Non sono passati molti anni. Era il 2017 e per un breve lasso di tempo la storia che vede coinvolti i fratelli Giulio e Francesca Maria Occhionero occupò le cronache dei principali media italiani. Il 9 gennaio di quell’anno, infatti, la procura di Roma ordinò il loro arresto. L’accusa: aver esfiltrato grazie a un malware chiamato EyePyramid una mole difficilmente quantificabile di dati, violando sistemi informatici di decine di professionisti (molte vittime, per esempio, erano avvocati) ma soprattutto di molti centri nevralgici del nostro Paese, tra cui i ministeri degli Esteri, degli Interni, il Porto di Taranto, la Regione Lazio. Una lista lunga. L’operazione era stata portata avanti in sordina per un decennio, con un malware che veniva aggiornato e reso sempre più efficace. Ma come si arrivò ai fratelli Occhionero? È questa la parte più interessante dell’intera vicenda che, nonostante il silenzio che ora la circonda, non è ancora finita e riserva non pochi colpi di scena.

Tutto iniziò con una mail sospetta arrivata all’Enav

L’allarme scattò il 26 gennaio del 2016. Francesco Di Maio, il responsabile della sicurezza informatica di Enav, cioè l’Ente nazionale per l’assistenza al volo, ricevette una mail sospetta da un avvocato di sua conoscenza. Annusato il pericolo, Di Maio si rivolse a una società di cybersecurity esterna, la Mentat, chiedendo di verificare il contenuto di quella comunicazione. Il 19 febbraio successivo, la Mentat consegnò un report. Quella mail conteneva un malware. Era la prima volta che emergeva il nome EyePyramid, l’occhio della piramide. Si trattava di un virus in grado di esfiltrare dai dispositivi infettati documenti, contatti e di accedere e monitorare gli account di posta elettronica. Lo stesso virus che qualche anno prima – secondo il report – aveva sferrato attacchi anche a Eni.

Incaricato il tecnico Ramondino di supportare le indagini

Fu in questa fase che venne allertato il Cnaipic, la sezione della polizia postale che si occupa della tutela delle infrastrutture critiche. Il direttore, Ivano Gabrielli, incaricò Federico Ramondino, uno dei tecnici della Mentat, di supportare le indagini iniziali e scoprire chi si nascondeva dietro quegli attacchi informatici. Una frenetica attività investigativa portò gli inquirenti negli Stati Uniti, a bussare alla porta della società AfterLogic. Lì era stata comprata la licenza di una delle componenti del malware. L’acquirente risultava essere un ingegnere nucleare: Giulio Occhionero. Scavando nella sua vita, gli investigatori scoprirono che l’ingegnere e sua sorella erano titolari di società di investimenti, alcune delle quali operanti in paradisi fiscali come le isole Turks & Caicos e l’isola di Man.

L’ombra della massoneria e i sospetti su livelli superiori

Partirono le intercettazioni telefoniche e fu tra il dicembre 2016 e il gennaio 2017 che sul fronte delle indagini avvenne una spaccatura. Roberto Di Legami, allora direttore del servizio di polizia postale e telecomunicazioni di Roma, ma con alle spalle una lunga esperienza di indagini delicate su criminalità organizzata e apparati deviati, voleva scavare più a fondo, o meglio, arrivare al livello più alto. Di Legami era infatti convinto che dietro i fratelli Occhionero vi fosse qualcuno, un committente. Lo sosteneva nel 2016 e lo ha ribadito nel 2022 durante un’udienza del filone perugino di questa storia, quando ha ricordato il suo ammonimento a Ivano Gabrielli: «Dobbiamo raggiungere il tetto, perché una cosa non sopporterei, che mi si venisse a dire, essendoci massoni nel mezzo, che ci siamo fermati […] o che siamo stati così idioti da non riuscire a capire per chi lavorano […]».

Di Legami rimosso dall’allora capo della polizia Gabrielli

In effetti, all’epoca Giulio Occhionero risultava essere Maestro venerabile della loggia “Paolo Ungari – Nicola Ricciotti Pensiero e Azione” di Roma. Il monito di Di Legami passò inosservato per necessità: l’ingegnere sotto indagine – che ufficialmente ignorava di esserlo – iniziò a ripulire i computer. Il 9 gennaio del 2017, su ordine del magistrato della procura di Roma Eugenio Albamonte, scattarono gli arresti. Il giorno dopo Roberto Di Legami venne rimosso dall’incarico dall’allora capo della polizia Franco Gabrielli con l’accusa di non aver avvisato la scala gerarchica dell’imminente arresto degli Occhionero.

