L’azienda italiana che può localizzare una persona in ogni angolo del mondo

#Sorveglianze

L’azienda italiana che può localizzare una persona in ogni angolo del mondo

Crofton Black
Riccardo Coluccini
Gabriel Geiger

Ovunque tu sia, se hai con te uno smartphone acceso e connesso alla rete, il tuo operatore telefonico può sempre sapere dove ti trovi. Per permetterti di ricevere un SMS, o una chiamata, l’operatore deve sapere dove sei e, di conseguenza, a quale rete telefonica sei agganciato. Se ti trovi all’estero, in roaming, sono le società di telecomunicazioni di quel paese a gestire la ricezione del SMS e scambiare informazioni con il tuo operatore. Questa semplice procedura, che è anche una struttura fondamentale delle reti cellulari, può però essere sfruttata da parte di aziende specializzate per individuare la tua posizione e consegnare l’informazione a soggetti terzi, principalmente forze dell’ordine e servizi di intelligence. Ed è possibile farlo sfruttando i meccanismi stessi che permettono il funzionamento delle reti—cosa che spesso rende difficile capire se si tratta di un’attività normale o di un tentativo di sorveglianza. Un’inchiesta di Lighthouse Reports (LHR) con Irpimedia, Domani, Der Spiegel, EUobserver, e Mediapart svela che un’azienda italiana, Tykelab, controllata alla più nota azienda di sorveglianza RCS, vende proprio questa capacità alle forze dell’ordine.
L'inchiesta in breve
  • Un’azienda italiana è in grado di monitorare la posizione degli smartphone in giro per il mondo senza che le vittime se ne accorgano, sfruttando una vulnerabilità vecchia di dieci anni e che sembra destinata a non essere risolta.
  • Dati riservati del settore delle telecomunicazioni mostrano come Tykelab abbia inviato di nascosto decine di migliaia di richieste per tracciare la posizione di cellulari collegati alla rete telefonica in Libia, Malesia, Pakistan, Nicaragua, Iraq, Mali, Grecia, Portogallo e Italia.
  • Tykelab è di proprietà di RCS, nota azienda di intercettazioni italiane, che rivende la tecnologia di Tykelab sotto il nome di Ubiqo a forze dell’ordine e agenzie di intelligence.
  • RCS e Tykelab sviluppano anche uno spyware, Hermit, in grado di prendere il controllo del tuo smartphone e ascoltare tutto ciò che dici. Ricercatori di sicurezza informatica ne hanno trovato traccia in Kazakhstan, Italia e Romania.

Mentre il dibattito sui rischi per i diritti umani e per la tenuta democratica dei paesi a Bruxelles si sta focalizzando sull’azienda israeliana NSO, produttrice dello spyware Pegasus al centro degli abusi portati alla luce lo scorso anno dal consorzio di giornalisti guidati da Forbidden Stories, nel frattempo in Italia RCS dichiara di poter «tracciare gli spostamenti di quasi chiunque abbia un telefono con sé, sia che si trovi a pochi isolati di distanza che in un altro continente». Per poter ottenere queste informazioni, le forze dell’ordine devono solitamente avviare una rogatoria internazionale con la loro controparte nel paese estero. Con questo prodotto invece, senza alcun controllo, un paese potrebbe monitorare la posizione di una persona dall’altra parte del mondo sia che si tratti di un pericoloso criminale che di un attivista o oppositore politico—episodi già avvenuti in passato con tecnologie simili. A supportare questa promessa, sul piano tecnico, ci sarebbero gli strumenti di Tykelab, di cui l’inchiesta di LHR ha trovato traccia nel sud-est asiatico, in paesi dell’Africa, dell’America Latina e nell’Unione Europea — inclusi paesi che potrebbero violare i diritti umani.

Tykelab è stata ora acquisita da Cy4gate assieme alla holding Aurora S.p.A, già proprietaria di RCS e che ha formalizzato ufficialmente il controllo di Tykelab prima dell’acquisizione. Cy4gate, come ha ricostruito in precedenza Irpimedia, vorrebbe sfidare direttamente NSO. Questo conglomerato di società di sorveglianza italiane ora punta a espandersi in Italia e all’estero.
Diversi esperti di sicurezza delle telecomunicazioni hanno fornito a LHR e Irpimedia dati riservati che mostrano l’attività di Tykelab nel mondo. L’azienda si presenta come un innocuo fornitore di servizi telefonici ma ha noleggiato decine di punti di accesso alla rete (noti anche con il nome di “global titles”) da operatori telefonici legittimi in giro per il mondo, come se fosse anche lei una sorta di operatore. Ma, anziché usare questo accesso per inviare SMS o indirizzare telefonate, sta usando l’accesso per inviare comandi in grado di testare vulnerabilità nelle reti di vari paesi e di raccogliere di nascosto dati personali — in particolare la posizione delle persone connesse alla rete telefonica.

Un ufficio discreto

A sud di Roma, a poca distanza dalla zona EUR, nascosto da palazzi residenziali e uffici di banche e associazioni finanziare, si trova un anonimo palazzo grigio. All’ingresso ci sono unicamente placche di altre aziende ma nessuna traccia di Tykelab. Al secondo piano, però, dietro una porta di vetro schermata da bande opache si intravede in bella vista un logo, affiancato da un dispenser di mascherine e gel igienizzante per mani: Tykelab. 

