Un’inchiesta di Occrp ricostruisce i legami tecnici tra il password manager commercializzato in Europa e l’omonimo prodotto russo certificato da Fstec e Fsb. Non sono emerse prove di violazioni, codici malevoli o accessi ai dati dei clienti. Ma il passaggio degli aggiornamenti attraverso una società degli Emirati, gestita da uno dei fondatori russi, apre una questione di trasparenza e sicurezza della catena di fornitura
Passwork si presenta come un password manager europeo, con sede in Spagna e clienti tra amministrazioni pubbliche, università e grandi aziende. Ma un’inchiesta di Organized Crime and Corruption Reporting Project ricostruisce una storia più complessa: il software nasce in Russia, condivide ancora elementi tecnici con una versione certificata dalle autorità di Mosca e riceve aggiornamenti attraverso una società degli Emirati legata a uno dei fondatori originari. Non ci sono prove di violazioni o codici malevoli. Restano però aperte domande sulla trasparenza della filiera e sul controllo effettivo di un prodotto che custodisce alcune delle credenziali più sensibili delle organizzazioni che lo utilizzano.
Dalla Russia alla Finlandia, passando per gli Emirati
Il software Passwork venne sviluppato nel 2014 ad Arkhangelsk, città portuale della Russia settentrionale, dai programmatori Ilya Garakh e Andrey Pyankov. Nel 2017 l’attività europea fu trasferita in Finlandia attraverso Passwork Oy, partecipata dai due fondatori russi e dall’imprenditore finlandese Pekka Viljakainen.
Dopo l’invasione russa dell’Ucraina, la struttura societaria cominciò a cambiare. Garakh e Pyankov cedettero le proprie quote nella società finlandese nel maggio 2022. Due mesi dopo venne costituita negli Emirati Arabi Uniti Passwork FZ-LLC, con Pyankov indicato nei registri locali come manager. Nello stesso anno i due fondatori aprirono in Russia Passwork Llc, società che utilizza lo stesso marchio e che presenta tra i propri clienti anche aziende russe del comparto missilistico e spaziale sottoposte a sanzioni occidentali.
La società finlandese fu liquidata nel 2024. Nell’agosto dello stesso anno Alexander Muntyan registrò a Barcellona Passwork Europe S.L., di cui è amministratore delegato e unico azionista. Muntyan sostiene di avere acquistato dalla società emiratina i diritti necessari per sviluppare, distribuire e assistere la versione internazionale del programma.
Il passaggio, però, non è ancora concluso. In una dichiarazione sulla trasparenza pubblicata dopo le domande dei giornalisti, la stessa Passwork Europe ha confermato che fino al 30 agosto 2026 la società degli Emirati continuerà a fornire aggiornamenti del codice sorgente e trasferimento di competenze tecniche. L’azienda spagnola definisce l’accordo una normale fase transitoria nell’acquisizione di un prodotto software già operativo.
Il punto sollevato dall’inchiesta riguarda proprio la natura di questo ponte emiratino. I beneficiari effettivi della società non sono pubblicamente identificabili, mentre uno dei fondatori russi figura come manager e l’altro è collegato al relativo dominio internet. Occrp non è riuscita a stabilire con certezza chi controlli materialmente la produzione e la distribuzione degli aggiornamenti.
Due prodotti ancora molto simili
La società spagnola nega qualsiasi legame societario, amministrativo o commerciale con Passwork Llc, l’impresa che opera sul mercato russo. Muntyan ha dichiarato che le due aziende non condividono clienti, server, sistemi di assistenza, registri, accessi amministrativi o ambienti informatici.
Passwork Europe riconosce, però, che le due versioni derivano dallo stesso codice originario. Questa eredità, secondo l’azienda, spiegherebbe le somiglianze riscontrate dai giornalisti: manuali pressoché identici, funzionalità sovrapponibili e aggiornamenti pubblicati con tempistiche molto vicine.
Il 6 aprile 2026, per esempio, il sito russo annunciò la versione 7.6. Il giorno seguente, il sito europeo presentò la stessa versione con una descrizione quasi identica delle nuove funzionalità. Gli esperti consultati da Occrp hanno inoltre individuato centinaia di righe sostanzialmente uguali negli script utilizzati per installare il programma. Il ricercatore Lukasz Olejnik ha descritto la separazione tecnica tra le due versioni come ancora poco profonda e meritevole di una verifica più accurata.
Muntyan respinge l’ipotesi di un coordinamento diretto con la società russa. Ha spiegato che la sincronizzazione può dipendere dal fatto che l’impresa emiratina distribuisce aggiornamenti a più soggetti partendo dalla medesima base storica. Ogni modifica destinata alla versione europea, precisa Passwork, viene sottoposta a controlli automatici e manuali prima di essere incorporata nel prodotto.
Le certificazioni russe
A rendere più delicata la vicenda è la posizione di Passwork Llc. La società russa pubblicizza certificazioni rilasciate dal Federal Service for Technical and Export Control, il Fstec, organismo sottoposto al Ministero della Difesa, e dal Fsb, il servizio di sicurezza interno della Federazione Russa.
