#Sorveglianze

L’eterna lotta tra il bene e il malware
L’Ue fatica a regolamentare l’export dei beni a duplice uso, e anche le inchieste giudiziarie sugli export illeciti non danno risultati. Parla il manager di Area spa: il suo caso insegna ancora molto
28 Dicembre 2022

Lorenzo Bagnoli
Riccardo Coluccini

Strumenti che eludono la cifratura, tecnologie di intercettazione, software spia: sono i cosiddetti prodotti a duplice uso, ovvero che possono funzionare sia in ambito civile che militare, e che il Parlamento europeo vorrebbe proporre di limitare pesantemente, se non vietare del tutto. Il problema di questi prodotti, sviluppati da aziende che orbitano nei campi della difesa e dell’intelligence, è che una volta acquistati dai governi possono essere usati sia nella lotta al terrorismo e al crimine che come strumento di repressione interna contro giornalisti e attivisti. E normarne diffusione e commercializzazione è stato finora uno sforzo frustrante e inefficace.

Il tentativo più recente per normare efficacemente questo settore è con l’aggiornamento al regolamento sull’export di settembre del 2021: l’Unione europea ha cercato di rafforzare i controlli e obbligare gli Stati membri a maggiore trasparenza in merito alla concessione dei lasciapassare per vendere una tecnologia all’estero, le licenze per l’export.

Tuttavia, il mondo delle tecnologie dell’intelligence support systems (Iss, dall’inglese: sistemi di supporto dell’intelligence) non si compone delle sole aziende produttrici ma anche di soggetti intermediari che rivendono i prodotti, soggetti che spesso sono legati ai governi che li acquistano. Le leggi sul controllo dell’export, modificate solo dopo anni di scandali, non sono riuscite a prendersi carico delle possibili scappatoie alla licenza, come l’uso di intermediari o lo scambio di lasciapassare tra aziende dello stesso gruppo commerciale. Trovare il punto di equilibrio è difficile: il legislatore deve tenere conto, da un lato, della trasparenza necessaria rispetto all’uso di strumenti potenzialmente molto pericolosi e, dall’altro, della necessità degli utilizzatori finali delle tecnologie – per lo più agenzie appartenenti agli stessi governi, europei e non – di mantenere un certo grado di segretezza.

I timori legati a queste tecnologie non sono solo teorici: negli anni si sono susseguiti casi di abuso contro giornalisti, dissidenti, attivisti e politici. La sorveglianza digitale è diventata sempre più uno strumento di repressione nelle mani di governi di tutto il mondo, dalla Spagna al Messico, passando per Israele e il Vietnam. Il primo regolamento europeo sull’export è del 2009 e da allora sono state aperte diverse inchieste, alcune mai chiuse, sulla legittimità o meno della vendita all’estero di un certo prodotto. C’è stata qualche sanzione, ma la strada dei procedimenti penali si è dimostrata per lo più lunga e inefficace.

IrpiMedia è gratuito

Ogni donazione è indispensabile per lo sviluppo di IrpiMedia

Le inchieste sui big della sorveglianza

Ogni anno a Praga, Repubblica Ceca, si tiene l’edizione europea della più importante fiera dell’industria della sorveglianza: Iss World Europe (le altre edizioni si tengono in Asia, Sud America, Nord America e Medio Oriente). Attraverso questi eventi, le aziende si presentano e raccolgono i contatti per poi partecipare alle gare d’appalto. Un elemento molto particolare unisce buona parte delle aziende presenti: una larga parte degli abituali protagonisti della fiera è, oppure è stata, toccata da qualche scandalo o indagine giudiziaria. A cominciare dallo sponsor principale dell’edizione 2023, NSO Group: l’azienda israeliana sviluppa il software spia Pegasus, noto a seguito del Pegasus Project per i numerosi scandali e abusi ai danni di attivisti e giornalisti in varie parti del mondo.

Nonostante le ingenti perdite causate dalla sospensione degli scambi commerciali con gli Stati Uniti decisa a novembre 2021 dall’amministrazione di Joe Biden, in Europa NSO continua ad avere un ruolo di primo piano.