L’ingresso degli uffici è protetto da un codice di sblocco e un lettore di impronte digitali targato Hikvision. Suonando il campanello però nessuna risposta.

All’interno si intravedono almeno 5 porte. Una di esse, rimasta aperta, lascia intravedere alcune bottigliette d’acqua e un paio di cuffie, unico segno visibile di dipendenti. Il portinaio, all’ingresso dell’edificio, spiega che almeno da due settimane non si vede nessuno. Presumibilmente sono in ferie.

Solo al secondo piano, di fronte alla porta dei suoi uffici, si scorge il logo di Tykelab – Foto: IrpiMedia

Gli esperti di sicurezza — che hanno richiesto l’anonimato per via del tema trattato — hanno raccontato di come Tykelab stia mettendo in atto una sorveglianza su larga scala. Tracce dell’attività di Tykelab sono in Libia, Nicaragua, Malesia e Pakistan ma anche in Italia e paesi dell’Unione Europea.

«Stanno diventando sempre più attivi», ha dichiarato un esperto che per mesi ha monitorato l’attività di Tykelab su diversi network. «Dall’inizio di quest’anno hanno aumentato il numero di attacchi e ora sono costanti».

Come funziona la vulnerabilità usata da Tykelab

Tykelab sfrutta una vulnerabilità nel protocollo chiamato Signalling System 7 (SS7). Gli operatori telefonici di due paesi diversi devono essere in grado di poter comunicare tra di loro nel caso in cui un numero di un cliente di uno di essi si trovi in viaggio all’estero nel paese dell’altro operatore. Una chiamata deve poter raggiungere un numero italiano sia che esso si trovi in Italia che in roaming in Germania. SS7 permette proprio questo tipo di scambio di informazioni.

Per fare questo, però, il sistema di telecomunicazione mondiale poggia su una serie di protocolli oramai vecchi e che presentano alcune vulnerabilità note che possono essere sfruttate da criminali informatici e agenzie di intelligence. Inizialmente, le connessioni della rete telefonica mondiale tra pochi diversi operatori poggiavano sulla fiducia reciproca. L’apertura del mercato, però, ha reso più facile l’ingresso in questo network e così il numero di operatori è esploso. Chiunque abbia accesso a una di queste reti può inviare comandi verso un numero di telefono e ricevere indietro informazioni. Si può scoprire la posizione del telefono, ottenere informazioni identificative sulla SIM o si possono anche effettuare attacchi più sofisticati, come intercettare telefonate e SMS (con lo scopo spesso di commettere frodi economiche), o disturbare la connettività di un numero.

Alcuni degli attacchi menzionati sono più complicati da effettuare ma quello che permette di monitorare la posizione di un dispositivo è piuttosto facile, scrive l’Agenzia dell’Unione europea per la cyber-sicurezza (ENISA) in un report pubblicato nel 2018. E aggiunge che, sebbene questi attacchi non siano molto frequenti, possono comunque avere un impatto significativo sulle persone, e questo perché è facile acquistare l’accesso al network e iniziare a inviare comandi.

È emerso infatti un gruppo di aziende specializzate che offre la possibilità di sfruttare queste vulnerabilità per conto dei clienti, che sono spesso forze dell’ordine o agenzie di intelligence. Alcuni gestori telefonici hanno provato a correre ai ripari ma purtroppo gran parte del settore delle telecomunicazioni sembra non voler affrontare il problema, considerato difficile e costoso da risolvere.
Inoltre, queste vulnerabilità non sembrano destinate a scomparire con l’introduzione di più evolute tecnologie di comunicazione, come la rete 5G. Sono infatti state già trovate le prime vulnerabilità e alcuni ricercatori hanno trovato modi per effettuare attacchi simili a quelli di Tykelab anche sulla rete 5G.

Membri del parlamento europeo, esperti di telecomunicazioni e attivisti a difesa della privacy si dicono sgomenti per le attività di Tykelab, sottolineando i rischi per la privacy e la sicurezza, e chiedendo ai governi di impegnarsi maggiormente per regolare queste aziende europee.

«Questa storia riguarda un fornitore di spyware che viola la legge e in questo caso risiede proprio in Europa», ha dichiarato l’europarlamentare Sophie In ’t Veld. «È giunta l’ora che nell’UE l’intera industria degli spyware, che al momento opera in una sorta di zona grigia di legalità, venga regolamentata e resa trasparente. È necessario imporre dei limiti altrimenti la nostra democrazia può andare in crisi».

Edin Omanovic, Advocacy Director dell’associazione Privacy International, ha dichiarato: «La minaccia che questi mercenari dell’industria degli spyware presentano deve oramai essere chiara a Bruxelles e ai paesi Europei: bisogna adottare azioni decise per proteggere le reti di comunicazione, fermare la commercializzazione di spyware e sanzionare le aziende che sono complici negli abusi, come già fatto dagli Stati Uniti».

Dopo lo scandalo Pegasus il Parlamento europeo ha creato una commissione ad hoc che ha ascoltato esperti della società civile e portato in parlamento un rappresentate di NSO, l’azienda che produce Pegasus, per un’audizione pubblica. Ma le attività di Tykelab mettono al centro il ruolo stesso dell’UE in questo scandalo senza fine.

