Scandalo Predator: il mercato intra-europeo della sorveglianza è un buco nero

#Sorveglianze

Scandalo Predator: il mercato intra-europeo della sorveglianza è un buco nero

Lorenzo Bagnoli
Riccardo Coluccini

Giornalisti, ministri, editori, imprenditori: ci sono tutti nel Watergate di Atene. È così che i media greci chiamano lo scandalo sulle intercettazioni illegali che coinvolge direttamente il governo di Nea Dimokratia, il partito di centrodestra del primo ministro Kyriakos Mitsotakis, e che proprio nel Paese ellenico sono vietate dalla leggeL’ultimo colpo al governo è stato assestato il 6 novembre, quando il giornale Documento, vicino al partito di opposizione Syriza, ha pubblicato una lista di 33 nomi di chi è finito intercettato da Predator, un software spia simile al più noto Pegasus di origine israeliana, di cui IrpiMedia ha già scritto. Il primo ministro di Nea Demokratia, il partito di liberal-conservatore al governo, avrebbe autorizzato l’operazione condotta dai servizi segreti greci (Eyp) allo scopo di raccogliere informazioni per compilare dossier su avversari, uomini di potere e persino membri del suo stesso governo. La posizione ufficiale è che l’esecutivo non ha nulla a che fare con l’operazione, ma le connessioni tra gli imprenditori coinvolti nell’affaire Predator e il governo sono sempre più circostanziate.

Lo scandalo è deflagrato lo scorso gennaio in Grecia, quando alcuni giornalisti locali – tra cui i colleghi del consorzio giornalistico di Reporters United – hanno cominciato a pubblicare informazioni in merito alle vittime dello spionaggio e alla rete di imprenditori che ha portato questa tecnologia ad Atene. In particolare uno degli articoli riporta i legami tra uno dei proprietari delle società coinvolte nello scandalo e la politica. Per tutta risposta, gli autori sono stati oggetto di querele definite da Reporter senza frontiere puramente intimidatorie. 

L’ombra del Watergate greco si allunga in Europa

Il software spia in questione, Predator, è sviluppato dall’azienda Cytrox, sede originaria nella Macedonia del Nord e ora parte del gruppo Intellexa Alliance: un conglomerato con sede in Grecia e guidato da Tal Dilian, un ex membro dell’intelligence israeliana che vanta però la cittadinanza maltese, acquisita attraverso uno schema di vendita dei passaporti. La joint venture da lui guidata è presente in Grecia, Cipro, Irlanda, Francia e Ungheria. Ma se è Cytrox a produrre Predator, l’azienda che ha fornito il software allo Stato si chiama Krikel. Secondo quanto rivelato dal giornale greco Inside Story, per quanto sulla carta siano entità differenti, Krikel e Intellexa sono riconducibili sempre agli stessi uomini d’affari greci molto vicini al governo.

Lo scandalo greco è oggetto dell’attenzione della Commissione d’inchiesta Pega del Parlamento europeo. Quest’ultima è stata costituita nel 2022 per raccogliere informazioni sui sistemi di sorveglianza che violano la Carta dei diritti fondamentali dell’Unione europea. È scaturita dalle rivelazioni del Pegasus Project, inchiesta giornalistica guidata da Forbidden Stories che ha fatto emergere casi di abuso dello spyware Pegasus in Polonia, Ungheria e altri Paesi europei. Quegli abusi hanno però portato a comprendere che il problema è molto più ampio del singolo spyware.

Proprio di recente, alcuni membri della Commissione sono stati in Grecia per approfondire gli effetti della campagna di spionaggio. Secondo le ricerche della Commissione Pega non è tuttavia possibile stabilire nemmeno nei documenti ufficiali chi sia il titolare effettivo dell’azienda, a conferma dell’opacità dell’intera operazione. Krikel ha ottenuto sei contratti con il ministero della Protezione dei cittadini – che ha competenze su lotta alla criminalità, pubblica sicurezza e gestione delle situazioni di emergenza – per gestire la manutenzione di un sistema di comunicazione radio della polizia greca, tecnologie di contro-sorveglianza e altri due sistemi di radio portatili. Sei contratti che l’hanno trasformata da una società con un bilancio a zero nel 2017, a incassare, solo con l’ultima gara, 7,4 milioni di euro nel 2021. Quello stesso anno i servizi segreti ellenici hanno acquistato attraverso Krikel un sistema di intercettazione dell’azienda italiana Rcs Lab, di cui Krikel è rivenditore autorizzato in Grecia. Rcs è stata da poco acquisita dal gruppo Cy4gate, azienda italiana che si pone nel mercato come concorrente dell’israeliana Nso, ovvero la società che sviluppa Pegasus.

«La Grecia è un Paese dove, nel 2021, un solo pubblico ministero che si occupa dell’attività dell’intelligence nazionale ha firmato 15.975 autorizzazioni per le intercettazioni, giustificate da motivi di sicurezza nazionale», ha spiegato alla Commissione d’inchiesta sugli spyware del Parlamento Europeo Thanasis Koukakis, uno dei primi giornalisti finiti nel mirino di Predator. 

Koukakis è un giornalista investigativo specializzato nel settore finanziario. Ad aprile 2022 scopre di essere stato infettato con uno spyware dal 12 luglio al 24 settembre 2021, ma il suo cellulare era già stato posto sotto intercettazione anche nel 2020 per alcuni mesi. Da lì lo scandalo si allarga a macchia d’olio, fino a coinvolgere, stando al report della Commissione Pega, almeno 33 persone. «Giornalisti critici e pubblici ufficiali che combattono contro frodi e corruzione affrontano intimidazioni e ostacoli e non c’è alcuna protezione per i whistleblower», si legge nella versione di bozza, ancora non approvata, del report circolato dopo una conferenza stampa della rapporteur, l’europarlamentare olandese Sophie in ‘t Veld. «Il commercio degli spyware beneficia dal mercato interno e dal libero commercio – prosegue il testo -. Certi Paesi membri sono attrattivi come poli di esportazione dal momento che, nonostante la reputazione dell’Unione europea di essere un regolatore molto rigido, l’applicazione effettiva di tali regole sia debole»

Finora le critiche alle esportazioni dei sistemi di sorveglianza erano legate al fatto che i Paesi destinatari fossero regimi totalitari o repressivi. Invece il caso Predator in Grecia mostra tutte le falle che esistono anche all’interno dell’Unione. A queste fragilità che già esistono da tempo, si aggiunge il fatto che il nuovo regolamento sul controllo dei beni a duplice uso (cioè utilizzabili sia in campo civile che in campo militare) non monitora però il mercato intra-europeo. La maggiore trasparenza resta solo una promessa e di fatto gli Stati membri mantengono un’ampia discrezionalità sulle informazioni che rilasciano riguardo i Paesi verso cui sono esportati i prodotti di sorveglianza.

Tal Dilian, l’ex militare dietro l’“Alleanza”

Le attività di Predator sono note da quasi un anno. A dicembre 2021 i ricercatori del Citizen Lab, un laboratorio interdisciplinare dell’Università di Toronto, hanno segnalato pubblicamente l’esistenza di uno spyware passato fino ad allora inosservato. Analizzandolo i ricercatori hanno scoperto che si chiama Predator e che è prodotto da Cytrox, fino a questo momento sconosciuta. La struttura societaria è labirintica: Cytrox ha iniziato come start-up in Macedonia del Nord ma non sembrano esserci tracce nel registro delle aziende locali, mentre sembra invece registrata in Israele e Ungheria.

Dall’analisi di Citizen Lab emerge la presenza di server – con i quali lo spyware comunica – proprio in Grecia. La conferma arriva anche da un secondo report, pubblicato questa volta dall’azienda statunitense Meta (proprietaria di Facebook e Whatsapp) sempre a dicembre 2021, in cui è indicato un elenco di indirizzi web dai quali, semplicemente con un click, un utente potrebbe consapevolmente “contrarre” l’infezione di Predator sul proprio dispositivo. È questa peraltro la metodologia con la quale comunemente si introduce un malware all’interno del dispositivo di un bersaglio, che viene indotto a cliccare per errore su un indirizzo malevolo. Tra quelli individuati da Meta ne ricorrono alcuni che riprendono i siti delle testate greche Kathimerini e Inside Story: kathimerini[.]news e insider[.]gr[.]com. Meta ha rimosso circa 300 account presenti su Facebook e Instagram collegati a Cytrox e ha sottolineato chiaramente come tra i vari clienti ci sia anche la Grecia.

Come detto, Cytrox fa parte del gruppo Intellexa Alliance – insieme a Nexa Technologies, WiSpear e Senpai Technologies. Intellexa fa la sua prima apparizione pubblica nel 2019, riporta la testata Gizmodo, quando viene presentata alla fiera Idex di Abu Dhabi, evento in cui aziende del settore mostrano i propri prodotti in cerca di nuovi potenziali clienti. Intellexa viene descritta dal fondatore Tal Dilian come un’attività multiservizi che offre una vasta gamma di prodotti per hackerare un obiettivo: dallo sfruttamento di vulnerabilità della rete Wi-Fi fino all’uso di captatori informatici. Certamente una materia che mastica bene Dilian, che nel suo curriculum vanta di essere stato a capo dell’unità 81 dell’esercito israeliano che rappresenta la risposta alla National security agency (Nsa) americana ed è incaricata quindi di intercettazioni.  

Prima di Intellexa, una volta congedato, Dilian crea la Circles, compagnia che nel 2014 finisce sotto l’ombrello di Nso. Circles offriva la possibilità di sfruttare le vulnerabilità della rete telefonica per localizzare una persona in qualsiasi parte del mondo. Persino l’italiana Hacking Team entra in contatto con Circles, come rivelano delle email pubblicate pochi anni dopo da WikiLeaks. Dilian avrebbe incontrato un manager di Hacking Team nel 2013 a Monaco per parlare delle attività tra le due aziende.

Al vertice di Intellexa c’è una holding con sede nelle Isole Vergini Britanniche, Aliada Group Inc, controllata al 32% da un fondo d’investimento israeliano. Aliada è nominata in un caso giudiziario in Israele che risale al giugno 2016 e in cui la società è descritta come «un gruppo di aziende di cyber armamenti prodotti a marchio Intellexa»

Le società collegate a Intellexa

Le capacità di Intellexa sono frutto di una partnership tra diverse aziende, ognuna esperta in un campo specifico. Alcune di queste sono già state coinvolte in operazioni sospette. C’è ad esempio Nexa Technologies/Amesys, società di diritto francese che ha venduto tecnologie di sorveglianza al dittatore libico Muammar Gheddafi nel 2007 e al presidente egiziano Abdel Fattah al-Sisi nel 2014. Il 16 e 17 giugno 2021 quattro suoi dirigenti sono stati accusati dalla Corte di Giustizia di Parigi di essere complici di episodi di tortura e sparizioni forzate in Libia nel 2013 e di sparizioni forzate in Egitto.

