L'estradizione di Xu Zewei. Da Malpensa al processo Hafnium, il caso che riaccende lo scontro Usa-Cina

Un aeroporto, un nome quasi sconosciuto, e sullo sfondo una delle più grandi ferite informatiche degli ultimi anni. Quando Xu Zewei è stato fermato a Milano Malpensa il 3 luglio 2025, non si trattava soltanto dell’arresto di un cittadino cinese richiesto dagli Stati Uniti: in quella vicenda confluivano la memoria ancora viva della pandemia, il furto di ricerca scientifica in piena emergenza sanitaria e il sospetto — ancora tutto da provare in tribunale — di una regia riconducibile agli apparati di sicurezza di Pechino. Ora, con l’estradizione eseguita dall’Italia verso gli Usa nel fine settimana del 26-27 aprile 2026, quel dossier esce definitivamente dalla dimensione discreta della cooperazione giudiziaria per entrare nel cuore del confronto geopolitico tra grandi potenze.

Secondo il Dipartimento di Giustizia degli Stati Uniti, Xu, oggi indicato come 34enne, è comparso il 27 aprile 2026davanti a un giudice federale a Houston, in Texas, sulla base di una imputazione in nove capi relativa a intrusioni informatiche compiute tra febbraio 2020 e giugno 2021. Una parte di queste attività, sostengono i procuratori americani, avrebbe preso di mira università, immunologi e virologi impegnati nella ricerca su vaccini, terapie e testcontro il COVID-19; un’altra sarebbe confluita nella campagna nota come HAFNIUM, che sfruttò vulnerabilità di Microsoft Exchange Server colpendo migliaia di sistemi nel mondo. Le accuse, va ricordato, restano accuse: negli Stati Uniti vige la presunzione di innocenza fino a sentenza definitiva.

Che cosa contestano gli Stati Uniti

La ricostruzione americana è molto dettagliata e, proprio per questo, politicamente esplosiva. I documenti del DoJsostengono che Xu Zewei avrebbe agito sotto la direzione di ufficiali del Ministry of State Security cinese, in particolare del Shanghai State Security Bureau, e che al momento dei fatti lavorasse per Shanghai Powerock Network Co. Ltd., descritta dagli investigatori come una delle società “abilitanti” utilizzate per coprire o facilitare attività di hacking per conto dello Stato.

Nella versione dei procuratori, il primo fronte operativo si apre all’inizio del 2020, quando il mondo sta appena entrando nella crisi pandemica. Il 19 febbraio 2020, si legge nella documentazione ufficiale americana, Xu avrebbe comunicato a un funzionario della sicurezza di Shanghai di avere compromesso la rete di un’università di ricerca situata nel Southern District of Texas. Pochi giorni dopo, il 22 febbraio, gli sarebbe stato ordinato di puntare su specifiche caselle email appartenenti a ricercatori coinvolti negli studi sul coronavirus. Secondo il DoJ, quelle mailbox sarebbero poi state effettivamente acquisite. Se queste contestazioni fossero confermate in aula, non si parlerebbe semplicemente di spionaggio industriale, ma di accesso clandestino a conoscenze scientifiche in una fase in cui ogni avanzamento sulla malattia aveva un valore sanitario, economico e strategico enorme.

Il secondo fronte riguarda invece HAFNIUM, il nome con cui Microsoft rese pubblica, il 2 marzo 2021, una campagna di sfruttamento di quattro vulnerabilità zero-day di Exchange Server: CVE-2021-26855, 26857, 26858 e 27065. L’azienda americana spiegò allora di avere attribuito con “alta confidenza” l’operazione a un gruppo considerato state-sponsored e operante dalla Cina. Nel suo blog di sicurezza, Microsoft indicò tra i bersagli tipici del gruppo ricercatori sulle malattie infettive, studi legali, atenei, contractor della difesa, think tank e organizzazioni non governative.