Lista delle aziende di sorveglianza che sponsorizzano l’edizione 2023 della ISS World Europe, tra le fiere di settore più importanti in Europa – ISS

Tra gli sponsor associati dell’edizione 2023 c’è Intellexa, la società coinvolta nello scandalo PredatorGate in Grecia; ci sono le israeliane Elbit System, che produce anche bombe a grappolo e per le quali ha perso l’investimento del più grande fondo pensionistico norvegese lo scorso marzo, e Candiru, che secondo due report di Microsoft e Facebook del luglio 2021 e del dicembre 2022 avrebbe infettato i device di oltre cento persone (tra cui anche giornalisti, attivisti e oppositori politici in Palestina, Iran, Libano e Yemen), creando almeno 130 account finti rimossi da Facebook. C’è la britannica Bae System, che nel 2017 è stata al centro di un’inchiesta giornalistica per aver venduto spyware utilizzati contro oppositori politici in Arabia Saudita, Emirati Arabi Uniti, Oman, Qatar, Algeria e Marocco.

Ancora, la tedesca Utimaco, la cui tecnologia per le intercettazioni è stata venduta attraverso la norvegese Telenor alla Birmania nel 2021 e si teme sia stata usata dal regime contro i dissidenti politici. Quando si esporta, quindi, spesso si finisce coinvolti in scandali o inchieste giudiziarie, anche a causa dell’incertezza dei regolamenti. Di certo è molto difficile per gli investigatori provare responsabilità precise, e i processi raramente hanno risultati che vadano al di là del clamore mediatico per l’inopportunità di certe relazioni commerciali.

Le conseguenze economiche degli scandali: i casi Hacking Team e FinFisher

Se da un lato le inchieste giudiziarie finiscono spesso con l’arenarsi, dall’altra ci sono alcuni casi in cui le conseguenze economiche, a seguito di scandali e inchieste, hanno effetti più tangibili: le aziende falliscono o si trovano costrette a farsi acquisire da altri gruppi. È successo in passato all’italiana Hacking Team, colpita da un attacco hacker che ne aveva rivelato clienti e dettagli interni. Nel 2019 Hacking Team è stata acquisita da Memento Labs, società diretta e coordinata dalla svizzero-italiana InTheCyber.

Alla tedesca FinFisher è andata molto peggio: a febbraio 2022 ha dichiarato il proprio stato di insolvenza, riporta la stampa tedesca, chiudendo gli uffici, licenziando i dipendenti e cessando ogni attività commerciale. FinFisher nel 2019 è stata denunciata da un gruppo di ong e di media in Germania perché nell’estate di due anni prima il suo spyware sarebbe stato usato in Turchia contro attivisti e dissidenti. Eppure non ci sarebbe stata alcuna autorizzazione all’export da parte dell’autorità di controllo tedesca. Secondo quanto ha scritto Bloomberg a marzo 2022, l’indagine della procura tedesca è ancora in corso e FinFisher nega di aver fornito tecnologie alla Turchia o di aver violato le regole normative sull’esportazione. I beni della società erano stati messi sotto sequestro, ma a causa dell’insolvenza la misura non è più applicabile.

L’attenzione internazionale su FinFisher però risale almeno al 2011. Durante le rivolte in Egitto, alcuni manifestanti hanno trovato documenti che dimostrano che le autorità egiziane avevano ottenuto una demo dello spyware. Negli anni seguenti molteplici report hanno indicato oltre 30 Paesi sospettati di utilizzare FinFisher, tra cui Bangladesh, Egitto, Etiopia, Oman, Arabia Saudita e Venezuela.

Tra gli sponsor di Iss World Europe 2023 ci sono anche tre importanti aziende italiane: Rcs, Ips e Area, anche loro coinvolte in passato in controversie dall’esito interessante. La prima ha sviluppato Hermit, uno spyware impiegato in Italia e Kazakistan, Paese con alle spalle una lunga storia di spionaggio nei confronti degli oppositori politici. Ips e Area invece nel 2017 sono state protagoniste del documentario Spy Merchants, prodotto da Al Jazeera, che ha mostrato grazie a un collaboratore sotto copertura il modo in cui all’epoca le aziende proponessero ai propri clienti di aggirare i controlli sull’export grazie a società consociate presenti all’estero.