Un’altra è la WiSpear – oggi Passitora Ltd – che offre la possibilità di intercettare il traffico delle reti wifi, secondo quanto riportato in una recente inchiesta della testata israeliana Haaretz in collaborazione con la testata greca Inside Story basata su un documento di presentazione dei prodotti del gruppo Intellexa. Proprio WiSpear aveva messo nei guai lo stesso Dilian: a novembre 2021 l’azienda ha ricevuto una sanzione di oltre 900 mila euro per aver raccolto illegalmente dati di identificazione di computer e smartphone che passavano nei pressi dell’aeroporto di Larnaca, a Cipro. Per farlo WiSpear avrebbe usato un furgone equipaggiato con i vari prodotti offerti dall’azienda e che erano persino stati mostrati in una rara intervista rilasciata a Forbes. Dilian è stato inizialmente arrestato ma successivamente rilasciato dopo che il procuratore ha ritirato le accuse nei suoi confronti e di altre due persone legate all’azienda. La Corte Penale di Larnaca ha però inflitto una sanzione di 76 mila euro all’azienda.

E infine c’è Cytrox, che si occupa di estrarre i dati dai dispositivi dei bersagli grazie al suo spyware. Originariamente, nell’intervista a Gizmodo, Tal Dilian ha dichiarato che ci sarebbero altri cinque partner che non sono pubblici. Sempre secondo la presentazione visionata da Haaretz, una quarta azienda cipriota è Poltrex. Non è chiaro quali prodotti offra ma IrpiMedia ha potuto individuare su LinkedIn almeno un suo ex dipendente che subito prima di passare a Poltrex ha lavorato anche per Nso.

Nel 2022 siti e account Twitter specializzati hanno condiviso i documenti relativi a un accordo tra Intellexa e un governo di cui non si conosce l’identità. Secondo Haaretz si tratta di una delle componenti di un pacchetto composto di tre parti: la prima è il sistema di hackeraggio in grado di colpire fino a dieci obiettivi in contemporanea; la seconda è un software, Nova Platform, capace di mettere insieme i dati raccolti con l’attività di spionaggio; la terza – continua Haaretz – prevede la vendita di servizi di supporto e gestione del progetto (fino ad arrivare a fornire supporto tecnico, operativo e metodologico), servizio che secondo la legge israeliana non potrebbe essere venduto. Possono mettere sul mercato tecnologie, infatti, e non servizi. Il pacchetto completo sarebbe ceduto al prezzo di 8 milioni di dollari. 

A luglio 2022 Sophie in ‘t Veld invia per conto di Pega una lettera all’amministratore di Intellexa, chiedendo informazioni sulla struttura societaria e su quale sia precisamente il contesto giuridico al quale è sottoposta. Un portavoce dell’europarlamentare ha confermato a IrpiMedia che al momento non è stata ricevuta alcuna risposta. Nel frattempo si apprende che Europol ha chiesto a cinque Paesi europei se siano state aperte altre indagini sui software Pegasus e Predator.

Il mercato intra-europeo è un colabrodo

Non è la prima volta che un’azienda di sorveglianza straniera riesce a entrare nel mercato europeo direttamente dalla porta d’ingresso nonostante le regolamentazioni esistenti. Intellexa, infatti, è un’alleanza israeliana ma sfrutta le sedi a Cipro e in Grecia, grazie alle sue affiliate, per mettere un piede in Europa. Così come l’israeliana Nso, la quale conta su aziende collegate con sede nei Paesi dell’Unione europea. Una delle chiavi d’accesso al mercato europeo per Nso era proprio la stessa Circles fondata da Dilian.

Nelle mail rubate ad Hacking Team e pubblicate da Wikileaks appare anche un’allora piccola start-up che dichiara di offrire servizi simili a quelli di Circles e che, proprio su modello dell’azienda di Dilian, sta valutando dove aprire la propria sede. Si legge nella mail: «Circles e altri aprono in Paesi come la Bulgaria anche se i fondatori non vengono dalla Bulgaria in modo che l’approvazione delle vendite ai governi sia più facile da un punto di vista dei regolamenti». In altri termini, sfruttando il fatto che la Bulgaria si trova nell’Unione europea: quando l’export di tecnologie di sorveglianza riguarda Paesi intra-Ue infatti il regolamento prevede il rilascio di autorizzazioni solo per specifici prodotti in larga parte non legati a tecnologie di sorveglianza digitale.

Nel 2019 le autorità bulgare, insieme a quelle cipriote, hanno negato di aver concesso licenze di export a Nso, dopo aver ricevuto una richiesta di chiarimenti da parte dell’associazione per i diritti digitali Access Now. Gli uffici di Nso a Cipro usati da Circles sarebbero stati chiusi nel 2020, secondo quanto riportato da Vice che ha parlato con due ex dipendenti. 

In un’audizione, Nso ha spiegato alla Commissione Pega che dodici Paesi Ue utilizzano in totale 15 sistemi Pegasus (la lista è ancora incompleta). Due Paesi europei sono stati in precedenza clienti di Nso ma i loro contratti sono poi stati terminati, presumibilmente per aver abusato dello spyware. Eppure in un’intervista di luglio 2021 l’allora amministratore delegato di Nso, Shalev Hulio, aveva dichiarato che la maggior parte dei 45 clienti dell’azienda proveniva proprio dall’Europa.

Non è chiaro se le vendite di queste tecnologie siano state autorizzate dal governo israeliano, responsabile del monitoraggio di Nso, o se invece la vendita sia partita dagli altri Paesi europei. Nel secondo caso, infatti, non ci sarebbe alcun bisogno di passare attraverso l’approvazione delle autorità governative.

Ad approfittare delle falle nel sistema intra-europeo è anche un’azienda Italiana, Rcs Lab, tra i fornitori storici ufficialmente di sistemi per le intercettazioni, secondo una recente inchiesta di Lighthouse Reports e IrpiMedia anche per la geolocalizzazione da remoto che sfruttano le vulnerabilità della rete telefonica e spyware. 

La Grecia è uno dei mercati dove Rcs Lab si è espansa. Secondo la testata greca Inside Story, la società italiana si sarebbe aggiudicata un appalto del valore di 6,2 milioni di euro che avrebbe dovuto garantire il monitoraggio del traffico voce e dati di 1.100 dispositivi mobili e di 500 linee fisse. Queste specifiche sembrano essere in linea con le descrizioni di Mito³, un centro di monitoraggio in grado di mettere insieme e analizzare dati provenienti da fonti diverse, si legge nella brochure del prodotto che Lighthouse Reports ha condiviso con IrpiMedia: registrazioni audio di conversazioni e telefonate, traffico internet, dati dai social network, email, chat, e dati estratti dai dispositivi. Rcs ha precisato via mail che «il sistema “Predator” non è mai stato integrato nella piattaforma Mito, né tantomeno Rcs Lab ha mai avuto esperienze dirette o alcuna conoscenza di tale sistema».

Rcs Lab offre però anche tecnologie per la raccolta diretta dei dati. In un’altra brochure, infatti, l’azienda spiega di avere a sua disposizione sonde per le intercettazioni di traffico telefonico e internet in grado di supportare la sorveglianza di «centinaia di obiettivi simultaneamente». Queste sonde permettono di catturare il classico traffico telefonico oltre al traffico internet. C’è anche la possibilità di raccogliere in maniera massiva i dati di traffico internet e estrarre i metadati per distinguere, ad esempio, tra il traffico generato da applicazioni come WhatsApp, Messenger, Twitter, Skype, o Telegram. 

Rcs non ha fornito risposte o chiarimenti in merito a eventuali legami con l’azienda Krikel e ha sottolineato che le esportazioni dei suoi prodotti «possono avvenire esclusivamente a favore di quei Paesi verso i quali le competenti autorità nazionali forniscono regolare autorizzazione all’esportazione».

Il Ministero degli Esteri italiano ha però dichiarato a IrpiMedia che «l’esportazione di materiali duali intra-UE è libera (a eccezione del settore nucleare), e perciò non è soggetta a licenza da parte della Uama». L’Uama è l’Unità per le autorizzazioni dei materiali di armamento che si occupa del controllo dei beni a duplice uso. La mancanza di trasparenza nelle vendite all’interno dell’Unione europea non è un caso isolato: la carenza di informazioni si riscontra anche sul numero complessivo di autorizzazioni concesse per l’export e sui Paesi di destinazione. Una richiesta di accesso civico generalizzato inviata da IrpiMedia è stata respinta perché un vecchio decreto esclude dall’accesso agli atti l’attività svolta dalla divisione Uama. Il diniego viene ribadito anche nella risposta alla richiesta di riesame presentata da IrpiMedia: non solo i motivi legati alla «sicurezza, alla difesa nazionale, all’esercizio della sovranità nazionale ed alla continuità e alla correttezza delle relazioni internazionali» ne impediscono la diffusione, ma anche perché, secondo il ministero, il nuovo regolamento europeo approvato a settembre 2021 sull’export delle tecnologie a duplice uso sottrarrebbe la sfera di autonomia degli Stati membri in materia a favore dell’Unione europea: il ministero invia i propri dati statistici alla Commissione che li elabora in un report annuale.

Sempre secondo il ministero, la stessa competenza comunitaria sarebbe provata dal fatto che l’Uama non presenta una relazione pubblica al Parlamento italiano, come invece accade per i materiali d’armamento classici. I beni dual-use, come quindi le tecnologie per la sorveglianza, sono considerati ben più riservati di un jet militare. Inoltre, si legge nelle conclusioni della risposta del ministero, che l’esistenza di un report prodotto dalla Commissione europea deve essere considerata sufficiente e scongiurare ogni ipotesi di “buchi neri” della trasparenza in questo settore.

La trasparenza mancata nel nuovo regolamento sull’export

A settembre 2022 la Commissione europea ha presentato un report al Parlamento comunitario riassumendo le attività svolte per quanto riguardo l’attuazione dei controlli sulle esportazioni dell’Ue per i prodotti a duplice uso nel 2021, inclusi alcuni dati aggregati sulle licenze concesse nel 2020.

Con l’aggiornamento al regolamento europeo che disciplina l’esportazione di tali prodotti, entrato in vigore a settembre 2021, l’Ue ha cercato di correre ai ripari introducendo maggiori obblighi sulla trasparenza dei singoli Stati membri per quanto riguarda le licenze di export concesse. Inoltre sono state incluse categorie più ampie come ad esempio le tecnologie per la cyber-sorveglianza e tecnologie biometriche.

Il nuovo regolamento ha introdotto anche un gruppo di coordinamento (Ducg) presieduto da un rappresentante della Commissione e uno per ogni Stato membro con lo scopo di monitorare l’applicazione delle regole per gli export. Il Ducg, si legge nel report di settembre, ha raccolto informazioni dagli Stati europei sulle tecnologie di cyber-sorveglianza esportate nel 2020. I dati mostrano un drastico calo delle licenze di autorizzazione: si passa dalle quasi 200 concesse nel 2017 fino alle 39 del 2020. Sempre nel 2020, si legge nel report, 32 autorizzazioni sono state rifiutate. I dati, purtroppo, sono aggregati e non sono divisi per ciascun Paese europeo, inoltre mancano all’appello anche informazioni sui Paesi di destinazione.

Licenze concesse

Il numero di licenze sulle tecnologie di cyber sorveglianza concesse in Europa dal 2014 al 2020

IrpiMedia è gratuito

Ogni donazione è indispensabile per lo sviluppo di IrpiMedia

I dati riguardano tre categorie di tecnologie specifiche: sistemi per le intercettazioni di telecomunicazioni, sistemi per il monitoraggio della rete internet e sistemi di spionaggio digitale (i cosiddetti spyware). I primi sono sempre in testa nelle esportazioni e sono anche quelli più comuni: si tratta dei classici sistemi per le intercettazioni telefoniche comunemente impiegati dalle forze dell’ordine nei nostri Paesi.