Scorcio dell’anonima sede di Tykelab – Foto: IrpiMedia

L’attacco alla rete telefonica mondiale

Malgrado la sede di Tykelab a Roma sia una tranquilla zona residenziale vicino al quartiere EUR, l’eco delle sue attività ha attirato l’attenzione degli esperti di sicurezza. Lo scorso anno, un gruppo di reti telefoniche a 15 mila chilometri di distanza da Roma, nel sud del Pacifico, inizia a inviare strane richieste a numeri in giro per il mondo. Inviano comandi per tracciare la posizione di un numero e per raccogliere informazioni relative a SIM connesse alla rete. Non si tratta di poche richieste, ma di migliaia. E non finisce qui. 

Dati riservati visionati da LHR mostrano che, in un solo giorno del 2022, Tykelab ha usato un operatore telefonico — situato su un remoto arcipelago a circa 5000 km a est dell’Australia — per inviare migliaia di richieste sospette a un network in Malesia. Queste richieste, che colpiscono una rete non protetta, permettono di rivelare la posizione delle persone collegate alla rete. Non rimane alcuna traccia sul dispositivo e l’utente è indifeso. 

Un altro set di dati offre un’istantanea di un periodo di circa dieci giorni a giugno scorso: l’azienda ha impiegato 11 diversi accessi alla rete da paesi nella regione del Pacifico per raggiungere obiettivi che si trovano in Costa Rica, Nicaragua, Libia, Pakistan, Iraq, Mali, Macedonia, Grecia e Portogallo. 

«Li vediamo testare le reti, cercando in maniera sistematica e insistente modi per aggirarne le protezioni, e li vediamo anche compiere palesi attacchi mirati per localizzare specifici individui», ha spiegato a LHR l’analista che ha fornito il set di dati.

«Sebbene molti di questi attacchi hanno lo scopo di forzare il rilascio di informazioni relative alla posizione, nel caso della Libia si notano attività coerenti con quelle necessarie a intercettare chiamate o SMS», ha dichiarato la fonte.

Secondo l’esperto, Tykelab non si ferma solo alla sorveglianza, l’azienda sembra interessata anche a esplorare in modo sistematico le vulnerabilità della rete telefonica mondiale. Una mappa delle attività dell’azienda, visionata da LHR, mostra Tykelab testare le reti di quasi ogni paese del mondo in un periodo di due giorni a giugno di quest’anno.

«Ci sono tutti i segni distintivi tipici di una scansione di grande portata con l’obiettivo di individuare quali sono le reti meno protette», ha dichiarato l’esperto.

Tykelab ha attirato le attenzioni anche di altri soggetti. Un’email ottenuta da LHR mostra che il Cyber Security Center (CCCS) del governo canadese ha messo gli occhi su Tykelab, indicando alcuni accessi alla rete legati a Tykelab come «ad alto rischio» per un uso malevolo. E secondo un report riservato destinato a un meeting privato del settore, visionato da LHR, Tykelab sarebbe dietro circa 27,000 attacchi alla rete telefonica in alcune zone del continente Africano, nel Sud-est Asiatico e in Europa, solo nella prima metà del 2022. 

La segnalazione del CCCS avrebbe spinto almeno un operatore a valutare la possibilità di bloccare il traffico che proviene da alcuni accessi alla rete telefonica globale di Tykelab. Ma secondo Pat Walshe, ex direttore del dipartimento privacy presso l’associazione di categoria della telefonia mobile GSMA, c’è da fare molto di più. 

«Queste rivelazioni richiedono un’indagine immediata da parte degli enti di controllo e azioni immediate dell’industria», ha dichiarato a LHR. «Abbiamo superato il limite. L’industria della telefonia mobile deve chiarire categoricamente perché non è in grado di affrontare le gravi falle che facilitano gli abusi dei diritti umani su scala globale».

I prodotti di RCS e Tykelab 

Commercialmente, la tecnologia di Tykelab che abbiamo descritto è venduta da RCS sotto il nome di  Ubiqo. Una brochure di RCS ottenuta da LHR descrive infatti la possibilità di «tracciare gli spostamenti di quasi chiunque abbia un telefono con sé» e «generare informazioni analizzando pattern degli spostamenti, luoghi di incontro e durata». Ubiqo, si legge nell’opuscolo, «è una piattaforma sviluppata per effettuare una geolocalizzazione di obiettivi sulla rete mobile in tempo reale su scala mondiale, basata su un approccio non intrusivo e che non può essere notato dal target».

RCS è nota per essere fornitrice di tradizionali sistemi per le «intercettazioni legali» grazie al suo sistema di monitoraggio che permette di collegare l’infrastruttura telefonica italiana alle Procure, le quali possono così attivare le intercettazioni telefoniche. Secondo documenti pubblicati da Cy4gate per l’acquisizione del gruppo Aurora, nel 2000 RCS ha sviluppato il suo sistema di monitoraggio per poi ottenere la prima commessa estera nel 2007. Nel 2015 amplia i prodotti offerti includendo uno spyware per Windows e dal 2018 completa la gamma di spyware sviluppando versioni per iOS e Android. Questo spyware non è passato inosservato.