Nel caso di Area, svela Al Jazeera, la vendita verso un Paese sotto embargo, il Sud Sudan, si sarebbe conclusa grazie al passaggio in un Paese terzo, la Turchia, dove è presente un partner dell’azienda. Per Ips invece la vendita in Iran passa attraverso un’altra azienda associata, Resi. Tra le persone coinvolte nell’inchiesta c’era anche il vicepresidente di Area.

In un’intervista con IrpiMedia, il fondatore e allora amministratore delegato di Area Andrea Formenti – oggi a capo del gruppo che la controlla, A+ – chiarisce che il caso svelato da Al Jazeera ha riguardato in realtà «un’iniziativa personale» di un ex dipendente che apparteneva alla parte commerciale, il quale ha successivamente lasciato l’azienda per questa e altre ragioni. «Quella iniziativa si sarebbe comunque arenata non appena portata sul tavolo per una pre-offerta», rassicura Formenti.

In ogni caso ad Area non è stata notificata alcuna notizia di reato. Formenti spiega che l’espansione verso il mercato estero è stata una scelta fatta alcuni anni dopo aver fondato l’azienda. Davanti a loro c’erano due strade: ampliare la tipologia di clientela stando in Italia e rivolgendosi così al mondo delle imprese o «provare a proporre (i propri prodotti, ndr) alle autorità ma su scala internazionale». La scelta è caduta sulla seconda opzione. Con l’espansione all’estero, sono arrivate anche le inchieste giudiziarie.

Cinque anni per un’archiviazione

La giustizia italiana ha cominciato a occuparsi di Area alla fine del 2012, quando un’indagine della procura di Milano ha ipotizzato il reato di finanziamento di condotte con finalità di terrorismo, legato alla vendita di tecnologie di sorveglianza al regime siriano. Vista l’assenza di prove precise in merito, l’indagine è stata derubricata a violazione del regolamento sull’export. Il timore era che a usare la tecnologia fosse l’intelligence siriana contro gli oppositori politici. Anche in questo caso non è emerso niente e la stessa procura ha chiesto e ottenuto l’archiviazione del procedimento dopo cinque anni, nel 2018. Il tempo trascorso, per via dell’eco avuto dalla notizia, è costato caro all’azienda sul piano della reputazione.

Per approfondire

Il glossario della cybersecurity

Una rassegna dei termini più comuni all’interno del settore della cyber sicurezza

Questa storia così datata, rivela però i problemi insiti nei meccanismi di controllo sulle esportazioni delle tecnologie di sorveglianza, oltre che un’enorme discrepanza per quanto riguarda la gestione delle licenze sulle esportazioni, anche tra Paesi europei. Il progetto di Area in Siria chiamato Asfador, prevedeva anche l’export di prodotti sviluppati da un’azienda francese, Qosmos, e da una tedesca, Utimaco. Avrebbe garantito, secondo le ricostruzioni giornalistiche, un sistema di monitoraggio in tempo reale della rete siriana: da un centro per le intercettazioni fino alle sonde per monitorare il traffico internet, inclusa la cattura e archiviazione delle e-mail. Del progetto però non si è fatto nulla.

Su Utimaco in Germania non è stata aperta alcuna indagine, mentre per Qosmos in Francia è arrivata nel dicembre 2020 l’archiviazione dall’accusa di complicità nelle torture ai danni della popolazione siriana. In quest’ultimo caso, il focus dell’indagine non era quindi la violazione delle norme sull’export ma il rischio che i sistemi di sorveglianza avessero facilitato l’individuazione degli oppositori che sarebbero poi stati catturati e torturati dal regime.

Per l’Italia, invece, le accuse riguardano solamente la violazione delle norme sull’export e lo scenario geopolitico non entra nella valutazione. Si legge infatti nel testo dell’archiviazione: «Solo dal 01.01.2015 il sistema di sorveglianza delle comunicazioni su rete funzionante con protocollo Internet (IP) veniva inserito nel catalogo dei prodotti dual use», quattro anni dopo l’inizio della guerra.

