Gli spyware italiani sul mercato internazionale

#Sorveglianze

Gli spyware italiani sul mercato internazionale

Riccardo Coluccini

Il 10 marzo 2022 il Parlamento europeo ha istituito la commissione speciale PEGA per investigare sugli abusi compiuti da alcuni Stati membri che hanno usato lo spyware Pegasus, prodotto dall’azienda israeliana NSO, contro giornalisti e avversari politici. Questa tecnologia, considerata tra le più efficaci nel mondo della sorveglianza, ha dato prova di essere in grado di rivelare il contenuto e le attività degli smartphone sui quali viene installata all’insaputa del bersaglio. Tuttavia la strutturale mancanza di controlli su chi l’acquista ha spesso fatto sì che gli spyware venissero utilizzati da governi o forze di polizia repressive, se non da vere e proprie organizzazioni criminali.

Ma l’attività di PEGA, concentrata esclusivamente sui prodotti dell’azienda israeliana, rischia di lasciare campo libero alle altre aziende europee. Gli Stati membri possono contare infatti su una vasta offerta assicurata dalla grande quantità di società, prime fra tutte quelle italiane. Lo ha ricordato, lo scorso agosto, l’esperto di sicurezza informatica membro del Security Lab di Amnesty International, Claudio Guarnieri, quando è stato audito dalla commissione investigativa speciale: in Europa ci sono almeno nove aziende note produttrici di spyware, e sei di queste in Italia.

E proprio il passato e il presente dell’Italia forniscono chiari segnali di un mercato florido alimentato con soldi pubblici italiani e che, ormai saturo, trova sfogo all’estero. Tra i principali acquirenti si annoverano anche regimi illiberali che possono usare gli spyware contro attivisti per i diritti umani, giornalisti e dissidenti politici – episodi già avvenuti nella storia italiana come nel caso dell’azienda Hacking Team, con sede a Milano – i cui prodotti, si è già dimostrato, sono stati usati in Messico e contro dissidenti politici degli Emirati Arabi Uniti o anche la più recente notizia della presenza delle tecnologie dell’azienda RCS in Kazakistan. Sono passati quasi otto anni da quando Hacking Team è implosa sotto il peso di una fuga di informazioni che ne ha rivelato affari e clienti in tutto il mondo. Oggi l’Italia è pronta a riaffacciarsi sul mercato internazionale.

Soldi pubblici per malware di stato

Da quando lo smartphone è diventato il cuore pulsante di ogni aspetto della nostra vita quotidiana, il mercato della sorveglianza si è sempre più focalizzato su strumenti che possono infrangere le protezioni di sicurezza e catturare ogni informazione dai dispositivi digitali. Il risultato di questa ricerca sono gli spyware, software in grado di infettare uno smartphone e carpire ogni tipo di informazione: dai contenuti delle chat private con i propri familiari fino alle foto e ai file conservati nella memoria del dispositivo. Ma possono anche attivare la videocamere e il microfono dello smartphone da remoto così da monitorarne la posizione o vedere e sentire tutto ciò che avviene intorno.

IrpiMedia è gratuito

Ogni donazione è indispensabile per lo sviluppo di IrpiMedia

Nel tempo, in Italia, la forza trainante di queste tecnologie è stata rappresentata da una ingente spesa da parte delle autorità nazionali. Al momento si contano almeno una decina di attori noti al pubblico che vendono strumenti per le intercettazioni, molte di queste società sono accreditate presso le procure anche per fornire “captatori informatici” (così vengono chiamati gli spyware in termini legali).

Ci sono le quattro aziende quasi sempre presenti: AREA, RCS, SIO, e INNOVA. Poi ci sono quelle risorte dopo gli scandali che le hanno coinvolte, come Hacking Team, ora attiva con il nome di Memento Labs. E ancora realtà più piccole come Raxir e Negg – di cui siamo a conoscenza solo grazie a ricercatori di sicurezza informatica che ne hanno analizzato gli spyware – o colossi che nel giro di otto anni hanno raggiunto importanti traguardi commerciali, come Cy4gate, e che puntano a sfidare persino l’israeliana NSO, oggi nel mirino della Commissione PEGA.

Nel gruppo delle italiane appaiono poi anche piccole aziende che sono state al centro di scandali, come eSurv e il suo spyware Exodus finito sul PlayStore di Google e usato indiscriminatamente contro vittime ignare. Altre, invece, si sono specializzate in particolari settori come l’azienda IPS, con sede in provincia di Latina, che ha sviluppato prodotti per il monitoraggio del traffico internet e dei social media.

Queste sono inoltre solo la punta dell’iceberg perché spesso una serie di rivenditori semi sconosciuti si affacciano alla porta delle Procure per offrire i propri prodotti.

Secondo un tecnico con esperienza diretta nel settore delle intercettazioni, che ha richiesto l’anonimato per parlare più liberamente, il mercato italiano è diviso come una torta proprio grazie al funzionamento delle Procure: «Quelle grandi hanno più di un’azienda accreditata e tutte, bene o male, hanno lavoro», spiega la fonte. Ogni procura infatti può fare affidamento su più di un’azienda, in modo che su indagini diverse ci siano più fornitori.

Secondo le statistiche ufficiali, nel corso di un’indagine in Italia la durata media delle intercettazioni telematiche, che includono anche l’uso dello spyware, è di 74 giorni. Il recente decreto del ministero della Giustizia fissa un listino prezzi dove il costo giornaliero per uno spyware è di 150 euro. Ogni intercettazione con spyware costerà quindi in media 11 mila euro. Nel 2021 ne sono state effettuate 2.896 e il numero delle intercettazioni telematiche è quadruplicato negli anni tra il 2010 e il 2020 e potrebbe continuare ad aumentare.

Facendo un confronto, la Germania ha autorizzato solo 48 intercettazioni con spyware nel 2020, mentre nel 2019 le autorizzazioni erano state 33.

Sotto sorveglianza

L’utilizzo delle intercettazioni digitali è in costante aumento in Italia. Nel 2023 il ministrero della Giustizia ha fornito per la prima volta i dati statistici sulle intercettazioni con gli spyware per l’anno 2021: le intercettazioni con i trojan rappresentano circa un terzo di quelle digitiali, mentre il restante 64% sono intercettazioni informatiche, ovvero relative al traffico internet, e spesso propedeutiche all’inoculazione di uno spyware: permettono infatti di monitorare le abitudini di un target per capire come riuscire a infettarlo

Questi dati confermano quanto riportato a IrpiMedia da una fonte che è stata per anni nel settore: le intercettazioni telematiche sono quelle che producono un maggior flusso di incassi.

In parallelo, però, le spese per le intercettazioni sono passate dai 230 milioni del 2016 ai 213 milioni del 2022. Il calo più netto ha riguardato il prezzo delle intercettazioni telefoniche dai primi anni 2000 a oggi. Secondo un’altra fonte che conosce il settore italiano, infatti, le aziende nate 20 anni fa hanno goduto di maggiori guadagni sulle intercettazioni telefoniche ma ora il loro prezzo è drasticamente sceso. Nel nuovo listino costano infatti tre euro, ma in precedenti bandi il costo era sceso persino intorno a due euro al giorno. Di questi prezzi al ribasso si lamentano le stesse associazioni di categoria.

L’ingente investimento avvenuto negli anni ha creato una molteplicità di aziende in questo settore che si trovano a fare i conti non solo con la concorrenza ma anche con una riduzione delle spese di giustizia. Ora, come spiega a IrpiMedia un’altra fonte con esperienza diretta nel settore delle intercettazioni, il risultato è che un mercato saturo spinge le aziende italiane all’estero.

Le italiane sul palcoscenico estero

La pioniera per le italiane all’estero era stata Hacking Team. Secondo quanto ricostruito dai ricercatori di sicurezza informatica del Citizen Lab, un laboratorio interdisciplinare dell’Università di Toronto, tra il 2011 e il 2014 l’azienda era presente in paesi come Messico, Azerbaijan, Egitto, Sudan e Turchia. Hacking Team era però riuscita a vendere il proprio spyware persino negli USA a FBI e Drug Enforcement Administration (DEA), l’agenzia federale statunitense che si occupa di reati collegati al traffico di sostanze stupefacenti.

Tra le altre italiane che per prime si sono affacciate all’estero c’è anche l’azienda Area ma il suo export verso la Siria nel 2011 le è costato un’indagine che è stata archiviata solo nel 2018.

Malgrado scandali e indagini, il made in Italy della sorveglianza continua a essere apprezzato all’estero. Nei primi giorni di dicembre 2022 Cy4gate, colosso italiano della sorveglianza che ha già clienti in diversi continenti, ha siglato alcuni contratti per un totale di sei milioni di euro, di cui l’85% provengono dall’estero. Ma ora anche le altre aziende italiane sembrano spingersi sempre di più fuori dall’Italia.

Un preventivo internazionale

Nel caso di Intellexa, azienda coinvolta nello scandalo delle intercettazioni in Grecia con il suo spyware Predator, il costo per effettuare 100 infezioni con successo è di otto milioni di euro ed è inclusa la possibilità di gestire fino a dieci intercettazioni in contemporanea, ha spiegato Haaretz visionando un preventivo che era stato diffuso online. La gestione di ogni singola intercettazione costerebbe quindi circa 80 mila euro. In un altro caso, il New York Times ha analizzato l’offerta di Intellexa destinata all’intelligence ucraina: il costo complessivo è di 13,6 milioni di euro per un totale di 400 infezioni, circa 34 mila euro per ciascuna.

In un articolo del 2016 il New York Times ha analizzato email e proposte commerciali di NSO rivelando che per spiare dieci utenti che usano un iPhone, NSO ha chiesto alle agenzie governative 650.000 dollari più una tariffa fissa di 500.000 dollari per l’installazione iniziale. Era possibile anche pagare per avere più obiettivi: 100 bersagli aggiuntivi costano 800.000 dollari mentre 10 bersagli aggiuntivi costano 150.000 dollari.

Tra queste Innova, con sede a Trieste e tra le più attive nelle Procure italiane, che lo scorso ottobre era l’unica azienda nostrana presente alla International Exhibition for National Security and Resilience (ISNR) di Abu Dhabi. La fiera ha lo scopo di mettere in contatto gli enti governativi regionali con i produttori di tutto il mondo ed è organizzata in collaborazione con il ministero dell’Interno e il Comando generale della Polizia di Abu Dhabi. Ma il Paese arabo, al di là delle palme e dei grattacieli, è famoso per le violazioni dei diritti umani facilitate anche dall’uso di tecnologie di sorveglianza digitale, come nel caso di uno spyware per iPhone che secondo Reuters sarebbe stato usato contro centinaia di attivisti, capi di stato e sospetti terroristi.

Ma i palcoscenici esteri non si fermano qui per Innova. L’azienda era anche alla ISS World Latin America – una fiera di settore che si è tenuta a Panama a ottobre 2022 – ed è stata tra gli sponsor dell’evento di settembre della ISS World Asia Pacific 2022 a Singapore. Queste fiere non sono semplici occasioni di esposizione ma momenti in cui entrare in contatto diretto con membri delle agenzie di intelligence dei vari Paesi, esponenti delle forze dell’ordine e persino capi di Stato o ministri.

In passato, inchieste giornalistiche hanno cercato di fare luce su alcuni lati oscuri di questo tipo di eventi. Come rivelato nel 2017 da Al Jazeera, in alcune di queste fiere è possibile firmare accordi milionari ma anche stringere i primi contatti per pianificare esportazioni illecite verso Paesi posti sotto embargo, aggirando i regolamenti sull’export.

E proprio all’evento di Singapore era presente un’altra italiana che ora sembra determinata a espandersi sul mercato estero: Negg.

Con sede a Roma e con un’azienda consociata registrata ad Amsterdam, Negg è finita per la prima volta sotto i riflettori nel 2018 solo grazie a un report della società di sicurezza informatica Kaspersky, che è riuscita ad analizzare un malware per Android sviluppato da loro. Successivamente è stata individuata una versione dello stesso malware anche per dispositivi Apple. Lo spyware era collegato ad alcuni domini fasulli, alcuni di questi progettati per simulare le pagine di compagnie di telecomunicazioni presenti in Italia come Vodafone e che verrebbero usati come esche per spingere le persone a infettare i propri dispositivi semplicemente cliccandoci dentro.

La partecipazione alla fiera di Singapore è stata un evento significativo, come spiega la stessa azienda in un post sul proprio sito: «È la prima volta che Negg decide di partecipare a un evento internazionale così importante» e, prosegue il testo, uno dei motivi che l’ha spinta è stato il valore del «rapporto con il mercato asiatico».

#Sorveglianze

L’eterna lotta tra il bene e il malware

L’Ue fatica a regolamentare l’export dei beni a duplice uso, e anche le inchieste giudiziarie sugli export illeciti non danno risultati. Parla il manager di Area spa: il suo caso insegna ancora molto

Un mercato asiatico in cui, come conferma a IrpiMedia una fonte con esperienza nel settore, l’Italia è sicuramente presente da tempo, come anche nel mondo arabo. Una presenza che sembra molto solida considerando che l’azienda Area Spa ha aperto una società proprio in Oman per la necessità di lavorare con clienti istituzionali nel Paese, come già riportato da IrpiMedia in un precedente articolo.

I rischi della geopolitica degli spyware

Da qualche anno l’israeliana NSO non è solo al vaglio delle autorità europee, ma anche di quelle statunitensi: a novembre 2021 Washington ha sanzionato NSO aggiungendola alla lista di entità con cui è vietato fare affari: si vieta l’esportazione dagli Stati Uniti alla NSO di qualsiasi tipo di hardware o software. E a dicembre 2022 il Congresso degli Stati Uniti ha approvato alcune misure per mitigare le minacce legate alla proliferazione e all’uso di spyware commerciali stranieri. Tra le misure previste c’è quella di monitorare le aziende straniere produttrici di spyware che rappresentano un rischio per la comunità dell’intelligence statunitense.

I rischi e l’invasività degli spyware sono ben chiari quindi persino agli Stati Uniti, uno dei paesi più all’avanguardia in tema di tecnologie per la sorveglianza online. Almeno dal 2013, quando grazie al whistleblowing della National Security Agency (NSA), Edward Snowden, il mondo ha appreso dei programmi di sorveglianza statunitensi in grado di monitorare le attività online di chiunque, inclusi capi di governo di Paesi europei. Gli Stati Uniti hanno persino acquistato e testato Pegasus nel 2019, ma i timori alla luce degli abusi hanno spinto a prendere una decisione che va contro gli interessi di un alleato storico del Paese come Israele, scatenando la reazione del governo mediorientale che ha subito avviato la sua macchina di lobby per spingere la Casa Bianca a tornare sui propri passi.