A giugno 2022 RCS e Tykelab sono finite al centro dell’attenzione per un report dell’azienda di sicurezza informatica Lookout e uno del Threat Analysis Group di Google. I ricercatori hanno individuato uno spyware chiamato Hermit attivo in Italia e in Kazakhstan — un paese con una lunga storia di sorveglianza alle spalle. A svilupparlo sarebbero state RCS e Tykelab, come dimostrano vari certificati digitali presenti sia nello spyware che nei server che ne permettono il controllo. Lookout ha inoltre dichiarato di avere recentemente individuato un caso di attacco da parte di Hermit in Romania. Lo spyware sarebbe lo stesso utilizzato nel caso delle intercettazioni di Luca Palamara, ex membro del Consiglio Superiore della Magistratura—vicenda che ha messo RCS sotto indagine perché i dati copiati non sarebbero stati gestiti nella maniera corretta.

I dati di RCS

Secondo presentazioni finanziare di Cy4gate, RCS è il leader italiano nella forensic intelligence e data analysis. Il suo fatturato nel 2020 è stato pari a 40.5 milioni di euro, di cui il 74% proveniente da clienti italiani. Più della metà di questi 40.5 milioni è legato a sistemi di intercettazione forniti alle procure e dalla fornitura dello spyware.

I recenti guai di RCS

I guai per RCS esplodono con l’indagine sul caso nomine al Consiglio Superiore della Magistratura e con le intercettazioni ai danni di Luca Palamara nel 2019. Il consulente della difesa scopre infatti che ci sarebbero problemi con il funzionamento dello spyware utilizzato nelle intercettazioni, quello di RCS. Contrariamente a quanto previsto dalla legge, i dati intercettati non finivano direttamente nei server della Procura di Roma ma transitavano prima su quelli della Procura di Napoli. 

Un responsabile tecnico e i membri del consiglio di amministrazione di RCS sono finiti indagati dalla Procura di Napoli per frode nelle pubbliche forniture (l’architettura di sistema dei server non sarebbe risultata corrispondente a quanto previsto nei contratti stipulati) e accesso abusivo a sistema informatico poiché il personale di RCS avrebbe avuto accesso, senza autorizzazione, ai dati intercettati. I reati di falsa testimonianza e di falsità ideologica commessa dal pubblico ufficiale in atti pubblici sono contestati da parte della Procura di Firenze. 

Come se non bastasse, sul proprio sito RCS comunica «di aver subito un’intrusione informatica al server di posta elettronica con possibile accesso non autorizzato a dati di contatto dei propri clienti». Secondo RCS potrebbero essere stati violati i dati di contatto relativi a numeri di telefono e email dei clienti. L’attacco risalirebbe a sarebbe stato compiuto a maggio 2021, secondo RCS. Al momento nessuno ha rivendicato l’attacco o pubblicato copia dei dati, come invece era accaduto nel caso della controversa Hacking Team. 

Nel 2021 RCS ha richiesto una licenza di export temporanea verso il Kazakhstan ma, dopo un preavviso di diniego, l’istanza è stata ritirata dall’azienda. Contattato da Irpimedia, un portavoce del Ministero degli Esteri, dicastero che si occupa dell’autorizzazione all’export di beni a duplice uso come gli spyware, ha spiegato che la licenza richiesta includeva il sistema di monitoraggio di comunicazioni telefoniche e telematiche prodotto da RCS. Sempre secondo quanto dichiarato dal Ministero, prima del 2020 RCS era in possesso di una licenza per esportare in Kazakhstan.

Per installare Hermit le vittime devono cliccare su un link ricevuto tramite un messaggio inviato da quelli che sembrano essere fornitori di servizi di telefonia. Dai dati pubblicati da Google e Lookout i finti link utilizzati impersonano aziende come Apple e Facebook, ma soprattutto operatori telefonici italiani come Wind, TIM, Kena, Iliad e Ho Mobile. LHR è riuscita a individuare un sito aggiuntivo che si spaccia per l’operatore Vodafone. I domini più vecchi sono stati acquistati da RCS nel 2015 mentre il più recente risale a marzo 2022, secondo un’analisi di LHR.

In Italia gli operatori telefonici possono facilitare l’infezione dei dispositivi, come rivelato in un’audizione del Company Security Governance di Wind Tre Spa riportata dal Comitato Parlamentare per la Sicurezza della Repubblica (COPASIR). Le operazioni svolte dagli operatori telefonici, che rientrano nelle cosiddette prestazioni obbligatorie di giustizia per cui ricevono un compenso, «consistono soprattutto nell’ampliamento della banda e nell’invio di messaggi per richiedere determinate attività di manutenzione», si legge nel documento del COPASIR.
Una volta installato, Hermit permette di leggere i messaggi, vedere le foto e i documenti salvati nello smartphone, attivare da remoto il microfono e la videocamera, e registrare le telefonate—anche quelle effettuate tramite app cifrate come Signal e WhatsApp, secondo Lookout.

Il ricercatore di sicurezza informatica di Lookout, Justin Albrecht, ha dichiarato a LHR che Pegasus e Hermit presentano metodi di infezione diversi—meno sofisticati nel caso di Hermit—ma le loro capacità sono simili.