Formenti, durante l’interrogatorio con la pm di Busto Arsizio Francesca Parola, ha spiegato che per tutelarsi, essendo anche una delle prime operazioni internazionali dell’azienda, Area aveva chiesto un’autorizzazione al Mise (Ministero dello sviluppo economico, oggi sostituito nel ruolo di concedere le licenze dal Ministero degli esteri, ndr) anche se non era necessaria. E il Mise l’aveva concessa, come aveva dichiarato l’allora Sottosegretario di Stato per lo sviluppo economico, Ivan Scalfarotto, in una risposta scritta al Senato. Le dichiarazioni di Formenti sono ritenute «più che credibili» dagli inquirenti, che infatti non sono nemmeno voluti andare di fronte a un giudice in dibattimento. L’esportazione dei sistemi di Area in Siria è durata dal febbraio al novembre 2011, momento in cui l’azienda ha del tutto interrotto i rapporti con Damasco.

Se dal punto di vista della burocrazia dell’export, il problema sembrava non porsi, dal punto di vista dello scenario dei diritti umani in Siria la questione era più complicata. Il contesto in cui è maturato l’affare con Damasco era molto diverso dal quadro geopolitico attuale.

A marzo 2010, Giorgio Napolitano aveva visitato il Paese per rafforzare i rapporti diplomatici Italia-Siria. Il giorno prima dell’arrivo del presidente della Repubblica, Area aveva siglato l’accordo con la società di telecomunicazioni statali, la Syrian Telecommunications Establishment (STE). Solo un anno dopo sono scoppiate le rivolte. D’altra parte, però, i segnali della repressione già erano evidenti, come spiega Human Rights Watch a luglio del 2010 in un report in cui parlava di incarcerazioni di blogger e dissidenti, ma questo non aveva fatto cambiare la linea né dell’Italia né dagli altri Paesi europei. Anzi, c’era il desiderio di intensificare le relazioni diplomatiche e commerciali con il Paese.

#Sorveglianze

Europa, guerra alla crittografia

Documenti pubblicati dal governo olandese mostrano i tentativi di intercettare app di messaggistica criptate. Privacy vs indagini della magistratura: il conflitto è ovunque. Ma l’Italia sull’uso degli spyware ha una giurisprudenza tutta sua

Non tutti i Paesi erano dello stesso parere. Il quadro geopolitico, infatti, era già tenuto in considerazione dagli Stati Uniti che aveva indicato la Siria come un Paese «sponsor statale del terrorismo» a partire dal 1979, principalmente per il sostegno politico e tramite armi ad Hezbollah.

Washington, all’epoca della vicenda di Area, aveva già dal 2003 un sistema di licenze su questi prodotti, ulteriormente rafforzato nel 2011 e, poiché parte dei prodotti esportati dall’azienda italiana in Siria erano stati sviluppati da un’azienda statunitense, gli Stati Uniti hanno aperto un procedimento parallelo. La vicenda però si è chiusa immediatamente e senza strascichi con il pagamento di una sanzione di 100 mila dollari.

«A eccezione di alcuni medicinali e alimenti, nessun articolo soggetto ai Regolamenti può essere essere esportato o riesportato in Siria senza una licenza del Dipartimento del Commercio», si legge nel dispositivo della sanzione. Nello specifico, per potere essere esportata regolarmente in Siria, la tecnologia statunitense non doveva avere un valore superiore a una certa soglia. Questa regola è stata rispettata in un primo caso e non in un secondo, si legge nel comunicato stampa. «Abbiamo pagato la nostra multa ma non siamo stati oggetto di nessuna restrizione», spiega Formenti.

Le altre aziende europee in Siria

Area, Qosmos e Utimaco non erano le uniche aziende coinvolte in Siria. Secondo un report di Privacy International, pubblicato a dicembre 2016, il governo siriano avrebbe costruito sistemi di monitoraggio delle comunicazioni grazie all’aiuto di diverse altre aziende occidentali tra il 2007 e il 2012.

