È partita da una segnalazione arrivata al Centro di sicurezza cibernetica della Polizia postale della Liguria l'inchiesta che oggi tiene impegnate le procure di mezza Europa e che, secondo gli investigatori, porta dritta a Mosca. Tutto comincia nel dicembre 2025, quando i tecnici della compagnia genovese, dopo aver individuato anomalie ripetute nei sistemi informatici di bordo di due traghetti della flotta, depositano una denuncia formale agli uffici liguri della Polpost.
Il fascicolo, aperto inizialmente dalla Procura di Genova per accesso abusivo a sistema informatico, è rapidamente salito di livello: oggi l'indagine è coordinata dalla Procura nazionale antimafia e antiterrorismo, in raccordo con i pm liguri, e viene seguita con attenzione anche dal Comitato di analisi strategica antiterrorismo (Casa). L'ipotesi che gli inquirenti seguono è pesantissima: un'operazione di cyber-spionaggio internazionale contro infrastrutture critiche italiane, con la regia di un gruppo hacker filorusso e il possibile obiettivo, ancora tutto da verificare, di prendere il controllo a distanza delle navi.
Il primo episodio risale a venerdì 12 dicembre 2025. La "Fantastic" era in servizio sulla rotta tra Sète e l'Algeria. È proprio nello scalo francese che gli agenti della DGSI, il controspionaggio di Parigi, salgono a bordo su informativa dell'intelligence italiana, attivata dalla stessa GNV. Secondo quanto ricostruito, uno dei marittimi avrebbe utilizzato una chiavetta USB per infettare i sistemi di bordo con un malware di tipo RAT (Remote Access Trojan), un trojan che consente il controllo remoto dei dispositivi colpiti.
Due i fermati: un giovane lettone, da poco assunto come marittimo, e un cittadino bulgaro, quest'ultimo poi rilasciato senza accuse. Il lettone viene invece incriminato dalla Procura di Parigi con capi d'imputazione importanti: attentato a un sistema automatizzato di trattamento dati al servizio degli interessi di una potenza straniera, associazione a delinquere e possesso ingiustificato di dispositivi capaci di interferire con i sistemi di navigazione automatica.
Poche ore dopo scatta il secondo fermo, disposto dalla Procura di Genova: un altro lettone, presunto complice, viene bloccato a bordo della Bridge ormeggiata nel porto di Napoli. Il giudice partenopeo convalida il fermo e, dichiarata la propria incompetenza territoriale, trasmette gli atti ai colleghi liguri. I due giovani arrestati hanno rispettivamente 24 e 25 anni. I dispositivi rinvenuti (apparecchiature compatte, del tipo Raspberry, predisposte per inserirsi nei sistemi informatici di bordo) sarebbero stati piazzati in cambio di poche migliaia di euro. Uno dei due, ripreso peraltro da una telecamera mentre completava l'operazione, ha ammesso di essere stato pagato per installare il dispositivo, senza però fornire elementi utili a identificare i mandanti. La cifra abbastanza modesta sarebbe la firma tipica degli "agenti occasionali" reclutati dai servizi stranieri per operazioni a bassa esposizione e alta negabilità.
L'inchiesta, però, non si è fermata ai due esecutori materiali. Gli investigatori avrebbero individuato due connazionali quarantenni come presunti coordinatori dell'operazione. Uno di loro - secondo un'anticipazione del "Foglio" - è stato arrestato una settimana fa in Spagna, dopo mesi di monitoraggio, sulla base di un mandato d'arresto europeo emesso dalla Procura di Genova per accesso abusivo a sistema informatico. L'altro presunto coordinatore, ritenuto dagli inquirenti il vero vertice della cellula, si troverebbe oggi a Mosca: di fatto irraggiungibile.
Il dettaglio più allarmante riguarda la destinazione finale delle informazioni carpite dai sistemi di bordo. I dispositivi installati sulle navi avrebbero infatti inviato dati verso server riconducibili a un gruppo hacker filorusso. Il quadro che si delinea è quello, già visto in altre operazioni recenti, dei "proxy": piccoli esecutori reclutati per colpire infrastrutture occidentali senza esporre direttamente i mandanti. Marittimi, tecnici e intermediari pagati per eseguire azioni in apparenza minori ma potenzialmente devastanti. Già a dicembre, davanti ai primi due arresti, il ministro dell'Interno francese Laurent Nuñez aveva parlato di "ingerenza straniera".
GNV ha sempre rivendicato la propria collaborazione con gli inquirenti: la compagnia ha dichiarato di avere "identificato e neutralizzato un tentativo di intrusione" senza conseguenze sui sistemi aziendali, definiti "efficacemente protetti", segnalando immediatamente l'accaduto alle autorità competenti. È stata proprio la tempestività della denuncia ligure a innescare la catena investigativa internazionale.