«Pegasus e Hermit sono entrambi potenti strumenti di sorveglianza in grado di superare le protezioni di sicurezza di dispositivi Android e iOS con lo scopo di monitorare tutte le attività della vittima», ha dichiarato Albrecht. «Questo tipo di spyware offre un accesso impareggiabile al network di relazioni della vittima, alle sue attività quotidiane e ai pattern della sua vita».

La sorveglianza made in Italy viaggia verso l’estero

Il nuovo colosso delle intercettazioni Cy4gate-RCS punta a una continua espansione nel mercato estero. Insieme, le due aziende hanno già «relazioni commerciali con governi nell’area del Golfo, Asia centrale e America Latina», secondo quanto riportato in un report di Cy4gate, con piani per «diversificare maggiormente la clientela grazie a un espansione del segmento corporate e rafforzando la nostra posizione all’estero». L’acquisizione di RCS, infatti, potrebbe favorire un’espansione nel nord Europa, secondo Cy4gate.

Questo desiderio di espansione deve però portarsi dietro anche un maggior scrutinio.
«Le autorità italiane che monitorano l’export devono confermare se stanno supervisionando l’azienda, verso quali clienti le è stato concesso di vendere e i motivi per cui ritengono che ciò non rappresenti una minaccia chiara e diretta ai diritti delle persone nel mondo», ha dichiarato Omanovic di Privacy International.

Al momento della pubblicazione dell’articolo, il Ministero degli affari esteri non ha fornito ulteriori informazioni in merito a licenze di export concesse a Tykelab e RCS verso gli altri paesi menzionati in questa inchiesta.

«È ora che questo oscuro mondo [ndr degli spyware] in Europa venga alla luce», ha sottolineato l’europarlamentare In ’t Veld a LHR. «Per troppo tempo ha continuato a esistere dietro questa apparenza di legalità mentre invece viola la legge ed è esportato verso regimi controversi».

I guai legati all’espansione di RCS potrebbero già essere all’orizzonte. Secondo quanto riportato dalle testate greche Inside Story e News24/7, i servizi segreti ellenici (EYP) avrebbero aggiudicato un appalto a RCS tra il 2020 e il 2021 per un sistema di intercettazioni. La Grecia in questo momento si trova però al centro di un nuovo scandalo: uno spyware simile a Pegasus, chiamato Predator e prodotto dall’azienda Cytrox, è stato usato contro un giornalista investigativo nel 2020 e il Primo Ministro greco ha confermato che sono state effettuate intercettazioni telefoniche ai danni di un politico dell’opposizione nonché membro del parlamento europeo per tre mesi a partire da settembre 2021. Non è chiaro se queste intercettazioni siano avvenute con il sistema fornito da RCS. Al momento, dopo le dimissioni del capo dell’EYP, il governo greco ha risposto a una richiesta di chiarimenti inviata dalla Commissione Europea, affermando di non aver mai acquistato quello spyware e di aver rispettato il proprio quadro legislativo nel caso delle intercettazioni ai danni del politico, attaccando poi direttamente i giornalisti che stanno seguendo la vicenda.

Contattata da Irpimedia, RCS ha confermato di controllare Tykelab ma si è rifiutata di fornire dettagli sui propri clienti. E ha ribadito che i propri prodotti sono forniti alle forze dell’ordine a supporto delle attività di prevenzione e indagine nei casi di gravi reati, come atti di terrorismo, traffico di droga, e crimine organizzato. L’azienda ha dichiarato di esportare i propri prodotti “in conformità con quanto previsto da leggi e regolamenti nazionali e europei.

CREDITI

Autori

Crofton Black
Riccardo Coluccini
Gabriel Geiger

Editing

Giulio Rubino

In collaborazione con

Lighthouse Reports
Domani
Der Spiegel
EUobserver
Mediapart

Infografiche

Edoardo Anziano

La giustizia degli umani prevalga sulla tecnologia

19 Novembre 2020 | di Luca Rinaldi

C’è qualcosa di molto rilevante nell’inchiesta di Riccardo Coluccini che abbiamo pubblicato ieri su IrpiMedia. Non c’è solo il racconto di come l’utilizzo della prova raccolta con la tecnologia, in particolare quella ottenuta tramite la copia dei contenuti di uno smartphone, possa contribuire a mandare in galera un innocente per più di tre anni ed essere utilizzata anche nel caso di reati minori. Ma c’è un intero sistema di giustizia e garanzie che scricchiola, e vale la pena farci caso ora, davanti al grande mercato dei software di estrazione forense pronti per le forze dell’ordine.

Dice qualcuno che la giustizia è umana e come tale sbaglia. Verissimo, ma in un’epoca in cui le indagini utilizzano sempre più frequentemente la tecnologia e andiamo spediti verso una giustizia dove algoritmi e, perché no, intelligenze artificiali, entreranno sempre più nel quotidiano dell’amministrazione giudiziaria, è bene rifletterci subito.

Il ricorso all’estrazione di duplicati fedeli di un cellulare nel corso di una indagine per un piccolo furto, per il possesso di marijuana o per un deturpamento pubblico è qualcosa che va ben oltre il consentito. Come racconta l’inchiesta di ieri, negli Stati Uniti la pratica sta diventando sempre più frequente. In Europa non ancora, tuttavia sia le linee guida per le forze dell’ordine che operano sul campo, sia decisioni più o meno oscillanti della magistratura, mettono il sistema giustizia davanti a un tema che non si può più rinviare.