In un caso del 2008 e 2009, un’azienda rivenditrice con base a Dubai, Agt, in collaborazione con l’italiana Rcs, avrebbe proposto l’uso di apparecchiature di origine statunitense per intercettare le comunicazioni sulle reti di un fornitore di servizi Internet via satellite, Aramsat. Anche in questo caso le stesse regole costate la sanzione ad Area si sarebbero dovute applicare. Agt ha dichiarato a Privacy International che il progetto non è mai stato completato. Secondo la documentazione del progetto esaminata da Privacy International, però, alla fine Rcs non avrebbe incluso l’hardware nella propria offerta ad Agt.

Nel giugno 2009, invece, il governo siriano ha cercato di acquistare una tecnologia per intercettare direttamente il traffico internet, in entrata e in uscita dal Paese, che passava allora attraverso i due centri di scambio del traffico online, a Damasco e Aleppo. Al centro di questo progetto sarebbe stata l’azienda sudafricana VASTech.

Nel report si parla anche del bando aggiudicato da Area. Originariamente il duo Agt-Rcs aveva presentato una proposta ma, dopo che una dimostrazione della loro tecnologia aveva dato scarsi risultati e offerte di ulteriori prodotti da parte delle due aziende erano andate a vuoto, la Syrian Telecommunication Establishment (Ste) aveva assegnatoil progetto ad Area. Come nota Privacy International nel suo report, il bando di gara indetto dalla Ste specificava che «il sistema deve essere centralizzato e deve avere [sic] la capacità di monitorare tutte le reti che utilizzano servizi di comunicazione dati all’interno dei territori siriani», e all’epoca il governo siriano manteneva «uno stretto controllo dei servizi di telecomunicazione attraverso l’ente regolatore delle telecomunicazioni e proprietario dell’infrastruttura di telecomunicazione del Paese»: quell’ente era il Syrian Telecommunications Establishment.

Cosa resta dopo l’indagine su Area

L’archiviazione dopo cinque anni di indagini lascia insoddisfatti sotto molteplici punti di vista sia le associazioni e gli attivisti che si occupano di diritti umani – per l’impossibilità di verificare con chiarezza chi fosse l’utilizzatore finale della tecnologia – sia l’azienda a causa della lunghezza di un processo che ha confermato solo dopo diversi anni la posizione dichiarata sin dal primo momento.

L’archiviazione, però, permette di riflettere su alcuni nodi centrali dell’export che sono validi in ogni caso. Da un lato c’è la questione dell’ “utilizzatore finale”: la pericolosità di una tecnologia dipende infatti anche da chi la usa. Tra la documentazione per richiedere l’autorizzazione all’export esiste anche un documento in cui questa figura va indicata per legge, ma come già ricostruito da IrpiMedia, non sempre corrisponde al vero. Sia le organizzazioni che intentano le cause sia gli inquirenti che poi aprono i fascicoli spesso partono dall’ipotesi che la licenza dell’export non indichi davvero chi userà la tecnologia. Nel caso della Siria e di Area, alcuni testimoni (all’epoca dipendenti di Area) avevano indicato la presenza di una persona collegata ai servizi segreti siriani, che sarebbero stati i veri utilizzatori della tecnologia. Questa persona, indicata con il nome di Firas, non è mai stata identificata dal pm.

Dall’altro lato c’è il fatto che, anche se si identificasse un utilizzatore finale “sospetto”, ci sarebbe comunque da stabilire la responsabilità dell’azienda sull’eventuale uso della tecnologia per reprimere dissidenti o giornalisti. Soprattutto dal momento in cui sono coinvolte agenzie governative.

Nel caso di specie, Area, dal canto suo, ha dimostrato in fase d’indagine di aver fatto tutti i passi necessari per ottenere la licenza di esportazione, anche in un momento in cui non era richiesta. Ancora oggi Area dichiara di essere insolvente nei confronti di una banca italiana che aveva garantito le coperture economiche per il progetto in Siria, poi mai realizzato.

