Giornalisti, ministri, editori, imprenditori: ci sono tutti nel Watergate di Atene. È così che i media greci chiamano lo scandalo sulle intercettazioni illegali che coinvolge direttamente il governo di Nea Dimokratia, il partito di centrodestra del primo ministro Kyriakos Mitsotakis, e che proprio nel Paese ellenico sono vietate dalla legge. L’ultimo colpo al governo è stato assestato il 6 novembre, quando il giornale Documento, vicino al partito di opposizione Syriza, ha pubblicato una lista di 33 nomi di chi è finito intercettato da Predator, un software spia simile al più noto Pegasus di origine israeliana, di cui IrpiMedia ha già scritto. Il primo ministro di Nea Demokratia, il partito di liberal-conservatore al governo, avrebbe autorizzato l’operazione condotta dai servizi segreti greci (Eyp) allo scopo di raccogliere informazioni per compilare dossier su avversari, uomini di potere e persino membri del suo stesso governo. La posizione ufficiale è che l’esecutivo non ha nulla a che fare con l’operazione, ma le connessioni tra gli imprenditori coinvolti nell’affaire Predator e il governo sono sempre più circostanziate.

Lo scandalo è deflagrato lo scorso gennaio in Grecia, quando alcuni giornalisti locali – tra cui i colleghi del consorzio giornalistico di Reporters United – hanno cominciato a pubblicare informazioni in merito alle vittime dello spionaggio e alla rete di imprenditori che ha portato questa tecnologia ad Atene. In particolare uno degli articoli riporta i legami tra uno dei proprietari delle società coinvolte nello scandalo e la politica. Per tutta risposta, gli autori sono stati oggetto di querele definite da Reporter senza frontiere puramente intimidatorie. 

L’ombra del Watergate greco si allunga in Europa

Il software spia in questione, Predator, è sviluppato dall’azienda Cytrox, sede originaria nella Macedonia del Nord e ora parte del gruppo Intellexa Alliance: un conglomerato con sede in Grecia e guidato da Tal Dilian, un ex membro dell’intelligence israeliana che vanta però la cittadinanza maltese, acquisita attraverso uno schema di vendita dei passaporti. La joint venture da lui guidata è presente in Grecia, Cipro, Irlanda, Francia e Ungheria. Ma se è Cytrox a produrre Predator, l’azienda che ha fornito il software allo Stato si chiama Krikel. Secondo quanto rivelato dal giornale greco Inside Story, per quanto sulla carta siano entità differenti, Krikel e Intellexa sono riconducibili sempre agli stessi uomini d’affari greci molto vicini al governo.

Lo scandalo greco è oggetto dell’attenzione della Commissione d’inchiesta Pega del Parlamento europeo. Quest’ultima è stata costituita nel 2022 per raccogliere informazioni sui sistemi di sorveglianza che violano la Carta dei diritti fondamentali dell’Unione europea. È scaturita dalle rivelazioni del Pegasus Project, inchiesta giornalistica guidata da Forbidden Stories che ha fatto emergere casi di abuso dello spyware Pegasus in Polonia, Ungheria e altri Paesi europei. Quegli abusi hanno però portato a comprendere che il problema è molto più ampio del singolo spyware.

Proprio di recente, alcuni membri della Commissione sono stati in Grecia per approfondire gli effetti della campagna di spionaggio. Secondo le ricerche della Commissione Pega non è tuttavia possibile stabilire nemmeno nei documenti ufficiali chi sia il titolare effettivo dell’azienda, a conferma dell’opacità dell’intera operazione. Krikel ha ottenuto sei contratti con il ministero della Protezione dei cittadini – che ha competenze su lotta alla criminalità, pubblica sicurezza e gestione delle situazioni di emergenza – per gestire la manutenzione di un sistema di comunicazione radio della polizia greca, tecnologie di contro-sorveglianza e altri due sistemi di radio portatili. Sei contratti che l’hanno trasformata da una società con un bilancio a zero nel 2017, a incassare, solo con l’ultima gara, 7,4 milioni di euro nel 2021. Quello stesso anno i servizi segreti ellenici hanno acquistato attraverso Krikel un sistema di intercettazione dell’azienda italiana Rcs Lab, di cui Krikel è rivenditore autorizzato in Grecia. Rcs è stata da poco acquisita dal gruppo Cy4gate, azienda italiana che si pone nel mercato come concorrente dell’israeliana Nso, ovvero la società che sviluppa Pegasus.

