DONA

DONA

Cy4gate, the Italian company supporting the “surveillance industry” in the Emirates

28 Dicembre 2021 | #inEnglish, Inchieste

#InEnglish

Cy4gate, the Italian company supporting the “surveillance industry” in the Emirates

December 28, 2021

Lorenzo Bagnoli
Riccardo Coluccini

In 2019, at the International Defence Exhibition & Conference (IDEX), Sheikh Mohammed Bin Zayed Al Nahyan, the Crown Prince of Abu Dhabi (known to the press with the initials Mbz) and Deputy Supreme Commander of the UAE Armed Forces, visited the stand of one of the most important and well-known Italian companies in the military sector, Elettronica SpA, 31.33% controlled by Leonardo, the Italian champion of state-owned defence systems. Mbz was welcomed by the CEO of Elettronica, but also by Eugenio Santagata, who, until the end of 2020, was CEO of another company of the group: Cy4gate.

Described by many as one of the leading actors of the Italian technological world, Cy4gate is en route to conquer two different sectors: IT defence and its “opposite”, i.e. data gathering and allowing intrusions for intelligence and surveillance purposes by the police. At the moment, seven years after its foundation, the company – partially owned by Leonardo through Elettronica – is acquiring an increasingly prominent role in the international scene of defence service providers. Although relatively new, Cy4gate operates in full continuity with state-owned companies, even when it enters into agreements over the sale of unspecified software to countries such as the United Arab Emirates, where technology is used as a weapon of repression.

The investigation in a nutshell
  • Cy4gate is part of the Elettronica group: more than 30% of the company is owned by Leonardo. It works in the field of intelligence services, based on Elettronica’s expertise. At the moment, it is undergoing a significant expansion.
  • According to internal documents and presentation slides, Cy4Gate’s clients include important companies controlled by the Mubadala sovereign fund: Crown Prince Mohammed Bin Zayed Al Nahyan (Mbz) has appointed some of his most loyal men at the top of this fund.
  • Abu Dhabi has a long history of holding shares in Italian companies through its sovereign funds. Some of them have a troubled history, like in the case of Piaggio Aerospace.
  • Cy4gate has been active abroad since its very creation: in 2015, it took part in the annual IDEX, one of the industry trade fairs in the Emirates. Among the systems it has exported, there is D-SINT, an intelligence tool that analyses open source information: this instrument is integrated with some controversial wiretapping tools, which can be used for repressive purposes. Information on dual-use goods licences is not publicly available in Italy.
  • Cy4gate network also includes the Emirates’ police, which sponsored one of their events. Its main partner was DarkMatter, another company used by the Royal Family to spy on opponents and internal enemies, now owned by people close to Crown Prince Mbz.
  • Cy4gate managers include former military officials, such as the Chief Transformation Officer appointed this year, Mr. Andrea Raffaelli, who is a former member of the ROS (Special Operation Section of the Carabinieri) and who attended events in the Emirates on behalf of the Carabinieri.

Business in the Emirates

IDEX is one of the most important defence trade fairs held in the Gulf countries. It hosts companies from around the world that sell armaments and defence technologies. Shortly after its creation in 2014, Cy4gate immediately took part in IDEX 2015; since then, it has continued to attend the fair, together with Elettronica. In an interview with Nation Shield, a newspaper focusing on the military world covering the event, Cy4gate Chief Marketing and Innovation Officer, Mr. Andrea Melegari, said: «There was a lot of interest in Cy4gate. We have scheduled several meetings and are making commitments for further dialogue in the future.»

In the interview, however, Mr. Melegari also praised Elettronica and the activities carried out in the sector of digital warfare: «If it wasn’t for that inherited expertise and strength, we would have never gotten where we are.»

According to what was reported by the Italian newspaper La Verità in February 2019, Cy4gate sold to Sheikh Mohammed bin Zayed Al Nahyan and to the Mubadala fund a platform, a system called D-SINT, which is able to monitor social media, the dark web, and other communication sources, thanks to «artificial intelligence algorithms.» The goal is to extract useful information, ranging from the topics being discussed on the web to the shareholders of specific companies.

The Game of Thrones of the United Arab Emirates

The fragile balance at the core of the relations among UAE’s sheiks

The platform, according to marketing material and presentations by Cy4gate viewed by IrpiMedia, is a useful tool for law enforcement and intelligence agencies, but it also enables companies to monitor social networks, so as to evaluate the performance of their brand or consider acquisitions of other companies. Moreover, as pointed out by La Verità, Mbz «will be in possession of a tool to carry out intelligence activities about himself.» Due to the current unstable health conditions of Emirates President Khalifa bin Zayed Al Nahyan’s, Mbz is considered the de facto sovereign of the Emirates. He has strengthened his position by placing people close to him at the top of state-owned companies – such as Mubadala – in order to control defence and cyber-surveillance activities above all.

Mubadala is among the customers included by Cy4gate in some of the company’s presentation slides. The company – owned by the state – is in fact a group, made up of several entities, ranging from investment funds to companies operating in the fossil fuel sector. One of the most important entities is Mubala Development, a fund managing 243 billion dollars on behalf of the government of Abu Dhabi. Mbz is the Fund’s President.

Mubadala’s Italian passion

The UAE diplomatic network develops through procurement orders, shareholdings, and memoranda of understanding signed by companies and funds representing the government of Abu Dhabi, such as Mubadala, a conglomerate entity specialised in the development of new technologies to be applied especially in the field of defence.

The most dynamic front at the moment appears to be cybersecurity, where Cy4gate is playing an increasingly important role. Mubadala is included in the customer list of the company; according to the company’s financial statements, a state contract is in place ahead of Cy4gate-branded technologies future exports to Abu Dhabi. Relations between Cy4gate and the Emirates started to develop at least three years earlier through Injazat Data System, a company which, at the time, was 100% owned by Mubadala. Today, Injazat Data System is controlled by a company whose shareholders also include the Emirates fund. Injazat deals with cloud, digital transformation, and cybersecurity. In its 2019 financial statements, Cy4gate highlights a «manifest difficulty» in collecting «credit due by the company Injazat Data System for services carried out in 2016.» Injazat also cooperates with Thales, a French multinational among the leaders in the field of defence, aerospace, and security, and a partner of Elettronica Group. In 2013 the French company partnered with Injazat for a state-of-the-art IT security system. In addition, in 2017 Injazat worked with the Ministry of the Interior of the Emirates to set up an intelligent surveillance systems inside its buildings.

Cy4gate told IrpiMedia that Injazat purchased D-SINT, the same platform sold to Mubadala. The platform was configured in such a way as to be designed «for corporate use.»

The Emirates fund Mubadala has been strategically present in Italy for a long time, even in domains not directly connected to cyberspace. In the banking sector, it has invested in Unicredit (at the time of the deal the CEO was Alessandro Profumo, who today works for Leonardo); in the energy sector, it has signed agreements with Eni and Snam, respectively for the reduction of carbon dioxide emissions and to «collaborate on joint investment and development initiatives on hydrogen», as stated in a press release published by Snam. In the security and defence sector, Mubadala signed a MoA with Leonardo to strengthen cooperation for the development of new war aircraft to replace the Emirates fleet.

Despite their long history of cooperation, bilateral relations between Italy and the Emirates have often been stormy. In 2021, the relations cooled to the point that, at the end of June, the Italian military was forced to leave the Al-Minhad base, near Dubai, one of the other seven Emirates. The crisis was sparked by the decision of Giuseppe Conte’s Government, in January 2021, to revoke the licence authorizing the export of Italian bombs to Saudi Arabia, a country at war with Yemen, and to the Emirates, which had officially withdrawn from conflict in 2020, after five years. In August, the Foreign Affairs Committee of the Chamber of Deputies expressed its opinion in favour of relaunching ‘strategic cooperation’ with the Emirates, effectively withdrawing the blockade.

Before this case, in 2018, the development of a drone triggered diplomatic contrasts, which ended up preventing agreements on important procurement orders. Mubadala was one of the protagonists of these contrasts: indeed, in 2006, the fund became one of the stakeholders of Piaggio Aerospace, which includes the industrial structures of Piaggio Aero Industries SpA and Piaggio Aviation SpA. In 2014, Mubadala became its sole owner, giving impetus in particular to the development of a drone: the P.180, also nicknamed Hammerhead.

The project, as reported by specialised site Defense News, provided for Italy purchasing some pieces of this aircraft, which functions without a pilot, despite the opposition of the Italian army, which considered this purchase useless. In the end, the Italian purchase order was withdrawn, triggering a crisis for Piaggio Aerospace, which, in December 2018, became controlled by a government-appointed administrator, upon the Emirates investors’ request. At the moment, the company is looking for buyers: for a long time now, the Emirates fund has been proposing to Leonardo to become a 50% shareholder.

Skeletons in the closet for D-SINT

Apparently, the D-SINT platform purchased by the government of Abu Dhabi did not limit its action to collecting intelligence data as per the brochure. The proof can be found in some emails by Hacking Team (HT), an Italian leader in the field of IT intrusions, which changed its name to Memento Labs after playing a major role in a scandal. The e-mails by HT managers had in fact been published by Wikileaks after the cyber-attack carried out by hacker Phineas Fisher in 2015.

According to this correspondence, Santagata and other representatives of Cy4gate are in close contact with the Milan-based company to organize various presentations and demonstrations of their products to potential buyers. E-mails include references to delegations from Singapore, meetings in Pakistan, and requests for quotes from Qatar.

In an email of May 2015, in the phases preceding the proposal of an offer to a potential buyer linked to Saudi Arabia’s intelligence, Santagata clarifies to David Vincenzetti, then CEO of HT, how the Cy4gate D-SINT software can be integrated into the platform for legal interceptions by Hacking Team, Rcs. Santagata explains this in technical terms and refers to D-SINT as «our suite developed in elt/cy4gate that we call D-SINT.»

Mubadala, the disputed sovereign fund

Among the seven emirates, the actual control over the soveregin fund Mubadala is in the hands of Mohamed bin Zayed Al Nahyan (Mbz), sheik of Abu Dhabi

Elt means Elt Roma and Elt GmbH, two of the companies forming the Elettronica group, together with Cy4gate. Elt GmbH is based in Germany and is active in national security and police activities. Elt Roma, on the other hand, is the historic company from which the Elettronica Group has developed. It deals with intelligence, surveillance, electronic attacks, and, in general, Electronic Warfare. When Santagata writes “elt/cygate”, he reiterates once again that Cy4gate has stemmed from the Elettronica group. This exchange of emails between CEOs suggests that the D-SINT platform, at least in 2015, was able to perform data collection by spyware. i.e. throughout intrusions on a target device, such as that produced by Hacking Team, instead of simply collecting data from the web or from private databases, as stated in the most recent presentation brochure. From an intelligence point of view, being able to analyse all the information directly in a single platform is clearly much faster and more useful.

This capacity is also partly confirmed by an image, published in an article by General Vincenzo Santo for the ReportDifesa website, where the architecture of the D-SINT system is reported. The data being collected and analysed are collected from Twitter, Facebook, Instagram, YouTube, sites in the Deep Web but also data from activities of SIGINT, ELINT, COMINT, or databases provided by customers. These acronyms stand for intelligence activities allowing the collection of information by intercepting signals (Signal Intelligence) which, in their turn, can be connected to communications (Communication Intelligence) or other electronic signals (Electronic Intelligence), such as those signalling the position of ships, or other categories of communication devices used in the military, different from the traditional devices we use daily.

In addition, some old brochures dating back to 2016 – according to the analyses carried out by IrpiMedia – offer detailed descriptions of these types of data: there is data from GSM and satellite communications, data related to the interception of law enforcement and intelligence activities on devices, and audio streams that are converted into text. These additional features are, in some cases, associated with a product called D-SINT Plus.

Screenshot of an old post-2016 brochure concerning software developed by Cy4gate: D-SINT Plus. This version was allegedly designed specifically for intelligence and law enforcement activities, and is capable of analysing data from GSM and satellite communications, interception activities, and audio streams

At the moment, on the Cy4gate website, the only D-SINT-related products being advertised are the two versions of the information dashboard that allows you to view the data. The product is called QUIPO and is offered to both companies and government agencies and law enforcement agencies. Cy4gate told IrpiMedia that the D-SINT platform manages data publicly available online and that the platform «can also be connected to corporate management databases that the customer decides to use as additional sources of information, to integrate the open-source ones». The company also underlines that “the D-SINT platform is not used for lawful interception activities” – that is, interception for policing purposes.

According to Cy4gate, the platform used by Mubadala and Sheikh Mbz does not provide for the possibility of analysing data from interceptions «as these functions have never been developed for the D-SINT system».

Abuse and digital surveillance in the Emirates

Human rights violations have been widely documented in the Emirates for years now. In some cases, repression against activists and minorities of all kinds is also based on a technological surveillance apparatus that has grown over the years thanks to the help of the US and, subsequently, local companies. According to an investigative report by Reuters, since 2009 former US intelligence agents have cooperated with Project Raven, a secret team of computer experts whose task was helping the UAE in the surveillance of other governments and human rights activists. Leveraging on the knowledge gained working for the US intelligence, these people were able to infect computers and smartphones of the Emirates’ “enemies”.