Malgrado i dati siano aggregati, un dettaglio interessante emerge da un altro grafico: considerato il valore economico dei beni esportati per ogni categoria, le tecnologie che rientrano nella categoria telecomunicazioni e sicurezza dell’informazione – in cui rientrano sia dispositivi elettronici usabili in guerra sia sistemi per le intercettazioni e per il monitoraggio dei dispositivi – sono al primo posto, seguite dalla categoria che riguarda i materiali e gli equipaggiamenti nucleari.

Il valore delle licenze

La percentuale del valore delle licenze per ciascuna categoria di beni a duplice uso nel 2020. Le tecnologie di cyber sorveglianza sono al primo posto

Se la trasparenza del ministero degli Esteri è pari a zero, il governo italiano ha però offerto in passato alcuni spiragli sul mercato estero delle proprie aziende di sorveglianza. Claudio Guarnieri, esperto di sicurezza informatica a capo del Security lab di Amnesty International, ha mostrato durante la sua audizione alla Commissione Pega i risultati di una richiesta Foia inviata nel 2019. Il ministero dello Sviluppo Economico, all’epoca incaricato di rilasciare le autorizzazioni dell’export, ha fornito i dati statistici per gli anni 2017 e 2018. In quei due anni, sono state concesse undici autorizzazioni per sistemi o software usati per facilitare o controllare l’intrusione con gli spyware; 21 autorizzazioni per il monitoraggio della rete internet e tre autorizzazioni per sistemi di intercettazione o interferenza della rete mobile.

Confrontando questi dati con quelli raccolti nel report della Commissione europea si nota subito il ruolo giocato dall’Italia in quegli anni: circa il 38% delle autorizzazioni per software di intrusione è stata concessa ad aziende italiane ma la percentuale sale fino al 75% per quelle relative al monitoraggio della rete internet.

In nessun caso viene fornita alcuna informazione relativamente a quali siano i Paesi acquirenti. Il nuovo regolamento sull’export prevede che questi dati debbano essere forniti dagli Stati membri e inclusi nel report finale ma nel regolamento europeo c’è una clausola per cui i Paesi potrebbero decidere di non fornire queste informazioni nel caso in cui si applichino «obblighi in materia di protezione delle informazioni personali, di informazioni commercialmente sensibili o di difesa protetta, di politica estera o di sicurezza nazionale». Il buco nero che, secondo il ministero degli Esteri italiano non dovrebbe essere presente, rischia invece di essere già scritto nel regolamento.

CREDITI

Autori

Lorenzo Bagnoli
Riccardo Coluccini

Editing

Raffaele Angius

In partnership con

Privacy International

Infografiche

Lorenzo Bodrero

Foto di copertina

Metaworks/Getty

I business dell’italiana Cy4gate a sostegno dell’industria della sorveglianza negli Emirati

#Sorveglianze

I business dell’italiana Cy4gate a sostegno dell’industria della sorveglianza negli Emirati

Lorenzo Bagnoli
Riccardo Coluccini

Nel 2019, alla International Defence Exhibition & Conference (IDEX) lo sceicco Mohammed Bin Zayed Al Nahyan, il principe ereditario di Abu Dhabi noto alle cronache giornalistiche con le iniziali Mbz nonché vice comandante supremo delle forze armate degli Emirati Arabi Uniti, visita lo stand di una delle più importanti e note aziende italiane nel settore militare, Elettronica Spa, controllata al 31,33% da Leonardo, il campione italiano dei sistemi di difesa a partecipazione statale. Ad attenderlo, oltre all’amministratore delegato di Elettronica, c’è anche Eugenio Santagata, fino al termine del 2020 amministratore delegato di un’altra azienda che fa parte del gruppo: Cy4gate.

Descritta da molti come una delle eccellenze del mondo tecnologico nostrano, si è lanciata alla conquista di due settori: la difesa informatica e il suo opposto, la capacità di raccogliere dati e permettere intrusioni a scopi di intelligence e di sorveglianza da parte delle forze dell’ordine. A sette anni dalla fondazione, l’azienda partecipata da Leonardo attraverso Elettronica sta acquisendo un ruolo sempre più di primo piano nello scacchiere internazionale dei fornitori di servizi di difesa. Il marchio è relativamente nuovo ma opera in piena continuità con aziende a partecipazione statale anche quando stringe accordi per vendere software non specificati a Paesi come gli Emirati Arabi Uniti, dove la tecnologia è usata come arma di repressione.

Gli affari negli Emirati

IDEX è una delle fiere più importanti tra quelle che si svolgono nei Paesi del Golfo. Ospita aziende da tutto il mondo che vendono armamenti e tecnologie collegate al settore della difesa. Poco dopo la sua nascita nel 2014, Cy4gate è già presente a IDEX 2015 e da allora continua a presenziare alla fiera, insieme ad Elettronica. In un’intervista su Nation Shield, giornale dedicato al mondo militare che si occupa della copertura mediatica dell’evento, Andrea Melegari, Chief Marketing and Innovation Officer di Cy4gate, dichiara a riguardo della presenza dell’azienda e delle aspettative nell’area del Golfo: «C’è stato molto interesse per Cy4gate. Abbiamo in programma una serie di incontri; stiamo prendendo impegni per ulteriori discussioni in futuro».

IrpiMedia è gratuito

Ogni donazione è indispensabile per lo sviluppo di IrpiMedia

L’inchiesta in breve
  • Cy4gate è una società del gruppo Elettronica, partecipata per oltre il 30% da Leonardo. La società si occupa di servizi di intelligence e nasce dall’esperienza di Elettronica. È in un momento di particolare espansione.
  • Da documenti interni e slide di presentazione si scopre che tra i suoi clienti ci sono importanti aziende del fondo sovrano Mubadala, al cui vertice il principe ereditario Mohammed Bin Zayed Al Nahyan (Mbz) ha messo alcuni dei suoi uomini più fedeli.
  • Abu Dhabi, attraverso i suoi fondi sovrani, ha una lunga storia di partecipazioni in aziende italiane. Alcune travagliate, come quella in Piaggio Aerospace.
  • Da subito dopo la sua nascita Cy4gate è attiva all’estero: nel 2015 partecipa all’edizione di IDEX, una delle fiere di settore negli Emirati. Tra i sistemi che ha esportato c’è D-SINT, uno strumento di intelligence che analizza informazioni da fonti aperte che si integra con controversi strumenti di intercettazione che possono essere usati a scopo repressivo. Le autorizzazioni per beni dual-use non sono pubbliche in Italia.
  • Tra i contatti di Cy4gate c’è anche la polizia emiratina, come testimonia la sponsorizzazione di uno dei loro eventi. Partner principale era DarkMatter, altra azienda usata dalla famiglia reale per spiare oppositori e nemici interni, oggi controllata da persone vicine al principe ereditario Mbz.
  • Tra i manager dell’azienda vi sono molte persone con un background nel mondo dell’esercito o che hanno ricoperto ruoli nei carabinieri, come ad esempio il Cto Andrea Raffaelli, nominato nel corso di quest’anno ed ex appartenente ai Ros e presente in passato agli eventi negli Emirati per conto dei Carabinieri.

#Sorveglianze è una serie che indaga su nuovi protagonisti e industria dei think tank del comparto della cybersicurezza in Italia. Nasce dalla collaborazione tra IrpiMedia e Privacy International, organizzazione britannica che si occupa di sorveglianza di massa e difesa dei diritti umani.

Nell’intervista Melegari tesse però anche le lodi di Elettronica e delle attività svolte nel settore dell’electronic warfare, la guerra elettronica: «Senza quel patrimonio e quella forza non saremmo mai arrivati dove siamo».

Secondo quanto riportato da La Verità a febbraio 2019, Cy4gate ha venduto proprio allo sceicco Mohammed bin Zayed Al Nahyan e al fondo Mubadala una piattaforma, chiamata D-SINT, che grazie ad algoritmi di intelligenza artificiale è in grado di monitorare social media, dark web e altre fonti di comunicazione per estrarre informazioni utili, dagli argomenti di cui si discute in rete fino alle partecipazioni di una certa azienda.

La piattaforma, secondo brochure e presentazioni di Cy4gate visionate da IrpiMedia, è uno strumento utile per forze dell’ordine e agenzie di intelligence ma anche per aziende che possono monitorare i social network per valutare l’andamento del proprio brand o ponderare acquisizioni di altre società. Inoltre, come sottolinea La Verità, lo sceicco Mbz «sarà in possesso di uno strumento per fare intelligence riguardo la propria persona». A causa delle instabili condizioni di salute dell’attuale Presidente emiratino Khalifa bin Zayed Al Nahyan, Mbz è considerato di fatto il sovrano degli Emirati. Ha consolidato la propria posizione nominando ai vertici delle aziende di Stato – come Mubadala – persone a lui vicine, allo scopo di controllare soprattutto difesa e cybersorveglianza.

Mubadala è tra i clienti indicati da Cy4gate in alcune slide di presentazione dell’azienda. La società – di proprietà statale – è in realtà un gruppo, composto da diverse entità, che spaziano da fondi di investimento fino ad aziende del settore dell’energia fossile. Una delle più importanti è proprio il fondo che gestisce un portafoglio pari a 243 miliardi di dollari, Mubala Development, il tutto sempre per conto del governo di Abu Dhabi. Mbz ne è il presidente.

Il trono di spade degli Emirati Arabi

I fragili equilibri che regolano i rapporti tra gli sceicchi degli Emirati, tra legami di sangue e ambizioni

Scheletri nell’armadio per D-SINT

La piattaforma D-SINT acquistata dal governo di Abu Dhabi in passato non sembra essersi limitata alla sola raccolta di dati di intelligence indicata dalla brochure. La prova è in alcune email di Hacking Team (HT), leader italiano nel settore delle intrusioni informatiche diventato Memento Labs dopo lo scandalo di cui è stato protagonista. Le corrispondenze dei manager di HT erano infatti state pubblicate da Wikileaks dopo l’attacco informatico effettuato dall’hacktivista Phineas Fisher nel 2015.

Si legge che Santagata e altri rappresentanti di Cy4gate sono in stretto contatto con l’azienda milanese per organizzare varie presentazioni e dimostrazioni dei propri prodotti a possibili acquirenti. Si legge di delegazioni da Singapore, incontri in Pakistan e richieste di preventivi da parte del Qatar.

In una email di maggio 2015, nelle fasi che precedono la proposta di un’offerta a un potenziale acquirente legato all’intelligence dell’Arabia Saudita, Santagata chiarisce a David Vincenzetti, allora amministratore delegato di HT, come il software di Cy4gate D-SINT si possa integrare alla piattaforma per le intercettazioni legali di Hacking Team, Rcs. Santagata lo spiega in termini tecnici e si riferisce a D-SINT come «la nostra suite sviluppata in elt/cy4gate che chiamiamo D-Sint».

La passione italiana di Mubadala

La rete diplomatica degli Emirati Arabi Uniti si sviluppa attraverso commesse, partecipazioni e protocolli d’intesa siglati da società e fondi che rappresentano il governo di Abu Dhabi, come Mubadala, conglomerato specializzato nello sviluppo di nuove tecnologie da applicare soprattutto nell’ambito della difesa.