Il caso di Medhanie Tesfamariam Berhe, cittadino eritreo scambiato invece per Medhanie Yehdego Mered, uno dei trafficanti di migranti più ricercati al mondo, conosciuto come “il Generale”, è un esempio lampante.

Il traffico di essere umani non è certo un reato minore ed è sicuramente tra quelli che giuridicamente potrebbero implicare l’utilizzo di tecnologie per l’estrazione forense ai fini dell’indagine. Il problema, come sempre, non è tanto la tecnologia in quanto tale, ma l’utilizzo che se ne fa del risultato a cui quella stessa tecnologia è giunta. Aldilà del caso specifico è infatti inutile negare come partendo da una tesi precostituita si possa piegare il contenuto di uno smartphone, compresi file eliminati e chiavi di autenticazione, per quanto dati “freddi”, a dimostrazione del proprio teorema.

Da questo momento infatti non sono più la tecnologia o la prova in sé a determinare il percorso della giustizia, ma sono gli uomini e le norme scritte. E agendo senza un quadro chiaro, ben definito e figlio di un confronto preparato tra i protagonisti del sistema della giustizia e delle forze dell’ordine c’è il rischio che buone indagini finiscano nel cestino, mentre pessime indagini facciano la storia del Paese. E siccome spesso nel Belpaese la storia la scrivono i tribunali, forse vale la pena pensare al futuro.

Errori giudiziari: come la prova tecnologica manda in carcere un innocente

Errori giudiziari: come la prova tecnologica manda in carcere un innocente

Riccardo Coluccini

La tecnologia è un incantesimo che nasconde meccanismi complessi, è facile quindi pensare che i nostri smartphone, pieni di app, siano diversi da un computer. Eppure, nel sistema operativo che li fa funzionare tutto si svolge in maniera simile ad un Pc: ci sono cartelle che contengono file e documenti, copie delle nostre chat, video e audio, e informazioni sull’utilizzo del dispositivo e sulla nostra posizione GPS. Un nuovo report dell’associazione statunitense Upturn svela che queste informazioni fanno gola alle forze dell’ordine americane anche in casi di reati minori, come semplici furti, possesso di marijuana o persino deturpamento del suolo pubblico, e per ottenerle usano tecnologie per l’estrazione forense dei dati senza sufficienti garanzie per i diritti degli indagati.

Anche in Italia molti di questi strumenti sono già acquistati da anni da Polizia, Carabinieri e Guardia di Finanza. Uno di quelli indicati nel report, venduto dall’azienda israeliana Cellebrite, è stato utilizzato anche sul cellulare del cittadino eritreo che la Procura di Palermo aveva scambiato e arrestato al posto di Medhanie Yehdego Mered, uno dei trafficanti di migranti più ricercati al mondo, conosciuto come “il Generale”. L’analisi del dispositivo, alla base delle accuse, avrebbe dovuto fornire prove a conferma della sua identità, ma nel 2019 la Corte d’Assise di Palermo ha confermato che la persona detenuta per tre anni era in realtà un innocente, Medhanie Tesfamariam Berhe, rivelando così un grave scambio d’identità che ha dato origine a uno dei più clamorosi errori giudiziari degli ultimi trent’anni.

IrpiMedia è gratuito

Ogni donazione è indispensabile per lo sviluppo di IrpiMedia

L’editoriale

La giustizia degli umani prevalga sulla tecnologia

Software, algoritmi e intelligenza artificiale sono il futuro delle indagini, ma il diritto non è la sua tecnologia

Tutti vogliono mettere le mani sui nostri dati

«Per troppo tempo, il dibattito e la discussione pubblica su questi strumenti è stata dedicata ai casi più rari ed eccezionali in cui le forze dell’ordine non possono accedere ai dati dei cellulari,» si legge nel report di Upturn. Ed effettivamente, almeno negli Stati Uniti, una delle vicende che ha attirato l’interesse mondiale è stata l’attacco terroristico di San Bernardino avvenuto nel 2015: l’Fbi voleva accedere ai contenuti dell’iPhone 5C dell’attentatore e aveva chiesto ad Apple di creare una backdoor per indebolire la crittografia e permettere l’analisi dei file presenti. Lo stallo si è risolto solo grazie a quello che sembra essere stato l’intervento di alcuni hacker professionisti e non grazie ad un’azienda come riportato in precedenza.

Backdoor

In informatica, una backdoor è una porzione di codice che permette di bypassare i controlli e le misure di sicurezza di un sistema, fornendo così un accesso non autorizzato ai malintenzionati. Di solito è inserita di nascosto e nemmeno gli sviluppatori originari del sistema stesso se ne possono accorgere. Avere una backdoor in un sistema che usa la crittografia end-to-end, dove quindi solo le due parti che comunicano possono leggere i messaggi, permette a chiunque ne conosca l’esistenza di leggere il contenuto delle chat. Per avere un’analogia con il mondo materiale: è come se il fabbro che ci monta la porta di casa non sapesse che quella serratura ha un difetto di fabbrica messo lì appositamente dalle forze dell’ordine, le quali riescono ad aprirla con una chiave apposita.

La crittografia e i passcode per lo sblocco ci proteggono da occhi indiscreti ma potrebbero anche frenare le investigazioni delle forze dell’ordine o dell’autorità giudiziaria.