Some members of Project Raven were recruited by cyber security company CyberPoint and, subsequently, in 2016 they found themselves in the position of having to decide whether to return to the USA or agree to work for a new employer: the company DarkMatter, based in Abu Dhabi, one of the most controversial companies in the country. Today, the company is participated by one of the Abu Dhabi government funds, at whose top Sheikh Mbz placed his most trusted men, after some contrast with an adverse faction of the royal family in January 2021.

DarkMatter is known for its unorthodox attempts to recruit computer experts. In one case, documented by The Intercept in 2016, cybersecurity researcher Simone Margaritelli did a job interview with a company representative, who told him about a project aimed at monitoring internet communications in the main cities of the Emirates, for the benefit of national security. Margaritelli retraces the main stages of this story in a post published on his blog and reports one of the objectives of the system as described by the representative of DarkMatter: «Imagine that there is a person of interest at the Dubai Mall, we have already placed all our probes throughout the city, let’s press a button and BOOM! All devices in the mall become infected and traceable.»

According to Reuters, Project Raven operators have also used a platform called “Karma”, which would allow the installation of spyware on the iPhones of hundreds of activists, heads of state, and suspected terrorists. Also according to Reuters , among the most illustrious victims are the wife of activist Ahmed Mansoor; the Emir of Qatar, the sheikh of rival Qatar Tamim bin Hamad al-Thani and Tawakkul Karman, Nobel Peace Prize winner and one of the leaders of the Arab Spring protest movement in Yemen.

In September 2021, three former military members of the United States Intelligence accepted an agreement accounting for more than $1.68 million to settle allegations related to the provision of hacking services to a foreign government, in particular for the work carried out with DarkMatter to infect computers and smartphones around the world, including the United States.

Cy4gate, DarkMatter, and their contacts with the Emirates police
Another controversial element is the connection, albeit indirect, between Cy4gate and DarkMatter. Traces of this connection are found in 2016, when Cy4gate took part in the Future Police Technology conference in Abu Dhabi: the strategic partner of the event was the Emirates Ministry of the Interior. Cyber Security Innovation Partner is DarkMatter, while Cy4gate is a sponsor.

The event is part of the UAE Vision 2021 National Agenda, an initiative that aims to make the Emirates «the safest country in the world.» Among the benefits of being a sponsor of the event, as reported on an archived page of the site, there is the possibility of «expanding one’s network of contacts and potential customers among the UAE police forces» and showing one’s interest in the local market, as well as «building brand credibility in the region.»

Screenshot taken from a video uploaded onto YouTube related to the Future Police Technology conference that took place in Abu Dhabi in 2016. In the video, behind the speakers, you can see a panel with the Cy4gate logo among the logos of the other event sponsors

It is not clear whether representatives of Cy4gate also participated in the event in 2016. However, the recently appointed (in 2021) Cy4gate CTO Andrea Raffaelli was there at the time in his former role as Commander of the Department of Computer and IT Investigations at the Special Operating Section of the Carabinieri (ROS). In an interview during the event, Raffaelli stressed its importance because «this type of innovation and technology could be very useful in identifying and stopping many criminal threats.»

The company told IrpiMedia that on that occasion «no agreements were signed for future sales.»

The export of dual-use technologies and Cy4gate licences

Although the company denies it, it appears possible to use D-SINT – at least based on past descriptions – also to analyse information collected through third-party spyware. Therefore, D-SINT does not directly intercept but might be able to receive and analyse data collected from spyware developed by other companies. The recent history of abuse in the Emirates should raise concerns regarding these particular customers. Moreover, it seems that the D-SINT platform was not sold only to Mubadala. In an interview dating back to 2017 with the newspaper Nation Shield, Massimo Antonio de Bari, head of the Elettronica Group in the United Arab Emirates, stated that «many companies, even in the United Arab Emirates, are using D-SINT successfully» not only for intelligence activities.

Cy4gate also develops Epeius, its own interception system; however, according to the Intelligence Online magazine, this system is difficult to install without the victims having to click a link, the so-called 0-click attacks.

Over 10 years of (failed) attempts to regulate surveillance export

Both Palantir and, above all, NSO – despite being two of the best-known companies in their respective sectors – are also the emblem of all the risks linked to the management of surveillance technologies: abuse by dictators and governments, indiscriminate collection of information also from social networks, constant monitoring of dissent and protests by activists and citizens. Indeed, technology export regulations have not been able to keep the proliferation of these technologies under control.

2021 was the year of scandals related to the Pegasus spyware, produced by NSO. This software is able to monitor communications, travel, and extract copies of all data stored in smartphones; the Forbidden Stories’ investigative report has shown that it is used against journalists, dissidents, and ministers around the world. The effects of the investigative report are still clearly visible: the latest official victims are six Palestinian activists who were monitored between 2020 and 2021 via Pegasus.

The debate on how to control these surveillance technologies, however, has been going on for more than 10 years now. In 2009, the European Union introduced a regulation that provides for the authorization by individual Member States for the export of “dual-use products” or all those products, including software and technologies, that may have both civilian and military use. The control procedures, the transparency of states, and the definition of the products included in the list have always been weaknesses in the regulation. Therefore, despite the regulation, abuses such as the one related to the software produced by German company FinFisher, which was used against Bahraini activists and documented in 2012, immediately emerged.

In 2014 , the European Commission announced an update of the list of dual-use goods, introducing controls for new categories such as spyware and technologies allowing the monitoring of internet traffic. However, in 2016, Area SpA, a company in Varese that, according to the investigators, had sold technologies allowing it to monitor internet traffic to Syrian secret services between 2010 and 2011, a case which was widely debated in Italy. The Ministry of Economic Development has confirmed, in response to a parliamentary inquiry carried out in 2017, that Area SpA had obtained regular export authorisation, and that those technologies were still not included in the controlled categories set forth according to the 2014 update.

The following year, the Ministry of Economic Development revoked Area SpA’s export licence to Egypt, thanks also to the pressure of civil society organizations. Shortly before that, an Al-Jazeera investigative report entitled Spy Merchants had revealed the tactics used by sector companies to avoid controls, for example by resorting to third companies in countries where it is possible to export and effectively bypassing any checks. Other journalistic investigative reports have confirmed that the control system provided for by export regulations is easy to circumvent: Security for Sale has shown that, from 2014 to 2017, EU Member States have allowed the export of surveillance technologies also to totalitarian countries or countries where freedoms are partially denied.

In the meantime, cases of technology-related abuses have continued to grow all around the world: from Mexico (where there are traces of the activity of the Italian company Hacking Team) to Morocco and Myanmar.

The most recent attempt to regulate this type of product is the update of European regulations on the export of dual-use technologies, adopted by the European Parliament in March 2021, with which the EU has tried to remedy the situation by introducing stronger obligations in terms of transparency for individual Member States concerning the granting of export licences. In addition, broader categories have been included such as technologies for cyber-surveillance and biometric technologies. Human rights associations, such as Access Now, Amnesty International, Committee to Protect Journalists, FIDH (International Federation for Human Rights), Human Rights Watch, Privacy International, Reporters Without Borders (RSF) have immediately stressed, however, that this regulation risks proving still inadequate.

Yet, according to a document describing the features of Cy4gate products, Epeius does not imply these problems, since it includes different ways to infect a device: from remote, relying on malicious links, or by 0-click (a silent installation that does not require victims to click on any link), and even local infections. Similar features are also found in Pegasus spyware, sold by NSO and already involved in abuses in the Emirates.

Cy4gate has specified that it has been granted «Individual Specific Authorizations for each of its foreign customers» since «some of the exported products can be classified as “armament materials”».

This type of authorization, as stated on the website of the Ministry of Foreign Affairs, is issued based on the opinion of an inter-ministerial advisory committee, which is provided from time to time. The application for export must include a copy of the relevant contract and an end-use declaration. IrpiMedia has requested details on the authorizations provided to Cy4gate to the Unit for the Authorization of Armament Materials (UAMA) of the Ministry of Foreign Affairs (MAECI). A spokesman for the Press Office of the Ministry of Foreign Affairs told IrpiMedia that no licences were issued to the company to export their products to the Emirates.

However, in his document Cy4gate does not clarify exactly for which products they have been authorized for export: if, on the one hand, it is easy to include the Epeius software in the category of dual-use products (i.e. products which can be used both in the civil and military fields), for D-SINT the situation is a little bit more complicated. Cy4gate has declared to IrpiMedia that no licence allowing export to the Emirates has been issued because «D-SINT is classified as a “civil good” and does not require any export control», i.e. it is not included in the product types that require an export licence.

In the light of the abuse and digital surveillance cases which have taken place in the Emirates, Cy4gate has replied to IrpiMedia reiterating that «D-SINT has access exclusively to public sources; therefore, as regards the data found on social media, exclusively to public profiles. It is clear that D-SINT does not enable the user to infringe third parties’ privacy rights in any way» and the company reiterates that «Cy4gate strictly complies with the national and international regulations in force on the matter.»

The EU Non-Proliferation and Disarmament Consortium, a group instituted by the Council of the European Union bringing together research centres and think-tanks that deal with regulations on armaments and technologies, has published a study that analyses the new European regulations on the export of dual-use technologies introduced in March 2021. In a table showing when different technologies for digital surveillance were included in the lists of dual-use materials, researchers have pointed out that the EU had included monitoring centres in the list already in 2020. Monitoring centres are systems made available to law enforcement and intelligence agencies to collect, store, and analyse different forms of communication data from various sources. The D-SINT platform appears to include similar features, at least according to past descriptions. If this were still valid, D-SINT should come under the control of the UAMA as a “dual-use” application.

Over the years, stories of system abuse linked to interception and surveillance have also raised the issue of how to make sure that, once the software has been sold and the abuse has been proven, there is a way to stop the abuse and prevent further harm. This was the case with software collecting data from smartphones as seen in the case of Myanmar. If a customer commits abuses using these systems, Cy4gate declares that it is possible to disable the software licence, preventing the receipt of new updates. However, it would be possible to continue to use the system until the licence has expired.

CREDITS

Authors

Lorenzo Bagnoli
Riccarco Coluccini

In partnership with

Privacy International

Infographics

Lorenzo Bodrero

Editing

Luca Rinaldi

Photo

Dario Rigon/Shutterstock

Cy4gate: the Italian surveillance company seeking to challenge NSO and Palantir

27 Dicembre 2021 | #inEnglish, Inchieste

#InEnglish

Cy4gate: the Italian surveillance company seeking to challenge NSO and Palantir

December 27, 2021

Lorenzo Bagnoli
Riccardo Coluccini

“Cybertranquillity” is the motto. Cy4gate responds to endless virtual threats by offering its customers defence services to ensure security and protection. The marketing campaign seems effective: the company’s financials are rather solid. Its launch on the AIM (the stock market for small and medium enterprises) listing, which dates back to 24 June 2020, was a success. Its shares rose by 28% on the first day of trading and 110% over the following six months. The initial public offer went better than expected, and Cy4gate won the first prize “for the best strategy in use of the capital market in the fundraising section on the AIM Market of Borsa Italiana for the year 2020”. Today, however, their performance is not as impressive and, according to TeleBorsa’s analysis, its shares, due to their volatility, “are the object of attention especially of ‘risk on’ investors”. The company’s balance sheet, however, is still strong: in 2020, Cy4gate recorded revenues for €12.5 million, an increase of approximately 69% over the previous year.

Founded as a joint venture between Elettronica Group and Expert System in 2014, Cy4gate is the first Italian company that combines cybersecurity, wiretapping services for international police, and broad-spectrum intelligence, defined by Cy4gate as Continuous Intelligence.

Elettronica is a company that sells onboard equipment in the military, from the navy to aviation, technologies for “electronic warfare” such as anti-traffic tools, systems for the detection of threats, and for communications surveillance. Expert System, on the other hand, is active in the field of artificial intelligence and develops a software, COGITO, able to analyze and understand the information contained in text.

The investigation in a nutshell
  • Cy4gate’s revenues amounted to €12.5 million in 2020, an increase of almost 69% over the previous year. The firm’s goal is to challenge its two main competitors, NSO and Palantir. The companies are known for the abusive use of their technologies by authoritarian regimes and the use of social media monitoring tools.
  • Cy4gate has signed contracts globally: in the United Arab Emirates, Saudi Arabia, Pakistan, Qatar, Central Asia (not specifying where), Latin America (at least Argentina and Mexico). It also provides services to NATO and European partners. Many of these countries have already been involved in cases of abuse of surveillance technologies in the past.
  • D-SINT is Cy4gate’s platform aimed at challenging Palantir: a system that monitors social media and other databases to extract information using artificial intelligence algorithms, including facial and object recognition algorithms, and thus make decisions supported by data.
  • Epeius is the wiretapping system Cy4gate has developed to take on the NSO. The system is apparently able to take control of smartphones and extract private information. However, Cy4gate has already experienced some difficulties with Epeius: the Public Prosecutor’s Office of Naples has, in fact, suspended the use of the system due to some disruptions.
  • Cy4gate, NSO and Palantir have spotted an opportunity in the COVID-19 pandemic to expand their market: all three have offered systems either for contact tracing or to help data analysis related to the pandemic. In many cases, these operations have resulted in scandals.