«La Grecia è un Paese dove, nel 2021, un solo pubblico ministero che si occupa dell’attività dell’intelligence nazionale ha firmato 15.975 autorizzazioni per le intercettazioni, giustificate da motivi di sicurezza nazionale», ha spiegato alla Commissione d’inchiesta sugli spyware del Parlamento Europeo Thanasis Koukakis, uno dei primi giornalisti finiti nel mirino di Predator. 

Koukakis è un giornalista investigativo specializzato nel settore finanziario. Ad aprile 2022 scopre di essere stato infettato con uno spyware dal 12 luglio al 24 settembre 2021, ma il suo cellulare era già stato posto sotto intercettazione anche nel 2020 per alcuni mesi. Da lì lo scandalo si allarga a macchia d’olio, fino a coinvolgere, stando al report della Commissione Pega, almeno 33 persone. «Giornalisti critici e pubblici ufficiali che combattono contro frodi e corruzione affrontano intimidazioni e ostacoli e non c’è alcuna protezione per i whistleblower», si legge nella versione di bozza, ancora non approvata, del report circolato dopo una conferenza stampa della rapporteur, l’europarlamentare olandese Sophie in ‘t Veld. «Il commercio degli spyware beneficia dal mercato interno e dal libero commercio – prosegue il testo -. Certi Paesi membri sono attrattivi come poli di esportazione dal momento che, nonostante la reputazione dell’Unione europea di essere un regolatore molto rigido, l’applicazione effettiva di tali regole sia debole». 

Finora le critiche alle esportazioni dei sistemi di sorveglianza erano legate al fatto che i Paesi destinatari fossero regimi totalitari o repressivi. Invece il caso Predator in Grecia mostra tutte le falle che esistono anche all’interno dell’Unione. A queste fragilità che già esistono da tempo, si aggiunge il fatto che il nuovo regolamento sul controllo dei beni a duplice uso (cioè utilizzabili sia in campo civile che in campo militare) non monitora però il mercato intra-europeo. La maggiore trasparenza resta solo una promessa e di fatto gli Stati membri mantengono un’ampia discrezionalità sulle informazioni che rilasciano riguardo i Paesi verso cui sono esportati i prodotti di sorveglianza.

Tal Dilian, l’ex militare dietro l’“Alleanza”

Le attività di Predator sono note da quasi un anno. A dicembre 2021 i ricercatori del Citizen Lab, un laboratorio interdisciplinare dell’Università di Toronto, hanno segnalato pubblicamente l’esistenza di uno spyware passato fino ad allora inosservato. Analizzandolo i ricercatori hanno scoperto che si chiama Predator e che è prodotto da Cytrox, fino a questo momento sconosciuta. La struttura societaria è labirintica: Cytrox ha iniziato come start-up in Macedonia del Nord ma non sembrano esserci tracce nel registro delle aziende locali, mentre sembra invece registrata in Israele e Ungheria.

Dall’analisi di Citizen Lab emerge la presenza di server – con i quali lo spyware comunica – proprio in Grecia. La conferma arriva anche da un secondo report, pubblicato questa volta dall’azienda statunitense Meta (proprietaria di Facebook e Whatsapp) sempre a dicembre 2021, in cui è indicato un elenco di indirizzi web dai quali, semplicemente con un click, un utente potrebbe consapevolmente “contrarre” l’infezione di Predator sul proprio dispositivo. È questa peraltro la metodologia con la quale comunemente si introduce un malware all’interno del dispositivo di un bersaglio, che viene indotto a cliccare per errore su un indirizzo malevolo. Tra quelli individuati da Meta ne ricorrono alcuni che riprendono i siti delle testate greche Kathimerini e Inside Story: kathimerini[.]news e insider[.]gr[.]com. Meta ha rimosso circa 300 account presenti su Facebook e Instagram collegati a Cytrox e ha sottolineato chiaramente come tra i vari clienti ci sia anche la Grecia.

Come detto, Cytrox fa parte del gruppo Intellexa Alliance – insieme a Nexa Technologies, WiSpear e Senpai Technologies. Intellexa fa la sua prima apparizione pubblica nel 2019, riporta la testata Gizmodo, quando viene presentata alla fiera Idex di Abu Dhabi, evento in cui aziende del settore mostrano i propri prodotti in cerca di nuovi potenziali clienti. Intellexa viene descritta dal fondatore Tal Dilian come un’attività multiservizi che offre una vasta gamma di prodotti per hackerare un obiettivo: dallo sfruttamento di vulnerabilità della rete Wi-Fi fino all’uso di captatori informatici. Certamente una materia che mastica bene Dilian, che nel suo curriculum vanta di essere stato a capo dell’unità 81 dell’esercito israeliano che rappresenta la risposta alla National security agency (Nsa) americana ed è incaricata quindi di intercettazioni.  