«Noi vorremmo la maggior chiarezza possibile – spiega Formenti -. Ci piacerebbe avere una lista di tecnologie classificate con grande scrupolo e con altrettanta flessibilità nell’adattamento dinamico all’evoluzione tecnologica e geopolitica. Siamo estremamente aperti».

Attualmente, secondo Area, in alcuni casi ci sarebbero delle contraddizioni. Ad esempio, le licenze non valgono allo stesso modo per due tecnologie che comunicano tra loro, come il sistema che duplica il traffico degli operatori telefonici (i cosiddetti sistemi di mediazione) e i sistemi di monitoraggio installati presso le procure dove si registrano e analizzano questi dati. I primi non sono soggetti ad autorizzazione per l’export mentre i secondi sì.

Questa discrepanza «tende a inclinare il piano di gioco: se sei un’azienda che si occupa di sistemi di mediazione, hai uno spazio di manovra più ampio», dice Formenti. Secondo il fondatore di Area, servirebbero inoltre per lo meno a livello europeo delle linee guida più precise rispetto a Paesi ed entità con le quali le aziende sono autorizzate a lavorare. Servirebbe poi «un organismo di controllo indipendente, come gli osservatori durante le elezioni» che periodicamente verifichino il rispetto di quanto previsto dalla licenza. Sulla composizione di questo organismo ci sarebbero diverse strade: soggetti terzi come quelli che già esistono e che fanno consulenze per il rilascio della licenza, o meglio ancora, «soggetti che abbiano una forma di accreditamento istituzionale», ha spiegato Formenti. Una sorta di organismo sovranazionale unico per tutti i Paesi.

Attualmente, infatti, ci sono Paesi europei che facilitano l’esportazione di tecnologie di sorveglianza. Questo aspetto emerge dal report di novembre 2022 pubblicato dalla Commissione incaricata dal parlamento europeo di indagare sull’uso degli spyware di sorveglianza, la Commissione PEGA. Non c’è accordo sulle scelte da prendere per controllare le esportazioni. Il problema che nota qui lo stesso Formenti è anche la disponibilità di governi e agenzie a rendere trasparente l’uso che fanno di certe tecnologie. In mancanza di vincoli precisi sono le singole aziende che, al di fuori delle maglie delle norme internazionali, sono libere di decidere in base ai propri criteri con quali entità sia opportuno lavorare e con quali no.

Attualmente, il regolamento dual use prevede già una sorta di matrice simile a quella descritta da Formenti, dove una lista puntuale di tecnologie e software deve essere valutata in base alla tipologia di utilizzatore finale e al Paese in cui risiede. Questa lista, secondo ong come AccessNow, non è necessariamente esaustiva e in alcuni casi non tiene il passo con le novità legate allo sviluppo tecnologico in questo settore.

La proposta: al bando gli spyware

Almeno per quanto riguarda gli spyware – controversa tipologia di malware che permette di prendere il controllo da remoto di qualsiasi dispositivo – l’europarlamentare dei Verdi e relatrice della Commissione PEGA, Sophie In’t Veld, auspica l’introduzione di una moratoria per bloccarne l’uso e la vendita in Europa. Una soluzione drastica che però rischia di non essere nemmeno efficace perché parte da un quadro incompleto delle aziende del settore e perché non tutti i Paesi europei sembrano avere un’idea comune sulle soluzioni.

Il lavoro della Commissione non è stato semplice, tra tensioni interne e indisponibilità di alcuni Paesi a fornire le informazioni richieste. Nel caso dell’Italia, il governo non ha fornito spiegazioni in merito all’acquisto e l’impiego degli spyware, e neanche sul quadro legale e sulle spese sostenute. Certamente l’Italia non è da sola in questa lista degli ultimi: solo Austria, Polonia e Cipro hanno risposto al questionario inviato dalla Commissione a luglio 2022.