Il fronte più dinamico in questo momento sembra essere quello della sicurezza informatica, dove Cy4gate si sta ritagliando un ruolo sempre più importante. Mubadala è inserito nella lista clienti dell’azienda del gruppo Elettronica e da quanto si può ricostruire attraverso i bilanci esiste una commessa statale che anticipa l’inizio di un export di tecnologie a marchio Cy4gate ad Abu Dhabi.

Le relazioni tra Cy4gate ed Emirati sono cominciate almeno tre anni prima attraverso Injazat Data System, società all’epoca al 100% di Mubadala, oggi di proprietà di una società tra i cui azionisti c’è anche il fondo emiratino. Injazat si occupa di cloud, trasformazione digitale e sicurezza informatica. Nel bilancio 2019 Cy4gate sottolinea una «difficoltà manifesta» nell’incassare «il credito verso la società Injazat Data System per lavorazioni effettuate nel corso del 2016». Injazat collabora anche con Thales, multinazionale francese tra i leader nel settore della difesa, aerospazio, e sicurezza, socia per altro di Elettronica Group. Nel 2013, infatti, l’azienda francese ha avviato una collaborazione con Injazat per un sistema di sicurezza informatica all’avanguardia. Inoltre nel 2017 Injazat ha collaborato con il Ministero dell’Interno degli Emirati per installare dei sistemi di sorveglianza intelligenti all’interno degli edifici.

Secondo quanto dichiarato da Cy4gate a IrpiMedia, nel caso di Injazat è stata venduta la stessa piattaforma acquistata da Mubadala, D-SINT, configurata in modo da essere idonea «all’impiego in ambito corporate», cioè per utilizzo aziendale.

In Italia il fondo emiratino Mubadala ha una presenza strategica che dura da tempo anche al di là del cyberspazio. Nel settore bancario ha investimenti in Unicredit (all’epoca l’amministratore delegato era Alessandro Profumo, oggi a Leonardo); in quello energetico ha sottoscritto accordi con Eni e Snam rispettivamente per la riduzione delle emissioni di anidride carbonica e per «collaborare su iniziative congiunte di investimento e sviluppo sull’idrogeno», come recita il comunicato stampa pubblicato da Snam. Nel settore di sicurezza e difesa, Mubadala ha siglato un memorandum con Leonardo per rafforzare la collaborazione per lo sviluppo di nuovi aerei da guerra per rimpiazzare la flotta emiratina.

Nonostante la lunga durata, i rapporti bilaterali tra Italia ed Emirati sono spesso burrascosi. Nel 2021 si sono raffreddati al punto che, a fine giugno, i militari italiani sono stati costretti a lasciare la base di Al-Minhad, vicino a Dubai, uno degli altri setti Emirati. Causa scatenante della crisi è stata la decisione del Governo di Giuseppe Conte, nel gennaio 2021, di revocare la licenza di export delle bombe italiane all’Arabia Saudita, Paese in guerra con lo Yemen, e agli stessi Emirati, ufficialmente usciti dal conflitto nel 2020, dopo cinque anni. Ad agosto la Commissione esteri della Camera ha espresso parere favorevole al rilancio della «cooperazione strategica» con gli Emirati, ridimensionando di fatto il blocco.

Prima di questo caso, nel 2018, era stato lo sviluppo di un drone a provocare contrasti diplomatici e a far saltare importanti commesse. Protagonista ancora Mubadala: il fondo nel 2006 è entrato nell’azionariato del marchio Piaggio Aerospace, che comprende i complessi industriali Piaggio Aero Industries Spa e Piaggio Aviation Spa. Nel 2014 ne è diventato l’unico proprietario, dando impulso in particolare allo sviluppo di un drone: il P.180, detto Hammerhead. Il progetto, riporta il sito specializzato Defense News, prevedeva che anche l’Italia acquistasse alcuni di questi velivoli senza pilota, nonostante la contrarietà dell’esercito che lo riteneva inutile. Alla fine la commessa italiana è saltata, mettendo in crisi Piaggio Aerospace che a dicembre 2018 è entrata in amministrazione straordinaria per volere degli investitori emiratini. Al momento l’azienda è in cerca di acquirenti e da tempo il fondo emiratino propone a Leonardo di diventare socio al 50%.

Mubadala, il fondo sovrano conteso

Tra i sette emirati il controllo del fondo sovrano Mubadala è di fatto esercitato da Mohamed bin Zayed Al Nahyan (Mbz), sceicco di Abu Dhabi

Elt fa riferimento a Elt Roma e Elt Gmbh, due delle aziende che insieme a Cy4gate formano il gruppo Elettronica. Elt GmbH ha base in Germania e si occupa del settore della sicurezza nazionale e delle attività di polizia. Elt Roma è invece la storica azienda da cui poi si è sviluppata Elettronica Group. Si occupa di intelligence, sorveglianza, attacchi elettronici e, in generale, di Electronic Warfare. Quando Santagata scrive «elt/cygate» non fa altro che ribadire che la paternità di Cy4gate è del gruppo Elettronica. Questo scambio di email tra amministratori delegati suggerisce che la piattaforma D-SINT, almeno nel 2015, fosse in grado di includere anche dati raccolti da spyware, quindi tramite una intrusione su un dispositivo bersaglio, come quello prodotto da Hacking Team, e non solo dati presenti sul web o attinti da database privati, come invece si legge nella brochure di presentazione più recente. Da un punto di vista dell’intelligence, poter analizzare direttamente in un’unica piattaforma tutte le informazioni è chiaramente molto più rapido e utile.

Questa capacità è in parte confermata anche da un’immagine, pubblicata in un articolo del generale Vincenzo Santo per il sito ReportDifesa, dove è riportata l’architettura del sistema D-SINT. I dati raccolti e analizzati provengono da Twitter, Facebook, Instagram, YouTube, siti nel Deep Web ma anche dati che provengono da attività di SIGINT, ELINT, COMINT, o da database forniti dai clienti. Queste sigle indicano attività di intelligence che permettono la raccolta di informazioni intercettando segnali (Signal Intelligence) che possono essere collegati alle comunicazioni (Communication Intelligence) o ad altri segnali elettronici (Electronic Intelligence) come quelli di posizione di navi o altre categorie di comunicazioni usate in ambito militare e che non sono quelle tradizionali che usiamo quotidianamente.

#Sorveglianze

Europa, guerra alla crittografia

Documenti pubblicati dal governo olandese mostrano i tentativi di intercettare app di messaggistica criptate. Privacy vs indagini della magistratura: il conflitto è ovunque. Ma l’Italia sull’uso degli spyware ha una giurisprudenza tutta sua

Screenshot tratto da una brochure successiva al 2016 del software sviluppato da Cy4gate: D-SINT Plus. Si tratterebbe di una versione pensata specificamente per le attività di intelligence e delle forze dell’ordine in grado di analizzare i dati delle comunicazioni GSM e satellitari, delle attività di intercettazione e dei flussi di audio

Inoltre, alcune vecchie brochure risalenti al 2016 – secondo le analisi effettuate da IrpiMedia – offrono descrizioni dettagliate su queste tipologie di dati: ci sono i dati delle comunicazioni GSM e satellitari, i dati legati alle attività di intercettazione delle forze dell’ordine e dell’intelligence sui dispositivi, e i flussi di audio che sono convertiti in testo. Queste capacità aggiuntive sono in alcuni casi associate a un prodotto che si chiama D-SINT Plus.

Vuoi fare una segnalazione?

Diventa una fonte. Con IrpiLeaks puoi comunicare con noi in sicurezza

Al momento, sul sito di Cy4gate gli unici prodotti pubblicizzati relativi a D-SINT sono le due versioni del cruscotto informativo che permette di visualizzare i dati. Il prodotto si chiama QUIPO ed è offerto sia alle aziende che alle agenzie dei governi e forze dell’ordine. Cy4gate ha dichiarato a IrpiMedia che la piattaforma D-SINT gestisce dati disponibili pubblicamente online e che alla piattaforma «possono essere collegati, altresì, database gestionali aziendali che il cliente decide di voler utilizzare come ulteriori fonti ad integrazione di quelle open source». L’azienda sottolinea inoltre che «la piattaforma D-SINT non è utilizzata per attività di lawful interception» – ovvero per effettuare le intercettazioni a scopi di attività di polizia.

Secondo quanto dichiarato da Cy4gate, la piattaforma usata da Mubadala e dallo Sceicco Mbz non prevede la possibilità di analizzare dati provenienti da intercettazioni «in quanto non sono mai state sviluppate tali funzionalità per il sistema D-SINT».

Abusi e sorveglianza digitale negli Emirati

Le violazioni dei diritti umani sono ampiamente documentate negli Emirati, ormai da anni. In alcuni casi, le repressioni contro attivisti e minoranze di ogni genere sfruttano anche un apparato di sorveglianza tecnologica che è cresciuto negli anni grazie all’aiuto di aziende statunitensi e, successivamente, locali. Secondo un’inchiesta di Reuters, dal 2009 ex agenti dei servizi segreti statunitensi hanno collaborato al Project Raven, una squadra segreta di esperti informatici che aveva il compito di aiutare gli Emirati Arabi Uniti nella sorveglianza di altri governi e attivisti dei diritti umani. Sfruttando la conoscenza acquisita lavorando per l’intelligence statunitense, queste persone erano in grado di infettare computer e smartphone dei “nemici” degli Emirati.

Per approfondire

Il glossario della cybersecurity

Una rassegna dei termini più comuni all’interno del settore della cyber sicurezza

Alcuni dei membri del Project Raven sono stati reclutati dall’azienda di cyber security CyberPoint e, successivamente, nel 2016 si sono trovati a dover decidere se ritornare negli USA o accettare di passare sotto un nuovo datore di lavoro: l’azienda DarkMatter con base a Abu Dhabi, una delle più controverse società del Paese. Oggi è partecipata da uno dei fondi del governo di Abu Dhabi al cui vertice lo sceicco Mbz ha nominato uomini di più stretta fiducia, dopo qualche contrasto con una fazione avversa della famiglia reale a gennaio 2021.

DarkMatter è nota per i suoi tentativi poco ortodossi di reclutare esperti informatici. In un caso, documentato da The Intercept nel 2016, il ricercatore di sicurezza informatica Simone Margaritelli aveva sostenuto un colloquio di lavoro con un rappresentante dell’azienda, il quale aveva descritto un progetto per monitorare le comunicazioni internet delle principali città degli Emirati, a beneficio della sicurezza nazionale. Margaritelli ripercorre in un post sul suo blog la vicenda e riporta uno degli obiettivi del sistema come glielo ha raccontato il rappresentate di DarkMatter: «Immagina che ci sia una persona di interesse al Dubai Mall, abbiamo già piazzato tutte le nostre sonde in tutta la città, premiamo un pulsante e BOOM! Tutti i dispositivi del centro commerciale sono infettati e rintracciabili».

Secondo Reuters, gli operatori di Project Raven avrebbero anche sfruttato una piattaforma chiamata «Karma» che avrebbe permesso di installare uno spyware negli iPhone di centinaia di attivisti, capi di stato e sospetti terroristi. Sempre secondo Reuters, tra le vittime illustri vi sono la moglie dell’attivista e blogger Ahmed Mansoor; l’emiro del rivale Qatar Tamim bin Hamad al-Thani e Tawakkul Karman, premio Nobel per la pace e una dei leader del movimento di protesta della Primavera Araba in Yemen.