Per Israele l’export di tecnologie di sorveglianza è uno strumento di geopolitica, come ricostruito dal New York Times, e viene usato per stringere accordi politici, tessere nuove relazioni commerciali e ottenere supporto a livello internazionale. E ora che il colosso della sorveglianza è messo all’angolo in metà mondo, l’Italia sembra aver intravisto un pertugio per espandere ulteriormente le proprie aziende di settore. L’export di queste tecnologie rimane comunque una spina nel fianco per tutta l’Unione europea: i regolamenti ci sono ma non sono sufficienti e l’Italia ha già dimostrato in passato scarsa trasparenza su queste vendite.

Vuoi fare una segnalazione?

Diventa una fonte. Con IrpiLeaks puoi comunicare con noi in sicurezza

Per di più l’Italia già fatica a controllare queste aziende e le loro tecnologie quando vengono usate nelle indagini, come hanno dimostrato alcuni recenti scandali.

C’è infatti il rischio che i dati delle intercettazioni possano finire in mano a persone terze senza che le autorità ne siano a conoscenza, come avvenuto con Area Spa, rinviata a giudizio perché sui computer di alcuni dipendenti sono stati trovati dati relativi alle intercettazioni. Per legge questi dati dovrebbero essere custoditi solo sui server delle Procure, caveau informatici creati appositamente per proteggere le informazioni sensibili delle indagini.

Inoltre, i casi di abuso devono far riflettere sull’effettiva capacità delle autorità italiane di monitorare le attività di queste aziende: in questo senso un caso esemplare è quello avvenuto nel 2019 con lo spyware prodotto dall’azienda Esurv, chiamato Exodus. Il captatore ha conservato dati riservati delle intercettazioni in un server in Oregon nonostante la legge imponga che non possano essere conservati fuori dal territorio nazionale. Exodus è stato disponibile sul Play Store di Google per circa due anni, nascosto in più di venti app all’apparenza innocue come quelle per le offerte di marketing di operatori telefonici italiani. Chiunque poteva scaricarlo. A quel punto, senza effettuare le dovute verifiche se si trattasse di un’utenza posta sotto intercettazione, il software iniziava a rubare i dati. L’azienda era a conoscenza di quanto avveniva ma usava queste ignare vittime come fossero delle cavie.

L’incapacità italiana di governare gli spyware si va a sommare ai rischi che gli stessi presentano per i diritti umani e che hanno spinto i Relatori speciali ed esperti delle Nazioni Unite a chiedere a tutti gli Stati di imporre una moratoria globale sulla loro vendita e trasferimento verso altri Paesi. Di fronte alle difficoltà italiane nel controllo degli spyware, il monito delle Nazioni Unite dovrebbe essere ancora più importante.

La stessa Commissione Pega ha suggerito l’adozione di una moratoria sugli spyware e il Garante europeo della protezione dei dati (EDPS) è arrivato a invocare un divieto assoluto di utilizzo perché gli spyware presentano «un livello di intrusività incomparabile con quanto visto in precedenza». La moratoria prevede una sospensione sull’esportazione e utilizzo degli spyware, almeno fino a quando non vi sia certezza su un quadro legale che garantisca le giuste salvaguardie per i diritti. Nel caso del divieto assoluto, invece, ci si spingerebbe oltre, vietando l’utilizzo completo di queste tecnologie poiché presentano minacce inconciliabili con i principi democratici.

Mentre l’Occidente è sempre più preoccupato dall’abuso degli spyware, gli stessi Paesi occidentali sembrano non voler guardare negli occhi la realtà ammettendo di essere parte di quel problema. Il caso italiano è esemplare: un eccessivo uso di queste tecnologie, accompagnato quindi da una costante iniezione di soldi pubblici, porta allo sviluppo di un mercato nazionale che diventa un trampolino di lancio verso l’estero. E lì, tra i clienti in attesa di nuovi strumenti per la sorveglianza, si annidano anche governi autoritari senza scrupoli e Paesi instabili dove queste tecnologie diventano uno strumento essenziale per reprimere ogni forma di dissenso.

CREDITI

Autori

Riccardo Coluccini

Editing

Raffaele Angius
Giulio Rubino

Infografiche

Lorenzo Bodrero

Foto di copertina

Getty

L’eterna lotta tra il bene e il malware

#Sorveglianze

L’eterna lotta tra il bene e il malware

Lorenzo Bagnoli
Riccardo Coluccini

Strumenti che eludono la cifratura, tecnologie di intercettazione, software spia: sono i cosiddetti prodotti a duplice uso, ovvero che possono funzionare sia in ambito civile che militare, e che il Parlamento europeo vorrebbe proporre di limitare pesantemente, se non vietare del tutto. Il problema di questi prodotti, sviluppati da aziende che orbitano nei campi della difesa e dell’intelligence, è che una volta acquistati dai governi possono essere usati sia nella lotta al terrorismo e al crimine che come strumento di repressione interna contro giornalisti e attivisti. E normarne diffusione e commercializzazione è stato finora uno sforzo frustrante e inefficace.

Il tentativo più recente per normare efficacemente questo settore è con l’aggiornamento al regolamento sull’export di settembre del 2021: l’Unione europea ha cercato di rafforzare i controlli e obbligare gli Stati membri a maggiore trasparenza in merito alla concessione dei lasciapassare per vendere una tecnologia all’estero, le licenze per l’export.

Tuttavia, il mondo delle tecnologie dell’intelligence support systems (Iss, dall’inglese: sistemi di supporto dell’intelligence) non si compone delle sole aziende produttrici ma anche di soggetti intermediari che rivendono i prodotti, soggetti che spesso sono legati ai governi che li acquistano. Le leggi sul controllo dell’export, modificate solo dopo anni di scandali, non sono riuscite a prendersi carico delle possibili scappatoie alla licenza, come l’uso di intermediari o lo scambio di lasciapassare tra aziende dello stesso gruppo commerciale. Trovare il punto di equilibrio è difficile: il legislatore deve tenere conto, da un lato, della trasparenza necessaria rispetto all’uso di strumenti potenzialmente molto pericolosi e, dall’altro, della necessità degli utilizzatori finali delle tecnologie – per lo più agenzie appartenenti agli stessi governi, europei e non – di mantenere un certo grado di segretezza.

I timori legati a queste tecnologie non sono solo teorici: negli anni si sono susseguiti casi di abuso contro giornalisti, dissidenti, attivisti e politici. La sorveglianza digitale è diventata sempre più uno strumento di repressione nelle mani di governi di tutto il mondo, dalla Spagna al Messico, passando per Israele e il Vietnam. Il primo regolamento europeo sull’export è del 2009 e da allora sono state aperte diverse inchieste, alcune mai chiuse, sulla legittimità o meno della vendita all’estero di un certo prodotto. C’è stata qualche sanzione, ma la strada dei procedimenti penali si è dimostrata per lo più lunga e inefficace.

IrpiMedia è gratuito

Ogni donazione è indispensabile per lo sviluppo di IrpiMedia

Le inchieste sui big della sorveglianza

Ogni anno a Praga, Repubblica Ceca, si tiene l’edizione europea della più importante fiera dell’industria della sorveglianza: Iss World Europe (le altre edizioni si tengono in Asia, Sud America, Nord America e Medio Oriente). Attraverso questi eventi, le aziende si presentano e raccolgono i contatti per poi partecipare alle gare d’appalto. Un elemento molto particolare unisce buona parte delle aziende presenti: una larga parte degli abituali protagonisti della fiera è, oppure è stata, toccata da qualche scandalo o indagine giudiziaria. A cominciare dallo sponsor principale dell’edizione 2023, NSO Group: l’azienda israeliana sviluppa il software spia Pegasus, noto a seguito del Pegasus Project per i numerosi scandali e abusi ai danni di attivisti e giornalisti in varie parti del mondo.

Nonostante le ingenti perdite causate dalla sospensione degli scambi commerciali con gli Stati Uniti decisa a novembre 2021 dall’amministrazione di Joe Biden, in Europa NSO continua ad avere un ruolo di primo piano.

Lista delle aziende di sorveglianza che sponsorizzano l’edizione 2023 della ISS World Europe, tra le fiere di settore più importanti in Europa – ISS

Tra gli sponsor associati dell’edizione 2023 c’è Intellexa, la società coinvolta nello scandalo PredatorGate in Grecia; ci sono le israeliane Elbit System, che produce anche bombe a grappolo e per le quali ha perso l’investimento del più grande fondo pensionistico norvegese lo scorso marzo, e Candiru, che secondo due report di Microsoft e Facebook del luglio 2021 e del dicembre 2022 avrebbe infettato i device di oltre cento persone (tra cui anche giornalisti, attivisti e oppositori politici in Palestina, Iran, Libano e Yemen), creando almeno 130 account finti rimossi da Facebook. C’è la britannica Bae System, che nel 2017 è stata al centro di un’inchiesta giornalistica per aver venduto spyware utilizzati contro oppositori politici in Arabia Saudita, Emirati Arabi Uniti, Oman, Qatar, Algeria e Marocco.

Ancora, la tedesca Utimaco, la cui tecnologia per le intercettazioni è stata venduta attraverso la norvegese Telenor alla Birmania nel 2021 e si teme sia stata usata dal regime contro i dissidenti politici. Quando si esporta, quindi, spesso si finisce coinvolti in scandali o inchieste giudiziarie, anche a causa dell’incertezza dei regolamenti. Di certo è molto difficile per gli investigatori provare responsabilità precise, e i processi raramente hanno risultati che vadano al di là del clamore mediatico per l’inopportunità di certe relazioni commerciali.

Le conseguenze economiche degli scandali: i casi Hacking Team e FinFisher

Se da un lato le inchieste giudiziarie finiscono spesso con l’arenarsi, dall’altra ci sono alcuni casi in cui le conseguenze economiche, a seguito di scandali e inchieste, hanno effetti più tangibili: le aziende falliscono o si trovano costrette a farsi acquisire da altri gruppi. È successo in passato all’italiana Hacking Team, colpita da un attacco hacker che ne aveva rivelato clienti e dettagli interni. Nel 2019 Hacking Team è stata acquisita da Memento Labs, società diretta e coordinata dalla svizzero-italiana InTheCyber.

Alla tedesca FinFisher è andata molto peggio: a febbraio 2022 ha dichiarato il proprio stato di insolvenza, riporta la stampa tedesca, chiudendo gli uffici, licenziando i dipendenti e cessando ogni attività commerciale. FinFisher nel 2019 è stata denunciata da un gruppo di ong e di media in Germania perché nell’estate di due anni prima il suo spyware sarebbe stato usato in Turchia contro attivisti e dissidenti. Eppure non ci sarebbe stata alcuna autorizzazione all’export da parte dell’autorità di controllo tedesca. Secondo quanto ha scritto Bloomberg a marzo 2022, l’indagine della procura tedesca è ancora in corso e FinFisher nega di aver fornito tecnologie alla Turchia o di aver violato le regole normative sull’esportazione. I beni della società erano stati messi sotto sequestro, ma a causa dell’insolvenza la misura non è più applicabile.

L’attenzione internazionale su FinFisher però risale almeno al 2011. Durante le rivolte in Egitto, alcuni manifestanti hanno trovato documenti che dimostrano che le autorità egiziane avevano ottenuto una demo dello spyware. Negli anni seguenti molteplici report hanno indicato oltre 30 Paesi sospettati di utilizzare FinFisher, tra cui Bangladesh, Egitto, Etiopia, Oman, Arabia Saudita e Venezuela.

Tra gli sponsor di Iss World Europe 2023 ci sono anche tre importanti aziende italiane: Rcs, Ips e Area, anche loro coinvolte in passato in controversie dall’esito interessante. La prima ha sviluppato Hermit, uno spyware impiegato in Italia e Kazakistan, Paese con alle spalle una lunga storia di spionaggio nei confronti degli oppositori politici. Ips e Area invece nel 2017 sono state protagoniste del documentario Spy Merchants, prodotto da Al Jazeera, che ha mostrato grazie a un collaboratore sotto copertura il modo in cui all’epoca le aziende proponessero ai propri clienti di aggirare i controlli sull’export grazie a società consociate presenti all’estero.

Nel caso di Area, svela Al Jazeera, la vendita verso un Paese sotto embargo, il Sud Sudan, si sarebbe conclusa grazie al passaggio in un Paese terzo, la Turchia, dove è presente un partner dell’azienda. Per Ips invece la vendita in Iran passa attraverso un’altra azienda associata, Resi. Tra le persone coinvolte nell’inchiesta c’era anche il vicepresidente di Area.

In un’intervista con IrpiMedia, il fondatore e allora amministratore delegato di Area Andrea Formenti – oggi a capo del gruppo che la controlla, A+ – chiarisce che il caso svelato da Al Jazeera ha riguardato in realtà «un’iniziativa personale» di un ex dipendente che apparteneva alla parte commerciale, il quale ha successivamente lasciato l’azienda per questa e altre ragioni. «Quella iniziativa si sarebbe comunque arenata non appena portata sul tavolo per una pre-offerta», rassicura Formenti.

In ogni caso ad Area non è stata notificata alcuna notizia di reato. Formenti spiega che l’espansione verso il mercato estero è stata una scelta fatta alcuni anni dopo aver fondato l’azienda. Davanti a loro c’erano due strade: ampliare la tipologia di clientela stando in Italia e rivolgendosi così al mondo delle imprese o «provare a proporre (i propri prodotti, ndr) alle autorità ma su scala internazionale». La scelta è caduta sulla seconda opzione. Con l’espansione all’estero, sono arrivate anche le inchieste giudiziarie.

Cinque anni per un’archiviazione

La giustizia italiana ha cominciato a occuparsi di Area alla fine del 2012, quando un’indagine della procura di Milano ha ipotizzato il reato di finanziamento di condotte con finalità di terrorismo, legato alla vendita di tecnologie di sorveglianza al regime siriano. Vista l’assenza di prove precise in merito, l’indagine è stata derubricata a violazione del regolamento sull’export. Il timore era che a usare la tecnologia fosse l’intelligence siriana contro gli oppositori politici. Anche in questo caso non è emerso niente e la stessa procura ha chiesto e ottenuto l’archiviazione del procedimento dopo cinque anni, nel 2018. Il tempo trascorso, per via dell’eco avuto dalla notizia, è costato caro all’azienda sul piano della reputazione.