Perché il nome HAFNIUM conta così tanto

La campagna HAFNIUM non è rimasta confinata agli addetti ai lavori. Per dimensioni e velocità di propagazione, è diventata uno spartiacque nella percezione occidentale della minaccia cyber cinese. Nella nota diffusa il 27 aprile 2026, l’FBI ha sostenuto che, attraverso HAFNIUM, siano state colpite oltre 60.000 entità statunitensi e che più di 12.700organizzazioni negli Usa siano risultate effettivamente vittime. Numeri enormi, che aiutano a spiegare perché Washington abbia investito tempo politico e investigativo per ottenere non soltanto un’indagine, ma perfino l’estradizione di uno dei presunti responsabili.

La stessa Microsoft, nel marzo 2021, avvertiva che gli aggressori avevano usato le falle per ottenere accesso alle email, installare web shell e mantenere una presenza persistente nei sistemi compromessi. Il problema, in altre parole, non era solo l’ingresso iniziale, ma la possibilità di trasformare un server di posta elettronica in una porta d’accesso stabile ai dati di un’organizzazione. Da qui il panico di quei giorni e la corsa globale alle patch.

Gli Stati Uniti, inoltre, ricordano che nel luglio 2021 Washington e altri partner internazionali attribuirono pubblicamente la campagna al MSS, il ministero della Sicurezza di Stato cinese. È un passaggio decisivo, perché colloca il procedimento contro Xu non nel perimetro ristretto del cybercrime classico, ma in quello molto più sensibile delle operazioni statali o para-statali.

L’Italia e un’estradizione tutt’altro che ordinaria

Sul piano italiano, il caso ha seguito il doppio binario tipico dell’estradizione: quello giudiziario e quello politico-amministrativo. Dopo l’arresto a Malpensa nel luglio 2025, la procedura è passata per la Corte d’Appello di Milano, che secondo fonti di stampa aveva già riconosciuto a gennaio 2026 le condizioni per l’accoglimento della richiesta statunitense. Il passaggio successivo è arrivato con il rigetto del ricorso da parte della Corte di Cassazione a metà aprile 2026; quindi il via libera finale del Ministero della Giustizia italiano ha consentito la consegna materiale alle autorità americane.

La stampa internazionale ha sottolineato che la decisione finale dell’esecutivo guidato da Giorgia Meloni è maturata dopo il pronunciamento del massimo giudice italiano competente sulla vicenda. Bloomberg ha riferito che il governo ha proceduto all’estradizione dopo la decisione del tribunale italiano in aprile; Reuters ha confermato che il trasferimento era già stato eseguito quando la notizia è emersa pubblicamente.

Non è un dettaglio secondario. L’Italia, negli ultimi anni, ha cercato di tenere insieme almeno tre esigenze: il rapporto strategico con gli Stati Uniti, la prudenza nei confronti della Cina e la crescente consapevolezza che la sicurezza cibernetica non sia più un tema tecnico, ma un capitolo pieno delle relazioni internazionali. L’estradizione di Xu si colloca precisamente in questo punto di intersezione.

La difesa di Xu e il nodo della “politicità” del caso

In Italia, Xu Zewei ha contestato l’estradizione. Già nei mesi scorsi i suoi legali avevano sostenuto, secondo diverse ricostruzioni giornalistiche, che si trattasse di un procedimento con forte contenuto politico, incastonato nello scontro strategico tra Washington e Pechino. In alcune udienze era stata sollevata anche la questione dell’identità, cioè il dubbio che l’uomo arrestato non corrispondesse alla persona ricercata dagli Stati Uniti. Le corti italiane, però, non hanno accolto queste obiezioni.

Dopo il trasferimento negli Usa, fonti di stampa specializzata hanno riferito che Xu sarebbe detenuto a Houston e che davanti al giudice federale si sarebbe dichiarato non colpevole. Questo passaggio, benché riportato da media affidabili sulla base di dichiarazioni dei difensori, va considerato con prudenza finché non emergeranno atti processuali pubblici più completi. Di certo, la fase che ora si apre sarà quella decisiva: non più l’ammissibilità dell’estradizione, ma la prova delle responsabilità penali contestate.

La reazione di Pechino

La Cina, come prevedibile, ha respinto le accuse. Un portavoce del Ministero degli Esteri cinese, citato da Reuters il 27 aprile 2026, ha accusato gli Stati Uniti di “fabbricare accuse attraverso manipolazione politica” e ha invitato l’Italia a “rispettare fatti e diritto”, evitando di diventare “complice” di Washington. È una formula dura, che fotografa bene quanto il caso sia percepito da Pechino come una questione non solo giudiziaria, ma di sovranità e di confronto politico.