A settembre 2021, tre ex militari membri dell’Intelligence degli Stati Uniti hanno patteggiato più di 1,68 milioni di dollari per risolvere le accuse legate alla fornitura di servizi di hacking a un governo straniero, in particolare per il lavoro svolto con DarkMatter per infettare computer e smartphone in tutto il mondo, Stati Uniti inclusi.

Cy4gate, DarkMatter e i contatti con la polizia degli Emirati

Un altro elemento controverso è il legame, seppur indiretto, tra Cy4gate e DarkMatter. Se ne trova traccia nel 2016, quando Cy4gate ha preso parte alla conferenza Future Police Technology di Abu Dhabi, il cui partner strategico dell’evento era il Ministero dell’Interno emiratino. Cyber Security Innovation Partner è DarkMatter mentre Cy4gate appare tra gli sponsor.

L’evento si inserisce nella UAE Vision 2021 National Agenda, iniziativa che ha l’obiettivo di rendere gli Emirati «il Paese più sicuro al mondo». Tra i benefici dell’essere sponsor dell’evento, si legge su una pagina archiviata del sito, c’è la possibilità di «espandere il proprio network di contatti e potenziali clienti nel settore delle forze di polizia degli UAE» e dimostrare il proprio interesse nel mercato locale oltre a «costruire la credibilità del proprio brand nella regione».

Un fotogramma tratto da un video caricato su YouTube relativo alla conferenza Future Police Technology che si è svolta ad Abu Dhabi nel 2016. Nel video, alle spalle dei relatori, si può notare il logo di Cy4gate insieme a quello degli altri sponsor dell’evento

Non è chiaro se anche rappresentanti di Cy4gate abbiano partecipato all’evento del 2016 ma il neo nominato, nel 2021, CTO di Cy4gate, Andrea Raffaelli, era presente già allora rivestendo il suo precedente ruolo: Comandante del Reparto Indagini Informatiche Telematiche presso il Raggruppamento Operativo Speciale Carabinieri (ROS). In un’intervista svolta durante l’evento Raffaelli sottolinea l’importanza dell’evento perché «questo tipo di innovazioni e tecnologie potrebbero essere molto utili per individuare e fermare molte minacce criminali».

L’azienda ha dichiarato a IrpiMedia che in quell’occasione «non sono stati siglati accordi per future vendite».

L’export di tecnologie dual-use e le licenze di Cy4gate

Anche se l’azienda dice di no, D-SINT, almeno nelle descrizioni del passato, sembra poter essere usato anche per analizzare informazioni raccolte tramite spyware di terze parti. D-SINT non fa quindi direttamente l’intercettazione ma potrebbe ricevere e analizzare i dati raccolti dagli spyware sviluppati da altre aziende. La storia recente di abusi effettuati negli Emirati dovrebbe quindi sollevare preoccupazioni rispetto a questi particolari clienti. Per di più, la vendita della piattaforma D-SINT non sembra essersi fermata a Mubadala. In un’intervista del 2017 al giornale Nation Shield Massimo Antonio de Bari, capo del gruppo Elettronica Group negli Emirati, dichiara che «molte aziende, anche negli Emirati Arabi Uniti, stanno usando D-SINT con successo» non solo per le attività di intelligence.

Cy4gate sviluppa anche Epeius, un proprio sistema per le intercettazioni che però, secondo quanto riportato dal magazine Intelligence Online, sarebbe alquanto carente dal punto di vista delle capacità di essere installato senza che le vittime debbano cliccare un link, i cosiddetti attacchi di tipo 0-click.

Oltre 10 anni di tentativi (falliti) di regolamentare l’export della sorveglianza

Sia Palantir, sia soprattutto NSO – pur essendo due delle aziende più note nei rispettivi settori – sono anche l’emblema di tutti i rischi della gestione delle tecnologie di sorveglianza: abusi da parte di dittatori e governi, raccolta indiscriminata di informazioni anche dai social network, monitoraggio costante del dissenso e delle proteste di attivisti e cittadini. Tutto questo senza che i regolamenti in materia di export di tecnologie siano riusciti a mantenere sotto controllo la proliferazione di queste tecnologie.

Il 2021 è stato l’anno degli scandali legati allo spyware Pegasus, prodotto da NSO. Un software che può monitorare le comunicazioni, gli spostamenti ed estrarre copia di tutti i dati presenti su uno smartphone, e l’inchiesta di Forbidden Stories ha mostrato che è usato contro giornalisti, dissidenti, e ministri in tutto il mondo. Gli effetti dell’inchiesta continuano a vedersi: le ultime vittime ufficiali sono sei attivisti palestinesi che sono stati monitorati tra il 2020 e il 2021 con Pegasus.

La discussione su come controllare queste tecnologie di sorveglianza, però, è oramai più che decennale. Nel 2009 l’Unione europea ha introdotto un regolamento che prevede l’autorizzazione da parte dei singoli stati membri per l’esportazione dei «prodotti a duplice uso» ovvero tutti quei prodotti, inclusi software e tecnologie, che possono avere un utilizzo sia civile sia militare. Le modalità di controllo, la trasparenza degli Stati, e la definizione dei prodotti inclusi nella lista sono sempre stati dei punti deboli. Quindi, malgrado il regolamento, sono subito emersi abusi come quello legato al software prodotto dall’azienda tedesca FinFisher usato contro attivisti del Bahrain e documentato nel 2012.

Nel 2014 la Commissione europea ha annunciato un aggiornamento della lista di beni di uso duale, introducendo controlli per nuove categorie come gli spyware e quelle tecnologie che permettono di monitorare il traffico internet. Nel 2016 però in Italia esplode il caso Area SpA, azienda di Varese che secondo gli inquirenti avrebbe venduto tecnologie per monitorare il traffico internet ai servizi segreti siriani tra il 2010 e il 2011. Il Ministero dello sviluppo economico ha confermato in risposta a un’interrogazione parlamentare nel 2017 che Area aveva ottenuto regolare autorizzazione per l’export e che quelle tecnologie ancora non rientravano nelle categorie controllate secondo l’aggiornamento avvenuto solo nel 2014.

L’anno seguente il Ministero dello Sviluppo Economico ha revocato la licenza di esportazione verso l’Egitto ad Area, grazie anche alla pressione di organizzazioni della società civile. Poco prima della revoca, un’inchiesta di Al Jazeera, dal nome Spy Merchants, aveva mostrato quali stratagemmi usano le aziende del settore per evitare i controlli, sfruttando ad esempio aziende terze in Paesi dove è possibile esportare e bypassando di fatto ogni controllo. E altre inchieste giornalistiche hanno continuato a mostrare le maglie troppo larghe del regolamento sull’export: Security for Sale ha mostrato come dal 2014 al 2017 gli Stati membri dell’Ue hanno permesso l’export di tecnologie di sorveglianza anche verso Paesi totalitari o dove le libertà sono parzialmente compresse.

Nel frattempo i casi legati agli abusi delle tecnologie hanno continuato a moltiplicarsi in tutto il mondo: dal Messico dove ci sono tracce dell’attività dell’azienda italiana Hacking Team fino al Marocco e il Myanmar.

Il più recente tentativo di porre sotto controllo questo tipo di prodotti è l’aggiornamento al regolamento europeo sull’export di tecnologie dual-use, adottato dal Parlamento europeo a marzo 2021, con cui l’Ue ha cercato di correre ai ripari introducendo maggiori obblighi sulla trasparenza dei singoli stati membri per quanto riguarda le licenze di export concesse, e inoltre sono state incluse categorie più ampie come ad esempio le tecnologie per la cyber sorveglianza e tecnologie biometriche. Associazioni che si occupano di diritti umani, come Access Now, Amnesty International, Committee to Protect Journalists, FIDH (International Federation for Human Rights), Human Rights Watch, Privacy International, Reporters Without Borders (RSF) hanno subito sottolineato però che questo regolamento rischia comunque di essere carente.

Eppure, secondo un documento che descrive le capacità dei prodotti di Cy4gate, Epeius non avrebbe di questi problemi, prevedendo diverse modalità per infettare un dispositivo: infezioni da remoto sfruttando l’invio di link malevoli oppure con 0-click (un’installazione silenziosa che non richiede alle vittime di cliccare alcun link), e persino infezioni da locale. Capacità simili si trovano anche nello spyware Pegasus, venduto da NSO, e già coinvolto in abusi negli Emirati.

Cy4gate precisa in un documento di essere in possesso di «Autorizzazioni Specifiche Individuali nei confronti di ciascuno dei propri clienti esteri» poiché «taluni dei prodotti esportati sono classificabili come “materiali d’armamento”».

Questo tipo di autorizzazioni, si legge sul sito del Ministero degli Esteri, sono rilasciate su parere di un Comitato consultivo interministeriale, emesso di volta in volta. Nella domanda per l’export devono essere inclusi copia del contratto di riferimento e una dichiarazione di uso finale. IrpiMedia ha chiesto all’Unità per le autorizzazioni dei materiali di armamento (UAMA) del Ministero degli Esteri (MAECI) dettagli sulle autorizzazioni fornite a Cy4gate. Un portavoce dell’Ufficio Stampa del Ministero degli Esteri ha dichiarato a IrpiMedia che non sono state rilasciate licenze all’azienda per esportare negli Emirati.

Nel suo documento Cy4gate non chiarisce però esattamente per quali prodotti è in possesso delle autorizzazioni all’export: se nel caso dello spyware Epeius è facile definire la categoria di bene a duplice uso (cioè utilizzabile sia in campo civile sia in campo militare), per D-SINT è un po’ più complicato. Cy4gate ha dichiarato a IrpiMedia di non essere in possesso di alcuna licenza di export attiva verso gli Emirati in quanto «D-SINT è classificato “civil good” e non richiede export control» ovvero non ricade sotto le tipologie di prodotti che necessitano di licenza per le esportazioni.

IrpiMedia è gratuito

Ogni donazione è indispensabile per lo sviluppo di IrpiMedia

Alla luce delle vicende di abusi e sorveglianza digitale negli Emirati, Cy4gate ha ribadito a IrpiMedia che il «D-SINT accede alle sole sorgenti pubbliche, e quindi, per quel che riguarda i dati reperiti sui social media, esclusivamente ai profili pubblici. Risulta chiaro di conseguenza che il D-SINT non abilita in alcun modo l’utilizzatore a praticare eventuali violazione del diritto di privacy di terze parti». «Cy4gate si attiene scrupolosamente alle normative nazionali ed internazionali vigenti in materia», ha aggiunto l’azienda.

L’EU Non-Proliferation and Disarmament Consortium, un gruppo istituto dal Consiglio dell’Unione europea che raccoglie centri di ricerca e think tank che si occupano di regolamentazioni di armamenti e tecnologie, ha pubblicato uno studio che analizza il nuovo regolamento europeo sull’export di tecnologie a duplice uso introdotto a marzo 2021. In una tabella dove si fa un confronto dei momenti in cui diverse tecnologie per la sorveglianza digitale sono state incluse nelle liste di materiali a duplice uso, i ricercatori sottolineano che l’Ue ha incluso nella lista già dal 2020 i monitoring centre, ovvero sistemi a disposizione delle forze dell’ordine e delle agenzie di intelligence per raccogliere, conservare e analizzare diverse forme di dati di comunicazione provenienti da varie fonti. La piattaforma D-SINT sembra poter offrire capacità simili, almeno nelle descrizioni del passato. Se ciò fosse ancora valido D-SINT dovrebbe rientrare sotto il controllo dell’UAMA in quanto applicazione di tipo “dual-use”.

