La fortezza e lo spyware
Lockdown Mode, spyware italiano e un bug che dorme nel codice: la sicurezza Apple come architettura.
Nessun iPhone con Lockdown Mode attiva è mai stato violato. Mai. In otto anni, zero attacchi riusciti. Lo conferma Apple. Lo confermano Amnesty International e Citizen Lab. Lo conferma il malware Pegasus, che abortisce l'infezione quando lo rileva. Intanto a Cantù, in Brianza, un'azienda vende spyware a centocinquanta euro al giorno. Dentro il codice di macOS, un contatore continua a salire e dopo quarantanove giorni inciampa. A Cupertino, Apple si siede a un tavolo con i suoi più grandi rivali per scovare bug invisibili da decenni. La sicurezza, quella vera, non è un toggle nelle impostazioni. È un'architettura. E si manifesta dove meno te la aspetti.
C'è una funzione nell'iPhone che quasi nessuno usa. Non perché sia nascosta: è nelle Impostazioni, sotto Privacy e Sicurezza. Non perché sia inutile: è probabilmente la più utile di tutte. Nessuno la usa perché è scomoda. Si chiama Lockdown Mode, ed è l'unica feature di Apple con un track record perfetto.
Attivala, e il tuo iPhone diventa una fortezza. JavaScript limitato in Safari. Allegati bloccati in Messaggi. Inviti FaceTime accettati solo da contatti conosciuti. Connessioni cablate disabilitate con dispositivi sconosciuti. Profili di configurazione rifiutati. È un iPhone amputato: meno comodo, meno funzionale, meno "smart". Ma inviolabile.
Apple ha fatto una dichiarazione che nel mondo della sicurezza informatica equivale a piantare una bandiera sulla luna: «Non abbiamo nessun record di attacco spyware riuscito su un dispositivo con Lockdown Mode attiva.» Non "quasi nessuno". Non "nella maggior parte dei casi". Zero.
Amnesty International lo conferma. Citizen Lab, il laboratorio dell'Università di Toronto che da anni traccia lo spyware governativo, ha documentato almeno due casi in cui Lockdown Mode ha bloccato attivamente Pegasus, il malware dell'israeliana NSO Group usato per spiare giornalisti, attivisti e capi di stato. Non ha mitigato l'attacco. Lo ha fermato.
Il dato più eloquente viene da Google. Il Project Zero, che analizza gli exploit zero-day, ha scoperto che alcuni spyware sono programmati per abortire l'infezione quando rilevano Lockdown Mode. Non provano nemmeno. Il costo di un tentativo fallito, che rivelerebbe l'exploit alla vittima e ai ricercatori, è troppo alto rispetto alla probabilità di successo: che è zero.
Patrick Wardle, ex analista della NSA e uno dei ricercatori di sicurezza più rispettati al mondo, l'ha definita «la funzionalità di hardening consumer più aggressiva mai rilasciata». Consumer. Non enterprise, non militare: consumer. Un toggle nelle impostazioni di un telefono che rende quel telefono impermeabile allo spyware più avanzato del pianeta.
Da sviluppatore, la cosa che mi colpisce non è il risultato: è l'architettura. Lockdown Mode non funziona perché è intelligente. Funziona perché è stupida. Toglie funzionalità. Riduce la superficie di attacco tagliando tutto quello che non è essenziale. È l'opposto della filosofia "aggiungiamo feature" che guida il resto di iOS. Sottrazione pura. Ogni feature che aggiungi è una porta che qualcuno potrebbe aprire. Lockdown Mode chiude le porte. Tutte.
Otto anni. Zero violazioni. Il punteggio parla da solo.
Il made in Italy che non ti aspetti#
Se Lockdown Mode è il muro, quello che sta dall'altra parte del muro ha un indirizzo preciso. Non Tel Aviv, non Pechino. Cantù. Ventimila abitanti. Famosa per i mobili artigianali e la pallacanestro. Ed è lì che ha sede SIO S.p.A., fondata nel 1992, trentatré anni di attività, fornitore di "soluzioni di cyber intelligence per forze dell'ordine e agenzie governative".
La sussidiaria operativa si chiama Asigint. Il suo prodotto si chiama Spyrtacus. I ricercatori di Lookout l'hanno trovato nel codice sorgente. Le capacità: furto di SMS, chat, registri chiamate, liste contatti. Registrazione audio ambientale. Cattura di immagini dalle fotocamere. Funziona su Android, con versioni trovate per Windows e, secondo Kaspersky, indizi di versioni per iOS e macOS.
Questa primavera Asigint ha costruito una copia di WhatsApp: stessa icona, stessa interfaccia, stesse funzioni apparenti. L'ha distribuita a circa duecento persone, quasi tutte italiane. Il link arrivava spesso attraverso il provider telefonico della vittima: un messaggio che sembrava un aggiornamento, un tocco, e il telefono diventava un microfono aperto. Meta ha scoperto l'operazione e ha inviato una diffida legale formale.