In Italy, Cy4gate has no competitors: no one is able to offer such a wide range of services and products. Abroad, however, its major competitors – whose turnover is still not even comparable with that of the Italian company – are Palantir and NSO Group. Cy4gate itself recognizes them as both competitors and reference points, including them in presentations and talking about them in interviews. The first is an American company whose name is inextricably linked to the American military sector: Peter Thiel, one of the founders, was a major donor to Donald Trump. The second is the Israeli group that created Pegasus, the spyware that infected the phones of politicians, activists, and journalists from around the world. Its use was exposed in the Pegasus Project investigation, which led the United States to blacklist the NSO.

Cy4gate relies on two products to challenge NSO and Palantir, respectively: a software for interceptions, Epeius, and a platform capable of collecting and analysing information already online or collected directly from electronic and digital devices, D-SINT.

Global surveillance

The countries where Cy4gate says it sold products to, signed contracts and developed its own business. In many cases, the company does not provide details on the buyer’s identity

In an interview to the specialized Youtube channel Vivere di dividendi, published in December 2020, the then CEO Eugenio Santagata – currently working for Telsy, a company that deals with security of telecommunications infrastructures belonging to the Telecom group – specified that for some offensive cyber intelligence activities (those requiring the authorizations of the judiciary and governments) – “we stand by the side of those who do ethical hacking, and, therefore, on the side of the good guys”. With this in mind, Santagata seems to combine two different Cy4gate products: on the one hand, the collection of online public information, on the other hand, the interception of spyware on behalf of investigative bodies. The latter is the sector where the most significant abuse was carried out, in the context of the ever-expanding surveillance market. Italian companies have often been in the eye of the storm, such as the former Hacking Team (now known as Memento Labs), Area SpA, and RCS, accused of malfunctions of their technologies, alleged export violations, or abuses.

Cy4gate's sales geography

Cy4gate’s 2019 turnover consists of 30% of sales abroad and 70% of sales in the Italian market. The company’s goal is to achieve perfect balance between the two markets over the next few years. In Italy, institutional clients range from the Ministry of Justice to the Court of Auditors, from the Prime Minister’s Office to the Carabinieri Corps, and, lastly, the Army and Naval Armaments Directorate of the Italian Ministry of Defence.

In 2016, two years after its birth, Cy4gate started exporting its products to the Middle East and Asia; exports further increased between 2018 and 2019. In 2017, exports have resulted in €4 million revenues. The countries of destination are not specified. The presentations often do not mention specific countries, but provide vague geographical indications. Among the few countries mentioned are Pakistan, Qatar, Saudi Arabia, the United Arab Emirates, and the Emirates Cabinet, the Emirates federal government executive; the latter is currently led by Dubai Sheikh Mohammed bin Rashid Al Maktoum, who serves as the Prime Minister and Minister of Defence of the entire federation of the seven emirates. Other big companies in the sector have often been involved in scandals in these countries.

Over the past two years, Cy4gate has secured a $110 million contract with NATO’s Center of Excellence; it has entered into agreements with the North American and Gulf Navy government agencies for both cyber intelligence and cybersecurity technologies, worth a total of 3 million; designed a 600,000 dollar cyber intelligence platform for a Latin American government (and filed the trademark in Mexico); sold a 300,000 euro cyber intelligence solution for a Central Asian government; and signed research and development contracts with a European aerospace and defence company.

Cy4gate also takes part in European projects, such as GalilEO for EU DEfence (GEODE), in its quality as a member of a consortium of companies whose aim is promoting the development of military capabilities in the EU based on Galileo, a civil positioning and satellite navigation system developed in Europe. And contracts and activities with NATO in the field of cyber defence. NATO itself has selected Cy4gate as the official supplier of government or defence agencies belonging to the NATO Codification System, a sort of register of suppliers officially recognised by NATO.

Where no direct contract has been entered into, the company has relied on contracts signed by its majority shareholder and parent company Elettronica, as reported in the listing document provided to AIM. In 2019, for example, activities were carried out based on several contracts awarded by Elettronica: six of them concern Italian or foreign customers, with Cy4gate as a subcontractor; in addition, (again, as reported in the document), a collaboration for the provision of an intelligence platform to two foreign customers and two more in the military relating to cybersecurity has been established.

In other cases, it carries out «incisive business development and sales actions» as stated in the 2018 financial statements. These actions concern: «Latin America (Argentina and Mexico), the Gulf countries (in addition to UAE, Saudi Arabia, Kuwait, Qatar), Asia (Pakistan, China, and Indonesia), Africa (Algeria, Nigeria) very often in coordination with the initiatives and sales force of Elettronica».

Palantir: the competitor

D-SINT (short for Digital Signal Intelligence) is the Cy4Gate software intended to challenge Palantir in the field of intelligence platforms. It collects, processes, and links data with different format and origin: from social media images to dark web information. «The right information, at the right time, to the right people, in the right way», the company states in a presentation brochure. The analysis is facilitated by the use of COGITO software, developed by Expert System (one of the two founding companies of Cy4gate), and by facial and object recognition software developed by iCTLab, a University of Catania spin-off. The integration – according to a 2019 presentation – will allow, for example, to search information about individual subjects in texts, image databases, or on Twitter, and the same applies to objects.

The two companies were also developing a voice recognition option “related to possible wiretapping or audio files collected in databases or from portable devices”. In the same presentation, however, the two companies underline a criticality in the use of this type of algorithms for recognition: «Given the increasing focus on the issue of privacy, this area will be a critical factor for the use of the data collected and analysed».

Screenshot taken from the presentation held during the workshop “AI for Cybersecurity” on 18 March 2019 at Auditorium della Tecnica Congress Center. The presentation revolves around some D-SINT platform features, also allowing to use facial and object recognition algorithms developed by iCTLab

This is a niche market: the market of intelligence platforms such as D-SINT, able to analyse a multiplicity of data from any type of source, be it public, published on the web, or private databases. In recent years, the Palantir Technologies Group has stood out, although not always in positive terms. According to a Bloomberg article of 2018, its software is able to «find out everything about you».

Palantir was founded in 2003 by venture capitalist Peter Thiel, one of the co-founders of PayPal, who in 2016, according to Buzzfeed, tried to transform himself into the philanthropic financier of the American alt-right, the subversive right-wing galaxy – which mixes conspiracies, traits of anti-capitalism, and white supremacy – strongly supporting former POTUS Donald Trump. Since its foundation, Palantir has cooperated with the CIA and the Pentagon in Afghanistan and Iraq, receiving funding from In-Q-Tel, the non-profit investment company linked to the CIA itself, which promotes innovation in the technological sector. Palantir does not directly perform interceptions but allows to analyze the data already collected, providing analysis and showing links: this simplifies decision making.

In addition to military applications, the software produced by Palantir was used by the United States Immigration and Customs Enforcement (ICE), the US federal agency responsible for border control, to identify and deport illegal immigrants. Palantir has also provided predictive police software to Los Angeles City law enforcement agencies to monitor, identify, and track suspects: some analysis of the software operation already seems to indicate that racially motivated biases exert significant influence on decisions. However, other shadows seem to loom over Palantir. According to Intelligencer, a section of the New York Magazine, former army members and intelligence officers have stressed how Palantir’s success is more linked to its clean and simple interface allowing it to view data than to the actual use of advanced technology.

Pandemic-proofing

As the pandemic continues, both Cy4gate and Palantir have tried to enter the European healthcare market. In the first few months of the health crisis, Cy4gate announced the creation of the HITS, Human Interaction Tracking System, a system for tracking coronavirus infections. Hits had also been proposed to the government (which, however, ended up choosing Immuni), unlike other private companies that have adopted the Cy4gate software.

Palantir managed to establish contacts with national healthcare systems. The new contracts related to the pandemic are among the reasons for a +49% in the cash flow reported by the company in Q2 2021. The Greek Government has signed a secret agreement to share population health data with Palantir; following the subsequent scandal, the Greek Privacy Authority opened an inquiry and the Government has apparently terminated any cooperation and had the data deleted. A similar agreement also existed in the UK with the National Health Service (NHS), where two court cases, initiated by civil society organisations, openDemocracy and Foxglove, prompted the UK government to promise to terminate the agreement with Palantir. Similarly, agreement transparency and the use of collected data projected Palantir in the spotlight of political attention also in the US.

Screenshot taken from the slides of the presentation for AIM’s Virtual Conference dated 27 May 2021. In the photo, you can see the competitors selected by Cy4gate in their respective market sectors. In addition to Palantir and NSO, other recurring names of the Italian scene appear, as IPS, RCS, and SIO, all operating in the field of interceptions for Prosecutor’s Offices

NSO Group – the Israeli company protagonist of the Pegasus Project, which collaborates with intelligence agencies around the world – has tried to develop software for contact tracing during the pandemic. The software called Fleming has had a hard life since its launch, though. The company was accused of using the personal data of thirty thousand real people during the launch: these people were unaware that their movement data was used in the presentations of the products. This amounts to a privacy breach. Its poor performance in terms of tracking risks turning into economic loss, since the indicators have already prompted rating company Moody’s to downgrade its creditworthiness to B3 in May 2021.

Interception Software Competition

NSO is a point of reference especially for interceptions and police surveillance activities. Cy4gate offers three systems in the field: Epeius, Hydra and Gens.AI. Epeius is a spyware that can be installed on people’s smartphones and devices to monitor their activities and extract, for example, copies of their chats and photos, location data, and emails. Hydra, on the other hand, allows to monitor online browsing, identify the applications used and the websites visited, and ascertain whether VPN or Tor Browser (two technologies that allow to safely browse hiding one’s identity) have been used. The use of Epeius and Hydra is «reserved for Police Forces and Italian and foreign Intelligence Agencies», reads a Cy4gate document.

Gens.AI, on the other hand, allows to create and manage false profiles to be used on social networks, facilitating investigation activities: in this way, agents can interact with people without arousing suspicion.

The first public traces of Epeius emerged in connection with Italy, according to an article published on Motherboard in February 2021 that revealed the presence of a fake WhatsApp page in Italian allegedly allowing the installation of a module inoculating Epeius. The purpose of the page is not clear: it has not been ascertained whether it was used for Italian intelligence activities or interception during police investigations. What is certain, however, is that the company already has problems with Italian prosecutors: the Public Prosecutor’s Office of Naples has, in fact, suspended the use of spyware managed by SIO and attributable to Cy4gate due to «serious disruptions».

Screenshot of a presentation dated 22nd September 2020 on the data of the first half of the fiscal year. Cy4gate shows the details of the agreement stipulated with Sio and the Italian Prosecutor’s Offices involved

In fact, Cy4gate signed an agreement in March 2020 with company SIO S.p.A., one of the Italian companies renting interception equipment to Public Prosecutor’s Offices. The agreement, whose details are reported in the AIM listing document, grants SIO «the exclusive use of the Epeius computer sensor». Cy4gate will receive the «total amount paid by Prosecutor’s Offices using Epeius for the correct ‘infection’ of a device (remotely or on site)» and a percentage of the annual turnover of SIO generated by Epeius. This percentage will amount to 50% if the turnover is above 4 million euros, or 60% if lower.

According to Cy4gate estimates, the agreement with SIO allows access to about 70 new Prosecutor’s Offices and covers a 70% share of the market of police wiretapping, which is estimated by the company itself to be worth around €36.3M.

In a press release dated 10 February 2021, Cy4gate confirmed that the disruptions of the Public Prosecutor’s Office of Naples are due to malfunctions and that, in the specific case, the situation «has been promptly identified and subjected to rigorous analysis». According to sources interviewed by Motherboard, in some cases the software for interceptions caused a notification to appear on the screen of the suspect, arousing suspicions.

NSO, a point of reference despite all the trouble

On 3 November, the U.S. Department of Commerce included NSO in a blacklist that includes companies whose software was used to «deliberately target government officials, journalists, businessmen, activists, academics, and embassy employees», as declared in the same statement. Organisations included in the list can no longer buy technology from US companies, which, in turn, are obviously prohibited from selling to the companies on the list. The initiative was taken by the Department of Commerce following the revelations contained in the Pegasus Project.

Though increasingly debated over and controversial, NSO Group remains a reference point in the industry. Cy4gate is no exception: «Our main competitors in the government sector are Israeli and they are also a point of reference, because we have learned a lot from them over time», Eugenio Santagata – then CEO of Cy4gate – said in the December 2020 interview with Vivere di dividendi.

As the contracts entered into by Cy4gate show, the company is active in controversial markets, competing with companies involved in scandals due to contracts with law enforcement authorities of authoritarian regimes. A similar story as NSO’s, which is, in fact, involved in two important cases connected, specifically, to the United Arab Emirates, a country where Cy4gate is also very active. In early October 2021, a British court confirmed that the Emirates Prime Minister, Sheikh Mohammed bin Rashid al-Maktoum, had his former wife and lawyers’ smartphone spied on using Pegasus software. NSO had terminated the contract for the use of its software after becoming aware of the incident.

The other case, however, concerns the engineer, blogger, and activist Ahmed Mansoor, who over the years has been the target of attacks carried out with three different softwares: in 2011 by FinFisher, in 2012 by Hacking Team, and in 2016 by NSO, exploiting a vulnerability whose price is estimated at around one million dollars. In all three cases, the technologies are linked with the actions of the Emirates government. Mansoor was arrested in 2017 and handed a 10-year sentence following an unfair trial based on fictitious charges, according to Human Rights Watch.