Per approfondire

Il glossario della cybersecurity

Una rassegna dei termini più comuni all’interno del settore della cyber sicurezza

Questa storia così datata, rivela però i problemi insiti nei meccanismi di controllo sulle esportazioni delle tecnologie di sorveglianza, oltre che un’enorme discrepanza per quanto riguarda la gestione delle licenze sulle esportazioni, anche tra Paesi europei. Il progetto di Area in Siria chiamato Asfador, prevedeva anche l’export di prodotti sviluppati da un’azienda francese, Qosmos, e da una tedesca, Utimaco. Avrebbe garantito, secondo le ricostruzioni giornalistiche, un sistema di monitoraggio in tempo reale della rete siriana: da un centro per le intercettazioni fino alle sonde per monitorare il traffico internet, inclusa la cattura e archiviazione delle e-mail. Del progetto però non si è fatto nulla.

Su Utimaco in Germania non è stata aperta alcuna indagine, mentre per Qosmos in Francia è arrivata nel dicembre 2020 l’archiviazione dall’accusa di complicità nelle torture ai danni della popolazione siriana. In quest’ultimo caso, il focus dell’indagine non era quindi la violazione delle norme sull’export ma il rischio che i sistemi di sorveglianza avessero facilitato l’individuazione degli oppositori che sarebbero poi stati catturati e torturati dal regime.

Per l’Italia, invece, le accuse riguardano solamente la violazione delle norme sull’export e lo scenario geopolitico non entra nella valutazione. Si legge infatti nel testo dell’archiviazione: «Solo dal 01.01.2015 il sistema di sorveglianza delle comunicazioni su rete funzionante con protocollo Internet (IP) veniva inserito nel catalogo dei prodotti dual use», quattro anni dopo l’inizio della guerra.

Formenti, durante l’interrogatorio con la pm di Busto Arsizio Francesca Parola, ha spiegato che per tutelarsi, essendo anche una delle prime operazioni internazionali dell’azienda, Area aveva chiesto un’autorizzazione al Mise (Ministero dello sviluppo economico, oggi sostituito nel ruolo di concedere le licenze dal Ministero degli esteri, ndr) anche se non era necessaria. E il Mise l’aveva concessa, come aveva dichiarato l’allora Sottosegretario di Stato per lo sviluppo economico, Ivan Scalfarotto, in una risposta scritta al Senato. Le dichiarazioni di Formenti sono ritenute «più che credibili» dagli inquirenti, che infatti non sono nemmeno voluti andare di fronte a un giudice in dibattimento. L’esportazione dei sistemi di Area in Siria è durata dal febbraio al novembre 2011, momento in cui l’azienda ha del tutto interrotto i rapporti con Damasco.

Se dal punto di vista della burocrazia dell’export, il problema sembrava non porsi, dal punto di vista dello scenario dei diritti umani in Siria la questione era più complicata. Il contesto in cui è maturato l’affare con Damasco era molto diverso dal quadro geopolitico attuale.

A marzo 2010, Giorgio Napolitano aveva visitato il Paese per rafforzare i rapporti diplomatici Italia-Siria. Il giorno prima dell’arrivo del presidente della Repubblica, Area aveva siglato l’accordo con la società di telecomunicazioni statali, la Syrian Telecommunications Establishment (STE). Solo un anno dopo sono scoppiate le rivolte. D’altra parte, però, i segnali della repressione già erano evidenti, come spiega Human Rights Watch a luglio del 2010 in un report in cui parlava di incarcerazioni di blogger e dissidenti, ma questo non aveva fatto cambiare la linea né dell’Italia né dagli altri Paesi europei. Anzi, c’era il desiderio di intensificare le relazioni diplomatiche e commerciali con il Paese.

#Sorveglianze

L’eterna lotta tra il bene e il malware

L’Ue fatica a regolamentare l’export dei beni a duplice uso, e anche le inchieste giudiziarie sugli export illeciti non danno risultati. Parla il manager di Area spa: il suo caso insegna ancora molto

Non tutti i Paesi erano dello stesso parere. Il quadro geopolitico, infatti, era già tenuto in considerazione dagli Stati Uniti che aveva indicato la Siria come un Paese «sponsor statale del terrorismo» a partire dal 1979, principalmente per il sostegno politico e tramite armi ad Hezbollah.

Washington, all’epoca della vicenda di Area, aveva già dal 2003 un sistema di licenze su questi prodotti, ulteriormente rafforzato nel 2011 e, poiché parte dei prodotti esportati dall’azienda italiana in Siria erano stati sviluppati da un’azienda statunitense, gli Stati Uniti hanno aperto un procedimento parallelo. La vicenda però si è chiusa immediatamente e senza strascichi con il pagamento di una sanzione di 100 mila dollari.

«A eccezione di alcuni medicinali e alimenti, nessun articolo soggetto ai Regolamenti può essere essere esportato o riesportato in Siria senza una licenza del Dipartimento del Commercio», si legge nel dispositivo della sanzione. Nello specifico, per potere essere esportata regolarmente in Siria, la tecnologia statunitense non doveva avere un valore superiore a una certa soglia. Questa regola è stata rispettata in un primo caso e non in un secondo, si legge nel comunicato stampa. «Abbiamo pagato la nostra multa ma non siamo stati oggetto di nessuna restrizione», spiega Formenti.

Le altre aziende europee in Siria

Area, Qosmos e Utimaco non erano le uniche aziende coinvolte in Siria. Secondo un report di Privacy International, pubblicato a dicembre 2016, il governo siriano avrebbe costruito sistemi di monitoraggio delle comunicazioni grazie all’aiuto di diverse altre aziende occidentali tra il 2007 e il 2012.

In un caso del 2008 e 2009, un’azienda rivenditrice con base a Dubai, Agt, in collaborazione con l’italiana Rcs, avrebbe proposto l’uso di apparecchiature di origine statunitense per intercettare le comunicazioni sulle reti di un fornitore di servizi Internet via satellite, Aramsat. Anche in questo caso le stesse regole costate la sanzione ad Area si sarebbero dovute applicare. Agt ha dichiarato a Privacy International che il progetto non è mai stato completato. Secondo la documentazione del progetto esaminata da Privacy International, però, alla fine Rcs non avrebbe incluso l’hardware nella propria offerta ad Agt.

Nel giugno 2009, invece, il governo siriano ha cercato di acquistare una tecnologia per intercettare direttamente il traffico internet, in entrata e in uscita dal Paese, che passava allora attraverso i due centri di scambio del traffico online, a Damasco e Aleppo. Al centro di questo progetto sarebbe stata l’azienda sudafricana VASTech.

Nel report si parla anche del bando aggiudicato da Area. Originariamente il duo Agt-Rcs aveva presentato una proposta ma, dopo che una dimostrazione della loro tecnologia aveva dato scarsi risultati e offerte di ulteriori prodotti da parte delle due aziende erano andate a vuoto, la Syrian Telecommunication Establishment (Ste) aveva assegnatoil progetto ad Area. Come nota Privacy International nel suo report, il bando di gara indetto dalla Ste specificava che «il sistema deve essere centralizzato e deve avere [sic] la capacità di monitorare tutte le reti che utilizzano servizi di comunicazione dati all’interno dei territori siriani», e all’epoca il governo siriano manteneva «uno stretto controllo dei servizi di telecomunicazione attraverso l’ente regolatore delle telecomunicazioni e proprietario dell’infrastruttura di telecomunicazione del Paese»: quell’ente era il Syrian Telecommunications Establishment.

Cosa resta dopo l’indagine su Area

L’archiviazione dopo cinque anni di indagini lascia insoddisfatti sotto molteplici punti di vista sia le associazioni e gli attivisti che si occupano di diritti umani – per l’impossibilità di verificare con chiarezza chi fosse l’utilizzatore finale della tecnologia – sia l’azienda a causa della lunghezza di un processo che ha confermato solo dopo diversi anni la posizione dichiarata sin dal primo momento.

L’archiviazione, però, permette di riflettere su alcuni nodi centrali dell’export che sono validi in ogni caso. Da un lato c’è la questione dell’ “utilizzatore finale”: la pericolosità di una tecnologia dipende infatti anche da chi la usa. Tra la documentazione per richiedere l’autorizzazione all’export esiste anche un documento in cui questa figura va indicata per legge, ma come già ricostruito da IrpiMedia, non sempre corrisponde al vero. Sia le organizzazioni che intentano le cause sia gli inquirenti che poi aprono i fascicoli spesso partono dall’ipotesi che la licenza dell’export non indichi davvero chi userà la tecnologia. Nel caso della Siria e di Area, alcuni testimoni (all’epoca dipendenti di Area) avevano indicato la presenza di una persona collegata ai servizi segreti siriani, che sarebbero stati i veri utilizzatori della tecnologia. Questa persona, indicata con il nome di Firas, non è mai stata identificata dal pm.

Dall’altro lato c’è il fatto che, anche se si identificasse un utilizzatore finale “sospetto”, ci sarebbe comunque da stabilire la responsabilità dell’azienda sull’eventuale uso della tecnologia per reprimere dissidenti o giornalisti. Soprattutto dal momento in cui sono coinvolte agenzie governative.

Nel caso di specie, Area, dal canto suo, ha dimostrato in fase d’indagine di aver fatto tutti i passi necessari per ottenere la licenza di esportazione, anche in un momento in cui non era richiesta. Ancora oggi Area dichiara di essere insolvente nei confronti di una banca italiana che aveva garantito le coperture economiche per il progetto in Siria, poi mai realizzato.

«Noi vorremmo la maggior chiarezza possibile – spiega Formenti -. Ci piacerebbe avere una lista di tecnologie classificate con grande scrupolo e con altrettanta flessibilità nell’adattamento dinamico all’evoluzione tecnologica e geopolitica. Siamo estremamente aperti».

Attualmente, secondo Area, in alcuni casi ci sarebbero delle contraddizioni. Ad esempio, le licenze non valgono allo stesso modo per due tecnologie che comunicano tra loro, come il sistema che duplica il traffico degli operatori telefonici (i cosiddetti sistemi di mediazione) e i sistemi di monitoraggio installati presso le procure dove si registrano e analizzano questi dati. I primi non sono soggetti ad autorizzazione per l’export mentre i secondi sì.

Questa discrepanza «tende a inclinare il piano di gioco: se sei un’azienda che si occupa di sistemi di mediazione, hai uno spazio di manovra più ampio», dice Formenti. Secondo il fondatore di Area, servirebbero inoltre per lo meno a livello europeo delle linee guida più precise rispetto a Paesi ed entità con le quali le aziende sono autorizzate a lavorare. Servirebbe poi «un organismo di controllo indipendente, come gli osservatori durante le elezioni» che periodicamente verifichino il rispetto di quanto previsto dalla licenza. Sulla composizione di questo organismo ci sarebbero diverse strade: soggetti terzi come quelli che già esistono e che fanno consulenze per il rilascio della licenza, o meglio ancora, «soggetti che abbiano una forma di accreditamento istituzionale», ha spiegato Formenti. Una sorta di organismo sovranazionale unico per tutti i Paesi.

Attualmente, infatti, ci sono Paesi europei che facilitano l’esportazione di tecnologie di sorveglianza. Questo aspetto emerge dal report di novembre 2022 pubblicato dalla Commissione incaricata dal parlamento europeo di indagare sull’uso degli spyware di sorveglianza, la Commissione PEGA. Non c’è accordo sulle scelte da prendere per controllare le esportazioni. Il problema che nota qui lo stesso Formenti è anche la disponibilità di governi e agenzie a rendere trasparente l’uso che fanno di certe tecnologie. In mancanza di vincoli precisi sono le singole aziende che, al di fuori delle maglie delle norme internazionali, sono libere di decidere in base ai propri criteri con quali entità sia opportuno lavorare e con quali no.

Attualmente, il regolamento dual use prevede già una sorta di matrice simile a quella descritta da Formenti, dove una lista puntuale di tecnologie e software deve essere valutata in base alla tipologia di utilizzatore finale e al Paese in cui risiede. Questa lista, secondo ong come AccessNow, non è necessariamente esaustiva e in alcuni casi non tiene il passo con le novità legate allo sviluppo tecnologico in questo settore.

La proposta: al bando gli spyware

Almeno per quanto riguarda gli spyware – controversa tipologia di malware che permette di prendere il controllo da remoto di qualsiasi dispositivo – l’europarlamentare dei Verdi e relatrice della Commissione PEGA, Sophie In’t Veld, auspica l’introduzione di una moratoria per bloccarne l’uso e la vendita in Europa. Una soluzione drastica che però rischia di non essere nemmeno efficace perché parte da un quadro incompleto delle aziende del settore e perché non tutti i Paesi europei sembrano avere un’idea comune sulle soluzioni.

Il lavoro della Commissione non è stato semplice, tra tensioni interne e indisponibilità di alcuni Paesi a fornire le informazioni richieste. Nel caso dell’Italia, il governo non ha fornito spiegazioni in merito all’acquisto e l’impiego degli spyware, e neanche sul quadro legale e sulle spese sostenute. Certamente l’Italia non è da sola in questa lista degli ultimi: solo Austria, Polonia e Cipro hanno risposto al questionario inviato dalla Commissione a luglio 2022.

Secondo alcune indiscrezioni rivelate da EURACTIV, il report dell’europarlamentare Sophie In ’t Veld ha il supporto della maggior parte dei gruppi parlamentari tranne del Partito popolare europeo (Epp), che presumibilmente cercherà di ridurre la portata delle decisioni prese per arginare lo scandalo delle intercettazioni illegali in Grecia, il “Watergate europeo”. Néa Dimokratía, il partito del primo ministro greco Kyriakos Mitsotakis, ovvero il personaggio politico più coinvolto nello scandalo, è infatti membro dell’Epp.

La moratoria, si legge nella bozza del report, sarebbe immediatamente applicabile e contempla il divieto complessivo di esportazione a meno che i Paesi non soddisfino alcuni requisiti: fare chiarezza senza ritardi su eventuali controversie in caso di abuso degli spyware, allineamento agli standard europei sulla sorveglianza, disponibilità a ricevere ispezioni e indagini dell’Europol e revoca di qualsiasi pregressa licenza di esportazione già erogata se questa non è in linea con lo spirito del Regolamento europeo.

