Cinese in cella in Italia: «Spiò dati Covid»

Xu Zewei è in carcere a Busto Arsizio, accusato dagli Usa di aver violato i sistemi informatici americani durante la pandemia. Un giudice federale texano chiede l’estradizione, Pechino si oppone. L’imputato parla invece di scambio di persona. La storia di Xu Zewei, trentatreenne cittadino cinese arrestato a Malpensa lo scorso 3 luglio, sembra uscita da un romanzo di spionaggio, ma si consuma tra i corridoi delle aule giudiziarie di Milano e le stanze del dipartimento di Giustizia americano. Mercoledì 1 ottobre si è svolta l'udienza al Tribunale del capoluogo lombardo, dove il sostituto procuratore Generale presso la Corte d’Appello di Milano, Giulio Benedetti, ha confermato la richiesta (già depositata in data 13 agosto 2025) di «deliberare favorevolmente per l’estradizione verso gli Stati Uniti d’America» del detenuto, disponendo, contestualmente, il «sequestro di eventuali corpi di reato e cose pertinenti i reati per i quali è stata domandata l’estradizione».La Corte si è riservata e ha tempo sei mesi per decidere.Xu, nel frattempo, continuerà ad essere detenuto nel carcere di Busto Arsizio, in provincia di Varese.Riassumiamo la vicenda, degna di un libro giallo.Atterrato in Italia con la moglie per un viaggio di piacere nel luglio scorso, si è ritrovato ammanettato dagli agenti della Polizia postale in esecuzione di un mandato d’arresto internazionale partito dall'ufficio dell'Fbi di Houston.Per gli Stati Uniti, Xu sarebbe uno degli ingranaggi della grande macchina di cyber-spionaggio che, tra il 2020 e il 2021, avrebbe colpito università, laboratori e centri di ricerca a stelle e strisce per carpire informazioni riservate su vaccini e terapie anti-Covid.Non un hacker qualsiasi, ma un presunto collaboratore dello Shanghai State security bureau (Sssb), i servizi segreti del ministero della Sicurezza di Stato cinese, accusato di aver partecipato alla campagna denominata «Hafnium» (che è stata condannata anche dall'Unione europea, dal Regno Unito e dalla Nato), con la quale sarebbero state sfruttate le vulnerabilità di Microsoft per penetrare migliaia di server in tutto il mondo.A detta dell’Fbi, proprio nei mesi in cui il pianeta era flagellato dal virus e scienziati e medici lavoravano febbrilmente a farmaci e cure, Xu e altri avrebbero sottratto (o tentato di farlo) dati vitali: le sequenze genetiche del virus, i protocolli di sperimentazione, i dossier riservati su vaccini e terapie.I federali americani hanno individuato quattro presunti colpevoli dell’attacco: Xu, un altro smanettone, Zhang Yu, entrambi impiegati in società tecnologiche cinesi (Zewei era direttore generale di Shanghai powerock network), e due 007 non identificati con nome e battezzati «funzionario 1» e «funzionario 2», i quali avrebbero guidato l’operazione che ha portato all’intrusione in tre università e in uno studio legale. Nei documenti allegati alla richiesta di estradizione si legge: «Dalla fine del 2020 i cospiratori hanno sfruttato alcunevulnerabilità del Microsoft Exchange server, un prodotto Microsoft per la gestione della posta elettronica, per colpire uno studio legale e altri soggetti in possesso di informazioni sulle politiche e sui responsabili politici del Governo statunitense. Mesi dopo, in una relazione del 2 marzo 2021,Microsoft ha pubblicamente reso nota una campagna di intrusione portata avanti da hacker sponsorizzati dallo stato cinese e operanti dalla Cina, un gruppo che Microsoft ha chiamato “Hafnium”, che ha sfruttato le stesse vulnerabilità del Microsoft Exchange server (un servizio di messaggistica, ndr)».Il mandato di arresto è stato emesso a fine 2023 dal Tribunale del Distretto Sud del Texas e i reati contestati sono l’associazione per delinquere finalizzata a causare danni a, e ad ottenere informazioni mediante accesso non autorizzato a, computer protetti, la truffa telematica, il furto d’identità aggravato, l’accesso abusivo a sistemi informatici e il danneggiamento intenzionale di computer protetti.Gli agenti della Fbi, nella richiesta di estradizione, hanno inserito una cronologia molto dettagliata delle mosse che avrebbe fatto la presunta banda. Per esempio, nel primo capo di accusa si leggono passaggi come questo: «Il 17 febbraio 2020, Xu e Zhang hanno parlato di una certa notavulnerabilità di elaboratori elettronici […] il 19 febbraio 2020, Xu ha fornito al funzionario 2 conferma che aveva ottenuto l’accesso al Vpn dell’università […] il 19 febbraio, Zhang ha comunicato a Xu informazioniriguardo il Vpn della Università 1. Zhang ha anche fornito a Xu un elenco dei nomi utente degli account per i dipendenti dell’università […] il 20 febbraio il funzionario 1 ha dato istruzioni a Xu di mirare agli