Secondo le norme e gli esperti citati da Occrp, il procedimento di certificazione del Fstec comporta un esame approfondito del software da parte di laboratori accreditati, anche per individuare vulnerabilità o funzionalità non dichiarate. I giornalisti non hanno potuto verificare quali materiali siano stati effettivamente consegnati dalle società russe alle autorità.
Il rischio indicato dagli specialisti è indiretto. Qualora le versioni europea e russa condividessero ancora porzioni rilevanti del codice, la conoscenza acquisita attraverso l’esame del prodotto russo potrebbe offrire indicazioni su eventuali debolezze presenti anche nel software commercializzato nell’Unione europea. Si tratta di uno scenario potenziale, non della prova che una vulnerabilità sia stata utilizzata o che il programma contenga deliberatamente una porta d’accesso nascosta.
Passwork contesta che una revisione del codice da parte di terzi determini automaticamente un rischio maggiore. La società sottolinea che i clienti possono installare il programma sui propri server, anche senza collegamento a internet, e che password e archivi cifrati non transitano attraverso un’infrastruttura centrale controllata dall’azienda. Aggiunge inoltre che il codice lato server può essere ispezionato dai clienti e sottoposto ad audit indipendenti.
Il punto debole della catena di fornitura
L’architettura “on-premises” riduce alcuni rischi, ma non risolve la questione della provenienza del codice. Anche un programma ospitato interamente nei server del cliente deve essere installato, corretto e aggiornato. È in questi passaggi che la sicurezza del prodotto si lega a quella del fornitore.
Gli attacchi alla catena di distribuzione del software consentono di colpire organizzazioni altrimenti ben protette inserendo codice ostile in un aggiornamento apparentemente legittimo. È quanto accadde nel caso SolarWinds, quando versioni compromesse del programma Orion furono distribuite a migliaia di clienti, consentendo agli attaccanti di penetrare anche in reti governative statunitensi. La Cybersecurity and Infrastructure Security Agency americana ha definito l’operazione una compromissione della supply chain e ha collegato l’attività ai servizi d’intelligence esteri russi.
Non c’è alcuna evidenza che uno schema simile sia stato applicato a Passwork. L’inchiesta non ha trovato codici malevoli, accessi non autorizzati, dati sottratti o comportamenti illeciti da parte della società e dei suoi dirigenti. Occrp non è stata inoltre in grado di determinare quanto la versione europea coincida oggi con quella russa.
I clienti europei e il riferimento a Enel
Occrp ha contattato una trentina di organizzazioni presentate come clienti nei materiali promozionali di Passwork. Più di una dozzina hanno confermato che almeno una parte del personale utilizzava il programma. Quasi tutte hanno riferito di non conoscere l’origine russa del prodotto o l’esistenza della versione certificata dalle autorità russe.
Lo State Laboratory irlandese, che fornisce servizi a diversi dipartimenti governativi, ha comunicato di avere avviato una revisione dopo essere stato informato dai giornalisti. L’Office of Public Works di Dublino ha invece dichiarato di non avere identificato problemi di sicurezza.
Altre otto aziende indicate nei materiali commerciali hanno negato di utilizzare il software. Tra queste figura Enel Group. Muntyan ha spiegato che in alcuni casi il cliente potrebbe essere una società controllata o una singola struttura del gruppo, anziché la capogruppo citata nelle comunicazioni promozionali.
La questione della fiducia
Il caso Passwork arriva mentre l’Unione europea sta rafforzando la propria risposta alle attività informatiche russe. Il 13 luglio il Consiglio dell’Ue ha adottato nuove sanzioni contro nove persone e quattro entità coinvolte in operazioni cyber e azioni destabilizzanti, comprese offensive contro infrastrutture europee.
L’inchiesta non consente di assimilare Passwork a queste operazioni. Mostra, piuttosto, quanto sia difficile separare la sicurezza informatica dalla trasparenza societaria quando uno stesso prodotto attraversa giurisdizioni diverse, conserva una base di codice comune e dipende temporaneamente da fornitori la cui proprietà non è pienamente conoscibile.
Il problema, per amministrazioni pubbliche e aziende strategiche, non consiste nel giudicare un software sulla nazionalità dei suoi sviluppatori. Consiste nel sapere chi possiede il codice, chi può modificarlo, quali soggetti intervengono negli aggiornamenti e quali controlli vengono effettuati prima che una nuova versione entri nelle reti dell’organizzazione.
Passwork Europe afferma che la transizione con la società emiratina terminerà alla fine di agosto e che il controllo del prodotto europeo è già nelle mani della struttura spagnola. Saranno gli audit indipendenti, la documentazione sulla proprietà intellettuale e la completa tracciabilità degli aggiornamenti a stabilire quanto la separazione sia diventata effettiva.