Il report evidenzia ancora la mancanza di regole e conoscenza all’interno del mondo della sorveglianza. «La Commissione Europea – si legge – non ha finora intrapreso un’analisi della situazione né una valutazione delle aziende attive sul mercato europeo». Avere la lista delle aziende della sorveglianza che operano all’interno dell’Unione europea non è nemmeno sufficiente per avere un’analisi esaustiva del mercato dato che diversi operatori lavorano con una fitta rete di intermediari e di società rivenditrici, spesso molto difficili da identificare. Questa rete societaria è un elemento di rischio potenziale, ma la possibilità effettiva di intervenire sul piano dei controlli e delle norme è limitata dal fatto che spesso parte delle aziende coinvolte si trova in giurisdizioni anche extra-europee, dove le regole del grande gioco della sorveglianza sono diverse.

Unire i puntini: gli intermediari che sfuggono alle regolamentazioni

Per portare la propria tecnologia all’estero, ci sono due strategie: aprire una propria succursale locale oppure affidarsi a una rete di rivenditori sul posto. Nel caso di Area, si legge dai bilanci che ha due controllate in territorio extra-Ue: una in Oman dal 2017, Area Llc, e una in Gran Bretagna, Area Systems UK. Secondo quanto dichiarato dall’azienda a IrpiMedia, entrambe sono nate con l’obiettivo di commerciare prodotti nei due Paesi e hanno entrambe clienti istituzionali.

Se dal lato dell’azienda c’è stata disponibilità a spiegare il motivo dell’apertura delle due società controllate, sul piano delle istituzioni pubbliche non c’è stata alcuna trasparenza in merito al tipo di tecnologia fornito da Area. In Gran Bretagna, oltre 20 dipartimenti di polizia contattati da IrpiMedia attraverso una richiesta di accesso agli atti hanno risposto che non possono né confermare né smentire di avere acquisito tecnologia dall’azienda italiana. Il ministero degli Affari esteri italiano, invece, non ha fornito alcuna risposta in merito alla licenza per l’Oman.

Il Paese rappresenta proprio uno dei casi in cui assegnare una licenza per la vendita di certe tecnologie è delicato: Amnesty International lo indica come Paese dove oppositori e giornalisti finiscono in carcere. Inoltre, dal punto di vista delle tecnologie di sorveglianza, sono già emerse indicazioni della presenza di tecnologie che possono essere abusate. I ricercatori del Citizen Lab, un laboratorio interdisciplinare dell’Università di Toronto, hanno individuato l’uso del controverso spyware Predator; e secondo quanto riportato da Haaretz, negli anni scorsi anche NSO avrebbe venduto al Paese il proprio spyware Pegasus.

Quando l’esportazione avviene attraverso rivenditori e partner, tenere traccia dei passaggi è ancora più complesso. Nel caso PredatorGate, abbiamo raccontato che è stata Intellexa (azienda fondata da un ex capo dell’intelligence israeliana ma la cui sede è stata trasferita in Grecia) a rivendere lo spyware dell’azienda produttrice Cytrox. In Messico, una serie di aziende locali ha siglato accordi per rivendere i prodotti di NSO al governo. L’altra grande italiana, Rcs Lab, invece rivende le capacità della piccola azienda italiana Tykelab, con il marchio Ubiquo. La stessa Rcs è stata di recente acquisita dalla società proprietaria di Cy4gate, a sua volta collegata a Leonardo, l’industria delle difesa a partecipazione statale.

La Commissione afferma di aver raccolto informazioni, seppur non confermate, in merito ad acquisti di spyware da parte di tutti i Paesi dell’Unione europea. Il più importante fornitore è il gruppo israeliano NSO, dal quale comprano spyware almeno 14 Paesi. In Polonia, Ungheria, Grecia e Spagna ci sono elementi che indicano un abuso di Pegasus, mentre per quanto riguarda Cipro al momento ci sono solo sospetti. La stessa Cipro e la Bulgaria sono utilizzati come Paesi di transito per l’esportazione delle tecnologie di sorveglianza. Il Lussemburgo è il Paese dove ha sede la maggioranza delle banche a cui si appoggiano i fornitori di spyware, l’Irlanda la principale sede fiscale, come del resto accade già per le big tech.

Area ha preso parte insieme alla consociata Area Systems UK all’evento Security and Policing 2022, fiera di settore che si svolge in Regno Unito – Linkedin

L’export intra-gruppo: un “buco” nel regolamento europeo

Il regolamento introdotto nel 2021 cerca proprio di correggere queste distorsioni dell’industria. Resta però un buco per quanto riguarda la cessione di licenze all’interno di uno stesso gruppo aziendale.

Ipotizziamo che due aziende, controllate dalla stessa azienda madre, siano registrate in Paesi diversi: una all’interno dell’Unione europea e l’altra in un altro Paese. L’export di tecnologie dall’azienda europea verso la sorella extra-Ue dovrebbe richiedere un’autorizzazione. Questa speciale autorizzazione, una novità introdotta nell’ultimo regolamento, si applica solo nei confronti di Argentina, Brasile, Cile, Corea del Sud, Filippine, India, Indonesia, Israele, Giordania, Malesia, Marocco, Messico, Singapore, Sudafrica, Thailandia, Tunisia, ma esclude dal suo ambito di applicazione diverse tecnologie di sorveglianza come i software per facilitare l’infezione tramite spyware e sistemi per il monitoraggio di internet.

Non è chiaro che cosa accada negli altri casi. A quel punto, non resta che fare riferimento alle normative nazionali. Stando alla legge italiana (entrata in vigore nel febbraio 2018), serve una licenza per l’export anche per la semplice assistenza tecnica nella forma di «istruzione, pareri, formazione, trasmissione dell’apprendimento del funzionamento o delle competenze o servizi di consulenza, comprese le forme orali di assistenza». Lo stesso vale nel caso di accesso ai server per la condivisione delle informazioni, considerato un trasferimento intangibile. In questi casi l’azienda deve dotarsi di un sistema per garantire la sicurezza e tracciabilità degli accessi per consentire verifiche da parte dell’Autorità di vigilanza. Questo farebbe ipotizzare, quindi, che una licenza italiana per l’export sia sempre necessaria.

Ma se invece l’azienda sorella registrata fuori dall’Unione europea volesse riesportare verso un Paese terzo le tecnologie dell’azienda registrata in Ue? E se l’azienda sorella si trova in un Paese dove non sono previsti controlli simili a quelli in Ue? Le interpretazioni per questa casistica sono diverse, anche tra ricercatori e addetti ai lavori: il manager di Area chiederebbe una licenza in Italia. «Non esclude», però, che sulla carta qualcuno possa usare una propria controllata allo scopo di esportare tecnologia extra-Ue senza licenza. Concordano su questo duplice scenario anche due ricercatori che però non sono autorizzati a rilasciare dichiarazioni su questo argomento, data ancora l’incertezza che regna. Il Ministero degli affari esteri non ha risposto a una richiesta di commento al riguardo, inviata da IrpiMedia.

CREDITI

Autori

Lorenzo Bagnoli
Riccardo Coluccini

Editing

Raffaele Angius
Giulio Rubino

In partnership con

Privacy International

Foto di copertina

Metaworks/Getty

L’esercito di hacker al soldo del Qatar

#FuoriGioco

L’esercito di hacker al soldo del Qatar

Lorenzo Bodrero

«Posso garantirvi l’accesso all’account email e ai dispositivi della persona di vostro interesse, in qualsiasi parte del mondo». L’offerta arriva da Aditya Jain, programmatore di base in India nella città di Gurugram ed è indirizzata a due investigatori privati inglesi in cerca di hacker. L’offerta nel Paese è ampia e i due detective vogliono essere sicuri di scegliere il meglio che la pirateria informatica offre. Per convincerli, Jain confessa loro di aver appena lavorato a un progetto che coinvolge la Fifa, organo direttivo del calcio e organizzatore della Coppa del mondo: «Sono riuscito a ottenere i dati email di alcuni funzionari della Fifa di alto profilo di base nel Regno Unito, per conto di un cliente pagato da un Paese del Golfo Persico», spiega. Nel prosieguo della conversazione, Jain precisa che il cliente finale era il Qatar e che lui è stato assunto da un investigatore privato di base in Svizzera: Jonas Rey.

Ma i due detective inglesi non sono ciò che dichiarano. Il loro è un lavoro sotto copertura: vestono i panni di potenziali clienti ma sono in realtà due giornalisti del Sunday Times. Jain ne è all’oscuro, al punto che rivela loro i nomi dei suoi clienti e dei loro obiettivi di attacchi informatici. L’inchiesta, realizzata dal Sunday Times e dal Bureau of Investigative Journalism, ha svelato la rete e gli obiettivi di un gruppo di hacker indiani assoldati da detective privati di base a Londra: in tutto, più di 100 vittime, tra aziende private, personaggi politici e giornalisti.

Coppa del Mondo e Qatar: sorvegliare chi critica

Jonas Rey lavorava presso una filiale del colosso bancario Credit Suisse, salvo poi virare verso il settore dell’intelligence. Aveva trovato impiego presso la Diligence Global Business Intelligence, filiale svizzera della Diligence, una società di consulenza aziendale ben nota nella City di Londra. Nel gennaio 2019, la Diligence Global era stata ingaggiata per un progetto che riguardava la Coppa del mondo in Qatar. Doveva indagare su chi aveva messo in dubbio la capacità del Qatar di finire in tempo la realizzazione delle infrastrutture necessarie per il torneo. Rey, nel corso dell’anno successivo, si sarebbe rivolto al gruppo di hacker guidato dal programmatore indiano Aditya Jain per sorvegliare coloro che fino ad allora si erano dimostrati particolarmente critici verso il piccolo Paese del Golfo. Stando al database di clienti ottenuto dal Sunday Times, è Rey il nome più ricorrente tra i pagatori del gruppo di hacker gestito da Jain: 48 casi, dodici dei quali legati al Qatar.

QatarGate, sospetti di corruzione al Parlamento europeo

Un terremoto diplomatico ha percorso i corridoi dell’europarlamento lo scorso 9 dicembre, quando il quotidiano Le Soir ha reso noti gli esiti di un’indagine, guidata dalla magistratura belga, su presunti episodi di corruzione da parte del Qatar verso europarlamentari e funzionari dell’emiciclo. Quattro gli arresti, finora, tra cui la vicepresidente del Parlamento europeo, la greca Eva Kaili, e l’ex eurodeputato italiano Antonio Panzeri, entrambi espressione di partiti del centrosinistra. In manette sono anche finiti Francesco Giorgi (assistente dell’eurodeputato Andrea Cozzolino e compagno di Eva Kaili) e Niccolò Figà-Talamanca, segretario generale della ong No Peace Without Justice. Le accuse a loro carico sono di partecipazione ad associazione a delinquere, riciclaggio e corruzione. La Procura federale belga sospetta infatti che ai quattro sarebbero stati elargiti «importanti somme di denaro e/o regali significativi per influenzare le decisioni del Parlamento europeo». I favori avrebbero dovuto ammorbidire la posizione del Parlamento Ue nei confronti del Qatar in tema di diritti civili e dei lavoratori e ottenere, per il piccolo ma ricco emirato, un trattamento di maggiore riguardo all’interno delle istituzioni europee.

L’indagine, scrive Il Post, sembra ruotare intorno alla ong Fight Impunity, fondata da Panzeri nel 2019 dopo quindici anni di mandato da eurodeputato europeo. Attraverso questa, l’ex parlamentare e neo lobbista avrebbe messo le sue conoscenze accumulate a Bruxelles al servizio di clienti esterni. Tra le persone coinvolte figurano anche Luca Visentini, segretario generale della Confederazione europea dei sindacati, e Marc Tarabella, parlamentare Ue belga. Il Qatar, in un comunicato, si è detto estraneo ai fatti. Se confermate, le ipotesi accusatorie darebbero vita al più grande scandalo politico nella storia del Parlamento europeo.

Tra i target degli attacchi informatici figurava Jonathan Calvert, caporedattore della sezione inchieste del Sunday Times. Nel database si legge che il giornalista ha subito un attacco alla sua casella di posta elettronica poche settimane dopo l’uscita dello scoop del settimanale britannico in cui il giornalista svelava l’esistenza di una presunta tangente da 100 milioni di dollari pagata alla Fifa per aver assegnato la Coppa del mondo all’emirato. L’hacking, si legge nel database, è stato «completato». A ottobre il governo qatariota ha smentito l’attacco e ha etichettato come una «crociata politicamente motivata» il lavoro di Calvert, aggiungendo che il giornalista ha «stretti rapporti con gli Emirati Arabi Uniti», Paese confinante e storico antagonista del Qatar. Un accusa del tutto infondata, ha replicato il Sunday Times.

Un altro obiettivo dei pirati informatici guidati da Jain su mandato di Jonas Rey è Michel Platini. L’ex stella della Juventus, già presidente della Uefa (organismo di controllo del calcio europeo, affiliato alla Fifa), è stato uno dei membri del comitato esecutivo della Fifa che aveva votato a favore del Qatar nella corsa ai Mondiali. Da anni si vocifera che il suo sostegno sia stato ottenuto durante una cena avvenuta poco prima che la Fifa si riunisse per votare il Paese ospitante dei Mondiali del 2022 e che vedeva tra i commensali lo stesso Platini, l’allora presidente francese Nicolas Sarkozy e l’attuale emiro (allora principe) qatariota Tamim bin Hamad Al Thani.

Secondo l’inchiesta giornalistica, il gruppo di hacker avrebbe violato il cellulare del francese a partire dal 10 maggio 2019. Da lì a poche settimane Platini era atteso negli uffici della Gendarmeria per un interrogatorio che doveva fare luce su sospetti di corruzione nel voto a favore del Qatar. Il Sunday Times, tramite una fonte anonima interna ai finanzieri francesi, scrive che il Qatar era «ansioso» di scoprire cosa Platini si preparava a confidare agli inquirenti nell’interrogatorio che avrebbe avuto luogo il mese successivo.