Nel caso Mered, le carte della relazione di consulenza tecnica ottenute da IrpiMedia mostrano le capacità del software Cellebrite UFED. L’analisi è stata svolta sul Samsung trovato addosso all’imputato al momento del suo arresto in Sudan a maggio 2016. Sono stati estratti dati relativi a tutte le chat presenti—da Viber a WhatsApp, inclusa anche Facebook Messenger—, tutti i file audio e video inviati, la cronologia delle telefonate effettuate sia con le app sia tramite il cellulare. Dai contatti estratti è stato possibile ricostruire la sua rete di relazioni e confrontarli anche con i tabulati ottenuti dagli operatori telefonici. Tra le foto estratte ci sono anche quelle per i festeggiamenti del compleanno di un minore.

Sono state analizzate anche le tracce della navigazione internet e le ricerche effettuate su YouTube, complete di orario e data—tra i termini di ricerca c’erano “sahra car in libiya” e “see in italiya” che sono video che guarderebbe qualunque persona prima di mettersi in viaggio, non necessariamente la cronologia di ricerca di un trafficante.

Uno screenshot delle carte del caso Mered che mostra i termini cercati su YouTube

Queste informazioni avrebbero dovuto confermare l’esistenza di contatti in Svezia, dove si trovavano la moglie e il figlio del vero trafficante, e le sue attività. Solo successive analisi del DNA del figlio e il confronto dell’impronta vocale di alcune intercettazioni hanno dimostrato inequivocabilmente che Berhe non era la persona che si stava cercando.

L’associazione Upturn conferma ampiamente le capacità di queste tecnologie nel proprio report, e sottolinea come negli USA le forze dell’ordine utilizzano questi strumenti per quasi ogni tipo di reato: graffiti, taccheggio, possesso di marijuana, prostituzione, vandalismo, incidenti d’auto, violazioni della libertà vigilata, piccoli furti, e qualunque altro reato collegato alle sostanze stupefacenti. Se c’è uno smartphone, possiamo stare certi che le forze dell’ordine cercheranno di copiare tutti i file e cartelle di sistema che contiene, compreso il recupero dei file cancellati.

Uno screenshot che mostra il funzionamento del software Axiom prodotto da Magnetic Forensic (fonte: report di Upturn)

Il mercato italiano

Upturn ha prodotto questo report inviando più di 100 richieste FOIA e utilizzando database governativi sulle spese. Tutti i documenti ottenuti sono consultabili online. Tra questi ci sono anche quelli sui pagamenti che permettono così di avere un quadro sui venditori a cui si rivolgono le forze dell’ordine statunitensi. Tra i nomi più citati ci sono Cellebrite, Magnet Forensics, Grayshift, MSAB, AccessData, e Oxygen Forensics.

La polizia ha delle linee guida in Europa?

Nel 2018 Privacy International, associazione britannica attiva sui temi dei diritti digitali e della sorveglianza, ha svolto una ricerca nel Regno Unito simile a quella di Upturn. Inviando richieste di accesso FOIA a 47 diverse forze di polizia britanniche, aveva mostrato l’assenza di linee guida a livello nazionale, conflitti sulle leggi che si applicano in questi casi di perquisizioni digitali e, ancora più grave, mancando dettagli sui tempi di conservazione le forze dell’ordine finivano con il conservare i dati estratti indefinitamente, anche se il sospettato risultava poi essere innocente.

In Italia, nel 2018 richieste di informazioni simili si sono scontrate contro il muro inaccessibile della riservatezza per motivi di pubblica sicurezza. Erano state inviate più di 30 richieste FOIA a Procure, Carabinieri, Guardia di Finanza, e dipartimenti del Ministero dell’Interno, dislocati su diverse città: Torino, Milano, Bologna, Roma, Palermo, Napoli. Queste richieste hanno mostrato la disparità di trasparenza tra l’Italia e gli altri stati: le attività svolte dalle forze dell’ordine in Italia sembrano godere di una particolare cortina di fumo a protezione.

Tra le richieste, vi erano: dettagli sulle linee guida, sulla raccolta centralizzata dei dati e sulle tecnologie in uso—molte delle domande erano state riprese dal modello di richiesta messo a disposizione da Privacy International.

La Guardia di Finanza è stata l’unica a rispondere fornendo alcuni dettagli parziali e un rimando generale ad un manuale operativo: esiste Ia qualifica di “Computer Forensics e Data Analysis”, attribuita a militari che hanno seguito uno specifico corso di formazione, e sono stati dotati di apparati specifici. Questi militari operano a supporto dei Reparti operativi nell’espletamento dei poteri di polizia giudiziaria ed economico-finanziaria. Non ci sono dettagli però sui tempi di conservazione, pur sottolineando come le «evidenze digitali […] non sono mai conservate centralmente». Le tecnologie e i prodotti acquistati non vengono indicati e si suggerisce di cercarli online nelle sezioni Amministrazione Trasparente.

In Italia non si hanno quindi dettagli sufficienti sull’utilizzo di questi sistemi da parte di tutte le forze dell’ordine né tantomeno sulle finalità di utilizzo dei dati estratti.

Negli Stati Uniti, si legge nel report, «poche linee guida menzionano eventuali limiti sulla durata di conservazione dei dati estratti, o su come tali dati possano essere utilizzati al di fuori dell’ambito dell’indagine in corso».