Non è un exploit sofisticato. Non è un attacco zero-day. È social engineering: ti faccio credere che questa è l'app che conosci, tu la installi da un link fuori dall'App Store, e io ti ascolto. L'arma più antica del mondo: la fiducia tradita, vestita con un'icona verde.
Ma Cantù non è un caso isolato; al contrario, è solo un punto su una mappa.
L'Atlantic Council, nel report Mythical Beasts, ha analizzato quarantadue paesi. La conclusione sull'Italia: «il più longevo ecosistema spyware continuo» tra tutti i paesi studiati. Sei aziende principali, più decine di realtà minori. Un'industria strutturata che esiste da prima dell'iPhone, da prima di WhatsApp, da prima che la parola "spyware" entrasse nel vocabolario comune.
Milano, 2003. Hacking Team sviluppa il suo Remote Control System, venduto a numerose agenzie governative, tra cui anche organismi statunitensi e governi come Etiopia, Bahrein e Sudan. Nel 2015 un hacker anonimo, noto come Phineas Fisher, pubblica circa quattrocento gigabyte di dati interni, rivelando nel dettaglio clienti e attività dell’azienda. Tra i contratti emersi figura anche quello con il Sudan, per cifre nell’ordine delle centinaia di migliaia di euro.
Negli anni successivi, in Italia operano diverse aziende nel settore della sorveglianza digitale. RCS Lab è collegata allo sviluppo dello spyware Hermit, emerso nel 2022 grazie ad analisi tecniche indipendenti, con utilizzi attribuiti ad autorità statali; alcune ricostruzioni giornalistiche suggeriscono rapporti operativi stretti con ambienti giudiziari, ma i dettagli su presenze fisiche o accessi diretti ai sistemi non risultano confermati pubblicamente.
A Catanzaro, il caso Exodus porta alla luce l’uso improprio di strumenti di intercettazione, con il coinvolgimento di soggetti non indagati, come accertato da indagini giudiziarie.
Nel frattempo, Cy4Gate si afferma come società italiana attiva nella cyber intelligence, quotata in borsa e coinvolta in programmi e collaborazioni anche in ambito europeo e internazionale, inclusi contesti NATO.
C'è un numero che rende tutto questo ancora più concreto. Dal dicembre 2022, il Ministero della Giustizia italiano ha fissato il prezzo del noleggio degli spyware: centocinquanta euro al giorno. Indipendentemente dal vendor ed indipendentemente dal target. Il costo di una cena per due in un ristorante decente, per un giorno intero di sorveglianza totale.
Il framework legale che supporta tutto questo esiste. Si chiama captatore informatico. Un trojan di stato, in pratica, previsto dal Codice di Procedura Penale. A centocinquanta euro al giorno, lo spyware è accessibile ad una gamma molto più ampia di enti rispetto a qualsiasi altro paese europeo. Non solo i servizi di intelligence. Non solo le grandi procure antimafia. Il sistema è lì, strutturato e con un listino prezzi.
I giornalisti#
Ed è qui che l'industria italiana dello spyware incrocia qualcosa di più grande di sé stessa.
Nel gennaio 2025, WhatsApp notifica circa novanta account presi di mira con Graphite, lo spyware di Paragon Solutions. Tra le vittime confermate dal Citizen Lab: Francesco Cancellato, direttore di Fanpage.it. Ciro Pellegrino, capo della redazione di Napoli di Fanpage. Luca Casarini, fondatore di Mediterranea Saving Humans. David Yambio, fondatore di Refugees in Libya.
Giornalisti ed attivisti del salvataggio in mare. Spiati con autorizzazione dei servizi di intelligence italiani per "sospetti legami con la migrazione irregolare". Non per terrorismo e neanche per mafia: per aver salvato persone in mare e averci scritto sopra degli articoli.
Cancellato, intervistato dopo la conferma, ha detto: «Mi sento violato.»
Amnesty International ha definito la situazione «una crisi dello spyware in Europa». Il Parlamento Europeo, attraverso il Comitato PEGA, ha trovato che Italia, Grecia, Ungheria e Spagna hanno «convogliato milioni di euro dei contribuenti» per sostenere l'industria dello spyware.
Ma c'è un dettaglio tecnico che nessuno sottolinea abbastanza:
lo spyware di Asigint non è entrato dall'App Store.
È entrato da fuori, attraverso un link, probabilmente un certificato enterprise o un profilo MDM. L'App Store non è perfetto. La review è lenta, le regole sono arbitrarie, la commissione del trenta percento è eccessiva. Ma nessuno dei duecento italiani spiati ha scaricato Spyrtacus dall'App Store. Tutti l'hanno preso da fuori.
Il muro del giardino recintato di Apple ha molti difetti, ma tiene fuori gli spyware di Cantù.
Quarantanove giorni#
Ma il nemico non è sempre fuori. A volte dorme dentro, in righe di codice che nessuno ha più motivo di rileggere.