Negli anni le storie di abusi di sistemi per le intercettazioni e per la sorveglianza hanno sollevato anche il problema di come sincerarsi che, una volta venduto il software e appurato l’abuso, ci sia un modo per bloccarlo e prevenire ulteriori pericoli. È successo con i software per l’estrazione dei dati dagli smartphone come nel caso del Myanmar. Su questo punto, qualora i sistemi venissero abusati da un cliente, Cy4gate dichiara di avere la possibilità di disabilitare la licenza del software impedendo la ricezione di nuovi aggiornamenti ma, fino al termine della scadenza della licenza, il sistema può continuare ad essere utilizzato.

CREDITI

Autori

Lorenzo Bagnoli
Riccarco Coluccini

Ha collaborato

Infografiche & Mappe

Lorenzo Bodrero

Editing

Luca Rinaldi

Chi alimenta la sorveglianza

Chi alimenta la sorveglianza

#Sorveglianze

Il software più famoso si chiama Pegasus e l’ha prodotto una società israeliana, NSO. È stato utilizzato per spiare giornalisti, oppositori politici, attivisti. Lo scopo che ci si aspetta dai sistemi di sorveglianza è proteggere. Invece, a volte, i prodotti possono essere “offensivi”. Data la sensibilità delle materie che riguardano la sicurezza, spesso le informazioni sono poche e parziali. NSO è uno dei principali attori di questa industria e ha già attraversato una lunga serie di scandali.

Ma è tutta la filiera della sorveglianza, non solo quella strettamente legata ai software per le intercettazioni, che merita di essere costantemente sotto osservazione: dalle piattaforme per il monitoraggio delle attività sui social network fino alla sorveglianza biometrica negli spazi pubblici fatta tramite algoritmi.

Anche l’Italia ha attori di primo piano in questo settore, che spesso si intrecciano in vari modi a Leonardo, azienda le cui azioni appartengono per il 30% al Ministero delle finanze. E l’industria esiste anche grazie a un sistema di fondazioni e think tank che creano una rete di scambio di opinioni idee, e tecnologie con gli Stati. Un vero e proprio micelio sotterraneo di cui è spesso difficile comprendere l’estensione.

Questa serie indaga sulle diverse sfaccettature dell’industria della sorveglianza e della sua filiera, sui canali usati per espandere il controllo della propria fetta di mercato e sui prodotti che le aziende italiane cercano di introdurre per sfidare i competitor mondiali.

Vuoi fare una segnalazione?

Diventa una fonte. Con IrpiLeaks puoi comunicare con noi in sicurezza

Europa, guerra alla crittografia

Europa, guerra alla crittografia

Documenti pubblicati dal governo olandese mostrano i tentativi di intercettare app di messaggistica criptate. Privacy vs indagini della magistratura: il conflitto è ovunque. Ma l’Italia sull’uso degli spyware ha una giurisprudenza tutta sua

CREDITI

Autori

Lorenzo Bagnoli
Riccarco Coluccini

In collaborazione con

Infografiche & Mappe

Lorenzo Bodrero

Editing

Raffaele Angius
Luca Rinaldi
Giulio Rubino

Sorveglianza: l’azienda italiana che vuole sfidare i colossi NSO e Palantir

#Sorveglianze

Sorveglianza: l’azienda italiana che vuole sfidare i colossi NSO e Palantir

Lorenzo Bagnoli
Riccardo Coluccini

Cybertranquillity è il motto: tranquillità cibernetica. Alle infinite minacce virtuali, Cy4gate risponde offrendo ai suoi clienti servizi di difesa per garantire sicurezza e protezione. La campagna di marketing funziona, i numeri dell’azienda sono solidi. Al lancio del 24 giugno 2020 sul listino dell’Aim, il mercato borsistico per piccole e medie imprese, è un successo. Il titolo sale del 28% il primo giorno e del 110% in sei mesi. L’offerta pubblica iniziale va meglio del previsto e Cy4gate vince il primo premio «per la migliore strategia di utilizzo del mercato dei capitali nella sezione di raccolta fondi sul Mercato AIM di Borsa Italiana per l’anno 2020». Oggi le performance sono meno clamorose e secondo le analisi di TeleBorsa il titolo, data la sua volatilità, «risulta essere al centro dell’attenzione soprattutto di quegli investitori propensi al rischio». In termini di bilancio la società è solida: nel 2020 ha registrato entrate pari a 12,5 milioni di euro, un aumento di circa il 69% rispetto all’anno precedente.

Nata come joint venture tra Elettronica Group ed Expert System nel 2014, Cy4gate è la prima società italiana che combina cybersecurity in senso stretto, servizi di intercettazione per polizie internazionali e intelligence ad ampio spettro, quella che Cy4gate definisce Continuous Intelligence. Elettronica è un’azienda che vende apparecchiature di bordo in ambito militare, dalla marina all’aviazione, tecnologie per la “guerra elettronica” come strumenti anti-drone, sistemi per la rilevazione di minacce e per la sorveglianza delle comunicazioni. Expert System, invece, lavora nel settore dell’intelligenza artificiale e sviluppa un software, COGITO, in grado di analizzare e comprendere le informazioni contenute nei testi.

IrpiMedia è gratuito

Ogni donazione è indispensabile per lo sviluppo di IrpiMedia

L'inchiesta in breve
  • Cy4gate ha registrato entrate pari a 12,5 milioni di euro nel 2020, un aumento di circa il 69% rispetto all’anno precedente. Il suo obiettivo è quello di sfidare i due competitor, NSO e Palantir, aziende note per gli abusi delle proprie tecnologie da parte di regimi autoritari e per l’impiego di strumenti di monitoraggio dei social media.
  • Cy4gate ha registrato contratti in quasi tutto il mondo: Emirati Arabi, Arabia Saudita, Pakistan, Qatar, Asia Centrale (non specifica dove), America Latina (almeno Argentina e Messico), ma ci sono anche la Nato e progetti europei. Molti di questi Paesi sono già stati coinvolti in abusi delle tecnologie di sorveglianza in passato.
  • D-SINT è la piattaforma di Cy4gate per sfidare Palantir: un sistema che monitora i social media e altri database per estrarre informazioni grazie ad algoritmi di intelligenza artificiale, tra cui quelli di riconoscimento facciale e di oggetti, e prendere così decisioni con il supporto dei dati.
  • Epeius invece è il sistema per le intercettazioni con cui Cy4gate vorrebbe sfidare NSO. Il sistema sarebbe in grado di prendere il controllo degli smartphone ed estrarre informazioni private. Cy4gate ha già però avuto alcuni passi falsi con Epeius, la Procura di Napoli ha infatti sospeso l’uso del sistema per alcuni disservizi.
  • Cy4gate, NSO e Palantir hanno visto nella pandemia di Covid-19 un’opportunità per espandere il proprio mercato: tutte e tre hanno infatti offerto sistemi o per il tracciamento dei contatti o per aiutare nell’analisi dei dati legati alla pandemia—in molti casi queste operazioni sono finite al centro di scandali.

In Italia Cy4gate non ha concorrenti: nessuno è in grado di offrire tutti questi servizi e prodotti insieme. All’estero, invece, i nomi dei grandi competitor – i quali hanno ancora un volume d’affari che non è nemmeno comparabile con quello dell’azienda italiana – sono Palantir e NSO Group. È la stessa Cy4gate a riconoscerli come competitor e punti di riferimento, includendoli in presentazioni e parlandone in interviste.

La prima è una società americana il cui nome è indissolubilmente legato al settore militare americano e di cui uno dei fondatori – Peter Thiel – è stato un grande finanziatore di Donald Trump. La seconda è il gruppo israeliano che ha creato Pegasus, lo spyware che ha infettato i telefoni di politici, attivisti e giornalisti di mezzo mondo protagonista dell’inchiesta Pegasus Project e recentemente incluso nella blacklist degli Usa delle aziende con cui non fare affari.

I prodotti con cui Cy4gate ha intenzione di sfidare NSO e Palantir sono due rispettivamente: un software per le intercettazioni, Epeius, e una piattaforma in grado di raccogliere e analizzare informazioni presenti online o raccolte direttamente dai dispositivi elettronici e digitali, D-SINT.

L'inchiesta

#Sorveglianze è una serie che indaga su nuovi protagonisti e industria dei think tank del comparto della cybersicurezza in Italia. Nasce dalla collaborazione tra IrpiMedia e Privacy International, organizzazione britannica che si occupa di sorveglianza di massa e difesa dei diritti umani.

In un’intervista del dicembre 2020 al canale Youtube specializzato Vivere di dividendi l’allora amministratore delegato Eugenio Santagata – oggi a Telsy, azienda che si occupa di sicurezza delle infrastrutture di telecomunicazioni che appartiene al gruppo Telecom – specificava che per alcune attività di cyber intelligence offensive, quelle che hanno bisogno delle autorizzazioni di magistratura e governi, «noi passiamo dalla parte di chi fa ethical hacking e quindi dalla parte dei buoni». Con questa considerazione Santagata sembra accorpare due diversi prodotti di Cy4gate: la raccolta di informazioni pubbliche online da un lato e dall’altra le intercettazioni tramite spyware per conto di organi inquirenti. All’interno del mercato della sorveglianza in continua espansione, è quest’ultimo il settore dove ci sono stati i maggiori abusi. Al centro degli scandali ci sono state spesso aziende italiane come l’ex Hacking Team (ora nota con il nome di Memento Labs), Area SpA, e RCS, accusate di malfunzionamenti delle proprie tecnologie, presunte violazioni dell’export o abusi.

Sorveglianza globale

Paesi o aree geografiche dove l’azienda Cy4gate dice di avere esportato propri prodotti, siglato contratti e sviluppato il proprio business. In molti casi l’azienda non offre dettagli sull’identità dell’acquirente
La geografia delle vendite di Cy4gate

Il fatturato 2019 di Cy4gate è composto al 30% da vendite all’estero, al 70% da vendite nel mercato italiano. L’obiettivo dell’azienda è raggiungere un perfetto equilibrio tra i due nei prossimi anni. In Italia i clienti istituzionali spaziano dal Ministero della Giustizia alla Corte dei Conti, dalla Presidenza del Consiglio dei ministri fino ai carabinieri e, da ultimo, l’Esercito e la Direzione degli Armamenti Navali del Ministero della Difesa italiano.

Nel 2016, a due anni dalla nascita, si registrano i primi export in Medio Oriente e Asia, potenziati ulteriormente tra 2018 e 2019. Nel 2017 l’export produce 4 milioni di euro senza ben chiarire con quali Paesi. Nelle presentazioni spesso non si leggono nomi di Paesi ma vaghe indicazioni geografiche. Tra i pochi che si trovano ci sono Pakistan, Qatar, Arabia Saudita, gli Emirati Arabi e il Gabinetto degli Emirati, l’esecutivo del governo federale emiratino che in questo momento è guidato dallo sceicco di Dubai Mohammed bin Rashid Al Maktoum, che ricopre il ruolo di primo ministro e ministro della Difesa dell’intera federazione dei sette emirati. Sono Paesi in cui altri big del settore sono finiti spesso invischiati in qualche scandalo.