Prima di Intellexa, una volta congedato, Dilian crea la Circles, compagnia che nel 2014 finisce sotto l’ombrello di Nso. Circles offriva la possibilità di sfruttare le vulnerabilità della rete telefonica per localizzare una persona in qualsiasi parte del mondo. Persino l’italiana Hacking Team entra in contatto con Circles, come rivelano delle email pubblicate pochi anni dopo da WikiLeaks. Dilian avrebbe incontrato un manager di Hacking Team nel 2013 a Monaco per parlare delle attività tra le due aziende.

Al vertice di Intellexa c’è una holding con sede nelle Isole Vergini Britanniche, Aliada Group Inc, controllata al 32% da un fondo d’investimento israeliano. Aliada è nominata in un caso giudiziario in Israele che risale al giugno 2016 e in cui la società è descritta come «un gruppo di aziende di cyber armamenti prodotti a marchio Intellexa». 

Nel 2022 siti e account Twitter specializzati hanno condiviso i documenti relativi a un accordo tra Intellexa e un governo di cui non si conosce l’identità. Secondo Haaretz si tratta di una delle componenti di un pacchetto composto di tre parti: la prima è il sistema di hackeraggio in grado di colpire fino a dieci obiettivi in contemporanea; la seconda è un software, Nova Platform, capace di mettere insieme i dati raccolti con l’attività di spionaggio; la terza – continua Haaretz – prevede la vendita di servizi di supporto e gestione del progetto (fino ad arrivare a fornire supporto tecnico, operativo e metodologico), servizio che secondo la legge israeliana non potrebbe essere venduto. Possono mettere sul mercato tecnologie, infatti, e non servizi. Il pacchetto completo sarebbe ceduto al prezzo di 8 milioni di dollari. 

A luglio 2022 Sophie in ‘t Veld invia per conto di Pega una lettera all’amministratore di Intellexa, chiedendo informazioni sulla struttura societaria e su quale sia precisamente il contesto giuridico al quale è sottoposta. Un portavoce dell’europarlamentare ha confermato a IrpiMedia che al momento non è stata ricevuta alcuna risposta. Nel frattempo si apprende che Europol ha chiesto a cinque Paesi europei se siano state aperte altre indagini sui software Pegasus e Predator.

Il mercato intra-europeo è un colabrodo

Non è la prima volta che un’azienda di sorveglianza straniera riesce a entrare nel mercato europeo direttamente dalla porta d’ingresso nonostante le regolamentazioni esistenti. Intellexa, infatti, è un’alleanza israeliana ma sfrutta le sedi a Cipro e in Grecia, grazie alle sue affiliate, per mettere un piede in Europa. Così come l’israeliana Nso, la quale conta su aziende collegate con sede nei Paesi dell’Unione europea. Una delle chiavi d’accesso al mercato europeo per Nso era proprio la stessa Circles fondata da Dilian.

Nelle mail rubate ad Hacking Team e pubblicate da Wikileaks appare anche un’allora piccola start-up che dichiara di offrire servizi simili a quelli di Circles e che, proprio su modello dell’azienda di Dilian, sta valutando dove aprire la propria sede. Si legge nella mail: «Circles e altri aprono in Paesi come la Bulgaria anche se i fondatori non vengono dalla Bulgaria in modo che l’approvazione delle vendite ai governi sia più facile da un punto di vista dei regolamenti». In altri termini, sfruttando il fatto che la Bulgaria si trova nell’Unione europea: quando l’export di tecnologie di sorveglianza riguarda Paesi intra-Ue infatti il regolamento prevede il rilascio di autorizzazioni solo per specifici prodotti in larga parte non legati a tecnologie di sorveglianza digitale.

Nel 2019 le autorità bulgare, insieme a quelle cipriote, hanno negato di aver concesso licenze di export a Nso, dopo aver ricevuto una richiesta di chiarimenti da parte dell’associazione per i diritti digitali Access Now. Gli uffici di Nso a Cipro usati da Circles sarebbero stati chiusi nel 2020, secondo quanto riportato da Vice che ha parlato con due ex dipendenti. 

In un’audizione, Nso ha spiegato alla Commissione Pega che dodici Paesi Ue utilizzano in totale 15 sistemi Pegasus (la lista è ancora incompleta). Due Paesi europei sono stati in precedenza clienti di Nso ma i loro contratti sono poi stati terminati, presumibilmente per aver abusato dello spyware. Eppure in un’intervista di luglio 2021 l’allora amministratore delegato di Nso, Shalev Hulio, aveva dichiarato che la maggior parte dei 45 clienti dell’azienda proveniva proprio dall’Europa.