IrpiMedia è gratuito

Ogni donazione è indispensabile per lo sviluppo di IrpiMedia

A novembre 2019, Jonas Rey lascia il suo posto alla Global Diligence per fondare la propria società di consulenza, la Athena Intelligence. Nel database a disposizione dei giornalisti inglesi si legge come Rey abbia chiesto a Jain di intercettare diversi altri obiettivi, oltre ai 16 colpiti fino a quel momento sotto sua richiesta. Tra questi, Ghanem Nuseibeh, consulente specializzato nella gestione del rischio e autore, nel 2017, di un report che metteva seriamente in dubbio la capacità del Qatar di finire in tempo i lavori in vista del torneo mondiale a causa anche di presunti episodi di corruzione nell’assegnazione degli appalti.

Ma sono molti altri ad essere finiti nella rete degli hacker di Aditya Jain: Nathalie Goulet, politica francese e voce critica verso il Qatar per presunti finanziamenti al terrorismo islamico; Nick Raudenski, ex investigatore per i comitati etici di Fifa e Uefa; Alan Suderman, giornalista dell’Associated Press che aveva scritto della campagna sottobanco del Qatar; Rokhaya Diallo, attivista, noto per aver pubblicamente denunciato lo sfruttamento lavorativo ai danni degli operai che hanno costruito le infrastrutture. Tra gli ultimi in ordine cronologico, Chris Mason, neo responsabile politico della BBC, considerato particolarmente aggiornato circa incontri riservati in seno al governo e al primo ministro britannici.

Committenti Oltremanica

Un altro cliente particolarmente attivo è un ex poliziotto della Metropolitan Police, Nick Del Rosso. Sarebbe stato lui a incaricare il gruppo di hacker indiani di sorvegliare in tutto 40 “bersagli”, tra cui Mark Fullbrook, ex capo del personale della ex prima ministra inglese Liz Truss durante il breve periodo a Downing Street. Philip Hammond, ex parlamentare e Cancelliere dello Scacchiere sotto la prima ministra Theresa May ed ex Segretario di Stato per gli affari esteri e del Commonwealth del governo di David Cameron, è certamente l’obiettivo politico di più alto profilo la cui sorveglianza – scrivono i colleghi inglesi – sarebbe stata commissionata da un uomo d’affari di un importante fondo di investimenti europeo. Hammond era stato parte del gruppo di governo incaricato di rispondere in maniera adeguata all’avvelenamento della ex spia sovietica naturalizzata britannica, Sergej Skripal, avvenuto nel 2018. Secondo il Sunday Times, l’hackeraggio ai danni di Hammond sarebbe avvenuto poche settimane dopo l’attacco a Skripal.

L’inchiesta apre uno squarcio su un’industria, quella del corporate intelligence, in forte ascesa negli ultimi anni. I colleghi inglesi hanno avuto modo di ascoltare diversi hacker indiani i quali, convinti di interloquire con un potenziale cliente, hanno rilasciato pesanti confessioni.

Tej Singh Rathore ha descritto nei dettagli il suo mestiere di pirata informatico, fatto di furti telematici e irruzioni in dispositivi digitali. Afferma di aver violato più di 500 account email, la maggior parte per conto di clienti inglesi. La maggior parte delle società di investigazione private assoldano hacker indiani, ha detto. Un sistema di “hacker in affitto” che regna impunito, a causa di leggi morbide in India sulla sicurezza informatica e della difficoltà di indagare committenze in arrivo dall’estero. Alla domanda se qualcuno fosse mai stato preso, un hacker ha risposto: «Mai, neanche uno».

Per approfondire

Qatar, il miraggio ecosostenibile di un Mondiale nel deserto

Comincia il 20 novembre la prima Coppa del mondo in un Paese del Golfo. La Fifa promette sia a impatto zero. Le trasformazioni del territorio e i calcoli reali delle emissioni dicono il contrario

Buona parte delle società di sicurezza informatica dipingono se stesse come portatrici di quella sicurezza digitale che poi loro stesse contribuiscono a infrangere. In gergo si chiamano “white hat”, hacker “buoni”. Formati da aziende di sicurezza informatica, sono in realtà istruiti a utilizzare le loro competenze in maniera illegale.

Una dei precursori del settore in India è la società Appin, aperta a Delhi dodici anni fa con l’intento di formare una nuova generazione di hacker “etici” ma oggi sospettata, invece, di aver cresciuto al suo interno hacker al servizio del miglior offerente. Aditya Jain, uno dei protagonisti negativi dell’inchiesta, ha lavorato per Appin. Secondo un altro ex dipendente, il Qatar è stato uno dei clienti della società, affermazione respinta dall’emirato. Appin ha cessato di esistere nel 2013 quando degli esperti di sicurezza informatica norvegesi hanno scoperto che l’azienda si era resa responsabile di una serie di attacchi informatici ai danni di una dozzina di Paesi.

Dalle sue ceneri sono emersi decine di giovani hacker in cerca di lavoro e nuove società dedite al “lato oscuro”, ben più remunerativo della sicurezza online. Tra queste, la più nota era la BellTroX. Il direttore, anche lui con un passato nella Appin, è stato inserito nella lista dei ricercati dal Dipartimento di giustizia americano per aver partecipato a operazioni di hackeraggio su larga scala dietro commissione di due investigatori privati a stelle e strisce.

Dai divorzi agli omicidi

Davanti a un caffè, seduti nella hall di un anonimo albergo nella periferia di Delhi, Tej Singh Rathore spiega ai suoi finti potenziali clienti come è diventato un hacker. Dopo gli studi in informatica all’università, vira verso l’ “ethical hacking” perché gli sembra «un settore in forte crescita». Dopo la laurea trova impiego in una società di cybersecurity. Un giorno il suo capo gli confessa che svolgere un lavoro “offensivo” è molto più remunerativo di un lavoro “difensivo”. Si mette in proprio, dunque, e su Linkedin comincia a fare sfoggio delle sue doti in cerca di clienti.

#Fuorigioco

L’esercito di hacker al soldo del Qatar

Assoldati attraverso investigatori privati, hanno colpito chi voleva scavare nella tangente pagata dall’emirato alla Fifa in cambio dei Mondiali. Un’inchiesta del Sunday Times e del TBIJ

Il primo a offrirgli un lavoro è un produttore di vino del New Jersey che voleva ottenere l’accesso al cellulare della moglie e capirne la sua condizione finanziaria, prima di avviare le pratiche di divorzio; il cliente successivo, l’amante di un commerciante di diamanti di Hong Kong alla ricerca di informazioni sensibili con cui estorcere denaro all’uomo. Da allora, le commesse sono lievitate per Rathore, il quale incassava tra i 3.000 e i 20.000 dollari per ciascun account violato. Aveva clienti dal Nord America, Hong Kong, Romania, Belgio, Svizzera. Quasi tutti, ha spiegato ai giornalisti inglesi, utilizzavano studi legali come tramite per arrivare a lui.

Rathore si è persino trovato invischiato in uno dei più noti casi di omicidio irrisolti in Canada. Nel dicembre 2017, il milionario canadese Barry Sherman è stato trovato morto insieme alla moglie nella sua villa di Toronto. Rathore riceve una chiamata da un investigatore privato che gli chiede di violare il cellulare di Sherman. Il lavoro non riesce, ma prosegue. Gli viene commissionata la sorveglianza di un uomo che in quel momento era considerato di interesse per gli inquirenti. Stesso obiettivo: infiltrare il suo cellulare. La polizia alla fine cambia pista ma il lavoro svolto ai danni dell’uomo aveva «impressionato molto» il suo cliente.

Le mille vie dell’hacking

Lo strumento dell’attacco informatico è utilizzato anche dai governi. Un altro hacker intercettato dai colleghi inglesi ha spiegato come, una volta uscito da un corso di “hacking etico”, lui e gli altri suoi 17 compagni di corso sono stati assunti da una «società di sicurezza nazionale» che lavorava per conto del governo indiano.

Utkarsh Bhargava lavora come pirata informatico da dieci anni. Anche lui, come tanti altri “colleghi”, è passato per la Appin, la quale fungeva da braccio di addestramento per la società di sicurezza nazionale. I clienti della Appin «erano in Qatar, a Dubai, in Bahrain, in Kuwait, in Arabia Saudita», Paesi per i quali gli hacker dell’azienda hanno sottratto «di tutto», ha confidato Bhargava. «Il nostro compito era quello di impossessarci di determinati dati e consegnarli alla società» che li avrebbe poi passati al governo indiano. I target erano prevalentemente ministeri di altri Paesi. Bhargava ha poi lasciato il suo posto da dipendente per mettere in piedi la sua personale società di intelligence, con clienti – dice – dalla Francia, Italia, Austria, Germania e Thailandia.

Esistono un’infinità di modi per colpire un obiettivo: indurre la vittima a consegnare le proprie password o a scaricare uno spyware sui loro dispositivi sono due dei più utilizzati. E per rendere l’attacco efficace, tutti gli hacker concordano su un punto: dedicare del tempo a conoscere la vittima, perlopiù attraverso i social media. Bhargava spiega come per una vittima nel Regno Unito con problemi di salute ha creato una copia esatta del sito web del servizio sanitario nazionale. Una volta che il malcapitato inseriva le proprie credenziali per il login, l’hacker si impossessava della password, che il più delle volte è la stessa di quella utilizzata per l’account di posta elettronica. Un altro hacker aveva notato che il suo obiettivo, una donna, frequentava spesso la palestra. Fingendosi il titolare, le ha inviato su Whatsapp una foto, aggiungendo che se l’avesse mostrata all’ingresso avrebbe ottenuto uno sconto mensile. La foto conteneva il file di installazione di uno spyware il quale, una volta scaricata l’immagine, ha consentito all’hacker totale accesso al cellulare della vittima.

Bhargava ha inoltre confidato ai giornalisti inglesi di aver fatto uso dello spyware Pegasus. Sviluppato dalla NSO Group, azienda israeliana specializzata nello sviluppo di software di sorveglianza, Pegasus è tra i software-spia più potenti del settore. Le sue funzionalità, in grado di acquisire qualsiasi tipo di informazione contenuta nei telefoni dei bersagli comprese le chat crittografate di Whatsapp, Signal e Telegram, sono particolarmente gradite a governi autoritari e regimi repressivi. Bhargava afferma di essere entrato in possesso del codice di Pegasus nel 2019 e di averlo utilizzato per crearne una copia così da utilizzarlo per i propri scopi.

«Ti consente di fare ciò che vuoi», ha spiegato Bhargava, «una volta installato hai il controllo totale» del dispositivo. Il software-spia consente di attivare microfono e telecamera all’insaputa della vittima e di monitorarne gli spostamenti in tempo reale, se il Gps è attivo. Ma c’è una controindicazione. Il dispositivo si scalda e la sua operatività rallenta nel periodo in cui i contenuti vengono scaricati. Per questo risulta fondamentale studiare le abitudini del bersaglio e capire quali sono le fasce orarie in cui il telefono non è utilizzato. «La copia dei dati viene fatta nelle ore piccole, quando la vittima dorme».

Jonas Rey ha ammesso ai cronisti inglesi di aver svolto operazioni di hackeraggio in passato ma di non averne compiute da diversi anni. Ha affermato, inoltre, di non conoscere alcune delle persone presenti nel database e ha negato di averne hackerate altre. Ha aggiunto di non aver mai commissionato la sorveglianza digitale e che i giornalisti inglesi sono stati indotti a screditarlo. La società londinese Diligence Global ha negato di aver commesso qualsivoglia illecito, aggiungendo che «la nostra società pone la massima attenzione affinché i nostri investigatori rispettino tutte le leggi e le regole vigenti».

CREDITI

Autori

Lorenzo Bodrero

Traduzione e adattamento

Lorenzo Bodrero

Editing

Lorenzo Bagnoli

Foto di copertina

Karim Jaafar/Getty

Scandalo Predator: il mercato intra-europeo della sorveglianza è un buco nero

#Sorveglianze

Scandalo Predator: il mercato intra-europeo della sorveglianza è un buco nero

Lorenzo Bagnoli
Riccardo Coluccini

Giornalisti, ministri, editori, imprenditori: ci sono tutti nel Watergate di Atene. È così che i media greci chiamano lo scandalo sulle intercettazioni illegali che coinvolge direttamente il governo di Nea Dimokratia, il partito di centrodestra del primo ministro Kyriakos Mitsotakis, e che proprio nel Paese ellenico sono vietate dalla leggeL’ultimo colpo al governo è stato assestato il 6 novembre, quando il giornale Documento, vicino al partito di opposizione Syriza, ha pubblicato una lista di 33 nomi di chi è finito intercettato da Predator, un software spia simile al più noto Pegasus di origine israeliana, di cui IrpiMedia ha già scritto. Il primo ministro di Nea Demokratia, il partito di liberal-conservatore al governo, avrebbe autorizzato l’operazione condotta dai servizi segreti greci (Eyp) allo scopo di raccogliere informazioni per compilare dossier su avversari, uomini di potere e persino membri del suo stesso governo. La posizione ufficiale è che l’esecutivo non ha nulla a che fare con l’operazione, ma le connessioni tra gli imprenditori coinvolti nell’affaire Predator e il governo sono sempre più circostanziate.

Lo scandalo è deflagrato lo scorso gennaio in Grecia, quando alcuni giornalisti locali – tra cui i colleghi del consorzio giornalistico di Reporters United – hanno cominciato a pubblicare informazioni in merito alle vittime dello spionaggio e alla rete di imprenditori che ha portato questa tecnologia ad Atene. In particolare uno degli articoli riporta i legami tra uno dei proprietari delle società coinvolte nello scandalo e la politica. Per tutta risposta, gli autori sono stati oggetto di querele definite da Reporter senza frontiere puramente intimidatorie. 

L’ombra del Watergate greco si allunga in Europa

Il software spia in questione, Predator, è sviluppato dall’azienda Cytrox, sede originaria nella Macedonia del Nord e ora parte del gruppo Intellexa Alliance: un conglomerato con sede in Grecia e guidato da Tal Dilian, un ex membro dell’intelligence israeliana che vanta però la cittadinanza maltese, acquisita attraverso uno schema di vendita dei passaporti. La joint venture da lui guidata è presente in Grecia, Cipro, Irlanda, Francia e Ungheria. Ma se è Cytrox a produrre Predator, l’azienda che ha fornito il software allo Stato si chiama Krikel. Secondo quanto rivelato dal giornale greco Inside Story, per quanto sulla carta siano entità differenti, Krikel e Intellexa sono riconducibili sempre agli stessi uomini d’affari greci molto vicini al governo.