L’ipotesi di complotto internazionale che arriva fino a Trump e al Russiagate

Giulio e Francesca Maria Occhionero vennero condannati in primo grado rispettivamente a cinque e quattro anni di reclusione, ma, dopo una breve pena detentiva in carcere, nel 2018 sono stati liberati. Mentre cominciavano a emergere i dettagli sulla portata gigantesca dell’operazione di cyberspionaggio, i due fratelli passarono al contrattacco gridando al complotto internazionale. Secondo la versione dei fatti che portarono avanti, la persecuzione nei loro confronti sarebbe stata legata nientemeno che al Russiagate, lo scandalo che proprio in quel periodo investiva il tycoon Donald Trump, allora presidente degli Stati Uniti accusato di aver avuto rapporti con l’intelligence russa. In quanto molto legati ad ambienti Repubblicani d’Oltreoceano – Francesca Maria Occhionero era cittadina statunitense e gli stessi server su cui sarebbero finiti i dati esfiltrati erano in territorio americano, ma il condizionale è d’obbligo perché sono stati sequestrati dall’Fbi -, i due si sentivano dei perseguitati politici e denunciarono il magistrato romano e alcuni membri del Cnaipic, compreso il direttore Ivano Gabrielli. Nel tritacarne finì anche il tecnico della Mentat Federico Ramondino. Essendo coinvolto un magistrato della procura di Roma, per competenza il nuovo procedimento si aprì a Perugia. E qui cominciò il bello.

Processo all’hacker: l’attenzione sull’anello debole della vicenda

In udienza preliminare Eugenio Albamonte, Ivano Gabrielli e i membri del Cnaipic sono stati prosciolti e allora tutta l’attenzione si è spostata sull’elemento più debole di questa vicenda, Ramondino, che su incarico del Cnaipic e della Procura di Roma aveva lavorato per neutralizzare la minaccia rappresentata da EyePyramid. Il processo è entrato nel vivo nella seconda metà del 2022 e prosegue ancora oggi con udienze piuttosto ravvicinate dove, nell’indifferenza dei media, si assiste a una vicenda dai contorni kafkiani.

Analisi del malware troppo approfondita: Ramondino ne era già a conoscenza?

L’obiettivo dell’accusa, rappresentata dal pubblico ministero Gemma Miliani, nota per le indagini su Luca Palamara, sembrerebbe quello di voler attribuire a Federico Ramondino la paternità del malware e, di conseguenza, la vasta operazione di cyberspionaggio. Un obiettivo trapelato con estrema chiarezza nel corso dell’udienza del 22 novembre 2023, quando il consulente tecnico dell’accusa, Giovanni Nazzaro, ha in particolare espresso dubbi sui tempi di consegna del report a Enav. Come a dire: un’analisi del malware così approfondita in così poco tempo non può che essere frutto di una conoscenza pregressa dello stesso. Ramondino – ovviamente – non ci sta a passare per doppio, se non triplo giochista e il 20 dicembre 2023 si difenderà tramite l’avvocato Mario Bernardo rispondendo punto su punto alla consulenza che lo dipinge come un criminale informatico. E i fratelli Occhionero? Che ruolo hanno in questo filone perugino?

Saluti da Abu Dhabi: il trasferimento di Occhionero negli Emirati

In attesa del processo di appello a Roma, Giulio Occhionero – nel frattempo, caso più unico che raro, radiato dalla massoneria – si è trasferito e lavora da diverso tempo ad Abu Dhabi. Lì dove, secondo voci di corridoio, starebbe pensando di spostarsi anche sua sorella. Quello che lascia perplessi è il suo comportamento in occasione di questo processo che – giova ricordarlo – è nato da una sua denuncia. Nonostante i numerosi inviti a comparire in aula, non si è mai presentato. E, a quanto sembra, non ha alcuna intenzione di farlo. Il 20 dicembre è atteso per portare la sua testimonianza, ma – come appreso nel corso dell’ultima udienza – gli impegni di lavoro lo tratterranno negli Emirati Arabi Uniti.

Mail avvelenate spedite alla procura di Perugia

La sua proposta di essere sentito a distanza – più volte reiterata attraverso i suoi avvocati – è stata di volta in volta respinta dalla giudice Sonia Grassi che ritiene inconsistenti le motivazioni addotte da Occhionero. Ma c’è un altro dettaglio che denota da un lato la personalità di Giulio Occhionero e, dall’altro, il clima che pervade questo processo: già nel 2018, attraverso un’istanza, Giulio Occhionero si era lamentato del consulente tecnico scelto dalla pm Miliani, sostenendo che «tutto mi induce a ritenere che il consulente Nazzaro non abbia improntato il proprio lavoro su criteri tecnicamente idonei a rappresentare alla procura una opportuna completezza di informazioni per approdare a conclusioni ragionate e per quanto possibile obiettive», e accusandolo di aver «ampiamente fiancheggiato» il pm romano Eugenio Albamonte nelle «attività oggetto di indagine» e di aver collaborato proprio nel 2017 con il Cnaipic. Ma non solo. Da quanto appreso il 22 novembre 2023 in aula, Giulio Occhionero dalla calda Abu Dhabi avrebbe inviato una mail avvelenata alla procura di Perugia, lamentando la totale mancanza di acume investigativo e l’inconsistenza delle forze messe in campo. Evidentemente tenere sulla graticola il solo Federico Ramondino gli sembra troppo poco.

C’era davvero qualcuno coinvolto in alto? To be continued…

In attesa della prossima udienza a Perugia, restano aperti i tanti interrogativi che avvolgono questa vicenda e che saranno oggetto del processo di appello a carico dei fratelli Occhionero. Primo fra tutti: dove sono finiti i dati esfiltrati? A cosa sono serviti? È stato tutto frutto di un’iniziativa personale o davvero, come sostiene Roberto Di Legami, c’è un livello superiore?