account email della Università 1». E via così per molte pagine. Il pedinamento virtuale sembra essere stato molto puntuale. In un breve riepilogo dei fatti viene spiegato come sia stato possibile risalire a Xu. In un account a lui riconducibile hanno trovato comunicazioni tra l’informatico cinese e i suoi presunti complici «riguardanti l’esecuzione di intrusioni informatiche e l’individuazione di vittime e informazioni da colpire». Nella rete sarebbe finite anche «immagini condivise che identificavano vittime e attività di hacking». In una di queste «immagini» era contenuto «l’elenco degli utenti dipendenti» di uno degli atenei sotto tiro. Infine, gli investigatori avrebbero raccolto una comunicazione tra Xu e Zhang in cui il primo «confermava di avere compromesso la rete informatica di un’università texana, da lui indicata per nome». Per il giudice federale Peter Bray esisterebbe «un grave pericolo di fuga». La tesi accusatoria sembra immaginata da John Le Carrè: Pechino, il cattivo della trama, sarebbe il regista occulto di una guerra cibernetica per il controllo delle conoscenze scientifiche, Washington la vittima da risarcire, l’Europa, come sempre, l’attore non protagonista, il campo neutro dove si gioca la partita dell’intelligence globale.Ma la scena in cui si muove Xu è molto più prosaica: una cella del carcere di Busto Arsizio.Davanti alla Corte d’Appello di Milano si è discussa l’ammissibilità della sua estradizione negli Stati Uniti: se sarà concessa, toccherà poi al ministro della Giustizia Carlo Nordio dare il via libera politico alla consegna; se sarà negata, il giovane potrà riacquistare la libertà.Nel frattempo, la difesa ha tracciato una linea netta: «Non aveva motivo per compiere ciò che gli viene contestato», ha detto l’avvocato Enrico Giarda.Xu, davanti alla giudice Veronica Tallarida, ha parlato di «scambio di persona» e di «identità rubata».«Qualcuno potrebbe aver violato e usato il mio account. Nel 2019-2020 mi sparì un telefono, che motivo avrei avuto per fare spionaggio usando un account col mio nome e cognome?», ha dichiarato con tono incredulo il giovane informatico.Giarda ha rincarato: «Il suo è un nome molto comune in Cina. Nessuno farebbe spionaggio utilizzando il proprio account anagrafico. Occorre leggere gli atti per capire come l’Fbi sia arrivata a lui. Lo scambio di persona è un’ipotesi che non possiamo escludere». Anche se nella convalida del fermo le nostre autorità hanno scritto che «risultano in atti sufficienti elementi di identificazione del soggetto richiesto in consegna» e gli americani hanno individuato Xu dalle informazioni presenti su un suo «account di comunicazioni elettroniche» e, nella richiesta di estradizione, hanno indicato il numero di passaporto.La moglie dell’uomo, un’insegnante di matematica, ha scelto di restare in Italia per stargli accanto: ha chiesto il prolungamento del visto, il permesso di visitarlo in carcere e ha affidato la figlia di 7 mesi ai nonni, che si trovano in Cina. «Sono spaesati», ha confidato Giarda. «Sono arrivati da lontano per un viaggio di piacere, si sono ritrovati separati e lui in una casa circondariale con accuse difficili persino da comprendere. Devono metabolizzare questa situazione inaspettata».Anche il consolato cinese di Milano ha chiesto e ottenuto di incontrare Xu, segno che la vicenda non passa inosservata neppure a Pechino. La difesa, intanto, insiste su alcuni punti: la mancata traduzione degli atti essenziali in lingua cinese, che renderebbe nulla la procedura; la discrepanza sulla sua carriera lavorativa (i documenti fiscali lo collocano in aziende diverse da quelle citate dagli Usa); la fragilità psichica documentata, con segnali di depressione e di pensieri autolesionistici; e soprattutto il rischio che, una volta consegnato, venga perseguito non più per frode informatica, ma, denuncia la difesa, per spionaggio «politico», in violazione del divieto di estradizione per questo tipo di reati sancito dal nostro ordinamento.Il caso Xu riapre una vecchia ferita: la vulnerabilità delle democrazie occidentali durante i mesi più bui della pandemia. A Washington, la memoria di quelle intrusioni informatiche non è mai sbiadita: per l’Fbi, dietro agli attacchi c’era la longa manus del Partito comunista cinese, determinato a garantirsi un vantaggio nella corsa ai vaccini.Portare un imputato in carne e ossa davanti a una Corte federale americana, anche a distanza di cinque anni, significherebbe dare un volto a quell’offensiva invisibile, trasformare un capitolo oscuro di cyberspionaggio in un processo penale. E mandare al mondo il messaggio che nessuno, neppure nascosto dietro uno schermo a migliaia di chilometri di distanza, è al riparo dall’azione giudiziaria americana.