Lo scandalo greco è oggetto dell’attenzione della Commissione d’inchiesta Pega del Parlamento europeo. Quest’ultima è stata costituita nel 2022 per raccogliere informazioni sui sistemi di sorveglianza che violano la Carta dei diritti fondamentali dell’Unione europea. È scaturita dalle rivelazioni del Pegasus Project, inchiesta giornalistica guidata da Forbidden Stories che ha fatto emergere casi di abuso dello spyware Pegasus in Polonia, Ungheria e altri Paesi europei. Quegli abusi hanno però portato a comprendere che il problema è molto più ampio del singolo spyware.

Proprio di recente, alcuni membri della Commissione sono stati in Grecia per approfondire gli effetti della campagna di spionaggio. Secondo le ricerche della Commissione Pega non è tuttavia possibile stabilire nemmeno nei documenti ufficiali chi sia il titolare effettivo dell’azienda, a conferma dell’opacità dell’intera operazione. Krikel ha ottenuto sei contratti con il ministero della Protezione dei cittadini – che ha competenze su lotta alla criminalità, pubblica sicurezza e gestione delle situazioni di emergenza – per gestire la manutenzione di un sistema di comunicazione radio della polizia greca, tecnologie di contro-sorveglianza e altri due sistemi di radio portatili. Sei contratti che l’hanno trasformata da una società con un bilancio a zero nel 2017, a incassare, solo con l’ultima gara, 7,4 milioni di euro nel 2021. Quello stesso anno i servizi segreti ellenici hanno acquistato attraverso Krikel un sistema di intercettazione dell’azienda italiana Rcs Lab, di cui Krikel è rivenditore autorizzato in Grecia. Rcs è stata da poco acquisita dal gruppo Cy4gate, azienda italiana che si pone nel mercato come concorrente dell’israeliana Nso, ovvero la società che sviluppa Pegasus.

«La Grecia è un Paese dove, nel 2021, un solo pubblico ministero che si occupa dell’attività dell’intelligence nazionale ha firmato 15.975 autorizzazioni per le intercettazioni, giustificate da motivi di sicurezza nazionale», ha spiegato alla Commissione d’inchiesta sugli spyware del Parlamento Europeo Thanasis Koukakis, uno dei primi giornalisti finiti nel mirino di Predator. 

Koukakis è un giornalista investigativo specializzato nel settore finanziario. Ad aprile 2022 scopre di essere stato infettato con uno spyware dal 12 luglio al 24 settembre 2021, ma il suo cellulare era già stato posto sotto intercettazione anche nel 2020 per alcuni mesi. Da lì lo scandalo si allarga a macchia d’olio, fino a coinvolgere, stando al report della Commissione Pega, almeno 33 persone. «Giornalisti critici e pubblici ufficiali che combattono contro frodi e corruzione affrontano intimidazioni e ostacoli e non c’è alcuna protezione per i whistleblower», si legge nella versione di bozza, ancora non approvata, del report circolato dopo una conferenza stampa della rapporteur, l’europarlamentare olandese Sophie in ‘t Veld. «Il commercio degli spyware beneficia dal mercato interno e dal libero commercio – prosegue il testo -. Certi Paesi membri sono attrattivi come poli di esportazione dal momento che, nonostante la reputazione dell’Unione europea di essere un regolatore molto rigido, l’applicazione effettiva di tali regole sia debole»

Finora le critiche alle esportazioni dei sistemi di sorveglianza erano legate al fatto che i Paesi destinatari fossero regimi totalitari o repressivi. Invece il caso Predator in Grecia mostra tutte le falle che esistono anche all’interno dell’Unione. A queste fragilità che già esistono da tempo, si aggiunge il fatto che il nuovo regolamento sul controllo dei beni a duplice uso (cioè utilizzabili sia in campo civile che in campo militare) non monitora però il mercato intra-europeo. La maggiore trasparenza resta solo una promessa e di fatto gli Stati membri mantengono un’ampia discrezionalità sulle informazioni che rilasciano riguardo i Paesi verso cui sono esportati i prodotti di sorveglianza.

Tal Dilian, l’ex militare dietro l’“Alleanza”

Le attività di Predator sono note da quasi un anno. A dicembre 2021 i ricercatori del Citizen Lab, un laboratorio interdisciplinare dell’Università di Toronto, hanno segnalato pubblicamente l’esistenza di uno spyware passato fino ad allora inosservato. Analizzandolo i ricercatori hanno scoperto che si chiama Predator e che è prodotto da Cytrox, fino a questo momento sconosciuta. La struttura societaria è labirintica: Cytrox ha iniziato come start-up in Macedonia del Nord ma non sembrano esserci tracce nel registro delle aziende locali, mentre sembra invece registrata in Israele e Ungheria.

Dall’analisi di Citizen Lab emerge la presenza di server – con i quali lo spyware comunica – proprio in Grecia. La conferma arriva anche da un secondo report, pubblicato questa volta dall’azienda statunitense Meta (proprietaria di Facebook e Whatsapp) sempre a dicembre 2021, in cui è indicato un elenco di indirizzi web dai quali, semplicemente con un click, un utente potrebbe consapevolmente “contrarre” l’infezione di Predator sul proprio dispositivo. È questa peraltro la metodologia con la quale comunemente si introduce un malware all’interno del dispositivo di un bersaglio, che viene indotto a cliccare per errore su un indirizzo malevolo. Tra quelli individuati da Meta ne ricorrono alcuni che riprendono i siti delle testate greche Kathimerini e Inside Story: kathimerini[.]news e insider[.]gr[.]com. Meta ha rimosso circa 300 account presenti su Facebook e Instagram collegati a Cytrox e ha sottolineato chiaramente come tra i vari clienti ci sia anche la Grecia.

Come detto, Cytrox fa parte del gruppo Intellexa Alliance – insieme a Nexa Technologies, WiSpear e Senpai Technologies. Intellexa fa la sua prima apparizione pubblica nel 2019, riporta la testata Gizmodo, quando viene presentata alla fiera Idex di Abu Dhabi, evento in cui aziende del settore mostrano i propri prodotti in cerca di nuovi potenziali clienti. Intellexa viene descritta dal fondatore Tal Dilian come un’attività multiservizi che offre una vasta gamma di prodotti per hackerare un obiettivo: dallo sfruttamento di vulnerabilità della rete Wi-Fi fino all’uso di captatori informatici. Certamente una materia che mastica bene Dilian, che nel suo curriculum vanta di essere stato a capo dell’unità 81 dell’esercito israeliano che rappresenta la risposta alla National security agency (Nsa) americana ed è incaricata quindi di intercettazioni.  

Prima di Intellexa, una volta congedato, Dilian crea la Circles, compagnia che nel 2014 finisce sotto l’ombrello di Nso. Circles offriva la possibilità di sfruttare le vulnerabilità della rete telefonica per localizzare una persona in qualsiasi parte del mondo. Persino l’italiana Hacking Team entra in contatto con Circles, come rivelano delle email pubblicate pochi anni dopo da WikiLeaks. Dilian avrebbe incontrato un manager di Hacking Team nel 2013 a Monaco per parlare delle attività tra le due aziende.

Al vertice di Intellexa c’è una holding con sede nelle Isole Vergini Britanniche, Aliada Group Inc, controllata al 32% da un fondo d’investimento israeliano. Aliada è nominata in un caso giudiziario in Israele che risale al giugno 2016 e in cui la società è descritta come «un gruppo di aziende di cyber armamenti prodotti a marchio Intellexa»

Le società collegate a Intellexa

Le capacità di Intellexa sono frutto di una partnership tra diverse aziende, ognuna esperta in un campo specifico. Alcune di queste sono già state coinvolte in operazioni sospette. C’è ad esempio Nexa Technologies/Amesys, società di diritto francese che ha venduto tecnologie di sorveglianza al dittatore libico Muammar Gheddafi nel 2007 e al presidente egiziano Abdel Fattah al-Sisi nel 2014. Il 16 e 17 giugno 2021 quattro suoi dirigenti sono stati accusati dalla Corte di Giustizia di Parigi di essere complici di episodi di tortura e sparizioni forzate in Libia nel 2013 e di sparizioni forzate in Egitto.

Un’altra è la WiSpear – oggi Passitora Ltd – che offre la possibilità di intercettare il traffico delle reti wifi, secondo quanto riportato in una recente inchiesta della testata israeliana Haaretz in collaborazione con la testata greca Inside Story basata su un documento di presentazione dei prodotti del gruppo Intellexa. Proprio WiSpear aveva messo nei guai lo stesso Dilian: a novembre 2021 l’azienda ha ricevuto una sanzione di oltre 900 mila euro per aver raccolto illegalmente dati di identificazione di computer e smartphone che passavano nei pressi dell’aeroporto di Larnaca, a Cipro. Per farlo WiSpear avrebbe usato un furgone equipaggiato con i vari prodotti offerti dall’azienda e che erano persino stati mostrati in una rara intervista rilasciata a Forbes. Dilian è stato inizialmente arrestato ma successivamente rilasciato dopo che il procuratore ha ritirato le accuse nei suoi confronti e di altre due persone legate all’azienda. La Corte Penale di Larnaca ha però inflitto una sanzione di 76 mila euro all’azienda.

E infine c’è Cytrox, che si occupa di estrarre i dati dai dispositivi dei bersagli grazie al suo spyware. Originariamente, nell’intervista a Gizmodo, Tal Dilian ha dichiarato che ci sarebbero altri cinque partner che non sono pubblici. Sempre secondo la presentazione visionata da Haaretz, una quarta azienda cipriota è Poltrex. Non è chiaro quali prodotti offra ma IrpiMedia ha potuto individuare su LinkedIn almeno un suo ex dipendente che subito prima di passare a Poltrex ha lavorato anche per Nso.

Nel 2022 siti e account Twitter specializzati hanno condiviso i documenti relativi a un accordo tra Intellexa e un governo di cui non si conosce l’identità. Secondo Haaretz si tratta di una delle componenti di un pacchetto composto di tre parti: la prima è il sistema di hackeraggio in grado di colpire fino a dieci obiettivi in contemporanea; la seconda è un software, Nova Platform, capace di mettere insieme i dati raccolti con l’attività di spionaggio; la terza – continua Haaretz – prevede la vendita di servizi di supporto e gestione del progetto (fino ad arrivare a fornire supporto tecnico, operativo e metodologico), servizio che secondo la legge israeliana non potrebbe essere venduto. Possono mettere sul mercato tecnologie, infatti, e non servizi. Il pacchetto completo sarebbe ceduto al prezzo di 8 milioni di dollari. 

A luglio 2022 Sophie in ‘t Veld invia per conto di Pega una lettera all’amministratore di Intellexa, chiedendo informazioni sulla struttura societaria e su quale sia precisamente il contesto giuridico al quale è sottoposta. Un portavoce dell’europarlamentare ha confermato a IrpiMedia che al momento non è stata ricevuta alcuna risposta. Nel frattempo si apprende che Europol ha chiesto a cinque Paesi europei se siano state aperte altre indagini sui software Pegasus e Predator.

Il mercato intra-europeo è un colabrodo

Non è la prima volta che un’azienda di sorveglianza straniera riesce a entrare nel mercato europeo direttamente dalla porta d’ingresso nonostante le regolamentazioni esistenti. Intellexa, infatti, è un’alleanza israeliana ma sfrutta le sedi a Cipro e in Grecia, grazie alle sue affiliate, per mettere un piede in Europa. Così come l’israeliana Nso, la quale conta su aziende collegate con sede nei Paesi dell’Unione europea. Una delle chiavi d’accesso al mercato europeo per Nso era proprio la stessa Circles fondata da Dilian.

Nelle mail rubate ad Hacking Team e pubblicate da Wikileaks appare anche un’allora piccola start-up che dichiara di offrire servizi simili a quelli di Circles e che, proprio su modello dell’azienda di Dilian, sta valutando dove aprire la propria sede. Si legge nella mail: «Circles e altri aprono in Paesi come la Bulgaria anche se i fondatori non vengono dalla Bulgaria in modo che l’approvazione delle vendite ai governi sia più facile da un punto di vista dei regolamenti». In altri termini, sfruttando il fatto che la Bulgaria si trova nell’Unione europea: quando l’export di tecnologie di sorveglianza riguarda Paesi intra-Ue infatti il regolamento prevede il rilascio di autorizzazioni solo per specifici prodotti in larga parte non legati a tecnologie di sorveglianza digitale.

Nel 2019 le autorità bulgare, insieme a quelle cipriote, hanno negato di aver concesso licenze di export a Nso, dopo aver ricevuto una richiesta di chiarimenti da parte dell’associazione per i diritti digitali Access Now. Gli uffici di Nso a Cipro usati da Circles sarebbero stati chiusi nel 2020, secondo quanto riportato da Vice che ha parlato con due ex dipendenti. 

In un’audizione, Nso ha spiegato alla Commissione Pega che dodici Paesi Ue utilizzano in totale 15 sistemi Pegasus (la lista è ancora incompleta). Due Paesi europei sono stati in precedenza clienti di Nso ma i loro contratti sono poi stati terminati, presumibilmente per aver abusato dello spyware. Eppure in un’intervista di luglio 2021 l’allora amministratore delegato di Nso, Shalev Hulio, aveva dichiarato che la maggior parte dei 45 clienti dell’azienda proveniva proprio dall’Europa.

Non è chiaro se le vendite di queste tecnologie siano state autorizzate dal governo israeliano, responsabile del monitoraggio di Nso, o se invece la vendita sia partita dagli altri Paesi europei. Nel secondo caso, infatti, non ci sarebbe alcun bisogno di passare attraverso l’approvazione delle autorità governative.

Ad approfittare delle falle nel sistema intra-europeo è anche un’azienda Italiana, Rcs Lab, tra i fornitori storici ufficialmente di sistemi per le intercettazioni, secondo una recente inchiesta di Lighthouse Reports e IrpiMedia anche per la geolocalizzazione da remoto che sfruttano le vulnerabilità della rete telefonica e spyware. 