Secondo alcune indiscrezioni rivelate da EURACTIV, il report dell’europarlamentare Sophie In ’t Veld ha il supporto della maggior parte dei gruppi parlamentari tranne del Partito popolare europeo (Epp), che presumibilmente cercherà di ridurre la portata delle decisioni prese per arginare lo scandalo delle intercettazioni illegali in Grecia, il “Watergate europeo”. Néa Dimokratía, il partito del primo ministro greco Kyriakos Mitsotakis, ovvero il personaggio politico più coinvolto nello scandalo, è infatti membro dell’Epp.

La moratoria, si legge nella bozza del report, sarebbe immediatamente applicabile e contempla il divieto complessivo di esportazione a meno che i Paesi non soddisfino alcuni requisiti: fare chiarezza senza ritardi su eventuali controversie in caso di abuso degli spyware, allineamento agli standard europei sulla sorveglianza, disponibilità a ricevere ispezioni e indagini dell’Europol e revoca di qualsiasi pregressa licenza di esportazione già erogata se questa non è in linea con lo spirito del Regolamento europeo.

Il report evidenzia ancora la mancanza di regole e conoscenza all’interno del mondo della sorveglianza. «La Commissione Europea – si legge – non ha finora intrapreso un’analisi della situazione né una valutazione delle aziende attive sul mercato europeo». Avere la lista delle aziende della sorveglianza che operano all’interno dell’Unione europea non è nemmeno sufficiente per avere un’analisi esaustiva del mercato dato che diversi operatori lavorano con una fitta rete di intermediari e di società rivenditrici, spesso molto difficili da identificare. Questa rete societaria è un elemento di rischio potenziale, ma la possibilità effettiva di intervenire sul piano dei controlli e delle norme è limitata dal fatto che spesso parte delle aziende coinvolte si trova in giurisdizioni anche extra-europee, dove le regole del grande gioco della sorveglianza sono diverse.

Unire i puntini: gli intermediari che sfuggono alle regolamentazioni

Per portare la propria tecnologia all’estero, ci sono due strategie: aprire una propria succursale locale oppure affidarsi a una rete di rivenditori sul posto. Nel caso di Area, si legge dai bilanci che ha due controllate in territorio extra-Ue: una in Oman dal 2017, Area Llc, e una in Gran Bretagna, Area Systems UK. Secondo quanto dichiarato dall’azienda a IrpiMedia, entrambe sono nate con l’obiettivo di commerciare prodotti nei due Paesi e hanno entrambe clienti istituzionali.

Se dal lato dell’azienda c’è stata disponibilità a spiegare il motivo dell’apertura delle due società controllate, sul piano delle istituzioni pubbliche non c’è stata alcuna trasparenza in merito al tipo di tecnologia fornito da Area. In Gran Bretagna, oltre 20 dipartimenti di polizia contattati da IrpiMedia attraverso una richiesta di accesso agli atti hanno risposto che non possono né confermare né smentire di avere acquisito tecnologia dall’azienda italiana. Il ministero degli Affari esteri italiano, invece, non ha fornito alcuna risposta in merito alla licenza per l’Oman.

Il Paese rappresenta proprio uno dei casi in cui assegnare una licenza per la vendita di certe tecnologie è delicato: Amnesty International lo indica come Paese dove oppositori e giornalisti finiscono in carcere. Inoltre, dal punto di vista delle tecnologie di sorveglianza, sono già emerse indicazioni della presenza di tecnologie che possono essere abusate. I ricercatori del Citizen Lab, un laboratorio interdisciplinare dell’Università di Toronto, hanno individuato l’uso del controverso spyware Predator; e secondo quanto riportato da Haaretz, negli anni scorsi anche NSO avrebbe venduto al Paese il proprio spyware Pegasus.

Quando l’esportazione avviene attraverso rivenditori e partner, tenere traccia dei passaggi è ancora più complesso. Nel caso PredatorGate, abbiamo raccontato che è stata Intellexa (azienda fondata da un ex capo dell’intelligence israeliana ma la cui sede è stata trasferita in Grecia) a rivendere lo spyware dell’azienda produttrice Cytrox. In Messico, una serie di aziende locali ha siglato accordi per rivendere i prodotti di NSO al governo. L’altra grande italiana, Rcs Lab, invece rivende le capacità della piccola azienda italiana Tykelab, con il marchio Ubiquo. La stessa Rcs è stata di recente acquisita dalla società proprietaria di Cy4gate, a sua volta collegata a Leonardo, l’industria delle difesa a partecipazione statale.