Due to the shadows that surround the two competitors (NSO and Palantir) Cy4gate told IrpiMedia that they condemn «any form of misuse or illegitimate use of products that were created with a clear, specific and exclusive purpose: to support the authorities in charge of the prevention and repression of heinous crimes». In addition, «Cy4Gate operates exclusively within the framework of current national and international standards, and makes its technology available to law enforcement agencies. Its aim is contributing to the prevention and repression of crimes, in the exclusive interest of communities. Our products’ users are the main guardians of these very communities», said a company spokeswoman.

In the case of another NSO, would Europe be able to stop it?

The scandals on the export of surveillance technologies have always involved Italy. From the case of Area SpA in Syria to the abuses of Hacking Team‘s technologies, the export sector seems to constantly circumvent every rule and control, in the almost total silence of the monitoring Authorities. Recently, a case involving the Pegasus Project has emerged due to the work of Forbidden Stories, a consortium of journalists. The case has highlighted how this spyware can end up being used even in Europe.

With the update of European regulations on the export of dual-use technologies, adopted by the European Parliament in March 2021, the EU has tried to remedy the situation by introducing stronger obligations in terms of transparency for individual Member States concerning the granting of export licenses. In addition, broader categories have been included such as technologies for cyber surveillance and biometric technologies. Human rights associations, such as Access Now, Amnesty International, Committee to Protect Journalists, FIDH (International Federation for Human Rights), Human Rights Watch, Privacy International, Reporters Without Borders (RSF) have immediately stressed, however, that this regulation risks to prove still inadequate.

They reiterated, for example, that the term cyber-surveillance should also include every previously regulated system, such as probes to intercept communications on the Internet and software for intrusions into devices. In addition, the associations have requested that the national authorities responsible for export licences publish monthly reports on the applications received. Above all, they hope that the authorities will take into account the provisions of the Charter of Fundamental Rights of the European Union, the guidance developed by the Court of Justice of the European Union and the European Court of Human Rights in the assessment phases.

It is unclear, however, whether the Member States intend to apply these suggestions and keep an eye on the surveillance technologies market, which appears to be increasingly taking up a role as a strategic asset in the geopolitical field.

Despite recent faux pas with the Italian Prosecutor’s Offices, the rise of Cy4gate appears to be unstoppable. In June 2021, the company attended the ISS World Middle East and Africa conference, an event that is part of a series of annual conferences taking place around the world where surveillance companies, governments, and security and intelligence experts meet. The archived copy of the event agenda states that Cy4gate would hold two sessions: one on Gens.AI and the other on the cyber intelligence platform and «how to control and combine in real-time all the information retrieved from the target under surveillance, leveraging on multiple classes of active and passive sensors». The next appointment is with ISS World Europe, which will take place in Prague in December.

CREDITS

Authors

Lorenzo Bagnoli
Riccarco Coluccini

In partnership with

Privacy International

Infographics

Lorenzo Bodrero

Editing

Luca Rinaldi

Photo

Song_about_summer/Shutterstock

I business dell’italiana Cy4gate a sostegno dell’industria della sorveglianza negli Emirati

19 Novembre 2021 | #Sorveglianze, Inchieste

#Sorveglianze

I business dell’italiana Cy4gate a sostegno dell’industria della sorveglianza negli Emirati

Lorenzo Bagnoli
Riccardo Coluccini

Nel 2019, alla International Defence Exhibition & Conference (IDEX) lo sceicco Mohammed Bin Zayed Al Nahyan, il principe ereditario di Abu Dhabi noto alle cronache giornalistiche con le iniziali Mbz nonché vice comandante supremo delle forze armate degli Emirati Arabi Uniti, visita lo stand di una delle più importanti e note aziende italiane nel settore militare, Elettronica Spa, controllata al 31,33% da Leonardo, il campione italiano dei sistemi di difesa a partecipazione statale. Ad attenderlo, oltre all’amministratore delegato di Elettronica, c’è anche Eugenio Santagata, fino al termine del 2020 amministratore delegato di un’altra azienda che fa parte del gruppo: Cy4gate.

Descritta da molti come una delle eccellenze del mondo tecnologico nostrano, si è lanciata alla conquista di due settori: la difesa informatica e il suo opposto, la capacità di raccogliere dati e permettere intrusioni a scopi di intelligence e di sorveglianza da parte delle forze dell’ordine. A sette anni dalla fondazione, l’azienda partecipata da Leonardo attraverso Elettronica sta acquisendo un ruolo sempre più di primo piano nello scacchiere internazionale dei fornitori di servizi di difesa. Il marchio è relativamente nuovo ma opera in piena continuità con aziende a partecipazione statale anche quando stringe accordi per vendere software non specificati a Paesi come gli Emirati Arabi Uniti, dove la tecnologia è usata come arma di repressione.

Gli affari negli Emirati

IDEX è una delle fiere più importanti tra quelle che si svolgono nei Paesi del Golfo. Ospita aziende da tutto il mondo che vendono armamenti e tecnologie collegate al settore della difesa. Poco dopo la sua nascita nel 2014, Cy4gate è già presente a IDEX 2015 e da allora continua a presenziare alla fiera, insieme ad Elettronica. In un’intervista su Nation Shield, giornale dedicato al mondo militare che si occupa della copertura mediatica dell’evento, Andrea Melegari, Chief Marketing and Innovation Officer di Cy4gate, dichiara a riguardo della presenza dell’azienda e delle aspettative nell’area del Golfo: «C’è stato molto interesse per Cy4gate. Abbiamo in programma una serie di incontri; stiamo prendendo impegni per ulteriori discussioni in futuro».

IrpiMedia è gratuito

Ogni donazione è indispensabile per lo sviluppo di IrpiMedia

Scegli tu quanto donare
L’inchiesta in breve
  • Cy4gate è una società del gruppo Elettronica, partecipata per oltre il 30% da Leonardo. La società si occupa di servizi di intelligence e nasce dall’esperienza di Elettronica. È in un momento di particolare espansione.
  • Da documenti interni e slide di presentazione si scopre che tra i suoi clienti ci sono importanti aziende del fondo sovrano Mubadala, al cui vertice il principe ereditario Mohammed Bin Zayed Al Nahyan (Mbz) ha messo alcuni dei suoi uomini più fedeli.
  • Abu Dhabi, attraverso i suoi fondi sovrani, ha una lunga storia di partecipazioni in aziende italiane. Alcune travagliate, come quella in Piaggio Aerospace.
  • Da subito dopo la sua nascita Cy4gate è attiva all’estero: nel 2015 partecipa all’edizione di IDEX, una delle fiere di settore negli Emirati. Tra i sistemi che ha esportato c’è D-SINT, uno strumento di intelligence che analizza informazioni da fonti aperte che si integra con controversi strumenti di intercettazione che possono essere usati a scopo repressivo. Le autorizzazioni per beni dual-use non sono pubbliche in Italia.
  • Tra i contatti di Cy4gate c’è anche la polizia emiratina, come testimonia la sponsorizzazione di uno dei loro eventi. Partner principale era DarkMatter, altra azienda usata dalla famiglia reale per spiare oppositori e nemici interni, oggi controllata da persone vicine al principe ereditario Mbz.
  • Tra i manager dell’azienda vi sono molte persone con un background nel mondo dell’esercito o che hanno ricoperto ruoli nei carabinieri, come ad esempio il Cto Andrea Raffaelli, nominato nel corso di quest’anno ed ex appartenente ai Ros e presente in passato agli eventi negli Emirati per conto dei Carabinieri.

#Sorveglianze è una serie che indaga su nuovi protagonisti e industria dei think tank del comparto della cybersicurezza in Italia. Nasce dalla collaborazione tra IrpiMedia e Privacy International, organizzazione britannica che si occupa di sorveglianza di massa e difesa dei diritti umani.

Nell’intervista Melegari tesse però anche le lodi di Elettronica e delle attività svolte nel settore dell’electronic warfare, la guerra elettronica: «Senza quel patrimonio e quella forza non saremmo mai arrivati dove siamo».

Secondo quanto riportato da La Verità a febbraio 2019, Cy4gate ha venduto proprio allo sceicco Mohammed bin Zayed Al Nahyan e al fondo Mubadala una piattaforma, chiamata D-SINT, che grazie ad algoritmi di intelligenza artificiale è in grado di monitorare social media, dark web e altre fonti di comunicazione per estrarre informazioni utili, dagli argomenti di cui si discute in rete fino alle partecipazioni di una certa azienda.

La piattaforma, secondo brochure e presentazioni di Cy4gate visionate da IrpiMedia, è uno strumento utile per forze dell’ordine e agenzie di intelligence ma anche per aziende che possono monitorare i social network per valutare l’andamento del proprio brand o ponderare acquisizioni di altre società. Inoltre, come sottolinea La Verità, lo sceicco Mbz «sarà in possesso di uno strumento per fare intelligence riguardo la propria persona». A causa delle instabili condizioni di salute dell’attuale Presidente emiratino Khalifa bin Zayed Al Nahyan, Mbz è considerato di fatto il sovrano degli Emirati. Ha consolidato la propria posizione nominando ai vertici delle aziende di Stato – come Mubadala – persone a lui vicine, allo scopo di controllare soprattutto difesa e cybersorveglianza.

Mubadala è tra i clienti indicati da Cy4gate in alcune slide di presentazione dell’azienda. La società – di proprietà statale – è in realtà un gruppo, composto da diverse entità, che spaziano da fondi di investimento fino ad aziende del settore dell’energia fossile. Una delle più importanti è proprio il fondo che gestisce un portafoglio pari a 243 miliardi di dollari, Mubala Development, il tutto sempre per conto del governo di Abu Dhabi. Mbz ne è il presidente.

Il trono di spade degli Emirati Arabi

I fragili equilibri che regolano i rapporti tra gli sceicchi degli Emirati, tra legami di sangue e ambizioni

Scheletri nell’armadio per D-SINT

La piattaforma D-SINT acquistata dal governo di Abu Dhabi in passato non sembra essersi limitata alla sola raccolta di dati di intelligence indicata dalla brochure. La prova è in alcune email di Hacking Team (HT), leader italiano nel settore delle intrusioni informatiche diventato Memento Labs dopo lo scandalo di cui è stato protagonista. Le corrispondenze dei manager di HT erano infatti state pubblicate da Wikileaks dopo l’attacco informatico effettuato dall’hacktivista Phineas Fisher nel 2015.

Si legge che Santagata e altri rappresentanti di Cy4gate sono in stretto contatto con l’azienda milanese per organizzare varie presentazioni e dimostrazioni dei propri prodotti a possibili acquirenti. Si legge di delegazioni da Singapore, incontri in Pakistan e richieste di preventivi da parte del Qatar.

In una email di maggio 2015, nelle fasi che precedono la proposta di un’offerta a un potenziale acquirente legato all’intelligence dell’Arabia Saudita, Santagata chiarisce a David Vincenzetti, allora amministratore delegato di HT, come il software di Cy4gate D-SINT si possa integrare alla piattaforma per le intercettazioni legali di Hacking Team, Rcs. Santagata lo spiega in termini tecnici e si riferisce a D-SINT come «la nostra suite sviluppata in elt/cy4gate che chiamiamo D-Sint».

La passione italiana di Mubadala

La rete diplomatica degli Emirati Arabi Uniti si sviluppa attraverso commesse, partecipazioni e protocolli d’intesa siglati da società e fondi che rappresentano il governo di Abu Dhabi, come Mubadala, conglomerato specializzato nello sviluppo di nuove tecnologie da applicare soprattutto nell’ambito della difesa.

Il fronte più dinamico in questo momento sembra essere quello della sicurezza informatica, dove Cy4gate si sta ritagliando un ruolo sempre più importante. Mubadala è inserito nella lista clienti dell’azienda del gruppo Elettronica e da quanto si può ricostruire attraverso i bilanci esiste una commessa statale che anticipa l’inizio di un export di tecnologie a marchio Cy4gate ad Abu Dhabi.

Le relazioni tra Cy4gate ed Emirati sono cominciate almeno tre anni prima attraverso Injazat Data System, società all’epoca al 100% di Mubadala, oggi di proprietà di una società tra i cui azionisti c’è anche il fondo emiratino. Injazat si occupa di cloud, trasformazione digitale e sicurezza informatica. Nel bilancio 2019 Cy4gate sottolinea una «difficoltà manifesta» nell’incassare «il credito verso la società Injazat Data System per lavorazioni effettuate nel corso del 2016». Injazat collabora anche con Thales, multinazionale francese tra i leader nel settore della difesa, aerospazio, e sicurezza, socia per altro di Elettronica Group. Nel 2013, infatti, l’azienda francese ha avviato una collaborazione con Injazat per un sistema di sicurezza informatica all’avanguardia. Inoltre nel 2017 Injazat ha collaborato con il Ministero dell’Interno degli Emirati per installare dei sistemi di sorveglianza intelligenti all’interno degli edifici.

Secondo quanto dichiarato da Cy4gate a IrpiMedia, nel caso di Injazat è stata venduta la stessa piattaforma acquistata da Mubadala, D-SINT, configurata in modo da essere idonea «all’impiego in ambito corporate», cioè per utilizzo aziendale.