La Grecia è uno dei mercati dove Rcs Lab si è espansa. Secondo la testata greca Inside Story, la società italiana si sarebbe aggiudicata un appalto del valore di 6,2 milioni di euro che avrebbe dovuto garantire il monitoraggio del traffico voce e dati di 1.100 dispositivi mobili e di 500 linee fisse. Queste specifiche sembrano essere in linea con le descrizioni di Mito, un centro di monitoraggio in grado di mettere insieme e analizzare dati provenienti da fonti diverse, si legge nella brochure del prodotto che Lighthouse Reports ha condiviso con IrpiMedia: registrazioni audio di conversazioni e telefonate, traffico internet, dati dai social network, email, chat, e dati estratti dai dispositivi. Rcs ha precisato via mail che «il sistema “Predator” non è mai stato integrato nella piattaforma Mito, né tantomeno Rcs Lab ha mai avuto esperienze dirette o alcuna conoscenza di tale sistema».

Rcs Lab offre però anche tecnologie per la raccolta diretta dei dati. In un’altra brochure, infatti, l’azienda spiega di avere a sua disposizione sonde per le intercettazioni di traffico telefonico e internet in grado di supportare la sorveglianza di «centinaia di obiettivi simultaneamente». Queste sonde permettono di catturare il classico traffico telefonico oltre al traffico internet. C’è anche la possibilità di raccogliere in maniera massiva i dati di traffico internet e estrarre i metadati per distinguere, ad esempio, tra il traffico generato da applicazioni come WhatsApp, Messenger, Twitter, Skype, o Telegram. 

Rcs non ha fornito risposte o chiarimenti in merito a eventuali legami con l’azienda Krikel e ha sottolineato che le esportazioni dei suoi prodotti «possono avvenire esclusivamente a favore di quei Paesi verso i quali le competenti autorità nazionali forniscono regolare autorizzazione all’esportazione».

Il Ministero degli Esteri italiano ha però dichiarato a IrpiMedia che «l’esportazione di materiali duali intra-UE è libera (a eccezione del settore nucleare), e perciò non è soggetta a licenza da parte della Uama». L’Uama è l’Unità per le autorizzazioni dei materiali di armamento che si occupa del controllo dei beni a duplice uso. La mancanza di trasparenza nelle vendite all’interno dell’Unione europea non è un caso isolato: la carenza di informazioni si riscontra anche sul numero complessivo di autorizzazioni concesse per l’export e sui Paesi di destinazione. Una richiesta di accesso civico generalizzato inviata da IrpiMedia è stata respinta perché un vecchio decreto esclude dall’accesso agli atti l’attività svolta dalla divisione Uama. Il diniego viene ribadito anche nella risposta alla richiesta di riesame presentata da IrpiMedia: non solo i motivi legati alla «sicurezza, alla difesa nazionale, all’esercizio della sovranità nazionale ed alla continuità e alla correttezza delle relazioni internazionali» ne impediscono la diffusione, ma anche perché, secondo il ministero, il nuovo regolamento europeo approvato a settembre 2021 sull’export delle tecnologie a duplice uso sottrarrebbe la sfera di autonomia degli Stati membri in materia a favore dell’Unione europea: il ministero invia i propri dati statistici alla Commissione che li elabora in un report annuale.

Sempre secondo il ministero, la stessa competenza comunitaria sarebbe provata dal fatto che l’Uama non presenta una relazione pubblica al Parlamento italiano, come invece accade per i materiali d’armamento classici. I beni dual-use, come quindi le tecnologie per la sorveglianza, sono considerati ben più riservati di un jet militare. Inoltre, si legge nelle conclusioni della risposta del ministero, che l’esistenza di un report prodotto dalla Commissione europea deve essere considerata sufficiente e scongiurare ogni ipotesi di “buchi neri” della trasparenza in questo settore.

La trasparenza mancata nel nuovo regolamento sull’export

A settembre 2022 la Commissione europea ha presentato un report al Parlamento comunitario riassumendo le attività svolte per quanto riguardo l’attuazione dei controlli sulle esportazioni dell’Ue per i prodotti a duplice uso nel 2021, inclusi alcuni dati aggregati sulle licenze concesse nel 2020.

Con l’aggiornamento al regolamento europeo che disciplina l’esportazione di tali prodotti, entrato in vigore a settembre 2021, l’Ue ha cercato di correre ai ripari introducendo maggiori obblighi sulla trasparenza dei singoli Stati membri per quanto riguarda le licenze di export concesse. Inoltre sono state incluse categorie più ampie come ad esempio le tecnologie per la cyber-sorveglianza e tecnologie biometriche.

Il nuovo regolamento ha introdotto anche un gruppo di coordinamento (Ducg) presieduto da un rappresentante della Commissione e uno per ogni Stato membro con lo scopo di monitorare l’applicazione delle regole per gli export. Il Ducg, si legge nel report di settembre, ha raccolto informazioni dagli Stati europei sulle tecnologie di cyber-sorveglianza esportate nel 2020. I dati mostrano un drastico calo delle licenze di autorizzazione: si passa dalle quasi 200 concesse nel 2017 fino alle 39 del 2020. Sempre nel 2020, si legge nel report, 32 autorizzazioni sono state rifiutate. I dati, purtroppo, sono aggregati e non sono divisi per ciascun Paese europeo, inoltre mancano all’appello anche informazioni sui Paesi di destinazione.

Licenze concesse

Il numero di licenze sulle tecnologie di cyber sorveglianza concesse in Europa dal 2014 al 2020

IrpiMedia è gratuito

Ogni donazione è indispensabile per lo sviluppo di IrpiMedia

I dati riguardano tre categorie di tecnologie specifiche: sistemi per le intercettazioni di telecomunicazioni, sistemi per il monitoraggio della rete internet e sistemi di spionaggio digitale (i cosiddetti spyware). I primi sono sempre in testa nelle esportazioni e sono anche quelli più comuni: si tratta dei classici sistemi per le intercettazioni telefoniche comunemente impiegati dalle forze dell’ordine nei nostri Paesi.

Malgrado i dati siano aggregati, un dettaglio interessante emerge da un altro grafico: considerato il valore economico dei beni esportati per ogni categoria, le tecnologie che rientrano nella categoria telecomunicazioni e sicurezza dell’informazione – in cui rientrano sia dispositivi elettronici usabili in guerra sia sistemi per le intercettazioni e per il monitoraggio dei dispositivi – sono al primo posto, seguite dalla categoria che riguarda i materiali e gli equipaggiamenti nucleari.

Il valore delle licenze

La percentuale del valore delle licenze per ciascuna categoria di beni a duplice uso nel 2020. Le tecnologie di cyber sorveglianza sono al primo posto

Se la trasparenza del ministero degli Esteri è pari a zero, il governo italiano ha però offerto in passato alcuni spiragli sul mercato estero delle proprie aziende di sorveglianza. Claudio Guarnieri, esperto di sicurezza informatica a capo del Security lab di Amnesty International, ha mostrato durante la sua audizione alla Commissione Pega i risultati di una richiesta Foia inviata nel 2019. Il ministero dello Sviluppo Economico, all’epoca incaricato di rilasciare le autorizzazioni dell’export, ha fornito i dati statistici per gli anni 2017 e 2018. In quei due anni, sono state concesse undici autorizzazioni per sistemi o software usati per facilitare o controllare l’intrusione con gli spyware; 21 autorizzazioni per il monitoraggio della rete internet e tre autorizzazioni per sistemi di intercettazione o interferenza della rete mobile.

Confrontando questi dati con quelli raccolti nel report della Commissione europea si nota subito il ruolo giocato dall’Italia in quegli anni: circa il 38% delle autorizzazioni per software di intrusione è stata concessa ad aziende italiane ma la percentuale sale fino al 75% per quelle relative al monitoraggio della rete internet.

In nessun caso viene fornita alcuna informazione relativamente a quali siano i Paesi acquirenti. Il nuovo regolamento sull’export prevede che questi dati debbano essere forniti dagli Stati membri e inclusi nel report finale ma nel regolamento europeo c’è una clausola per cui i Paesi potrebbero decidere di non fornire queste informazioni nel caso in cui si applichino «obblighi in materia di protezione delle informazioni personali, di informazioni commercialmente sensibili o di difesa protetta, di politica estera o di sicurezza nazionale». Il buco nero che, secondo il ministero degli Esteri italiano non dovrebbe essere presente, rischia invece di essere già scritto nel regolamento.

CREDITI

Autori

Lorenzo Bagnoli
Riccardo Coluccini

Editing

Raffaele Angius

In partnership con

Privacy International

Infografiche

Lorenzo Bodrero

Foto di copertina

Metaworks/Getty

I business dell’italiana Cy4gate a sostegno dell’industria della sorveglianza negli Emirati

#Sorveglianze

I business dell’italiana Cy4gate a sostegno dell’industria della sorveglianza negli Emirati

Lorenzo Bagnoli
Riccardo Coluccini

Nel 2019, alla International Defence Exhibition & Conference (IDEX) lo sceicco Mohammed Bin Zayed Al Nahyan, il principe ereditario di Abu Dhabi noto alle cronache giornalistiche con le iniziali Mbz nonché vice comandante supremo delle forze armate degli Emirati Arabi Uniti, visita lo stand di una delle più importanti e note aziende italiane nel settore militare, Elettronica Spa, controllata al 31,33% da Leonardo, il campione italiano dei sistemi di difesa a partecipazione statale. Ad attenderlo, oltre all’amministratore delegato di Elettronica, c’è anche Eugenio Santagata, fino al termine del 2020 amministratore delegato di un’altra azienda che fa parte del gruppo: Cy4gate.

Descritta da molti come una delle eccellenze del mondo tecnologico nostrano, si è lanciata alla conquista di due settori: la difesa informatica e il suo opposto, la capacità di raccogliere dati e permettere intrusioni a scopi di intelligence e di sorveglianza da parte delle forze dell’ordine. A sette anni dalla fondazione, l’azienda partecipata da Leonardo attraverso Elettronica sta acquisendo un ruolo sempre più di primo piano nello scacchiere internazionale dei fornitori di servizi di difesa. Il marchio è relativamente nuovo ma opera in piena continuità con aziende a partecipazione statale anche quando stringe accordi per vendere software non specificati a Paesi come gli Emirati Arabi Uniti, dove la tecnologia è usata come arma di repressione.

Gli affari negli Emirati

IDEX è una delle fiere più importanti tra quelle che si svolgono nei Paesi del Golfo. Ospita aziende da tutto il mondo che vendono armamenti e tecnologie collegate al settore della difesa. Poco dopo la sua nascita nel 2014, Cy4gate è già presente a IDEX 2015 e da allora continua a presenziare alla fiera, insieme ad Elettronica. In un’intervista su Nation Shield, giornale dedicato al mondo militare che si occupa della copertura mediatica dell’evento, Andrea Melegari, Chief Marketing and Innovation Officer di Cy4gate, dichiara a riguardo della presenza dell’azienda e delle aspettative nell’area del Golfo: «C’è stato molto interesse per Cy4gate. Abbiamo in programma una serie di incontri; stiamo prendendo impegni per ulteriori discussioni in futuro».

IrpiMedia è gratuito

Ogni donazione è indispensabile per lo sviluppo di IrpiMedia

L’inchiesta in breve
  • Cy4gate è una società del gruppo Elettronica, partecipata per oltre il 30% da Leonardo. La società si occupa di servizi di intelligence e nasce dall’esperienza di Elettronica. È in un momento di particolare espansione.
  • Da documenti interni e slide di presentazione si scopre che tra i suoi clienti ci sono importanti aziende del fondo sovrano Mubadala, al cui vertice il principe ereditario Mohammed Bin Zayed Al Nahyan (Mbz) ha messo alcuni dei suoi uomini più fedeli.
  • Abu Dhabi, attraverso i suoi fondi sovrani, ha una lunga storia di partecipazioni in aziende italiane. Alcune travagliate, come quella in Piaggio Aerospace.
  • Da subito dopo la sua nascita Cy4gate è attiva all’estero: nel 2015 partecipa all’edizione di IDEX, una delle fiere di settore negli Emirati. Tra i sistemi che ha esportato c’è D-SINT, uno strumento di intelligence che analizza informazioni da fonti aperte che si integra con controversi strumenti di intercettazione che possono essere usati a scopo repressivo. Le autorizzazioni per beni dual-use non sono pubbliche in Italia.
  • Tra i contatti di Cy4gate c’è anche la polizia emiratina, come testimonia la sponsorizzazione di uno dei loro eventi. Partner principale era DarkMatter, altra azienda usata dalla famiglia reale per spiare oppositori e nemici interni, oggi controllata da persone vicine al principe ereditario Mbz.
  • Tra i manager dell’azienda vi sono molte persone con un background nel mondo dell’esercito o che hanno ricoperto ruoli nei carabinieri, come ad esempio il Cto Andrea Raffaelli, nominato nel corso di quest’anno ed ex appartenente ai Ros e presente in passato agli eventi negli Emirati per conto dei Carabinieri.

#Sorveglianze è una serie che indaga su nuovi protagonisti e industria dei think tank del comparto della cybersicurezza in Italia. Nasce dalla collaborazione tra IrpiMedia e Privacy International, organizzazione britannica che si occupa di sorveglianza di massa e difesa dei diritti umani.

Nell’intervista Melegari tesse però anche le lodi di Elettronica e delle attività svolte nel settore dell’electronic warfare, la guerra elettronica: «Senza quel patrimonio e quella forza non saremmo mai arrivati dove siamo».

Secondo quanto riportato da La Verità a febbraio 2019, Cy4gate ha venduto proprio allo sceicco Mohammed bin Zayed Al Nahyan e al fondo Mubadala una piattaforma, chiamata D-SINT, che grazie ad algoritmi di intelligenza artificiale è in grado di monitorare social media, dark web e altre fonti di comunicazione per estrarre informazioni utili, dagli argomenti di cui si discute in rete fino alle partecipazioni di una certa azienda.

La piattaforma, secondo brochure e presentazioni di Cy4gate visionate da IrpiMedia, è uno strumento utile per forze dell’ordine e agenzie di intelligence ma anche per aziende che possono monitorare i social network per valutare l’andamento del proprio brand o ponderare acquisizioni di altre società. Inoltre, come sottolinea La Verità, lo sceicco Mbz «sarà in possesso di uno strumento per fare intelligence riguardo la propria persona». A causa delle instabili condizioni di salute dell’attuale Presidente emiratino Khalifa bin Zayed Al Nahyan, Mbz è considerato di fatto il sovrano degli Emirati. Ha consolidato la propria posizione nominando ai vertici delle aziende di Stato – come Mubadala – persone a lui vicine, allo scopo di controllare soprattutto difesa e cybersorveglianza.