Non è chiaro se le vendite di queste tecnologie siano state autorizzate dal governo israeliano, responsabile del monitoraggio di Nso, o se invece la vendita sia partita dagli altri Paesi europei. Nel secondo caso, infatti, non ci sarebbe alcun bisogno di passare attraverso l’approvazione delle autorità governative.

Ad approfittare delle falle nel sistema intra-europeo è anche un’azienda Italiana, Rcs Lab, tra i fornitori storici ufficialmente di sistemi per le intercettazioni, secondo una recente inchiesta di Lighthouse Reports e IrpiMedia anche per la geolocalizzazione da remoto che sfruttano le vulnerabilità della rete telefonica e spyware. 

La Grecia è uno dei mercati dove Rcs Lab si è espansa. Secondo la testata greca Inside Story, la società italiana si sarebbe aggiudicata un appalto del valore di 6,2 milioni di euro che avrebbe dovuto garantire il monitoraggio del traffico voce e dati di 1.100 dispositivi mobili e di 500 linee fisse. Queste specifiche sembrano essere in linea con le descrizioni di Mito, un centro di monitoraggio in grado di mettere insieme e analizzare dati provenienti da fonti diverse, si legge nella brochure del prodotto che Lighthouse Reports ha condiviso con IrpiMedia: registrazioni audio di conversazioni e telefonate, traffico internet, dati dai social network, email, chat, e dati estratti dai dispositivi. Rcs ha precisato via mail che «il sistema “Predator” non è mai stato integrato nella piattaforma Mito, né tantomeno Rcs Lab ha mai avuto esperienze dirette o alcuna conoscenza di tale sistema».

Rcs Lab offre però anche tecnologie per la raccolta diretta dei dati. In un’altra brochure, infatti, l’azienda spiega di avere a sua disposizione sonde per le intercettazioni di traffico telefonico e internet in grado di supportare la sorveglianza di «centinaia di obiettivi simultaneamente». Queste sonde permettono di catturare il classico traffico telefonico oltre al traffico internet. C’è anche la possibilità di raccogliere in maniera massiva i dati di traffico internet e estrarre i metadati per distinguere, ad esempio, tra il traffico generato da applicazioni come WhatsApp, Messenger, Twitter, Skype, o Telegram. 

Rcs non ha fornito risposte o chiarimenti in merito a eventuali legami con l’azienda Krikel e ha sottolineato che le esportazioni dei suoi prodotti «possono avvenire esclusivamente a favore di quei Paesi verso i quali le competenti autorità nazionali forniscono regolare autorizzazione all’esportazione».

Il Ministero degli Esteri italiano ha però dichiarato a IrpiMedia che «l’esportazione di materiali duali intra-UE è libera (a eccezione del settore nucleare), e perciò non è soggetta a licenza da parte della Uama». L’Uama è l’Unità per le autorizzazioni dei materiali di armamento che si occupa del controllo dei beni a duplice uso. La mancanza di trasparenza nelle vendite all’interno dell’Unione europea non è un caso isolato: la carenza di informazioni si riscontra anche sul numero complessivo di autorizzazioni concesse per l’export e sui Paesi di destinazione. Una richiesta di accesso civico generalizzato inviata da IrpiMedia è stata respinta perché un vecchio decreto esclude dall’accesso agli atti l’attività svolta dalla divisione Uama. Il diniego viene ribadito anche nella risposta alla richiesta di riesame presentata da IrpiMedia: non solo i motivi legati alla «sicurezza, alla difesa nazionale, all’esercizio della sovranità nazionale ed alla continuità e alla correttezza delle relazioni internazionali» ne impediscono la diffusione, ma anche perché, secondo il ministero, il nuovo regolamento europeo approvato a settembre 2021 sull’export delle tecnologie a duplice uso sottrarrebbe la sfera di autonomia degli Stati membri in materia a favore dell’Unione europea: il ministero invia i propri dati statistici alla Commissione che li elabora in un report annuale.

Sempre secondo il ministero, la stessa competenza comunitaria sarebbe provata dal fatto che l’Uama non presenta una relazione pubblica al Parlamento italiano, come invece accade per i materiali d’armamento classici. I beni dual-use, come quindi le tecnologie per la sorveglianza, sono considerati ben più riservati di un jet militare. Inoltre, si legge nelle conclusioni della risposta del ministero, che l’esistenza di un report prodotto dalla Commissione europea deve essere considerata sufficiente e scongiurare ogni ipotesi di “buchi neri” della trasparenza in questo settore.

