegato a Hostpenta - è presente nel codice del malware, sottolineano gli investigatori. Seguendo queste tracce dunque gli investigatori noteranno che Hostpenta è collegato a sua volta ad altri domini, che certo non passano inosservati: si chiamano Eyepyramid, Occhionero e Westland. E sono riconducibili a Giulio Occhionero, scrivono gli inquirenti.

L’identificativo lasciato nel codice
E veniamo al secondo filo. Nel codice infatti si trova anche un altro elemento interessante, un vero e proprio identificativo. EyePyramid incorpora una certa libreria software (MailBee), cioè un’insieme di funzioni predeterminate, che nello specifico l’attaccante usa per sottrarre i file tramite la posta elettronica. Si tratta di un software del tutto legale, commerciale, venduto dalla società americana Afterlogic. E come spiega lo stesso sito della società, quando si compra una licenza per questa libreria o una sua parte, si riceve una chiave permanente che permette di usare quei componenti per un periodo illimitato. E che di fatto va incorporata nel codice.

Ora, chi inizia a indagare si accorge che dal maggio 2010 al dicembre 2015 EyePyramid contiene questa chiave di licenza, sempre la stessa, con un univoco codice identificativo.
Per gli investigatori l’acquirente della licenza Mailbee corrisponde dunque a chi ha gestito e aggiornato il malware, almeno in quella finestra temporale. E tramite l’Fbi, gli investigatori avrebbero infine accertato che fu acquistata da Giulio Occhionero. La licenza è cambiata nel 2015 dopo che Mentat Solutions, che già aveva iniziato a stare sulle tracce del malware, ha domandato ad Afterlogic informazioni su quella chiave. La società americana “ha ritenuto di dover notiziare al riguardo al proprio cliente”, scrivono gli inquirenti. E questo probabilmente ha indotto un cambio di licenza.

Chi di trojan ferisce
Una volta individuato un sospettato, l’indagine ha aggiunto intercettazioni telefoniche, telematiche e anche, lo scorso ottobre, intercettazioni tramite captatore informatico, o agente intrusore. Insomma, sul pc dell’indagato è stato piazzato un trojan, esattamente come si ipotizza che facesse lui con le vittime. Analizzando il suo traffico internet in tutti questi modi, gli investigatori hanno visto che l’indagato si collegava a due server, uno in Minnesota e uno in Utah, ai cui indirizzi IP erano associati i domini che abbiamo visto in precedenza, collegati a Hostpenta, quello utilizzato dal malware. E sempre guardando i file che l’indagato sincronizzava dal server sul proprio pc, hanno trovato una serie di informazioni, come la cartella contenente una tabella con nomi, mail, domini web e password di vittime.

I dati esfiltrati
In questi dati ci sono dunque i 18mila username già citati in questi giorni, che sarebbero persone attenzionate dagli indagati, cioè oggetto di tentativi di infezione, riusciti o meno, inclusi account di domini istituzionali come Interno.it, Camera.it, Senato.it ecc. Gli username corredati effettivamente da password sono 1793. Molti gli account di cui non si è trovata traccia di password. Sono presenti un account Apple di Matteo Renzi e un account mail istituzionale di Mario Draghi. Come abbiamo già detto in un precedente articolo, la tabella in cui sono segnati riporta solo due date per ognuno (tra lo scorso giugno e luglio) che sembrano corrispondere a due tentativi di infezione attraverso l’invio di una mail. Ma le carte dell’inchiesta non dicono né che siano state rinvenute le corrispettive password né che le infezioni siano andate a buon fine. Tra l’altro gli account mail usati per inviare il malware sono abbastanza generici, e potrebbero facilmente odorare di spam.

Emersi solo alcuni dati
Cosa altro hanno trovato gli inquirenti analizzando il traffico dell’indagato mentre avrebbe mosso documenti dal cloud al suo pc? Un file contenente le credenziali di accesso a vari account email; file di testo con quanto carpito dal keylogger, cioè da una funzione del malware che registra quanto digitato dalla vittima, come indirizzi internet scritti nel browser, password, testi; elenchi dei contatti mail della vittima.

A questo punto va detta una cosa: gli inquirenti parlano di una enorme mole di dati e specificano che quanto hanno ricavato finora deriverebbe soprattutto dall’analisi del traffico dell’indagato, dai file prelevati dai server e scaricati sul suo pc. Dunque si tratterebbe di una minima parte di quanto effettivamente presente o accumulato negli anni. “Le informazioni che abbiamo finora sono certamente frammentarie e incomplete”, commenta al riguardo Corrado Giustozzi, esperto di sicurezza informatica per una delle strutture che si occupano del tema nella pubblica amministrazione, il Cert-Pa.

Ad ora sarebbero state sicuramente identificate 100 macchine compromesse, sparse tra una quindicina di studi legali e professionali, due società di recupero crediti, alcuni pc in enti locali (come la Regione Lazio), collaboratori del Cardinal Ravasi e un albergo del vicariato, tre società costruzioni, tre gruppi nella sanità, altre due aziende. Più una serie di politici e imprenditori. Il gruppo politici e business rinvenuto conterrebbe 674 account di cui 29 con password. Tra quelli di cui si dice esplicitamente che sarebbero presenti le password degli account email ci sarebbero, tra gli altri, Maurizio Scelli, Sergio De Gregorio, Stefano Caldoro, e funzionari o ex funzionari pubblici.