In Italia il fondo emiratino Mubadala ha una presenza strategica che dura da tempo anche al di là del cyberspazio. Nel settore bancario ha investimenti in Unicredit (all’epoca l’amministratore delegato era Alessandro Profumo, oggi a Leonardo); in quello energetico ha sottoscritto accordi con Eni e Snam rispettivamente per la riduzione delle emissioni di anidride carbonica e per «collaborare su iniziative congiunte di investimento e sviluppo sull’idrogeno», come recita il comunicato stampa pubblicato da Snam. Nel settore di sicurezza e difesa, Mubadala ha siglato un memorandum con Leonardo per rafforzare la collaborazione per lo sviluppo di nuovi aerei da guerra per rimpiazzare la flotta emiratina.

Nonostante la lunga durata, i rapporti bilaterali tra Italia ed Emirati sono spesso burrascosi. Nel 2021 si sono raffreddati al punto che, a fine giugno, i militari italiani sono stati costretti a lasciare la base di Al-Minhad, vicino a Dubai, uno degli altri setti Emirati. Causa scatenante della crisi è stata la decisione del Governo di Giuseppe Conte, nel gennaio 2021, di revocare la licenza di export delle bombe italiane all’Arabia Saudita, Paese in guerra con lo Yemen, e agli stessi Emirati, ufficialmente usciti dal conflitto nel 2020, dopo cinque anni. Ad agosto la Commissione esteri della Camera ha espresso parere favorevole al rilancio della «cooperazione strategica» con gli Emirati, ridimensionando di fatto il blocco.

Prima di questo caso, nel 2018, era stato lo sviluppo di un drone a provocare contrasti diplomatici e a far saltare importanti commesse. Protagonista ancora Mubadala: il fondo nel 2006 è entrato nell’azionariato del marchio Piaggio Aerospace, che comprende i complessi industriali Piaggio Aero Industries Spa e Piaggio Aviation Spa. Nel 2014 ne è diventato l’unico proprietario, dando impulso in particolare allo sviluppo di un drone: il P.180, detto Hammerhead. Il progetto, riporta il sito specializzato Defense News, prevedeva che anche l’Italia acquistasse alcuni di questi velivoli senza pilota, nonostante la contrarietà dell’esercito che lo riteneva inutile. Alla fine la commessa italiana è saltata, mettendo in crisi Piaggio Aerospace che a dicembre 2018 è entrata in amministrazione straordinaria per volere degli investitori emiratini. Al momento l’azienda è in cerca di acquirenti e da tempo il fondo emiratino propone a Leonardo di diventare socio al 50%.

Mubadala, il fondo sovrano conteso

Tra i sette emirati il controllo del fondo sovrano Mubadala è di fatto esercitato da Mohamed bin Zayed Al Nahyan (Mbz), sceicco di Abu Dhabi

Elt fa riferimento a Elt Roma e Elt Gmbh, due delle aziende che insieme a Cy4gate formano il gruppo Elettronica. Elt GmbH ha base in Germania e si occupa del settore della sicurezza nazionale e delle attività di polizia. Elt Roma è invece la storica azienda da cui poi si è sviluppata Elettronica Group. Si occupa di intelligence, sorveglianza, attacchi elettronici e, in generale, di Electronic Warfare. Quando Santagata scrive «elt/cygate» non fa altro che ribadire che la paternità di Cy4gate è del gruppo Elettronica. Questo scambio di email tra amministratori delegati suggerisce che la piattaforma D-SINT, almeno nel 2015, fosse in grado di includere anche dati raccolti da spyware, quindi tramite una intrusione su un dispositivo bersaglio, come quello prodotto da Hacking Team, e non solo dati presenti sul web o attinti da database privati, come invece si legge nella brochure di presentazione più recente. Da un punto di vista dell’intelligence, poter analizzare direttamente in un’unica piattaforma tutte le informazioni è chiaramente molto più rapido e utile.

Questa capacità è in parte confermata anche da un’immagine, pubblicata in un articolo del generale Vincenzo Santo per il sito ReportDifesa, dove è riportata l’architettura del sistema D-SINT. I dati raccolti e analizzati provengono da Twitter, Facebook, Instagram, YouTube, siti nel Deep Web ma anche dati che provengono da attività di SIGINT, ELINT, COMINT, o da database forniti dai clienti. Queste sigle indicano attività di intelligence che permettono la raccolta di informazioni intercettando segnali (Signal Intelligence) che possono essere collegati alle comunicazioni (Communication Intelligence) o ad altri segnali elettronici (Electronic Intelligence) come quelli di posizione di navi o altre categorie di comunicazioni usate in ambito militare e che non sono quelle tradizionali che usiamo quotidianamente.

#Sorveglianze

L’eterna lotta tra il bene e il malware

28 Dicembre 2022

L’Ue fatica a regolamentare l’export dei beni a duplice uso, e anche le inchieste giudiziarie sugli export illeciti non danno risultati. Parla il manager di Area spa: il suo caso insegna ancora molto

Screenshot tratto da una brochure successiva al 2016 del software sviluppato da Cy4gate: D-SINT Plus. Si tratterebbe di una versione pensata specificamente per le attività di intelligence e delle forze dell’ordine in grado di analizzare i dati delle comunicazioni GSM e satellitari, delle attività di intercettazione e dei flussi di audio

Inoltre, alcune vecchie brochure risalenti al 2016 – secondo le analisi effettuate da IrpiMedia – offrono descrizioni dettagliate su queste tipologie di dati: ci sono i dati delle comunicazioni GSM e satellitari, i dati legati alle attività di intercettazione delle forze dell’ordine e dell’intelligence sui dispositivi, e i flussi di audio che sono convertiti in testo. Queste capacità aggiuntive sono in alcuni casi associate a un prodotto che si chiama D-SINT Plus.

Vuoi fare una segnalazione?

Diventa una fonte. Con IrpiLeaks puoi comunicare con noi in sicurezza

Clicca qui

Al momento, sul sito di Cy4gate gli unici prodotti pubblicizzati relativi a D-SINT sono le due versioni del cruscotto informativo che permette di visualizzare i dati. Il prodotto si chiama QUIPO ed è offerto sia alle aziende che alle agenzie dei governi e forze dell’ordine. Cy4gate ha dichiarato a IrpiMedia che la piattaforma D-SINT gestisce dati disponibili pubblicamente online e che alla piattaforma «possono essere collegati, altresì, database gestionali aziendali che il cliente decide di voler utilizzare come ulteriori fonti ad integrazione di quelle open source». L’azienda sottolinea inoltre che «la piattaforma D-SINT non è utilizzata per attività di lawful interception» – ovvero per effettuare le intercettazioni a scopi di attività di polizia.

Secondo quanto dichiarato da Cy4gate, la piattaforma usata da Mubadala e dallo Sceicco Mbz non prevede la possibilità di analizzare dati provenienti da intercettazioni «in quanto non sono mai state sviluppate tali funzionalità per il sistema D-SINT».

Abusi e sorveglianza digitale negli Emirati

Le violazioni dei diritti umani sono ampiamente documentate negli Emirati, ormai da anni. In alcuni casi, le repressioni contro attivisti e minoranze di ogni genere sfruttano anche un apparato di sorveglianza tecnologica che è cresciuto negli anni grazie all’aiuto di aziende statunitensi e, successivamente, locali. Secondo un’inchiesta di Reuters, dal 2009 ex agenti dei servizi segreti statunitensi hanno collaborato al Project Raven, una squadra segreta di esperti informatici che aveva il compito di aiutare gli Emirati Arabi Uniti nella sorveglianza di altri governi e attivisti dei diritti umani. Sfruttando la conoscenza acquisita lavorando per l’intelligence statunitense, queste persone erano in grado di infettare computer e smartphone dei “nemici” degli Emirati.

Per approfondire

Il glossario della cybersecurity

Una rassegna dei termini più comuni all’interno del settore della cyber sicurezza

Alcuni dei membri del Project Raven sono stati reclutati dall’azienda di cyber security CyberPoint e, successivamente, nel 2016 si sono trovati a dover decidere se ritornare negli USA o accettare di passare sotto un nuovo datore di lavoro: l’azienda DarkMatter con base a Abu Dhabi, una delle più controverse società del Paese. Oggi è partecipata da uno dei fondi del governo di Abu Dhabi al cui vertice lo sceicco Mbz ha nominato uomini di più stretta fiducia, dopo qualche contrasto con una fazione avversa della famiglia reale a gennaio 2021.

DarkMatter è nota per i suoi tentativi poco ortodossi di reclutare esperti informatici. In un caso, documentato da The Intercept nel 2016, il ricercatore di sicurezza informatica Simone Margaritelli aveva sostenuto un colloquio di lavoro con un rappresentante dell’azienda, il quale aveva descritto un progetto per monitorare le comunicazioni internet delle principali città degli Emirati, a beneficio della sicurezza nazionale. Margaritelli ripercorre in un post sul suo blog la vicenda e riporta uno degli obiettivi del sistema come glielo ha raccontato il rappresentate di DarkMatter: «Immagina che ci sia una persona di interesse al Dubai Mall, abbiamo già piazzato tutte le nostre sonde in tutta la città, premiamo un pulsante e BOOM! Tutti i dispositivi del centro commerciale sono infettati e rintracciabili».

Secondo Reuters, gli operatori di Project Raven avrebbero anche sfruttato una piattaforma chiamata «Karma» che avrebbe permesso di installare uno spyware negli iPhone di centinaia di attivisti, capi di stato e sospetti terroristi. Sempre secondo Reuters, tra le vittime illustri vi sono la moglie dell’attivista e blogger Ahmed Mansoor; l’emiro del rivale Qatar Tamim bin Hamad al-Thani e Tawakkul Karman, premio Nobel per la pace e una dei leader del movimento di protesta della Primavera Araba in Yemen.

A settembre 2021, tre ex militari membri dell’Intelligence degli Stati Uniti hanno patteggiato più di 1,68 milioni di dollari per risolvere le accuse legate alla fornitura di servizi di hacking a un governo straniero, in particolare per il lavoro svolto con DarkMatter per infettare computer e smartphone in tutto il mondo, Stati Uniti inclusi.

Cy4gate, DarkMatter e i contatti con la polizia degli Emirati

Un altro elemento controverso è il legame, seppur indiretto, tra Cy4gate e DarkMatter. Se ne trova traccia nel 2016, quando Cy4gate ha preso parte alla conferenza Future Police Technology di Abu Dhabi, il cui partner strategico dell’evento era il Ministero dell’Interno emiratino. Cyber Security Innovation Partner è DarkMatter mentre Cy4gate appare tra gli sponsor.

L’evento si inserisce nella UAE Vision 2021 National Agenda, iniziativa che ha l’obiettivo di rendere gli Emirati «il Paese più sicuro al mondo». Tra i benefici dell’essere sponsor dell’evento, si legge su una pagina archiviata del sito, c’è la possibilità di «espandere il proprio network di contatti e potenziali clienti nel settore delle forze di polizia degli UAE» e dimostrare il proprio interesse nel mercato locale oltre a «costruire la credibilità del proprio brand nella regione».

Un fotogramma tratto da un video caricato su YouTube relativo alla conferenza Future Police Technology che si è svolta ad Abu Dhabi nel 2016. Nel video, alle spalle dei relatori, si può notare il logo di Cy4gate insieme a quello degli altri sponsor dell’evento

Non è chiaro se anche rappresentanti di Cy4gate abbiano partecipato all’evento del 2016 ma il neo nominato, nel 2021, CTO di Cy4gate, Andrea Raffaelli, era presente già allora rivestendo il suo precedente ruolo: Comandante del Reparto Indagini Informatiche Telematiche presso il Raggruppamento Operativo Speciale Carabinieri (ROS). In un’intervista svolta durante l’evento Raffaelli sottolinea l’importanza dell’evento perché «questo tipo di innovazioni e tecnologie potrebbero essere molto utili per individuare e fermare molte minacce criminali».

L’azienda ha dichiarato a IrpiMedia che in quell’occasione «non sono stati siglati accordi per future vendite».

L’export di tecnologie dual-use e le licenze di Cy4gate

Anche se l’azienda dice di no, D-SINT, almeno nelle descrizioni del passato, sembra poter essere usato anche per analizzare informazioni raccolte tramite spyware di terze parti. D-SINT non fa quindi direttamente l’intercettazione ma potrebbe ricevere e analizzare i dati raccolti dagli spyware sviluppati da altre aziende. La storia recente di abusi effettuati negli Emirati dovrebbe quindi sollevare preoccupazioni rispetto a questi particolari clienti. Per di più, la vendita della piattaforma D-SINT non sembra essersi fermata a Mubadala. In un’intervista del 2017 al giornale Nation Shield Massimo Antonio de Bari, capo del gruppo Elettronica Group negli Emirati, dichiara che «molte aziende, anche negli Emirati Arabi Uniti, stanno usando D-SINT con successo» non solo per le attività di intelligence.

Cy4gate sviluppa anche Epeius, un proprio sistema per le intercettazioni che però, secondo quanto riportato dal magazine Intelligence Online, sarebbe alquanto carente dal punto di vista delle capacità di essere installato senza che le vittime debbano cliccare un link, i cosiddetti attacchi di tipo 0-click.

Oltre 10 anni di tentativi (falliti) di regolamentare l’export della sorveglianza

Sia Palantir, sia soprattutto NSO – pur essendo due delle aziende più note nei rispettivi settori – sono anche l’emblema di tutti i rischi della gestione delle tecnologie di sorveglianza: abusi da parte di dittatori e governi, raccolta indiscriminata di informazioni anche dai social network, monitoraggio costante del dissenso e delle proteste di attivisti e cittadini. Tutto questo senza che i regolamenti in materia di export di tecnologie siano riusciti a mantenere sotto controllo la proliferazione di queste tecnologie.