La trasparenza mancata nel nuovo regolamento sull’export

A settembre 2022 la Commissione europea ha presentato un report al Parlamento comunitario riassumendo le attività svolte per quanto riguardo l’attuazione dei controlli sulle esportazioni dell’Ue per i prodotti a duplice uso nel 2021, inclusi alcuni dati aggregati sulle licenze concesse nel 2020.

Con l’aggiornamento al regolamento europeo che disciplina l’esportazione di tali prodotti, entrato in vigore a settembre 2021, l’Ue ha cercato di correre ai ripari introducendo maggiori obblighi sulla trasparenza dei singoli Stati membri per quanto riguarda le licenze di export concesse. Inoltre sono state incluse categorie più ampie come ad esempio le tecnologie per la cyber-sorveglianza e tecnologie biometriche.

Il nuovo regolamento ha introdotto anche un gruppo di coordinamento (Ducg) presieduto da un rappresentante della Commissione e uno per ogni Stato membro con lo scopo di monitorare l’applicazione delle regole per gli export. Il Ducg, si legge nel report di settembre, ha raccolto informazioni dagli Stati europei sulle tecnologie di cyber-sorveglianza esportate nel 2020. I dati mostrano un drastico calo delle licenze di autorizzazione: si passa dalle quasi 200 concesse nel 2017 fino alle 39 del 2020. Sempre nel 2020, si legge nel report, 32 autorizzazioni sono state rifiutate. I dati, purtroppo, sono aggregati e non sono divisi per ciascun Paese europeo, inoltre mancano all’appello anche informazioni sui Paesi di destinazione.

Licenze concesse

Il numero di licenze sulle tecnologie di cyber sorveglianza concesse in Europa dal 2014 al 2020

I dati riguardano tre categorie di tecnologie specifiche: sistemi per le intercettazioni di telecomunicazioni, sistemi per il monitoraggio della rete internet e sistemi di spionaggio digitale (i cosiddetti spyware). I primi sono sempre in testa nelle esportazioni e sono anche quelli più comuni: si tratta dei classici sistemi per le intercettazioni telefoniche comunemente impiegati dalle forze dell’ordine nei nostri Paesi.

Malgrado i dati siano aggregati, un dettaglio interessante emerge da un altro grafico: considerato il valore economico dei beni esportati per ogni categoria, le tecnologie che rientrano nella categoria telecomunicazioni e sicurezza dell’informazione – in cui rientrano sia dispositivi elettronici usabili in guerra sia sistemi per le intercettazioni e per il monitoraggio dei dispositivi – sono al primo posto, seguite dalla categoria che riguarda i materiali e gli equipaggiamenti nucleari.

Il valore delle licenze

La percentuale del valore delle licenze per ciascuna categoria di beni a duplice uso nel 2020. Le tecnologie di cyber sorveglianza sono al primo posto

Se la trasparenza del ministero degli Esteri è pari a zero, il governo italiano ha però offerto in passato alcuni spiragli sul mercato estero delle proprie aziende di sorveglianza. Claudio Guarnieri, esperto di sicurezza informatica a capo del Security lab di Amnesty International, ha mostrato durante la sua audizione alla Commissione Pega i risultati di una richiesta Foia inviata nel 2019. Il ministero dello Sviluppo Economico, all’epoca incaricato di rilasciare le autorizzazioni dell’export, ha fornito i dati statistici per gli anni 2017 e 2018. In quei due anni, sono state concesse undici autorizzazioni per sistemi o software usati per facilitare o controllare l’intrusione con gli spyware; 21 autorizzazioni per il monitoraggio della rete internet e tre autorizzazioni per sistemi di intercettazione o interferenza della rete mobile.

Confrontando questi dati con quelli raccolti nel report della Commissione europea si nota subito il ruolo giocato dall’Italia in quegli anni: circa il 38% delle autorizzazioni per software di intrusione è stata concessa ad aziende italiane ma la percentuale sale fino al 75% per quelle relative al monitoraggio della rete internet.

In nessun caso viene fornita alcuna informazione relativamente a quali siano i Paesi acquirenti. Il nuovo regolamento sull’export prevede che questi dati debbano essere forniti dagli Stati membri e inclusi nel report finale ma nel regolamento europeo c’è una clausola per cui i Paesi potrebbero decidere di non fornire queste informazioni nel caso in cui si applichino «obblighi in materia di protezione delle informazioni personali, di informazioni commercialmente sensibili o di difesa protetta, di politica estera o di sicurezza nazionale». Il buco nero che, secondo il ministero degli Esteri italiano non dovrebbe essere presente, rischia invece di essere già scritto nel regolamento.