L’origine del malware
Gli inquirenti hanno trovate vittime infettate tra il marzo 2014 e l’agosto 2016. Tuttavia, dicono, ci sono cartelle create già nel 2012. Dunque quello ricevuto da Enav sarebbe la versione più recente di un malware usato da anni, addirittura dal 2008, specificano a un certo punto gli inquirenti, anche se non è chiaro come e perché si arrivi fino a questa data. E, sempre per gli investigatori, esisterebbe pure una versione del malware del 2010 che inviava i dati carpiti alle vittime a uno specifico indirizzo email, purge626@gmail.com, già saltato fuori nell’inchiesta sulla cosiddetta P4. “EyePyramid non è un malware sofisticatissimo ma tiene un basso profilo, per cui tende a passare inosservato, un po’ come i ransomware”, commenta ancora Giustozzi. “Probabilmente fatto in Italia. Ma l’operazione denota più bravura nell’ingegneria sociale, che nel software. Un lavoro a tempo pieno, di un ragno che tesse pazientemente la tela, cercando di far leva sulla fiducia o l’inesperienza delle persone”.

Gli analisti sulle sue tracce
Alla luce di tutto ciò assume particolare rilevanza il lavoro che in questi giorni, dopo l’uscita della notizia, stanno facendo vari ricercatori di sicurezza, impegnati a tracciare nel tempo le diverse versioni di EyePyramid (che, nelle versioni analizzate finora, colpirebbe Windows) e a studiarne il codice. I primi a twittare di aver trovato alcuni campioni del malware sono stati gli analisti della società di cybersicurezza ReaQta, che hanno trovato delle somiglianze nel codice con un vecchio worm, MSIL. Cribz. Un vecchio malware che inviava sue copie via allegato ai contatti mail in rubrica.

“Abbiamo individuato 5 campioni funzionanti di quello che sembra essere EyePyramid, il più vecchio del 2012, il più recente nel 2015, attraverso una analisi su fonti aperte, a partire dai domini registrati e gli IP usati”, commenta a La Stampa Alberto Pelliccione, Ceo di ReaQta. “Gran parte del codice serve ad acquisire mail, che è il principale canale di esfiltrazione, con configurazioni per i principali Isp (fornitori di servizi internet) italiani. Di sicuro c’è tanto codice dietro, tanto lavoro per una singola persona, o comunque un lavoro che ha richiesto tempo”.

Anche i ricercatori di TrendMicro si sono buttati subito sull’analisi di EyePyramid. E notano come, sebbene il codice alla base sia abbastanza grezzo, sia stato poi pesantemente offuscato, cioè reso difficile da analizzare. “Allo stato attuale non si può dire che ci sia un solo autore che ha fatto tutto, ma semmai che un autore lo ha modificato più volte”, commenta a La Stampa Federico Maggi, ricercatore di TrendMicro. “Nelle versioni più vecchie ci sono meno domini target, in quelle più recenti più domini”. Insomma, un virus cresciuto, aggiustato e arricchito nel tempo.

Attenzione però a dargli l’etichetta di APT, che sta per advanced persistent threat, minaccia persistente avanzata. Cioè ad indicarlo come una campagna di attacco di alto livello, sofisticata, come quelle condotte da soggetti statali o sponsorizzati da Stati (tipo gli hacker russi di Fancy Bear o Apt 28 per intenderci). Non chiamatelo Apt, twittava ieri un noto ricercatore di sicurezza, Pasquale Stirparo. “Colpisce via email, compromettendo soprattutto account privati o istituzionali, ma già aziende che avevano sistemi più completi di difesa lo individuavano”, commenta Stirparo alla Stampa. “Non è avanzato insomma e si basa su un vecchio malware. Non usa una infrastruttura avanzata. Chi lo gestiva ha commesso errori eclatanti”.

Degli errori scrive, sul suo blog, anche un altro noto ricercatore di sicurezza, Alessandro Tanasi. Alcuni li abbiamo già citati, come mettere nel codice il seriale identificativo della licenza comprata da lui stesso. Ma anche usare, nell’infrastruttura messa in piedi per ricevere i dati, dei domini registrati col suo vero nome, per quanto utilizzasse un servizio a pagamento che oscura i dati del registrante (i servizi di whois-privacy). Servizi che però se c’è un procedimento giudiziario, possono dare i dati, specie se stanno negli Usa. I gruppi cybercriminali spesso usano sistemi ben più avanzati per nascondersi, e prevedono tra le altre cose algoritmi che generano in continuazione domini diversi, i quali vivono anche solo per poche ore.

Dunque ricapitolando: la base software non molto avanzata, forse presa da altri o comprata chissà dove, poi rielaborata progressivamente, personalizzata e ingrandita, con alcuni errori grossolani nella visione d’insieme. Ma anche un malware che nelle sue varie versioni passa incolume negli anni, facendo vittime importanti. Dietro, un lavoro - più che sofisticato - metodico e certosino. Sono sempre le stesse persone ad averlo usato? Ce ne sono altre? È l’avventura megalomane e bislacca di uno o più individui? O un progetto più articolato? Gli inquirenti – come già detto - hanno ipotizzato un collegamento con l’inchiesta sulla cosiddetta P4, ma certo restano ancora molti gli interrogativi da chiarire.

Per ora si seguono tutte le tracce. Come ha fatto ieri un altro ricercatore, Gianfranco Tonello, che ha dichiarato di aver trovato una versione di EyePyramid, forse del 2010, al cui interno sarebbe presente l’account mail purge626@gmail.com, già citato e presente nell’ordinanza. Ma anche un altro account mail, tim11235@gmail.com, sbucato anche questo ai tempi dell’inchiesta P4. E mentre stiamo scrivendo Costin Raiu, ricercatore di punta della società Kaspersky, ha twittato di aver trovato 44 campioni di EyePyramid compilati solo fra 2014 e 2015. L’80 per cento delle vittime stava in Italia. Ma ce ne sarebbero alcune anche negli Emirati Arabi Uniti, in Germania, in Romania e altrove. Un anno di grande attività quindi per chi lo gestiva.