Questa primavera è tornato alla luce un bug in macOS: un contatore di sistema che, dopo esattamente quarantanove giorni di accensione, va in overflow. Quando capita, il Mac si pianta. Non è una vulnerabilità sfruttabile da uno spyware, non è un exploit zero-day. È un intero a trentadue bit che raggiunge il suo massimo — 2³² millisecondi, che tradotti fanno circa quarantanove giorni e diciassette ore — e ciclando mette in ginocchio il sistema. Ne abbiamo parlato a lungo in una puntata dedicata.
Un bug così sopravvive perché è invisibile. Nessuno tiene un Mac acceso per quarantanove giorni consecutivi. Nessun test automatico lo intercetta, perché nessun reviewer pensa a un uptime di quel tipo. È il difetto che si nasconde non dietro una complessità sofisticata, ma dietro un'assunzione banale: che il caso limite non si presenti mai.
Lockdown Mode protegge dall'esterno. Ma dentro il sistema, le crepe aspettano pazienti, qualcuna da decenni.
Vetro e codice#
E poi c'è il fatto più inaspettato di tutti: una coalizione di nemici giurati.
Anthropic, la società dietro Claude, ha annunciato Project Glasswing: un'iniziativa di cybersecurity che mette insieme Apple, Google, Microsoft, Amazon Web Services e oltre quaranta organizzazioni che sviluppano software critico. Il cuore del progetto è un modello AI chiamato Mythos, una versione specializzata di Claude costruita esclusivamente per trovare vulnerabilità di sicurezza nel codice. I risultati preliminari: migliaia di vulnerabilità ad alta gravità scoperte in tutti i principali sistemi operativi e browser web. Alcune erano presenti da decenni, invisibili alla revisione umana, nascoste nella complessità di codebase da milioni di righe.
Apple, Google e Microsoft che lavorano insieme. Sulla sicurezza. Con Anthropic come collante. Queste aziende si fanno causa a vicenda, competono su ogni fronte, si rubano i dipendenti e poi si siedono allo stesso tavolo per trovare bug che nessuno di loro, da solo, riesce a trovare.
C'è un pragmatismo in questa collaborazione che racconta qualcosa del momento. Le minacce alla sicurezza, gli spyware come quelli italiani, i vettori d'attacco che sfruttano l'AI, sono diventate abbastanza gravi da superare la rivalità commerciale. Project Glasswing non è altruismo. È la consapevolezza condivisa che un bug in WebKit non minaccia solo Apple: minaccia l'intero ecosistema.
Il nome stesso, Glasswing, è una dichiarazione: la farfalla glasswing ha ali trasparenti. La sicurezza migliore è quella che non ha nulla da nascondere. Il codice viene analizzato da un'AI che legge senza stancarsi e senza dare per scontato che un modulo vecchio sia un modulo sicuro. Lockdown Mode protegge togliendo. Glasswing protegge vedendo.
L'architettura invisibile#
Quattro storie. Un toggle nelle impostazioni. Un'azienda di Cantù. Un contatore che inciampa dopo quarantanove giorni. Un consorzio di rivali.
Nessuna di queste storie era nella roadmap. Nessuna era nel keynote. Nessuna sarà nella prossima pubblicità di Apple. Eppure raccontano più dell'azienda, e del momento, di qualsiasi rumor sull'iPhone Fold o speculazione su iOS 27.
Il filo che le collega è una parola che Apple non usa quasi mai nel marketing: architettura. Lockdown Mode è un'architettura di sottrazione. Gli spyware italiani esistono perché tutto intorno è architettura di stratificazione, cioè il contrario. Il bug dei quarantanove giorni è un'architettura con una crepa dormiente, che nessun occhio umano aveva motivo di cercare. Project Glasswing è un'architettura di trasparenza collettiva. Sono tutti modi diversi di dire la stessa cosa: la sicurezza non è una feature che si accende o si spegne. È il modo in cui il prodotto è stato costruito dal primo giorno, e il modo in cui continua a essere riletto.
L'industria italiana dello spyware esiste perché la sicurezza della maggior parte dei sistemi è un'aggiunta, uno strato, una toppa. Si entra da un link, da un profilo MDM, da un certificato enterprise. Si entra da fuori. Il giardino recintato di Apple, con tutti i suoi difetti, i suoi costi, le sue regole arbitrarie, funziona perché non è uno strato: è la struttura.
Ma nessuna struttura è completa. Il bug dei quarantanove giorni lo ricorda senza bisogno di spiegazioni: dentro un'architettura fatta bene, una riga scritta trent'anni fa può ancora tradire. Ecco perché Glasswing esiste. Ecco perché i rivali si siedono allo stesso tavolo. Le mura si costruiscono rileggendo il codice, non solo sorvegliando chi bussa alla porta.
Centocinquanta euro al giorno per spiare un cittadino italiano. Zero euro per attivare Lockdown Mode. Otto anni, zero violazioni. Quarantanove giorni prima che un contatore tradisse. Le cifre non raccontano la stessa storia: raccontano la stessa architettura da angoli diversi.
La sicurezza secondo Apple non è una promessa. È un'architettura. E come tutte le architetture fatte bene, la riconosci dal fatto che non la vedi. La vedi solo quando manca.