Negli ultimi due anni Cy4gate ha ottenuto un contratto da 110 milioni con il Centro di Eccellenza della NATO; ha stretto accordi con agenzie governative delle marine militari di Paesi del Nord America e del Golfo per tecnologie sia di cyber intelligence che di sicurezza informatica, per un valore complessivo di 3 milioni; ha realizzato una piattaforma di cyber intelligence da 600 mila dollari per un governo dell’America Latina (e ha depositato il marchio in Messico); ha venduto una soluzione di cyber intelligence da 300 mila euro per un governo di un Paese dell’Asia Centrale; ha firmato contratti di ricerca e sviluppo con un’azienda europea che si occupa di aerospazio e difesa.

Ma ci sono anche progetti europei, come GalilEO for EU DEfence (GEODE) dove Cy4gate partecipa in un consorzio di aziende con l’obiettivo di promuovere lo sviluppo delle capacità militari all’interno dell’Unione europea sfruttando Galileo, un sistema civile di posizionamento e navigazione satellitare sviluppato in Europa. E contratti e attività con la Nato nel settore della difesa informatica. La stessa Nato ha selezionato Cy4gate come fornitore ufficiale delle agenzie governative o di difesa aderenti al Nato Codification System, una sorta di albo fornitori ufficialmente riconosciuti dalla Nato.

Dove non ci sono contratti, l’azienda sfrutta quelli dell’azionista di maggioranza e controllante Elettronica, come riportato nel documento di quotazione all’AIM. Nel 2019, ad esempio, sono state eseguite attività su diversi contratti assegnati da Elettronica: sei riguardano clienti italiani o esteri dove Cy4gate è subfornitore e, si legge sempre nel documento, la collaborazione per la fornitura a due clienti esteri di una piattaforma di intelligence e altri due in ambito militare relativi alla sicurezza informatica.

In altri casi svolge «incisive azioni di business development e sales» come si legge nei documenti di bilancio del 2018. Queste azioni riguardano: «America Latina (Argentina e Messico), paesi del Golfo (oltre a UAE, Arabia Saudita, Kuwait, Qatar), Asia (Pakistan, Cina e Indonesia), Africa (Algeria, Nigeria) molto spesso in coordinamento con le iniziative e la forza vendite di Elettronica».

La rivale Palantir

Il software con il quale Cy4gate sfida Palantir sul terreno delle piattaforme di intelligence si chiama D-SINT, acronimo di Digital Signal Intelligence: raccoglie, processa e mette in correlazione dati che hanno formato e provenienza diversi, dalle immagini dei social network fino alle informazioni presenti nel dark web. «L’informazione giusta, al momento giusto, alle persone giuste, nel modo giusto», afferma l’azienda in una brochure di presentazione. L’analisi è facilitata dall’uso del software COGITO, sviluppato da Expert System (una delle due società da cui è nata Cy4gate), e dal software di riconoscimento facciale e di oggetti sviluppato da iCTLab, spin-off dell’Università di Catania. L’integrazione – si legge in una presentazione del 2019 – permetterà di effettuare ad esempio una ricerca su un individuo all’interno di testi, all’interno di database di immagini, o su Twitter e lo stesso vale per gli oggetti.

Le due aziende erano anche in procinto di sviluppare un’opzione per il riconoscimento vocale «relativo a possibili intercettazioni telefoniche o file audio raccolti in database o da dispositivi portatili». Sempre nelle slide, le due aziende sottolineano però una criticità nell’uso di questo tipo di algoritmi per il riconoscimento: «Data la crescente polarizzazione del focus sulla questione della privacy, questo ambito rappresenterà un fattore critico per l’utilizzo dei dati raccolti e analizzati».

Screenshot tratto dalla presentazione tenutasi durante il Workshop “AI for Cybersecurity” del 18 marzo 2019 presso il Centro Congressi Auditorium della Tecnica. Oggetto della presentazione sono le capacità della piattaforma D-SINT che può sfruttare anche algoritmi di riconoscimento facciale e di oggetti sviluppati da iCTLab

È un mercato per pochi quello delle piattaforme di intelligence come D-SINT, in grado di analizzare una molteplicità di dati provenienti da qualsiasi tipo di fonte, sia pubbliche sul web sia database privati. Negli ultimi anni si è distinto, tra luci e ombre, il gruppo Palantir Technologies, il cui software, scrive Bloomberg in un articolo del 2018, è in grado di «conoscere tutto su di te».

Palantir è stata fondata nel 2003 dal venture capitalist Peter Thiel, tra i co-fondatori di PayPal che nel 2016, scrive Buzzfeed, ha cercato di trasformarsi nel filantropo finanziatore dell’alt-right americana, la galassia di destra eversiva – che mescola insieme cospirazionismo, tratti di anticapitalismo e suprematismo bianco – che sostiene strenuamente l’ex presidente degli Stati Uniti Donald Trump. Sin dalla sua fondazione Palantir ha collaborato con CIA e Pentagono in Afghanistan e Iraq, ricevendo finanziamenti da In-Q-Tel, la società di investimento non profit legata alla stessa CIA che promuove l’innovazione nel settore tecnologico. Palantir non si occupa direttamente di intercettazioni ma permette di analizzare i dati già raccolti, fornendo analisi e mostrando collegamenti: in questo modo è più facile prendere decisioni.

Oltre agli impieghi nel settore militare, i software prodotti da Palantir sono stati utilizzati dalla United States Immigration and Customs Enforcement (ICE), l’agenzia federale statunitense che si occupa delle frontiere, per individuare e deportare immigrati irregolari. Palantir ha fornito anche un software di polizia predittiva alle forze dell’ordine della città di Los Angeles per monitorare, identificare e sorvegliare persone ritenute sospette: alcune analisi del funzionamento del software sembrano già indicare che a pesare in maniera significativa sulle decisioni siano pregiudizi su base razziale. Su Palantir, però, sembrano emergere anche altre ombre. Secondo Intelligencer, una sezione del New York Magazine, ex appartenenti all’esercito e ufficiali dell’intelligence hanno sottolineato come il successo di Palantir sia più legato al fatto di avere un’interfaccia pulita e semplice per vedere i dati e non all’effettivo utilizzo di una tecnologia avanzata.

Alla prova della pandemia

Sia Cy4gate, sia Palantir, con il perdurare della pandemia hanno cercato di introdursi anche nel mercato della sanità europeo. Cy4gate nei primi mesi della pandemia, ha annunciato la creazione del sistema HITS, Human Interaction Tracking System, un sistema di tracciamento dei contagi da coronavirus. Hits era stato proposto anche al governo, che poi ha preferito Immuni, al contrario di altre aziende private che hanno adottato il software di Cy4gate.

Vuoi fare una segnalazione?

Diventa una fonte. Con IrpiLeaks puoi comunicare con noi in sicurezza

Per approfondire

Il glossario della cybersecurity

Una rassegna dei termini più comuni all’interno del settore della cyber sicurezza

Palantir è riuscita ad agganciare i sistemi sanitari nazionali. I nuovi contratti legati alla pandemia sono tra le ragioni del +49% nel flusso di cassa messo a bilancio dalla società nel secondo trimestre del 2021. Il governo greco ha siglato un accordo segreto per condividere dati sanitari della popolazione con Palantir e, a seguito dello scandalo emerso, l’Autorità per la privacy greca ha avviato un’indagine e il governo avrebbe concluso ogni collaborazione e fatto cancellare i dati.

Un accordo simile c’è stato anche nel Regno Unito con il National Health Service (NHS), il servizio sanitario nazionale, dove però due cause giudiziarie portate avanti da organizzazioni della società civile, openDemocracy e Foxglove, hanno spinto il governo britannico a promettere di concludere l’accordo con Palantir. Simili problemi sulla trasparenza degli accordi e delle finalità dei dati raccolti, hanno messo Palantir al centro delle attenzioni politiche anche negli USA.

Screenshot tratto dalle slide della presentazione per la Conferenza Virtuale dell’AIM datata 27 maggio 2021. Nella foto si vedono i competitor selezionati da Cy4gate nei rispettivi settori di mercato. Oltre a Palantir e NSO, ci sono anche altri nomi noti in Italia come IPS, RCS, e SIO, tutti coinvolti nel settore delle intercettazioni per le procure.

Anche NSO Group, la società israeliana protagonista del Pegasus Project che collabora con le agenzie di intelligence di mezzo mondo, in tempi di pandemia ha cercato di sviluppare un software per il contact tracing. Fleming, questo è il nome del software, ha però avuto difficoltà fin dal lancio. L’azienda è stata accusata di aver utilizzato durante il lancio dati personali di trentamila persone reali, ignare che i dati dei propri spostamenti fossero usati nelle presentazioni dei prodotti, circostanza che sarebbe una violazione della privacy. Il cattivo risultato sul fronte tracciamento rischia di trasformarsi in una perdita economica, dato che già gli indicatori hanno spinto la società di rating Moody’s a declassare l’affidabilità creditizia a B3 a maggio 2021.

I software per competere sulle intercettazioni

NSO è un punto di riferimento soprattutto per le intercettazioni e le attività di sorveglianza della polizia. Qui Cy4gate offre tre sistemi: Epeius, Hydra e Gens.AI. Epeius è uno spyware che può essere installato sugli smartphone e i dispositivi di una persona per monitorare le sue attività ed estrarre, ad esempio, copia dei dati delle chat e foto, dati sulla posizione e email. Hydra invece permette di monitorare la navigazione online, individuando le applicazioni usate, i siti web visitati, e se si fa uso di VPN o del Tor Browser – due tecnologie che permettono di navigare in modalità più sicura e nascondere la propria identità. L’utilizzo di Epeius e Hydra è «riservato alle Forze di Polizia e alle Agenzie di Intelligence Italiane ed estere», si legge in un documento di Cy4gate.

Gens.AI, invece, permette di creare e gestire dei falsi profili da usare sui social network, facilitando le attività di indagine: in questo modo gli agenti possono interagire con le persone senza destare sospetti.

Le prime tracce pubbliche di Epeius sono emerse in collegamento con l’Italia, secondo un articolo di Motherboard pubblicato a febbraio 2021 che ha rivelato la presenza di una finta pagina WhatsApp in italiano che avrebbe permesso l’installazione di un modulo in grado di inoculare Epeius. Non è chiaro quale fosse lo scopo della pagina, se utilizzata per attività dell’intelligence italiana o per intercettazioni durante le indagini di polizia. Quel che è certo, però, è che l’azienda ha già problemi con le procure italiane: la procura di Napoli ha infatti sospeso l’uso di uno spyware gestito da SIO e riconducibile a Cy4gate per colpa di «un grave disservizio».

Screenshot tratto dalle slide di una presentazione datata 22 settembre 2020 relative ai risultati della prima metà dell’anno fiscale. Cy4gate mostra i dettagli dell’accordo con Sio e le procure italiane coinvolte

Cy4gate ha infatti siglato a marzo 2020 un accordo con la società SIO S.p.A., una delle aziende italiane che si occupano di noleggiare apparecchiature per intercettazioni alle Procure della Repubblica. L’accordo, i cui dettagli sono riportati nel documento di ammissione all’AIM, concede a SIO «l’utilizzo in esclusiva del captatore informatico Epeius» e a Cy4gate sarà riconosciuta la «totalità del corrispettivo corrisposto dalle Procure utilizzatrici di Epeius per la corretta “infezione” di un dispositivo (da remoto o in loco)» e una percentuale del fatturato annuo realizzato da SIO grazie all’uso di Epeius: del 50% se il fatturato è sopra ai 4 milioni di euro o del 60% se inferiore.