Il 2021 è stato l’anno degli scandali legati allo spyware Pegasus, prodotto da NSO. Un software che può monitorare le comunicazioni, gli spostamenti ed estrarre copia di tutti i dati presenti su uno smartphone, e l’inchiesta di Forbidden Stories ha mostrato che è usato contro giornalisti, dissidenti, e ministri in tutto il mondo. Gli effetti dell’inchiesta continuano a vedersi: le ultime vittime ufficiali sono sei attivisti palestinesi che sono stati monitorati tra il 2020 e il 2021 con Pegasus.

La discussione su come controllare queste tecnologie di sorveglianza, però, è oramai più che decennale. Nel 2009 l’Unione europea ha introdotto un regolamento che prevede l’autorizzazione da parte dei singoli stati membri per l’esportazione dei «prodotti a duplice uso» ovvero tutti quei prodotti, inclusi software e tecnologie, che possono avere un utilizzo sia civile sia militare. Le modalità di controllo, la trasparenza degli Stati, e la definizione dei prodotti inclusi nella lista sono sempre stati dei punti deboli. Quindi, malgrado il regolamento, sono subito emersi abusi come quello legato al software prodotto dall’azienda tedesca FinFisher usato contro attivisti del Bahrain e documentato nel 2012.

Nel 2014 la Commissione europea ha annunciato un aggiornamento della lista di beni di uso duale, introducendo controlli per nuove categorie come gli spyware e quelle tecnologie che permettono di monitorare il traffico internet. Nel 2016 però in Italia esplode il caso Area SpA, azienda di Varese che secondo gli inquirenti avrebbe venduto tecnologie per monitorare il traffico internet ai servizi segreti siriani tra il 2010 e il 2011. Il Ministero dello sviluppo economico ha confermato in risposta a un’interrogazione parlamentare nel 2017 che Area aveva ottenuto regolare autorizzazione per l’export e che quelle tecnologie ancora non rientravano nelle categorie controllate secondo l’aggiornamento avvenuto solo nel 2014.

L’anno seguente il Ministero dello Sviluppo Economico ha revocato la licenza di esportazione verso l’Egitto ad Area, grazie anche alla pressione di organizzazioni della società civile. Poco prima della revoca, un’inchiesta di Al Jazeera, dal nome Spy Merchants, aveva mostrato quali stratagemmi usano le aziende del settore per evitare i controlli, sfruttando ad esempio aziende terze in Paesi dove è possibile esportare e bypassando di fatto ogni controllo. E altre inchieste giornalistiche hanno continuato a mostrare le maglie troppo larghe del regolamento sull’export: Security for Sale ha mostrato come dal 2014 al 2017 gli Stati membri dell’Ue hanno permesso l’export di tecnologie di sorveglianza anche verso Paesi totalitari o dove le libertà sono parzialmente compresse.

Nel frattempo i casi legati agli abusi delle tecnologie hanno continuato a moltiplicarsi in tutto il mondo: dal Messico dove ci sono tracce dell’attività dell’azienda italiana Hacking Team fino al Marocco e il Myanmar.

Il più recente tentativo di porre sotto controllo questo tipo di prodotti è l’aggiornamento al regolamento europeo sull’export di tecnologie dual-use, adottato dal Parlamento europeo a marzo 2021, con cui l’Ue ha cercato di correre ai ripari introducendo maggiori obblighi sulla trasparenza dei singoli stati membri per quanto riguarda le licenze di export concesse, e inoltre sono state incluse categorie più ampie come ad esempio le tecnologie per la cyber sorveglianza e tecnologie biometriche. Associazioni che si occupano di diritti umani, come Access Now, Amnesty International, Committee to Protect Journalists, FIDH (International Federation for Human Rights), Human Rights Watch, Privacy International, Reporters Without Borders (RSF) hanno subito sottolineato però che questo regolamento rischia comunque di essere carente.

Eppure, secondo un documento che descrive le capacità dei prodotti di Cy4gate, Epeius non avrebbe di questi problemi, prevedendo diverse modalità per infettare un dispositivo: infezioni da remoto sfruttando l’invio di link malevoli oppure con 0-click (un’installazione silenziosa che non richiede alle vittime di cliccare alcun link), e persino infezioni da locale. Capacità simili si trovano anche nello spyware Pegasus, venduto da NSO, e già coinvolto in abusi negli Emirati.

Cy4gate precisa in un documento di essere in possesso di «Autorizzazioni Specifiche Individuali nei confronti di ciascuno dei propri clienti esteri» poiché «taluni dei prodotti esportati sono classificabili come “materiali d’armamento”».

Questo tipo di autorizzazioni, si legge sul sito del Ministero degli Esteri, sono rilasciate su parere di un Comitato consultivo interministeriale, emesso di volta in volta. Nella domanda per l’export devono essere inclusi copia del contratto di riferimento e una dichiarazione di uso finale. IrpiMedia ha chiesto all’Unità per le autorizzazioni dei materiali di armamento (UAMA) del Ministero degli Esteri (MAECI) dettagli sulle autorizzazioni fornite a Cy4gate. Un portavoce dell’Ufficio Stampa del Ministero degli Esteri ha dichiarato a IrpiMedia che non sono state rilasciate licenze all’azienda per esportare negli Emirati.

Nel suo documento Cy4gate non chiarisce però esattamente per quali prodotti è in possesso delle autorizzazioni all’export: se nel caso dello spyware Epeius è facile definire la categoria di bene a duplice uso (cioè utilizzabile sia in campo civile sia in campo militare), per D-SINT è un po’ più complicato. Cy4gate ha dichiarato a IrpiMedia di non essere in possesso di alcuna licenza di export attiva verso gli Emirati in quanto «D-SINT è classificato “civil good” e non richiede export control» ovvero non ricade sotto le tipologie di prodotti che necessitano di licenza per le esportazioni.

IrpiMedia è gratuito

Ogni donazione è indispensabile per lo sviluppo di IrpiMedia

Scegli tu quanto donare

Alla luce delle vicende di abusi e sorveglianza digitale negli Emirati, Cy4gate ha ribadito a IrpiMedia che il «D-SINT accede alle sole sorgenti pubbliche, e quindi, per quel che riguarda i dati reperiti sui social media, esclusivamente ai profili pubblici. Risulta chiaro di conseguenza che il D-SINT non abilita in alcun modo l’utilizzatore a praticare eventuali violazione del diritto di privacy di terze parti». «Cy4gate si attiene scrupolosamente alle normative nazionali ed internazionali vigenti in materia», ha aggiunto l’azienda.

L’EU Non-Proliferation and Disarmament Consortium, un gruppo istituto dal Consiglio dell’Unione europea che raccoglie centri di ricerca e think tank che si occupano di regolamentazioni di armamenti e tecnologie, ha pubblicato uno studio che analizza il nuovo regolamento europeo sull’export di tecnologie a duplice uso introdotto a marzo 2021. In una tabella dove si fa un confronto dei momenti in cui diverse tecnologie per la sorveglianza digitale sono state incluse nelle liste di materiali a duplice uso, i ricercatori sottolineano che l’Ue ha incluso nella lista già dal 2020 i monitoring centre, ovvero sistemi a disposizione delle forze dell’ordine e delle agenzie di intelligence per raccogliere, conservare e analizzare diverse forme di dati di comunicazione provenienti da varie fonti. La piattaforma D-SINT sembra poter offrire capacità simili, almeno nelle descrizioni del passato. Se ciò fosse ancora valido D-SINT dovrebbe rientrare sotto il controllo dell’UAMA in quanto applicazione di tipo “dual-use”.

Negli anni le storie di abusi di sistemi per le intercettazioni e per la sorveglianza hanno sollevato anche il problema di come sincerarsi che, una volta venduto il software e appurato l’abuso, ci sia un modo per bloccarlo e prevenire ulteriori pericoli. È successo con i software per l’estrazione dei dati dagli smartphone come nel caso del Myanmar. Su questo punto, qualora i sistemi venissero abusati da un cliente, Cy4gate dichiara di avere la possibilità di disabilitare la licenza del software impedendo la ricezione di nuovi aggiornamenti ma, fino al termine della scadenza della licenza, il sistema può continuare ad essere utilizzato.

Vai alla puntata precedente
Vai a #Sorveglianze

CREDITI

Autori

Lorenzo Bagnoli
Riccarco Coluccini

Ha collaborato

Privacy International

Infografiche & Mappe

Lorenzo Bodrero

Editing

Luca Rinaldi

Foto

Dario Rigon/Shutterstock

Sorveglianza: l’azienda italiana che vuole sfidare i colossi NSO e Palantir

17 Novembre 2021 | #Sorveglianze, Inchieste

#Sorveglianze

Sorveglianza: l’azienda italiana che vuole sfidare i colossi NSO e Palantir

Lorenzo Bagnoli
Riccardo Coluccini

Cybertranquillity è il motto: tranquillità cibernetica. Alle infinite minacce virtuali, Cy4gate risponde offrendo ai suoi clienti servizi di difesa per garantire sicurezza e protezione. La campagna di marketing funziona, i numeri dell’azienda sono solidi. Al lancio del 24 giugno 2020 sul listino dell’Aim, il mercato borsistico per piccole e medie imprese, è un successo. Il titolo sale del 28% il primo giorno e del 110% in sei mesi. L’offerta pubblica iniziale va meglio del previsto e Cy4gate vince il primo premio «per la migliore strategia di utilizzo del mercato dei capitali nella sezione di raccolta fondi sul Mercato AIM di Borsa Italiana per l’anno 2020». Oggi le performance sono meno clamorose e secondo le analisi di TeleBorsa il titolo, data la sua volatilità, «risulta essere al centro dell’attenzione soprattutto di quegli investitori propensi al rischio». In termini di bilancio la società è solida: nel 2020 ha registrato entrate pari a 12,5 milioni di euro, un aumento di circa il 69% rispetto all’anno precedente.

Nata come joint venture tra Elettronica Group ed Expert System nel 2014, Cy4gate è la prima società italiana che combina cybersecurity in senso stretto, servizi di intercettazione per polizie internazionali e intelligence ad ampio spettro, quella che Cy4gate definisce Continuous Intelligence. Elettronica è un’azienda che vende apparecchiature di bordo in ambito militare, dalla marina all’aviazione, tecnologie per la “guerra elettronica” come strumenti anti-drone, sistemi per la rilevazione di minacce e per la sorveglianza delle comunicazioni. Expert System, invece, lavora nel settore dell’intelligenza artificiale e sviluppa un software, COGITO, in grado di analizzare e comprendere le informazioni contenute nei testi.

IrpiMedia è gratuito

Ogni donazione è indispensabile per lo sviluppo di IrpiMedia

Scegli tu quanto donare
L'inchiesta in breve
  • Cy4gate ha registrato entrate pari a 12,5 milioni di euro nel 2020, un aumento di circa il 69% rispetto all’anno precedente. Il suo obiettivo è quello di sfidare i due competitor, NSO e Palantir, aziende note per gli abusi delle proprie tecnologie da parte di regimi autoritari e per l’impiego di strumenti di monitoraggio dei social media.
  • Cy4gate ha registrato contratti in quasi tutto il mondo: Emirati Arabi, Arabia Saudita, Pakistan, Qatar, Asia Centrale (non specifica dove), America Latina (almeno Argentina e Messico), ma ci sono anche la Nato e progetti europei. Molti di questi Paesi sono già stati coinvolti in abusi delle tecnologie di sorveglianza in passato.
  • D-SINT è la piattaforma di Cy4gate per sfidare Palantir: un sistema che monitora i social media e altri database per estrarre informazioni grazie ad algoritmi di intelligenza artificiale, tra cui quelli di riconoscimento facciale e di oggetti, e prendere così decisioni con il supporto dei dati.
  • Epeius invece è il sistema per le intercettazioni con cui Cy4gate vorrebbe sfidare NSO. Il sistema sarebbe in grado di prendere il controllo degli smartphone ed estrarre informazioni private. Cy4gate ha già però avuto alcuni passi falsi con Epeius, la Procura di Napoli ha infatti sospeso l’uso del sistema per alcuni disservizi.
  • Cy4gate, NSO e Palantir hanno visto nella pandemia di Covid-19 un’opportunità per espandere il proprio mercato: tutte e tre hanno infatti offerto sistemi o per il tracciamento dei contatti o per aiutare nell’analisi dei dati legati alla pandemia—in molti casi queste operazioni sono finite al centro di scandali.

In Italia Cy4gate non ha concorrenti: nessuno è in grado di offrire tutti questi servizi e prodotti insieme. All’estero, invece, i nomi dei grandi competitor – i quali hanno ancora un volume d’affari che non è nemmeno comparabile con quello dell’azienda italiana – sono Palantir e NSO Group. È la stessa Cy4gate a riconoscerli come competitor e punti di riferimento, includendoli in presentazioni e parlandone in interviste.

La prima è una società americana il cui nome è indissolubilmente legato al settore militare americano e di cui uno dei fondatori – Peter Thiel – è stato un grande finanziatore di Donald Trump. La seconda è il gruppo israeliano che ha creato Pegasus, lo spyware che ha infettato i telefoni di politici, attivisti e giornalisti di mezzo mondo protagonista dell’inchiesta Pegasus Project e recentemente incluso nella blacklist degli Usa delle aziende con cui non fare affari.