Molte di queste aziende sono le stesse che troviamo nelle gare d’appalto delle forze dell’ordine italiane: Oxygen Forensics acquistata dalla Polizia Postale di Roma, Cellebrite acquistata dalla Guardia di Finanza, Magnet Forensics per le attività della Polizia Giudiziaria. A fine 2019, il Raggruppamento Operativo Speciale (ROS) dell’Arma dei Carabinieri ha aggiudicato un appalto di circa un milione di euro all’azienda 4N6 srl, unica società partecipante nonché rivenditrice ufficiale di diverse delle aziende citate nel report di Upturn, per la fornitura di diversi strumenti per l’estrazioni forense di dati.

Tra le caratteristiche richieste nel disciplinare, oltre a quelle più comuni discusse sopra, c’è anche quella di creare una correlazione tra le informazioni delle reti WiFi a cui si è connesso lo smartphone, le celle telefoniche e le posizioni GPS, in modo da avere una mappa degli spostamenti. L’azienda fornisce al ROS il software Encase Forensics, per analisi ed estrazione dati dai computer Windows, Linux e Apple. Ma anche Axiom Computer per l’identificazione della navigazione web su browser e permettere così anche un’analisi delle attività online. Dall’offerta tecnica si legge che il software Axiom sfrutta anche degli algoritmi di intelligenza artificiale per la classificazione automatica delle immagini trovate sui dispositivi: le categorie si dividono in armi, documenti, screenshot, nudo, volti, mappe, automobili, edifici, droni e droga.

Nell’appalto sono inclusi anche i software Cellebrite UFED 4PC Ultimate e il dispositivo Cellebrite UFED Touch 2 per fare direttamente estrazione e analisi dei dati dagli smartphone. L’azienda allega anche una tabella di più di quattrocento pagine dove indica tutti i modelli di smartphone da cui è possibile estrarre i dati: sono circa undicimila diversi modelli e per oltre cinquemila di questi è possibile anche bypassare il codice di sblocco. Per i dispositivi di ultima generazione come iPhone 8, iPhone X e diversi Samsung, richiesti dal ROS, l’azienda rimanda al servizio Cellebrite Advanced Services che permette di avere assistenza diretta da parte di un team specializzato di dipendenti Cellebrite.

Uno screenshot dal catalogo 2019 di Cellebrite UFED Touch 2 ottenuto da Privacy International

Leggi anche

Quando usiamo i nostri smartphone molti dei contenuti che postiamo sui social o tramite altre app finiscono sui server delle aziende che li sviluppano: le nostre foto su Instagram, i percorsi di allenamento che tracciamo con le app per la corsa, e tutte le nostre chat non protette dalla crittografia sono di fatto conservate su computer che non sono nostri. Gli strumenti acquistati dal ROS permettono dunque di arrivare a quei dati — sia sfruttando le credenziali d’accesso (se fornite dall’indagato) oppure sfruttando altri file presenti sugli smartphone ma che sono nascosti ai nostri occhi: i cosiddetti token di autenticazione.

Se ogni volta che usiamo le app non siamo costretti a fare di nuovo l’accesso con username e password è proprio perché sono presenti sul nostro dispositivo dei codici che permettono di autenticarci, i token appunto. Chiunque entra in possesso di quel file può entrare nei nostri profili esattamente come se fossimo noi stessi a farlo.

E proprio questa possibilità era stata sfruttata sul dispositivo di Berhe: «la chiave di accesso token al profilo Facebook è stata estratta dalla copia forense del telefono cellulare analizzato», si legge nelle carte, e grazie a UFED Cloud Analyzer «è stato possibile effettuare una copia forense» del profilo Facebook dell’indagato.

Uno screenshot dell’offerta tecnica di 4N6 mostra le possibilità di accesso ai diversi account

Se in quel caso si è limitati al solo account Facebook, nell’offerta tecnica dell’azienda 4N6 si può leggere una lista di 57 app e servizi online da cui il ROS potrà estrarre i dati salvati in cloud: si va dai dati raccolti dai servizi Google fino ai backup di iCloud incluse le posizioni, le foto e la cronologia di Safari, ma anche i prodotti Microsoft come Office 365 e Outlook, e servizi come Amazon Alexa, Dropbox, Booking.com, Fitbit e OKCupid.

Il report di Upturn mostra quindi come le forze dell’ordine utilizzino strumenti per l’estrazione di dati dai dispositivi mobili decine di migliaia di volte e spesso senza sufficienti garanzie per l’indagato. E anche l’Italia non sembra fare eccezione. Se da un lato queste tecnologie sono uno strumento investigativo polivalente, che fornisce accesso a una vasta gamma di informazioni utili alle indagini, dall’altro mostrano come questa stessa mole di dati potrebbe essere utilizzata in modo scorretto senza una appropriata contestualizzazione dei fatti. Proprio nel caso Mered i dati estratti sembravano dipingere inequivocabilmente un quadro che però si è rivelato essere completamente sbagliato e non ha evitato un grave scambio di persona a cui è seguita la condanna di un innocente e una ingiusta detenzione di tre anni.

CREDITI

Autori

Riccardo Coluccini

Editing

Luca Rinaldi

Share via