Five Eyes, "così la Cina recluta spie su LinkedIn": le tecniche e come tutelarsi

Le agenzie dell’alleanza Five Eyes hanno pubblicato il bollettino Safeguarding Our Secrets, dedicato alle operazioni di reclutamento attribuite all’intelligence cinese su LinkedIn e altre piattaforme professionali. Il documento descrive metodi, obiettivi, rischi legali e implicazioni operative per individui e organizzazioni.

Il 3 giugno 2026, le cinque agenzie di sicurezza interna che compongono l’alleanza Five Eyes – FBI (USA), MI5 (UK), ASIO (Australia), CSIS (Canada) e NZSIS (Nuova Zelanda) – hanno pubblicato in forma congiunta il bollettino classificato Safeguarding Our Secrets (disponibile liberamente online). Si tratta di un evento eccezionale: per la prima volta in quasi ottant’anni di storia dell’alleanza, le entità firmano collettivamente un documento pubblico di allerta su una singola minaccia.

La decisione di pubblicare il bollettino non è solo tecnica ma anche politica. Evidenzia che la minaccia è percepita come estremamente diffusa e pervasiva da richiedere un intervento congiunto tra le agenzie. E di conseguenza, rivela informazioni non solo sui target ma anche sulle tecniche di rilevamento utilizzate.

L’obiettivo del bollettino è chiaro: mettere in guardia su attività di reclutamento da parte dei servizi di intelligence militari della Repubblica Popolare Cinese (RPC). Tra gli attori principali menzionati vi sono le strutture affini al Dipartimento del Lavoro Politico dell’Esercito Popolare di Liberazione (PLA) e al Ministero della Sicurezza di Stato (MSS). Queste strutture conducono da almeno un decennio attività di intelligence (HUMINT) su LinkedIn, Indeed e Upwork, utilizzando profili fittizi.

Una breve panoramica storica rivela che l’utilizzo dei social e dei social network da parte dei servizi segreti cinesi non è una novità. Già nel 2017, un rapporto del Bundesamt für Verfassungsschutz tedesco (BfV) aveva identificato attività mirate contro almeno 10.000 cittadini tedeschi, con profili ingannevoli come “Allen Liu” e “Lily Wu”. Nel 2018 il direttore del controspionaggio USA, William Evanina, aveva a sua volta evidenziato l’ampiezza e agressività di tali operazioni, definite “super aggressive”.

Nel novembre 2025 il MI5 (UK) aveva emesso un avviso specifico ai suoi parlamentari, identificando due profili come strumenti attivi dell’intelligence cinese su LinkedIn. Al tempo stesso, nel marzo 2026 si verificò un’altra escalation: secondo le fonti europee, il Cina avrebbe cercato di attingere a informazioni sensibili da funzionari della NATO e di istituzioni UE, attraverso un profilo di nome “Kevin Zhang” che impersonava un addetto ai lavori presso una fittizia compagnia di Hong Kong denominata “Oriental Consulting”.

La tecnologia e il tradecraft

Il documento Safeguarding Our Secrets non introduce un fenomeno sconosciuto, ma documenta con precisione la sua estensione e la sua sofisticatezza. Le agenzie Five Eyes descrivono un tradecraft di intelligence che utilizza con meticolosità gli strumenti offerti dai social network professionali. Per esempio, LinkedIn è utilizzato per tracciare nodi professionali di interesse, da cui derivare ulteriori informazioni per la selezione dei bersagli.

I destinatari prioritari della campagna di reclutamento sono chiunque abbia accesso – diretto o indiretto – a tecnologie emergenti come l’Intelligenza Artificiale, l’elaborazione quantistico, la biologia sintetica e i semiconduttori avanzati. ASIO ha già individuato in più di 35.000 profili l’indicazione esplicita di accesso a informazioni sensibili o classificabili.

I profili utilizzati per tali attività sono spesso posizionati fuori dalla Cina – in posti come Hong Kong, Singapore, Taiwan e paesi del Sud-Est asiatico – in modo da rendere meno sospetta la loro origine. L’obiettivo è creare una falsa percezione di legittimità che permetta al bersaglio di abbassare la sua guardia. Gli agenti si presentano con foto e nomi plausibili, spesso ottenuti attraverso strumenti AI. I bollettini segnalano esplicitamente l’utilizzo di immagini generate da algoritmi come GAN e modelli di diffusione come segnale di pericolo.

La tecnica del rapporto di reclutamento

Il modello operativo segue diverse fasi. Inizialmente, gli agenti cinesi utilizzano richieste di bassa intensità: un’analisi geopolitica, un commento su policy regionali, o una richiesta di lavoro apparentemente innocua. I pagamenti proposti sono spesso sovraprezzo, per generare aspettative e creare un legame iniziale con il target.

Successivamente, il contatto viene spostato verso mezzi di comunicazione end-to-end, come Signal e WhatsApp. Questo passaggio è fondamentale per due motivazioni: elimina potenziali tracce digitali sulle piattaforme pubbliche e introduce un contesto percettivo più personale e quindi più sicuro, per il target.

La gestione finanziaria

L’organizzazione finanziaria è ulteriormente avanzata. I pagamenti sono veicolati attraverso piattaforme di pagamento come PayPal, Payoneer e Western Union. Un crescente numero di transazioni, inoltre, viene realizzato in criptovalute, che complicano la tracciabilità e le eventuali indagini. In alcuni casi documentati, il target, una volta condiviso informazioni sensibili, ha ricevuto minacce. La rivelazione della sua collaborazione è servita come leva per ulteriori informazioni.

La mappa strategica

Pur non identificando bersagli specifici, il bollettino Five Eyes illustra chiaramente i settori prioritari per l’intelligence cinese in questa fase operativa.

• Tecnologie duali: tecnologie con applicazioni sia civili che militari, come l’Intelligenza Artificiale, il quantum computing, le biotecnologie e i semiconduttori. Questi settori sono coerenti con obiettivi previsti dal Piano Made in China 2025.
• Appalti militari e conoscenze di procure: personale militare e contractor con accesso ai programmi.
• Accademia, giornalismo e think tank: soggetti con accesso indiretto ad informazioni sensibili grazie a contatti non ufficiali.

L’utilità degli agenti in questi settori risiede nel loro accesso non solo a dati, ma a interpretazioni, al contesto e alle dinamiche interne ad un ambiente che altrimenti sarebbe inaccessibile.

Come difendersi

I consigli emersi dal documento evidenziano una serie di misure preventive:

• Verifica incrociata di foto e profili utilizzando strumenti di ricerca inversa.
• Analisi di tracciabilità