Secondo le stime di Cy4gate, l’accordo con SIO permette di avere accesso a circa 70 nuove procure e raggiungere una quota pari al 70% di un mercato, quello delle intercettazioni di polizia, stimato dalla stessa azienda sui 36,3 milioni di euro.

In un comunicato stampa del 10 febbraio 2021, Cy4gate ha confermato che i disservizi della procura di Napoli sono dovuti a dei malfunzionamenti e che, nel caso specifico, la situazione «è stata prontamente individuata e sottoposta a scrupolosa analisi». Secondo fonti intervistate da Motherboard, in alcuni casi il software per le intercettazioni avrebbe fatto apparire una notifica sullo schermo della persona indagata, rischiando di destare sospetti.

L’inarrestabile ascesa di Cy4gate

NSO, punto di riferimento nonostante i guai

Il Dipartimento del Commercio degli Stati Uniti il 3 novembre scorso ha inserito NSO in una blacklist dove vengono inserite aziende i cui software sono stati usati per «prendere di mira in modo doloso funzionari governativi, giornalisti, uomini d’affari, attivisti, accademici e dipendenti delle ambasciate», come recita il comunicato stesso. Chi è inserito nella lista non può più acquistare tecnologia da società statunitensi, che a loro volta hanno ovviamente il divieto di vendere alle aziende che si trovano sulla lista stessa. L’iniziativa è stata presa dal Dipartimento del Commercio a seguito delle rivelazioni del Pegasus Project.

Per quanto sempre più discusso e controverso, NSO Group resta un punto di riferimento del settore. Cy4gate non fa eccezione: «I nostri competitor principali sul settore governativo sono israeliani e sono anche un punto di riferimento perché abbiamo nel tempo imparato molto da loro», diceva nell’intervista di dicembre 2020 a Vivere di dividendi Eugenio Santagata, allora Ad di Cy4gate.

Vuoi fare una segnalazione?

Diventa una fonte. Con IrpiLeaks puoi comunicare con noi in sicurezza

Come dimostrano i contratti ottenuti da Cy4gate, l’azienda si è inserita in mercati controversi, competendo con società che sono state investite da scandali a causa dei contratti stretti con forze dell’ordine di regimi autoritari. Come NSO, che infatti è coinvolta in due casi di rilievo collegati proprio agli Emirati Arabi, Paese dove anche Cy4gate è molto attiva. A inizio ottobre 2021 una corte britannica ha confermato che il primo ministro emiratino, lo sceicco Mohammed bin Rashid al-Maktoum, ha fatto spiare lo smartphone della propria ex moglie e dei suoi legali usando il software Pegasus. NSO aveva rescisso il contratto per l’utilizzo del proprio software dopo essere venuta a conoscenza dell’accaduto.

L’altro caso, invece, riguarda l’ingegnere, blogger, e attivista Ahmed Mansoor, che negli anni è stato oggetto di attacchi con tre diversi software: nel 2011 con quello di FinFisher, nel 2012 con quello di Hacking Team, e nel 2016 con quello di NSO sfruttando una vulnerabilità il cui prezzo è stimato intorno al milione di dollari. In tutti e tre i casi, le tecnologie sono riconducibili alle azioni del governo degli Emirati. Mansoor è stato arrestato nel 2017 e deve scontare una pena di 10 anni per quello che, secondo Human Rights Watch, è stato un processo ingiusto con accuse fittizie.

Alla luce delle ombre che avvolgono i due competitor NSO e Palantir, Cy4gate ha dichiarato a IrpiMedia di condannare «ogni forma di utilizzo improprio o fuori dalla cornice di legittimità di prodotti che nascono con una chiara, specifica ed esclusiva finalità: supportare gli enti preposti nella prevenzione e repressione di crimini efferati». Inoltre, «Cy4Gate opera esclusivamente nell’alveo delle norme nazionali e internazionali vigenti e mette la propria tecnologia a disposizione delle law enforcement agencies con l’intento di contribuire alla prevenzione e repressione di reati nell’interesse esclusivo delle comunità di cui gli utilizzatori sono i principali tutori», ha dichiarato una portavoce dell’azienda.

E se ci fosse una seconda NSO, l’Europa saprebbe fermarla?

Gli scandali sull’export di tecnologie per la sorveglianza hanno da sempre interessato l’Italia. Dal caso di Area SpA in Siria fino agli abusi delle tecnologie di Hacking Team, il settore dell’export sembra essere in grado di aggirare costantemente ogni norma e controllo, nel quasi silenzio delle Autorità delegate al monitoraggio. Recentemente, il caso emerso con il Pegasus Project del consorzio di giornalisti Forbidden Stories ha sottolineato come questi spyware possano finire con l’essere usati persino in Europa.

Con l’aggiornamento al regolamento europeo sull’export di tecnologie dual-use, adottato dal Parlamento europeo a marzo 2021, l’UE ha cercato di correre ai ripari introducendo maggiori obblighi sulla trasparenza dei singoli stati membri per quanto riguarda le licenze di export concesse, e inoltre sono state incluse categorie più ampie come ad esempio le tecnologie per la cyber sorveglianza e tecnologie biometriche. Associazioni che si occupano di diritti umani, come Access Now, Amnesty International, Committee to Protect Journalists, FIDH (International Federation for Human Rights), Human Rights Watch, Privacy International, Reporters Without Borders (RSF) hanno subito sottolineato però che questo regolamento rischia comunque di essere carente.

Hanno ribadito ad esempio che è necessario che sotto il termine “cyber sorveglianza” siano inclusi anche tutti quei sistemi già regolamentati in precedenza, come ad esempio le sonde per intercettare le comunicazioni su internet e i software per le intrusioni nei dispositivi. Inoltre le associazioni hanno chiesto che le autorità nazionali che si occupano delle licenze per l’export pubblichino mensilmente dei report sulle richieste ricevute. E, soprattutto, auspicano che le autorità tengano in considerazione nelle fasi di valutazione quanto previsto dalla Carta dei diritti fondamentali dell’Ue, delle indicazioni sviluppate dalla Corte di giustizia dell’Unione europea e dalla Corte europea dei diritti umani.

Non è chiaro, però, se gli Stati membri avranno intenzione di applicare questi suggerimenti e tenere sotto controllo un mercato delle tecnologie di sorveglianza che sembra sempre più diventare un asset strategico in campo geopolitico.

Malgrado i recenti passi falsi con le procure italiane, Cy4gate non sembra fermarsi. A giugno 2021 era presente alla conferenza ISS World Middle East and Africa, un evento che fa parte di una serie di conferenze annuali che si svolgono in tutto il mondo dove si ritrovano aziende di sorveglianza, governi ed esperti di sicurezza e intelligence. Nella copia archiviata dell’agenda dell’evento si legge che Cy4gate avrebbe tenuto due sessioni: una su Gens.AI e l’altra sulla piattaforma di cyber intelligence e «come controllare e combinare insieme in tempo reale tutte le informazioni recuperate dal target sotto sorveglianza, facendo leva su più classi di sensori attivi e passivi». Il prossimo appuntamento è con ISS World Europe che si svolgerà a Praga a dicembre.

CREDITI

Autori

Lorenzo Bagnoli
Riccarco Coluccini

Ha collaborato

Infografiche & Mappe

Lorenzo Bodrero

Editing

Luca Rinaldi

Il glossario della cybersecurity

17 Novembre 2021 | di Lorenzo Bagnoli, Riccardo Coluccini

Tecnologie digitali dual-use

Per tecnologie digitali dual-use si intendono quelle tecnologie che possono essere usate sia per scopi civili sia militari. Alcuni esempi di tecnologie dual-use sono quelle che permettono di intercettare le comunicazioni telefoniche, gli spyware che possono intrufolarsi negli smartphone, ma anche tecnologie per eludere la cifratura e le password utilizzate per proteggere i dispositivi da occhi indiscreti. In molti di questi casi, queste tecnologie possono sfruttare i cosiddetti zero-days, ovvero vulnerabilità dei software di cui neppure il produttore è a conoscenza. Non tutte le tecnologie digitali sono beni dual-use ma questo non vuol dire che ci siano minori rischi di abusarne.

Spyware

Un software o malware utilizzato per rubare di nascosto i dati presenti sullo smartphone. Le forze dell’ordine li utilizzano durante le indagini per estrarre screenshot delle chat, registrare da remoto le conversazioni attraverso il microfono del dispositivo, e per copiare file e documenti come i messaggi scambiati, le email o le foto della galleria. In moltissimi casi questa tecnologia è stata utilizzata anche contro giornalisti, attivisti, e dissidenti politici.

Continuous Intelligence

Con Continuous Intelligence diverse aziende del settore dell’analisi dei dati indicano la possibilità di estrarre informazioni dai big data in tempo reale e in maniera continuativa, avendo sempre a portata di mano le informazioni necessarie per prendere la scelta giusta. La Continuous Intelligence si applica al settore business, quando ad esempio un’azienda vuole monitorare la propria attività o quella di un competitor. Condivide però spesso capacità simili a quelle ricercate dalle agenzie di intelligence dei governi i quali usano sistemi per monitorare, da molteplici fonti online, l’andamento di specifiche situazioni come ad esempio proteste e manifestazioni.

Lawful interception

Si parla di sistemi di Lawful interception in riferimento a tutte quelle tecnologie che possono essere utilizzate dalle forze dell’ordine durante le attività di indagine per avere accesso a comunicazioni e informazioni tra privati. Spesso richiedono un’autorizzazione di un giudice per essere eseguite. Rientrano in questa categoria le intercettazioni ambientali, ovvero le registrazioni audio delle conversazioni tra più persone presenti in un luogo, le attività di intercettazione telefonica e anche quelle telematiche, che possono essere eseguite con uno spyware, noto in Italia anche con il nome di captatore informatico, o con sistemi per monitorare il traffico internet di un sospettato. Spesso, le aziende che vendono prodotti per la Lawful Interception si trovano anche a supportare materialmente le operazioni di intercettazione al fianco della polizia giudiziaria.

App di contact tracing

È il nome che prendono diversi sistemi introdotti nei primi mesi della pandemia di Covid-19 pensati per facilitare l’individuazione dei contatti che ha avuto una persona positiva al Covid. In questo modo è possibile cercare di controllare la pandemia isolando quelle persone in tempo e mettendole in quarantena. I sistemi di contact tracing possono essere più o meno pericolosi per la privacy: si va dai sistemi che usano il bluetooth per rilevare la presenza di due persone vicine oppure quelli che sfruttano il segnale GPS per monitorare ogni singolo spostamento della persona che ha installato l’app.

Internet monitoring

Si tratta di un’attività svolta da agenzie di intelligence e forze dell’ordine che permette di monitorare il traffico internet di una determinata persona o gruppo di persone, in questo modo è possibile ricostruire quali siti vengono visitati, quali app utilizzate quotidianamente, e se impiegano sistemi per mascherare il proprio indirizzo IP.

SOCMINT

La Social Media Intelligence è un’attività di monitoraggio effettuata sui social media. Gli strumenti dedicati alla SOCMINT permettono di monitorare i contenuti pubblicati su piattaforme come Twitter, Facebook, Instagram e YouTube, seguire determinati hashtag e ricostruire cosa pensa una persona su un determinato tema. Inoltre è possibile collegare insieme gruppi di account che agiscono in maniera coordinata. Questa tecnologia è sempre più utilizzata per monitorare le proteste che nascono e si diffondono online.