I prodotti con cui Cy4gate ha intenzione di sfidare NSO e Palantir sono due rispettivamente: un software per le intercettazioni, Epeius, e una piattaforma in grado di raccogliere e analizzare informazioni presenti online o raccolte direttamente dai dispositivi elettronici e digitali, D-SINT.

L'inchiesta

#Sorveglianze è una serie che indaga su nuovi protagonisti e industria dei think tank del comparto della cybersicurezza in Italia. Nasce dalla collaborazione tra IrpiMedia e Privacy International, organizzazione britannica che si occupa di sorveglianza di massa e difesa dei diritti umani.

In un’intervista del dicembre 2020 al canale Youtube specializzato Vivere di dividendi l’allora amministratore delegato Eugenio Santagata – oggi a Telsy, azienda che si occupa di sicurezza delle infrastrutture di telecomunicazioni che appartiene al gruppo Telecom – specificava che per alcune attività di cyber intelligence offensive, quelle che hanno bisogno delle autorizzazioni di magistratura e governi, «noi passiamo dalla parte di chi fa ethical hacking e quindi dalla parte dei buoni». Con questa considerazione Santagata sembra accorpare due diversi prodotti di Cy4gate: la raccolta di informazioni pubbliche online da un lato e dall’altra le intercettazioni tramite spyware per conto di organi inquirenti. All’interno del mercato della sorveglianza in continua espansione, è quest’ultimo il settore dove ci sono stati i maggiori abusi. Al centro degli scandali ci sono state spesso aziende italiane come l’ex Hacking Team (ora nota con il nome di Memento Labs), Area SpA, e RCS, accusate di malfunzionamenti delle proprie tecnologie, presunte violazioni dell’export o abusi.

Sorveglianza globale

Paesi o aree geografiche dove l’azienda Cy4gate dice di avere esportato propri prodotti, siglato contratti e sviluppato il proprio business. In molti casi l’azienda non offre dettagli sull’identità dell’acquirente
La geografia delle vendite di Cy4gate

Il fatturato 2019 di Cy4gate è composto al 30% da vendite all’estero, al 70% da vendite nel mercato italiano. L’obiettivo dell’azienda è raggiungere un perfetto equilibrio tra i due nei prossimi anni. In Italia i clienti istituzionali spaziano dal Ministero della Giustizia alla Corte dei Conti, dalla Presidenza del Consiglio dei ministri fino ai carabinieri e, da ultimo, l’Esercito e la Direzione degli Armamenti Navali del Ministero della Difesa italiano.

Nel 2016, a due anni dalla nascita, si registrano i primi export in Medio Oriente e Asia, potenziati ulteriormente tra 2018 e 2019. Nel 2017 l’export produce 4 milioni di euro senza ben chiarire con quali Paesi. Nelle presentazioni spesso non si leggono nomi di Paesi ma vaghe indicazioni geografiche. Tra i pochi che si trovano ci sono Pakistan, Qatar, Arabia Saudita, gli Emirati Arabi e il Gabinetto degli Emirati, l’esecutivo del governo federale emiratino che in questo momento è guidato dallo sceicco di Dubai Mohammed bin Rashid Al Maktoum, che ricopre il ruolo di primo ministro e ministro della Difesa dell’intera federazione dei sette emirati. Sono Paesi in cui altri big del settore sono finiti spesso invischiati in qualche scandalo.

Negli ultimi due anni Cy4gate ha ottenuto un contratto da 110 milioni con il Centro di Eccellenza della NATO; ha stretto accordi con agenzie governative delle marine militari di Paesi del Nord America e del Golfo per tecnologie sia di cyber intelligence che di sicurezza informatica, per un valore complessivo di 3 milioni; ha realizzato una piattaforma di cyber intelligence da 600 mila dollari per un governo dell’America Latina (e ha depositato il marchio in Messico); ha venduto una soluzione di cyber intelligence da 300 mila euro per un governo di un Paese dell’Asia Centrale; ha firmato contratti di ricerca e sviluppo con un’azienda europea che si occupa di aerospazio e difesa.

Ma ci sono anche progetti europei, come GalilEO for EU DEfence (GEODE) dove Cy4gate partecipa in un consorzio di aziende con l’obiettivo di promuovere lo sviluppo delle capacità militari all’interno dell’Unione europea sfruttando Galileo, un sistema civile di posizionamento e navigazione satellitare sviluppato in Europa. E contratti e attività con la Nato nel settore della difesa informatica. La stessa Nato ha selezionato Cy4gate come fornitore ufficiale delle agenzie governative o di difesa aderenti al Nato Codification System, una sorta di albo fornitori ufficialmente riconosciuti dalla Nato.

Dove non ci sono contratti, l’azienda sfrutta quelli dell’azionista di maggioranza e controllante Elettronica, come riportato nel documento di quotazione all’AIM. Nel 2019, ad esempio, sono state eseguite attività su diversi contratti assegnati da Elettronica: sei riguardano clienti italiani o esteri dove Cy4gate è subfornitore e, si legge sempre nel documento, la collaborazione per la fornitura a due clienti esteri di una piattaforma di intelligence e altri due in ambito militare relativi alla sicurezza informatica.

In altri casi svolge «incisive azioni di business development e sales» come si legge nei documenti di bilancio del 2018. Queste azioni riguardano: «America Latina (Argentina e Messico), paesi del Golfo (oltre a UAE, Arabia Saudita, Kuwait, Qatar), Asia (Pakistan, Cina e Indonesia), Africa (Algeria, Nigeria) molto spesso in coordinamento con le iniziative e la forza vendite di Elettronica».

La rivale Palantir

Il software con il quale Cy4gate sfida Palantir sul terreno delle piattaforme di intelligence si chiama D-SINT, acronimo di Digital Signal Intelligence: raccoglie, processa e mette in correlazione dati che hanno formato e provenienza diversi, dalle immagini dei social network fino alle informazioni presenti nel dark web. «L’informazione giusta, al momento giusto, alle persone giuste, nel modo giusto», afferma l’azienda in una brochure di presentazione. L’analisi è facilitata dall’uso del software COGITO, sviluppato da Expert System (una delle due società da cui è nata Cy4gate), e dal software di riconoscimento facciale e di oggetti sviluppato da iCTLab, spin-off dell’Università di Catania. L’integrazione – si legge in una presentazione del 2019 – permetterà di effettuare ad esempio una ricerca su un individuo all’interno di testi, all’interno di database di immagini, o su Twitter e lo stesso vale per gli oggetti.

Le due aziende erano anche in procinto di sviluppare un’opzione per il riconoscimento vocale «relativo a possibili intercettazioni telefoniche o file audio raccolti in database o da dispositivi portatili». Sempre nelle slide, le due aziende sottolineano però una criticità nell’uso di questo tipo di algoritmi per il riconoscimento: «Data la crescente polarizzazione del focus sulla questione della privacy, questo ambito rappresenterà un fattore critico per l’utilizzo dei dati raccolti e analizzati».

Screenshot tratto dalla presentazione tenutasi durante il Workshop “AI for Cybersecurity” del 18 marzo 2019 presso il Centro Congressi Auditorium della Tecnica. Oggetto della presentazione sono le capacità della piattaforma D-SINT che può sfruttare anche algoritmi di riconoscimento facciale e di oggetti sviluppati da iCTLab

È un mercato per pochi quello delle piattaforme di intelligence come D-SINT, in grado di analizzare una molteplicità di dati provenienti da qualsiasi tipo di fonte, sia pubbliche sul web sia database privati. Negli ultimi anni si è distinto, tra luci e ombre, il gruppo Palantir Technologies, il cui software, scrive Bloomberg in un articolo del 2018, è in grado di «conoscere tutto su di te».

Palantir è stata fondata nel 2003 dal venture capitalist Peter Thiel, tra i co-fondatori di PayPal che nel 2016, scrive Buzzfeed, ha cercato di trasformarsi nel filantropo finanziatore dell’alt-right americana, la galassia di destra eversiva – che mescola insieme cospirazionismo, tratti di anticapitalismo e suprematismo bianco – che sostiene strenuamente l’ex presidente degli Stati Uniti Donald Trump. Sin dalla sua fondazione Palantir ha collaborato con CIA e Pentagono in Afghanistan e Iraq, ricevendo finanziamenti da In-Q-Tel, la società di investimento non profit legata alla stessa CIA che promuove l’innovazione nel settore tecnologico. Palantir non si occupa direttamente di intercettazioni ma permette di analizzare i dati già raccolti, fornendo analisi e mostrando collegamenti: in questo modo è più facile prendere decisioni.

Oltre agli impieghi nel settore militare, i software prodotti da Palantir sono stati utilizzati dalla United States Immigration and Customs Enforcement (ICE), l’agenzia federale statunitense che si occupa delle frontiere, per individuare e deportare immigrati irregolari. Palantir ha fornito anche un software di polizia predittiva alle forze dell’ordine della città di Los Angeles per monitorare, identificare e sorvegliare persone ritenute sospette: alcune analisi del funzionamento del software sembrano già indicare che a pesare in maniera significativa sulle decisioni siano pregiudizi su base razziale. Su Palantir, però, sembrano emergere anche altre ombre. Secondo Intelligencer, una sezione del New York Magazine, ex appartenenti all’esercito e ufficiali dell’intelligence hanno sottolineato come il successo di Palantir sia più legato al fatto di avere un’interfaccia pulita e semplice per vedere i dati e non all’effettivo utilizzo di una tecnologia avanzata.

Alla prova della pandemia

Sia Cy4gate, sia Palantir, con il perdurare della pandemia hanno cercato di introdursi anche nel mercato della sanità europeo. Cy4gate nei primi mesi della pandemia, ha annunciato la creazione del sistema HITS, Human Interaction Tracking System, un sistema di tracciamento dei contagi da coronavirus. Hits era stato proposto anche al governo, che poi ha preferito Immuni, al contrario di altre aziende private che hanno adottato il software di Cy4gate.

Vuoi fare una segnalazione?

Diventa una fonte. Con IrpiLeaks puoi comunicare con noi in sicurezza

Clicca qui

Per approfondire

Il glossario della cybersecurity

Una rassegna dei termini più comuni all’interno del settore della cyber sicurezza

Palantir è riuscita ad agganciare i sistemi sanitari nazionali. I nuovi contratti legati alla pandemia sono tra le ragioni del +49% nel flusso di cassa messo a bilancio dalla società nel secondo trimestre del 2021. Il governo greco ha siglato un accordo segreto per condividere dati sanitari della popolazione con Palantir e, a seguito dello scandalo emerso, l’Autorità per la privacy greca ha avviato un’indagine e il governo avrebbe concluso ogni collaborazione e fatto cancellare i dati.

Un accordo simile c’è stato anche nel Regno Unito con il National Health Service (NHS), il servizio sanitario nazionale, dove però due cause giudiziarie portate avanti da organizzazioni della società civile, openDemocracy e Foxglove, hanno spinto il governo britannico a promettere di concludere l’accordo con Palantir. Simili problemi sulla trasparenza degli accordi e delle finalità dei dati raccolti, hanno messo Palantir al centro delle attenzioni politiche anche negli USA.

Screenshot tratto dalle slide della presentazione per la Conferenza Virtuale dell’AIM datata 27 maggio 2021. Nella foto si vedono i competitor selezionati da Cy4gate nei rispettivi settori di mercato. Oltre a Palantir e NSO, ci sono anche altri nomi noti in Italia come IPS, RCS, e SIO, tutti coinvolti nel settore delle intercettazioni per le procure.

Anche NSO Group, la società israeliana protagonista del Pegasus Project che collabora con le agenzie di intelligence di mezzo mondo, in tempi di pandemia ha cercato di sviluppare un software per il contact tracing. Fleming, questo è il nome del software, ha però avuto difficoltà fin dal lancio. L’azienda è stata accusata di aver utilizzato durante il lancio dati personali di trentamila persone reali, ignare che i dati dei propri spostamenti fossero usati nelle presentazioni dei prodotti, circostanza che sarebbe una violazione della privacy. Il cattivo risultato sul fronte tracciamento rischia di trasformarsi in una perdita economica, dato che già gli indicatori hanno spinto la società di rating Moody’s a declassare l’affidabilità creditizia a B3 a maggio 2021.

I software per competere sulle intercettazioni

NSO è un punto di riferimento soprattutto per le intercettazioni e le attività di sorveglianza della polizia. Qui Cy4gate offre tre sistemi: Epeius, Hydra e Gens.AI. Epeius è uno spyware che può essere installato sugli smartphone e i dispositivi di una persona per monitorare le sue attività ed estrarre, ad esempio, copia dei dati delle chat e foto, dati sulla posizione e email. Hydra invece permette di monitorare la navigazione online, individuando le applicazioni usate, i siti web visitati, e se si fa uso di VPN o del Tor Browser – due tecnologie che permettono di navigare in modalità più sicura e nascondere la propria identità. L’utilizzo di Epeius e Hydra è «riservato alle Forze di Polizia e alle Agenzie di Intelligence Italiane ed estere», si legge in un documento di Cy4gate.