La Commissione afferma di aver raccolto informazioni, seppur non confermate, in merito ad acquisti di spyware da parte di tutti i Paesi dell’Unione europea. Il più importante fornitore è il gruppo israeliano NSO, dal quale comprano spyware almeno 14 Paesi. In Polonia, Ungheria, Grecia e Spagna ci sono elementi che indicano un abuso di Pegasus, mentre per quanto riguarda Cipro al momento ci sono solo sospetti. La stessa Cipro e la Bulgaria sono utilizzati come Paesi di transito per l’esportazione delle tecnologie di sorveglianza. Il Lussemburgo è il Paese dove ha sede la maggioranza delle banche a cui si appoggiano i fornitori di spyware, l’Irlanda la principale sede fiscale, come del resto accade già per le big tech.

Area ha preso parte insieme alla consociata Area Systems UK all’evento Security and Policing 2022, fiera di settore che si svolge in Regno Unito – Linkedin

L’export intra-gruppo: un “buco” nel regolamento europeo

Il regolamento introdotto nel 2021 cerca proprio di correggere queste distorsioni dell’industria. Resta però un buco per quanto riguarda la cessione di licenze all’interno di uno stesso gruppo aziendale.

Ipotizziamo che due aziende, controllate dalla stessa azienda madre, siano registrate in Paesi diversi: una all’interno dell’Unione europea e l’altra in un altro Paese. L’export di tecnologie dall’azienda europea verso la sorella extra-Ue dovrebbe richiedere un’autorizzazione. Questa speciale autorizzazione, una novità introdotta nell’ultimo regolamento, si applica solo nei confronti di Argentina, Brasile, Cile, Corea del Sud, Filippine, India, Indonesia, Israele, Giordania, Malesia, Marocco, Messico, Singapore, Sudafrica, Thailandia, Tunisia, ma esclude dal suo ambito di applicazione diverse tecnologie di sorveglianza come i software per facilitare l’infezione tramite spyware e sistemi per il monitoraggio di internet.

Non è chiaro che cosa accada negli altri casi. A quel punto, non resta che fare riferimento alle normative nazionali. Stando alla legge italiana (entrata in vigore nel febbraio 2018), serve una licenza per l’export anche per la semplice assistenza tecnica nella forma di «istruzione, pareri, formazione, trasmissione dell’apprendimento del funzionamento o delle competenze o servizi di consulenza, comprese le forme orali di assistenza». Lo stesso vale nel caso di accesso ai server per la condivisione delle informazioni, considerato un trasferimento intangibile. In questi casi l’azienda deve dotarsi di un sistema per garantire la sicurezza e tracciabilità degli accessi per consentire verifiche da parte dell’Autorità di vigilanza. Questo farebbe ipotizzare, quindi, che una licenza italiana per l’export sia sempre necessaria.

Ma se invece l’azienda sorella registrata fuori dall’Unione europea volesse riesportare verso un Paese terzo le tecnologie dell’azienda registrata in Ue? E se l’azienda sorella si trova in un Paese dove non sono previsti controlli simili a quelli in Ue? Le interpretazioni per questa casistica sono diverse, anche tra ricercatori e addetti ai lavori: il manager di Area chiederebbe una licenza in Italia. «Non esclude», però, che sulla carta qualcuno possa usare una propria controllata allo scopo di esportare tecnologia extra-Ue senza licenza. Concordano su questo duplice scenario anche due ricercatori che però non sono autorizzati a rilasciare dichiarazioni su questo argomento, data ancora l’incertezza che regna. Il Ministero degli affari esteri non ha risposto a una richiesta di commento al riguardo, inviata da IrpiMedia.

CREDITI

Autori

Lorenzo Bagnoli
Riccardo Coluccini

Editing

Raffaele Angius
Giulio Rubino

In partnership con

Privacy International

Foto di copertina

Metaworks/Getty