La posizione cinese si inserisce in una linea ormai consolidata: negare il coinvolgimento statale in operazioni di cyber-espionage e denunciare la politicizzazione occidentale delle accuse. Il punto, però, è che da anni le principali democrazie industriali non si limitano più a generiche attribuzioni diplomatiche: producono indictment, nomi, dettagli tecnici, catene di comando ipotizzate, società di copertura e cronologie operative. Il caso Xu è esattamente questo: il tentativo di trasformare l’attribuzione politica in un procedimento penale individuale.

Perché il furto di ricerca sul COVID-19 pesa ancora

Colpire strutture impegnate nella ricerca sul COVID-19 tra il 2020 e il 2021 significa intervenire nel momento in cui la conoscenza scientifica aveva il massimo valore possibile. Non si trattava soltanto di brevetti futuri o di vantaggi industriali: significava accedere a dati, intuizioni, corrispondenza tra scienziati, risultati preliminari, linee di sviluppo su vaccini e terapie nel mezzo di una crisi sanitaria globale. Per questo, nella narrativa americana, la vicenda ha una carica simbolica forte: gli attacchi sarebbero avvenuti proprio mentre il mondo cercava disperatamente strumenti per contenere la pandemia.

Il bersaglio texano evocato dagli atti americani non viene nominato nelle note del DoJ, ma diverse fonti di stampa, tra cui Reuters e ANSA, hanno collegato le accuse a ricerche portate avanti presso l’Università del Texas. Anche qui conviene usare cautela: finché il nome dell’istituzione non compare esplicitamente negli atti accessibili, è corretto parlare di un’università di ricerca collocata nel Southern District of Texas, come fanno i documenti ufficiali.

Un precedente importante, ma non definitivo

L’estradizione di Xu Zewei rappresenta un successo operativo per FBI, DoJ e autorità italiane, in particolare per la componente cyber della Polizia di Stato, citata espressamente dal Dipartimento di Giustizia americano per l’assistenza fornita nell’arresto e nella consegna. Ma non equivale ancora a una condanna, né chiude la partita del contrasto allo spionaggio digitale sponsorizzato dagli Stati.

Anzi, il significato più profondo del caso sta forse altrove. Per anni molti procedimenti americani contro hacker stranieri sono rimasti soprattutto atti simbolici: imputazioni senza arresti, identità senza custodia, nomi senza processo. Qui, invece, uno dei sospettati è arrivato fisicamente davanti a un tribunale federale. Questo cambia il messaggio deterrente verso i contractor del cyberspazio grigio — quei tecnici che, secondo l’accusa americana, oscillerebbero tra profitto privato e servizio allo Stato.

Il significato per l’Italia

Per l’Italia, la vicenda è una cartina di tornasole. Da un lato, conferma l’allineamento con gli Stati Uniti su un terreno — quello della sicurezza digitale — destinato a diventare sempre più centrale. Dall’altro, espone Roma al rischio di nuove frizioni con la Cina, proprio in una fase in cui i rapporti economici e diplomatici richiedono cautela. Ma sarebbe riduttivo leggere tutto solo come scelta geopolitica: c’è anche un dato istituzionale. L’estradizione mostra che i dossier cyber sono ormai trattati con gli stessi strumenti giuridici della criminalità transnazionale classica, e che anche gli aeroporti, le procure e le corti italiane sono diventati anelli visibili di una contesa globale che fino a pochi anni fa sembrava invisibile.

Resta infine una domanda, la più importante: quanto sarà possibile, in aula, trasformare la mole di indizi tecnici e di intelligence in prova giudiziaria solida, individuale, incontrovertibile? È lì che si misurerà davvero la portata del caso Xu Zewei. Per ora, il dato politico e simbolico è già enorme: un presunto ingranaggio della cyber-intelligence cinese, arrestato in Italia, consegnato agli Usa, accusato di avere cercato di sottrarre conoscenza scientifica nel momento in cui quella conoscenza poteva salvare vite. Il resto lo dirà il processo.