Il fatto risale a quattro giorni fa ma è venuto alla luce solo oggi, quando è stata fissata l’udienza per l’estradizione negli Stati Uniti.
Eppure quella di Zewei Xu, cittadino cinese di 33 anni arrestato all’aeroporto italiano di Malpensa il 3 luglio scorso, non è una semplice notizia di cronaca. Né una storia lineare di un uomo accusato di crimini contro gli Usa. 
Nel suo fascicolo ci sono una intricata vicenda di spionaggio internazionale informatico, gli anni bui del Covid e delle ricerche per una cura. Ovvero degli studi su vaccini per fermare la pandemia. E c’è un nome preciso, Hafnium. Che rievoca una campagna di hackeraggio da sempre attribuita al governo cinese, a quei tempi sotto pressione globale per aver dato inizio sul proprio territorio alla diffusione del virus Sars-Cov-2 facendo scattare gli alert con settimane di ritardo.
Prima di tutto i fatti. Zewei Xu è atterrato in compagnia della moglie con un aereo proveniente da Shanghai il 3 luglio scorso alle ore 8 circa a Malpensa, in Lombardia. Ad attenderlo, avvertiti dall’Ambasciata americana, c’erano gli agenti del Servizio per la Cooperazione internazionale di polizia della Direzione centrale del Ministero dell’Interno. Il cinese è stato arrestato in esecuzione di un mandato di cattura internazionale, disposto dopo un’indagine dell’Fbi.
Cittadino cinese arrestato, le accuse da parte degli Usa
L’intelligence a stelle e strisce lo accusa di fare parte di un team di hacker che si sarebbe introdotto nel sistema informatico americano. Secondo le comunicazioni arrivate agli investigatori italiani, il cittadino cinese, che attualmente è rinchiuso nel carcere di Busto Arstizio userebbe due alias: Zavier Xu e David Xu. “In attesa di comprendere meglio il contesto di questa vicenda, posso solo dire che appare abbastanza fumosa, fumosa così come le accuse”, ha spiegato Enrico Giarda, legale del 33enne.
Domani mattina si terrà l’udienza a Milano nella quale si dovrebbe prendere atto del “no” dell’arrestato alla richiesta di estradizione degli Stati Uniti. La Procura generale di Milano dovrà ricevere e valutare nelle prossime settimane tutti gli atti d’accusa. La Pg, diretta da Francesca Nanni, prima di formulare la propria requisitoria sulla richiesta degli Usa, riceverà quindi il fascicolo e la stessa istanza da oltreoceano. 
Il Tribunaledegli Stati Uniti per il Distretto meridionale del Texas ha emesso il mandato internazionale il 2 novembre 2023, accusando Xu di frode telematica, associazione a delinquere finalizzata alla frode telematica, accesso non autorizzato a computer protetti e furto d’identità aggravato. Se condannato, rischia pene multiple, da due a venti anni di prigione.
La giudice Veronica Tallarida della V Corte d’appello penale di Milano ha convalidato l’arresto il 4 luglio, adducendo un rischio concreto di fuga. E sottolineando che Xu era appena arrivato in Italia e che non aveva alcun legame con il Paese. Il telefono cellulare di Xu è stato sequestrato per ulteriori indagini sulle presunte attività informatiche.
Chi è davvero Zewei Xu, manager, marito, papà
Ma chi è davvero Zewei Xu? Sulla carta si tratta di un tecnico informatico, sposato con una figlia di sette mesi. Stando a quanto raccontato dalla moglie, insegnante di matematica in Cina, erano giunti in Italia per una breve vacanza di otto giorni, lasciando la piccola ai genitori di lei. Zewei Xu risulterebbe incensurato secondo la donna. Ma le autorità di Washington, come abbiamo visto, lo hanno già rinviato a giudizio. Dunque, qualora venisse estradato, il 33enne dovrà affrontare un processo.
“Siamo una famiglia felice. – ha detto la donna agli investigatori italiani, che ha incontrato il marito per un colloquio dopo una specifica autorizzazione – Non riesco a capire il motivo per cui mio marito sia stato arrestato. Mio marito ha anche dei problemi psicologici. E il suo trasferimento in America potrebbe pregiudicare la sua salute. Se servisse potrei presentare documentazione medica a riguardo“. Gli Stati Uniti, però, ritengono l’uomo coinvolto in un caso di spionaggio informatico. 
L’uomo sarebbe membro di un gruppo di hacker responsabile, nel 2020, dell’attacco a una banca dati americana. Banca dati contenente informazioni riservate sui vaccini anti-Covid in fase di sperimentazione all’Università del Texas. Il team avrebbe agito per conto del governo cinese, nello specifico del Ministero per la Sicurezza della Repubblica popolare. Avrebbe spiato università, immunologi e virologi dallo scoppio della pandemia Covid attraverso una campagna di intrusione informatica su larga scala.
L’Fbi sarebbe risalito ad una lista di account che appartenevano a impiegati dell’Università di ricerca texana nella disponibilità di Xu, ma non solo. L’inchiesta è partita da una perquisizione su un server Vps, che sarebbe stato usato per l’intrusione nei pc dell’università texana. Sono stati acquisiti elementi, poi, indagando su Github, piattaforma usata per creare, mantenere e condividere software. Da lì si è arrivati all’identificazione di due account creati e usati utilizzando lo stesso Vps.
Cos’è Hafnium, la campagna di spionaggio informatico cinese
Sarebbe venuto a galla che quei due account erano stati usati per cercare e scaricare informazioni riguardo a falle informatiche ben precise. Perquisendo un provider di posta elettronica e indagando su uno degli account collegati a Github, l’Fbi, inoltre, è arrivato ad un account che, secondo gli investigatori, è di Xu. Là dentro si sarebbe trovato materiale sul suo presunto coinvolgimento negli hackeraggi all’Università del Texas e in altre operazioni.
Il tutto farebbe parte della campagna di spionaggio informatico denominata Hafnium, così ribattezzata da Microsoft. Il colosso della tecnologia statunitense, infatti, nel marzo 2021 ne rivelò l’esistenza al mondo. Lo scopo della campagna era quello di esfiltrare informazioni sensibili. Nel mirino negli Usa finirono ricercatori di malattie infettive, studi legali, università, appaltatori della difesa, think tank politici e ong. In sostanza bisognava raccogliere qualsiasi dato di interesse strategico per la Cina, che ha però sempre negato ogni responsabilità. 
L’attacco ha avuto un impatto su decine di migliaia di organizzazioni a livello globale, sia nel settore pubblico sia privato. Il gruppo sfruttava le vulnerabilità del software Microsoft Exchange Server per ottenere accesso a server di posta elettronica. A quel punto si installavano malware e si stabiliva una connessione con le reti delle vittime. Zewei Xu è di fatto il primo cittadino cinese arrestato nell’ambito delle indagini sugli hacker che avrebbero agito per conto di Pechino.
A marzo 2024, il Dipartimento di Giustizia degli Stati Uniti ha annunciato l’incriminazione di sette cittadini cinesi attualmente ricercati. “Durante il Covid svolsi la funzione di relatore in seno al Copasir. – ha detto Enrico Borghi, vicepresidente di Italia Viva e componente del Copasir – Era emerso già allora come esistesse una specifica regia cinese. Le notizie di queste ore non fanno che confermare come si sia trattato di una operazione ibrida, che sottolinea una volta di più il salto di fase della guerra cognitiva verso la quale dobbiamo difenderci e attrezzarci“.