Gens.AI, invece, permette di creare e gestire dei falsi profili da usare sui social network, facilitando le attività di indagine: in questo modo gli agenti possono interagire con le persone senza destare sospetti.

Le prime tracce pubbliche di Epeius sono emerse in collegamento con l’Italia, secondo un articolo di Motherboard pubblicato a febbraio 2021 che ha rivelato la presenza di una finta pagina WhatsApp in italiano che avrebbe permesso l’installazione di un modulo in grado di inoculare Epeius. Non è chiaro quale fosse lo scopo della pagina, se utilizzata per attività dell’intelligence italiana o per intercettazioni durante le indagini di polizia. Quel che è certo, però, è che l’azienda ha già problemi con le procure italiane: la procura di Napoli ha infatti sospeso l’uso di uno spyware gestito da SIO e riconducibile a Cy4gate per colpa di «un grave disservizio».

Screenshot tratto dalle slide di una presentazione datata 22 settembre 2020 relative ai risultati della prima metà dell’anno fiscale. Cy4gate mostra i dettagli dell’accordo con Sio e le procure italiane coinvolte

Cy4gate ha infatti siglato a marzo 2020 un accordo con la società SIO S.p.A., una delle aziende italiane che si occupano di noleggiare apparecchiature per intercettazioni alle Procure della Repubblica. L’accordo, i cui dettagli sono riportati nel documento di ammissione all’AIM, concede a SIO «l’utilizzo in esclusiva del captatore informatico Epeius» e a Cy4gate sarà riconosciuta la «totalità del corrispettivo corrisposto dalle Procure utilizzatrici di Epeius per la corretta “infezione” di un dispositivo (da remoto o in loco)» e una percentuale del fatturato annuo realizzato da SIO grazie all’uso di Epeius: del 50% se il fatturato è sopra ai 4 milioni di euro o del 60% se inferiore.

Secondo le stime di Cy4gate, l’accordo con SIO permette di avere accesso a circa 70 nuove procure e raggiungere una quota pari al 70% di un mercato, quello delle intercettazioni di polizia, stimato dalla stessa azienda sui 36,3 milioni di euro.

In un comunicato stampa del 10 febbraio 2021, Cy4gate ha confermato che i disservizi della procura di Napoli sono dovuti a dei malfunzionamenti e che, nel caso specifico, la situazione «è stata prontamente individuata e sottoposta a scrupolosa analisi». Secondo fonti intervistate da Motherboard, in alcuni casi il software per le intercettazioni avrebbe fatto apparire una notifica sullo schermo della persona indagata, rischiando di destare sospetti.

L’inarrestabile ascesa di Cy4gate

NSO, punto di riferimento nonostante i guai

Il Dipartimento del Commercio degli Stati Uniti il 3 novembre scorso ha inserito NSO in una blacklist dove vengono inserite aziende i cui software sono stati usati per «prendere di mira in modo doloso funzionari governativi, giornalisti, uomini d’affari, attivisti, accademici e dipendenti delle ambasciate», come recita il comunicato stesso. Chi è inserito nella lista non può più acquistare tecnologia da società statunitensi, che a loro volta hanno ovviamente il divieto di vendere alle aziende che si trovano sulla lista stessa. L’iniziativa è stata presa dal Dipartimento del Commercio a seguito delle rivelazioni del Pegasus Project.

Per quanto sempre più discusso e controverso, NSO Group resta un punto di riferimento del settore. Cy4gate non fa eccezione: «I nostri competitor principali sul settore governativo sono israeliani e sono anche un punto di riferimento perché abbiamo nel tempo imparato molto da loro», diceva nell’intervista di dicembre 2020 a Vivere di dividendi Eugenio Santagata, allora Ad di Cy4gate.

Vuoi fare una segnalazione?

Diventa una fonte. Con IrpiLeaks puoi comunicare con noi in sicurezza

Clicca qui

Come dimostrano i contratti ottenuti da Cy4gate, l’azienda si è inserita in mercati controversi, competendo con società che sono state investite da scandali a causa dei contratti stretti con forze dell’ordine di regimi autoritari. Come NSO, che infatti è coinvolta in due casi di rilievo collegati proprio agli Emirati Arabi, Paese dove anche Cy4gate è molto attiva. A inizio ottobre 2021 una corte britannica ha confermato che il primo ministro emiratino, lo sceicco Mohammed bin Rashid al-Maktoum, ha fatto spiare lo smartphone della propria ex moglie e dei suoi legali usando il software Pegasus. NSO aveva rescisso il contratto per l’utilizzo del proprio software dopo essere venuta a conoscenza dell’accaduto.

L’altro caso, invece, riguarda l’ingegnere, blogger, e attivista Ahmed Mansoor, che negli anni è stato oggetto di attacchi con tre diversi software: nel 2011 con quello di FinFisher, nel 2012 con quello di Hacking Team, e nel 2016 con quello di NSO sfruttando una vulnerabilità il cui prezzo è stimato intorno al milione di dollari. In tutti e tre i casi, le tecnologie sono riconducibili alle azioni del governo degli Emirati. Mansoor è stato arrestato nel 2017 e deve scontare una pena di 10 anni per quello che, secondo Human Rights Watch, è stato un processo ingiusto con accuse fittizie.

Alla luce delle ombre che avvolgono i due competitor NSO e Palantir, Cy4gate ha dichiarato a IrpiMedia di condannare «ogni forma di utilizzo improprio o fuori dalla cornice di legittimità di prodotti che nascono con una chiara, specifica ed esclusiva finalità: supportare gli enti preposti nella prevenzione e repressione di crimini efferati». Inoltre, «Cy4Gate opera esclusivamente nell’alveo delle norme nazionali e internazionali vigenti e mette la propria tecnologia a disposizione delle law enforcement agencies con l’intento di contribuire alla prevenzione e repressione di reati nell’interesse esclusivo delle comunità di cui gli utilizzatori sono i principali tutori», ha dichiarato una portavoce dell’azienda.

E se ci fosse una seconda NSO, l’Europa saprebbe fermarla?

Gli scandali sull’export di tecnologie per la sorveglianza hanno da sempre interessato l’Italia. Dal caso di Area SpA in Siria fino agli abusi delle tecnologie di Hacking Team, il settore dell’export sembra essere in grado di aggirare costantemente ogni norma e controllo, nel quasi silenzio delle Autorità delegate al monitoraggio. Recentemente, il caso emerso con il Pegasus Project del consorzio di giornalisti Forbidden Stories ha sottolineato come questi spyware possano finire con l’essere usati persino in Europa.

Con l’aggiornamento al regolamento europeo sull’export di tecnologie dual-use, adottato dal Parlamento europeo a marzo 2021, l’UE ha cercato di correre ai ripari introducendo maggiori obblighi sulla trasparenza dei singoli stati membri per quanto riguarda le licenze di export concesse, e inoltre sono state incluse categorie più ampie come ad esempio le tecnologie per la cyber sorveglianza e tecnologie biometriche. Associazioni che si occupano di diritti umani, come Access Now, Amnesty International, Committee to Protect Journalists, FIDH (International Federation for Human Rights), Human Rights Watch, Privacy International, Reporters Without Borders (RSF) hanno subito sottolineato però che questo regolamento rischia comunque di essere carente.

Hanno ribadito ad esempio che è necessario che sotto il termine “cyber sorveglianza” siano inclusi anche tutti quei sistemi già regolamentati in precedenza, come ad esempio le sonde per intercettare le comunicazioni su internet e i software per le intrusioni nei dispositivi. Inoltre le associazioni hanno chiesto che le autorità nazionali che si occupano delle licenze per l’export pubblichino mensilmente dei report sulle richieste ricevute. E, soprattutto, auspicano che le autorità tengano in considerazione nelle fasi di valutazione quanto previsto dalla Carta dei diritti fondamentali dell’Ue, delle indicazioni sviluppate dalla Corte di giustizia dell’Unione europea e dalla Corte europea dei diritti umani.

Non è chiaro, però, se gli Stati membri avranno intenzione di applicare questi suggerimenti e tenere sotto controllo un mercato delle tecnologie di sorveglianza che sembra sempre più diventare un asset strategico in campo geopolitico.

Malgrado i recenti passi falsi con le procure italiane, Cy4gate non sembra fermarsi. A giugno 2021 era presente alla conferenza ISS World Middle East and Africa, un evento che fa parte di una serie di conferenze annuali che si svolgono in tutto il mondo dove si ritrovano aziende di sorveglianza, governi ed esperti di sicurezza e intelligence. Nella copia archiviata dell’agenda dell’evento si legge che Cy4gate avrebbe tenuto due sessioni: una su Gens.AI e l’altra sulla piattaforma di cyber intelligence e «come controllare e combinare insieme in tempo reale tutte le informazioni recuperate dal target sotto sorveglianza, facendo leva su più classi di sensori attivi e passivi». Il prossimo appuntamento è con ISS World Europe che si svolgerà a Praga a dicembre.

Vai a #Sorveglianze

CREDITI

Autori

Lorenzo Bagnoli
Riccarco Coluccini

Ha collaborato

Privacy International

Infografiche & Mappe

Lorenzo Bodrero

Editing

Luca Rinaldi

Foto

Song_about_summer/Shutterstock

Il glossario della cybersecurity

17 Novembre 2021 | #Sorveglianze, Approfondimenti

17 Novembre 2021 | di Lorenzo Bagnoli, Riccardo Coluccini

Tecnologie digitali dual-use

Per tecnologie digitali dual-use si intendono quelle tecnologie che possono essere usate sia per scopi civili sia militari. Alcuni esempi di tecnologie dual-use sono quelle che permettono di intercettare le comunicazioni telefoniche, gli spyware che possono intrufolarsi negli smartphone, ma anche tecnologie per eludere la cifratura e le password utilizzate per proteggere i dispositivi da occhi indiscreti. In molti di questi casi, queste tecnologie possono sfruttare i cosiddetti zero-days, ovvero vulnerabilità dei software di cui neppure il produttore è a conoscenza. Non tutte le tecnologie digitali sono beni dual-use ma questo non vuol dire che ci siano minori rischi di abusarne.

Spyware

Un software o malware utilizzato per rubare di nascosto i dati presenti sullo smartphone. Le forze dell’ordine li utilizzano durante le indagini per estrarre screenshot delle chat, registrare da remoto le conversazioni attraverso il microfono del dispositivo, e per copiare file e documenti come i messaggi scambiati, le email o le foto della galleria. In moltissimi casi questa tecnologia è stata utilizzata anche contro giornalisti, attivisti, e dissidenti politici.

Continuous Intelligence

Con Continuous Intelligence diverse aziende del settore dell’analisi dei dati indicano la possibilità di estrarre informazioni dai big data in tempo reale e in maniera continuativa, avendo sempre a portata di mano le informazioni necessarie per prendere la scelta giusta. La Continuous Intelligence si applica al settore business, quando ad esempio un’azienda vuole monitorare la propria attività o quella di un competitor. Condivide però spesso capacità simili a quelle ricercate dalle agenzie di intelligence dei governi i quali usano sistemi per monitorare, da molteplici fonti online, l’andamento di specifiche situazioni come ad esempio proteste e manifestazioni.

Lawful interception

Si parla di sistemi di Lawful interception in riferimento a tutte quelle tecnologie che possono essere utilizzate dalle forze dell’ordine durante le attività di indagine per avere accesso a comunicazioni e informazioni tra privati. Spesso richiedono un’autorizzazione di un giudice per essere eseguite. Rientrano in questa categoria le intercettazioni ambientali, ovvero le registrazioni audio delle conversazioni tra più persone presenti in un luogo, le attività di intercettazione telefonica e anche quelle telematiche, che possono essere eseguite con uno spyware, noto in Italia anche con il nome di captatore informatico, o con sistemi per monitorare il traffico internet di un sospettato. Spesso, le aziende che vendono prodotti per la Lawful Interception si trovano anche a supportare materialmente le operazioni di intercettazione al fianco della polizia giudiziaria.

App di contact tracing

È il nome che prendono diversi sistemi introdotti nei primi mesi della pandemia di Covid-19 pensati per facilitare l’individuazione dei contatti che ha avuto una persona positiva al Covid. In questo modo è possibile cercare di controllare la pandemia isolando quelle persone in tempo e mettendole in quarantena. I sistemi di contact tracing possono essere più o meno pericolosi per la privacy: si va dai sistemi che usano il bluetooth per rilevare la presenza di due persone vicine oppure quelli che sfruttano il segnale GPS per monitorare ogni singolo spostamento della persona che ha installato l’app.

Internet monitoring

Si tratta di un’attività svolta da agenzie di intelligence e forze dell’ordine che permette di monitorare il traffico internet di una determinata persona o gruppo di persone, in questo modo è possibile ricostruire quali siti vengono visitati, quali app utilizzate quotidianamente, e se impiegano sistemi per mascherare il proprio indirizzo IP.

SOCMINT

La Social Media Intelligence è un’attività di monitoraggio effettuata sui social media. Gli strumenti dedicati alla SOCMINT permettono di monitorare i contenuti pubblicati su piattaforme come Twitter, Facebook, Instagram e YouTube, seguire determinati hashtag e ricostruire cosa pensa una persona su un determinato tema. Inoltre è possibile collegare insieme gruppi di account che agiscono in maniera coordinata. Questa tecnologia è sempre più utilizzata per monitorare le proteste che nascono e si diffondono online.