Mubadala è tra i clienti indicati da Cy4gate in alcune slide di presentazione dell’azienda. La società – di proprietà statale – è in realtà un gruppo, composto da diverse entità, che spaziano da fondi di investimento fino ad aziende del settore dell’energia fossile. Una delle più importanti è proprio il fondo che gestisce un portafoglio pari a 243 miliardi di dollari, Mubala Development, il tutto sempre per conto del governo di Abu Dhabi. Mbz ne è il presidente.

Il trono di spade degli Emirati Arabi

I fragili equilibri che regolano i rapporti tra gli sceicchi degli Emirati, tra legami di sangue e ambizioni

Scheletri nell’armadio per D-SINT

La piattaforma D-SINT acquistata dal governo di Abu Dhabi in passato non sembra essersi limitata alla sola raccolta di dati di intelligence indicata dalla brochure. La prova è in alcune email di Hacking Team (HT), leader italiano nel settore delle intrusioni informatiche diventato Memento Labs dopo lo scandalo di cui è stato protagonista. Le corrispondenze dei manager di HT erano infatti state pubblicate da Wikileaks dopo l’attacco informatico effettuato dall’hacktivista Phineas Fisher nel 2015.

Si legge che Santagata e altri rappresentanti di Cy4gate sono in stretto contatto con l’azienda milanese per organizzare varie presentazioni e dimostrazioni dei propri prodotti a possibili acquirenti. Si legge di delegazioni da Singapore, incontri in Pakistan e richieste di preventivi da parte del Qatar.

In una email di maggio 2015, nelle fasi che precedono la proposta di un’offerta a un potenziale acquirente legato all’intelligence dell’Arabia Saudita, Santagata chiarisce a David Vincenzetti, allora amministratore delegato di HT, come il software di Cy4gate D-SINT si possa integrare alla piattaforma per le intercettazioni legali di Hacking Team, Rcs. Santagata lo spiega in termini tecnici e si riferisce a D-SINT come «la nostra suite sviluppata in elt/cy4gate che chiamiamo D-Sint».

La passione italiana di Mubadala

La rete diplomatica degli Emirati Arabi Uniti si sviluppa attraverso commesse, partecipazioni e protocolli d’intesa siglati da società e fondi che rappresentano il governo di Abu Dhabi, come Mubadala, conglomerato specializzato nello sviluppo di nuove tecnologie da applicare soprattutto nell’ambito della difesa.

Il fronte più dinamico in questo momento sembra essere quello della sicurezza informatica, dove Cy4gate si sta ritagliando un ruolo sempre più importante. Mubadala è inserito nella lista clienti dell’azienda del gruppo Elettronica e da quanto si può ricostruire attraverso i bilanci esiste una commessa statale che anticipa l’inizio di un export di tecnologie a marchio Cy4gate ad Abu Dhabi.

Le relazioni tra Cy4gate ed Emirati sono cominciate almeno tre anni prima attraverso Injazat Data System, società all’epoca al 100% di Mubadala, oggi di proprietà di una società tra i cui azionisti c’è anche il fondo emiratino. Injazat si occupa di cloud, trasformazione digitale e sicurezza informatica. Nel bilancio 2019 Cy4gate sottolinea una «difficoltà manifesta» nell’incassare «il credito verso la società Injazat Data System per lavorazioni effettuate nel corso del 2016». Injazat collabora anche con Thales, multinazionale francese tra i leader nel settore della difesa, aerospazio, e sicurezza, socia per altro di Elettronica Group. Nel 2013, infatti, l’azienda francese ha avviato una collaborazione con Injazat per un sistema di sicurezza informatica all’avanguardia. Inoltre nel 2017 Injazat ha collaborato con il Ministero dell’Interno degli Emirati per installare dei sistemi di sorveglianza intelligenti all’interno degli edifici.

Secondo quanto dichiarato da Cy4gate a IrpiMedia, nel caso di Injazat è stata venduta la stessa piattaforma acquistata da Mubadala, D-SINT, configurata in modo da essere idonea «all’impiego in ambito corporate», cioè per utilizzo aziendale.

In Italia il fondo emiratino Mubadala ha una presenza strategica che dura da tempo anche al di là del cyberspazio. Nel settore bancario ha investimenti in Unicredit (all’epoca l’amministratore delegato era Alessandro Profumo, oggi a Leonardo); in quello energetico ha sottoscritto accordi con Eni e Snam rispettivamente per la riduzione delle emissioni di anidride carbonica e per «collaborare su iniziative congiunte di investimento e sviluppo sull’idrogeno», come recita il comunicato stampa pubblicato da Snam. Nel settore di sicurezza e difesa, Mubadala ha siglato un memorandum con Leonardo per rafforzare la collaborazione per lo sviluppo di nuovi aerei da guerra per rimpiazzare la flotta emiratina.

Nonostante la lunga durata, i rapporti bilaterali tra Italia ed Emirati sono spesso burrascosi. Nel 2021 si sono raffreddati al punto che, a fine giugno, i militari italiani sono stati costretti a lasciare la base di Al-Minhad, vicino a Dubai, uno degli altri setti Emirati. Causa scatenante della crisi è stata la decisione del Governo di Giuseppe Conte, nel gennaio 2021, di revocare la licenza di export delle bombe italiane all’Arabia Saudita, Paese in guerra con lo Yemen, e agli stessi Emirati, ufficialmente usciti dal conflitto nel 2020, dopo cinque anni. Ad agosto la Commissione esteri della Camera ha espresso parere favorevole al rilancio della «cooperazione strategica» con gli Emirati, ridimensionando di fatto il blocco.

Prima di questo caso, nel 2018, era stato lo sviluppo di un drone a provocare contrasti diplomatici e a far saltare importanti commesse. Protagonista ancora Mubadala: il fondo nel 2006 è entrato nell’azionariato del marchio Piaggio Aerospace, che comprende i complessi industriali Piaggio Aero Industries Spa e Piaggio Aviation Spa. Nel 2014 ne è diventato l’unico proprietario, dando impulso in particolare allo sviluppo di un drone: il P.180, detto Hammerhead. Il progetto, riporta il sito specializzato Defense News, prevedeva che anche l’Italia acquistasse alcuni di questi velivoli senza pilota, nonostante la contrarietà dell’esercito che lo riteneva inutile. Alla fine la commessa italiana è saltata, mettendo in crisi Piaggio Aerospace che a dicembre 2018 è entrata in amministrazione straordinaria per volere degli investitori emiratini. Al momento l’azienda è in cerca di acquirenti e da tempo il fondo emiratino propone a Leonardo di diventare socio al 50%.

Mubadala, il fondo sovrano conteso

Tra i sette emirati il controllo del fondo sovrano Mubadala è di fatto esercitato da Mohamed bin Zayed Al Nahyan (Mbz), sceicco di Abu Dhabi

Elt fa riferimento a Elt Roma e Elt Gmbh, due delle aziende che insieme a Cy4gate formano il gruppo Elettronica. Elt GmbH ha base in Germania e si occupa del settore della sicurezza nazionale e delle attività di polizia. Elt Roma è invece la storica azienda da cui poi si è sviluppata Elettronica Group. Si occupa di intelligence, sorveglianza, attacchi elettronici e, in generale, di Electronic Warfare. Quando Santagata scrive «elt/cygate» non fa altro che ribadire che la paternità di Cy4gate è del gruppo Elettronica. Questo scambio di email tra amministratori delegati suggerisce che la piattaforma D-SINT, almeno nel 2015, fosse in grado di includere anche dati raccolti da spyware, quindi tramite una intrusione su un dispositivo bersaglio, come quello prodotto da Hacking Team, e non solo dati presenti sul web o attinti da database privati, come invece si legge nella brochure di presentazione più recente. Da un punto di vista dell’intelligence, poter analizzare direttamente in un’unica piattaforma tutte le informazioni è chiaramente molto più rapido e utile.

Questa capacità è in parte confermata anche da un’immagine, pubblicata in un articolo del generale Vincenzo Santo per il sito ReportDifesa, dove è riportata l’architettura del sistema D-SINT. I dati raccolti e analizzati provengono da Twitter, Facebook, Instagram, YouTube, siti nel Deep Web ma anche dati che provengono da attività di SIGINT, ELINT, COMINT, o da database forniti dai clienti. Queste sigle indicano attività di intelligence che permettono la raccolta di informazioni intercettando segnali (Signal Intelligence) che possono essere collegati alle comunicazioni (Communication Intelligence) o ad altri segnali elettronici (Electronic Intelligence) come quelli di posizione di navi o altre categorie di comunicazioni usate in ambito militare e che non sono quelle tradizionali che usiamo quotidianamente.

#Sorveglianze

L’eterna lotta tra il bene e il malware

L’Ue fatica a regolamentare l’export dei beni a duplice uso, e anche le inchieste giudiziarie sugli export illeciti non danno risultati. Parla il manager di Area spa: il suo caso insegna ancora molto

Screenshot tratto da una brochure successiva al 2016 del software sviluppato da Cy4gate: D-SINT Plus. Si tratterebbe di una versione pensata specificamente per le attività di intelligence e delle forze dell’ordine in grado di analizzare i dati delle comunicazioni GSM e satellitari, delle attività di intercettazione e dei flussi di audio

Inoltre, alcune vecchie brochure risalenti al 2016 – secondo le analisi effettuate da IrpiMedia – offrono descrizioni dettagliate su queste tipologie di dati: ci sono i dati delle comunicazioni GSM e satellitari, i dati legati alle attività di intercettazione delle forze dell’ordine e dell’intelligence sui dispositivi, e i flussi di audio che sono convertiti in testo. Queste capacità aggiuntive sono in alcuni casi associate a un prodotto che si chiama D-SINT Plus.

Vuoi fare una segnalazione?

Diventa una fonte. Con IrpiLeaks puoi comunicare con noi in sicurezza

Al momento, sul sito di Cy4gate gli unici prodotti pubblicizzati relativi a D-SINT sono le due versioni del cruscotto informativo che permette di visualizzare i dati. Il prodotto si chiama QUIPO ed è offerto sia alle aziende che alle agenzie dei governi e forze dell’ordine. Cy4gate ha dichiarato a IrpiMedia che la piattaforma D-SINT gestisce dati disponibili pubblicamente online e che alla piattaforma «possono essere collegati, altresì, database gestionali aziendali che il cliente decide di voler utilizzare come ulteriori fonti ad integrazione di quelle open source». L’azienda sottolinea inoltre che «la piattaforma D-SINT non è utilizzata per attività di lawful interception» – ovvero per effettuare le intercettazioni a scopi di attività di polizia.

Secondo quanto dichiarato da Cy4gate, la piattaforma usata da Mubadala e dallo Sceicco Mbz non prevede la possibilità di analizzare dati provenienti da intercettazioni «in quanto non sono mai state sviluppate tali funzionalità per il sistema D-SINT».

Abusi e sorveglianza digitale negli Emirati

Le violazioni dei diritti umani sono ampiamente documentate negli Emirati, ormai da anni. In alcuni casi, le repressioni contro attivisti e minoranze di ogni genere sfruttano anche un apparato di sorveglianza tecnologica che è cresciuto negli anni grazie all’aiuto di aziende statunitensi e, successivamente, locali. Secondo un’inchiesta di Reuters, dal 2009 ex agenti dei servizi segreti statunitensi hanno collaborato al Project Raven, una squadra segreta di esperti informatici che aveva il compito di aiutare gli Emirati Arabi Uniti nella sorveglianza di altri governi e attivisti dei diritti umani. Sfruttando la conoscenza acquisita lavorando per l’intelligence statunitense, queste persone erano in grado di infettare computer e smartphone dei “nemici” degli Emirati.

Per approfondire

Il glossario della cybersecurity

Una rassegna dei termini più comuni all’interno del settore della cyber sicurezza

Alcuni dei membri del Project Raven sono stati reclutati dall’azienda di cyber security CyberPoint e, successivamente, nel 2016 si sono trovati a dover decidere se ritornare negli USA o accettare di passare sotto un nuovo datore di lavoro: l’azienda DarkMatter con base a Abu Dhabi, una delle più controverse società del Paese. Oggi è partecipata da uno dei fondi del governo di Abu Dhabi al cui vertice lo sceicco Mbz ha nominato uomini di più stretta fiducia, dopo qualche contrasto con una fazione avversa della famiglia reale a gennaio 2021.

DarkMatter è nota per i suoi tentativi poco ortodossi di reclutare esperti informatici. In un caso, documentato da The Intercept nel 2016, il ricercatore di sicurezza informatica Simone Margaritelli aveva sostenuto un colloquio di lavoro con un rappresentante dell’azienda, il quale aveva descritto un progetto per monitorare le comunicazioni internet delle principali città degli Emirati, a beneficio della sicurezza nazionale. Margaritelli ripercorre in un post sul suo blog la vicenda e riporta uno degli obiettivi del sistema come glielo ha raccontato il rappresentate di DarkMatter: «Immagina che ci sia una persona di interesse al Dubai Mall, abbiamo già piazzato tutte le nostre sonde in tutta la città, premiamo un pulsante e BOOM! Tutti i dispositivi del centro commerciale sono infettati e rintracciabili».

Secondo Reuters, gli operatori di Project Raven avrebbero anche sfruttato una piattaforma chiamata «Karma» che avrebbe permesso di installare uno spyware negli iPhone di centinaia di attivisti, capi di stato e sospetti terroristi. Sempre secondo Reuters, tra le vittime illustri vi sono la moglie dell’attivista e blogger Ahmed Mansoor; l’emiro del rivale Qatar Tamim bin Hamad al-Thani e Tawakkul Karman, premio Nobel per la pace e una dei leader del movimento di protesta della Primavera Araba in Yemen.

A settembre 2021, tre ex militari membri dell’Intelligence degli Stati Uniti hanno patteggiato più di 1,68 milioni di dollari per risolvere le accuse legate alla fornitura di servizi di hacking a un governo straniero, in particolare per il lavoro svolto con DarkMatter per infettare computer e smartphone in tutto il mondo, Stati Uniti inclusi.

Cy4gate, DarkMatter e i contatti con la polizia degli Emirati

Un altro elemento controverso è il legame, seppur indiretto, tra Cy4gate e DarkMatter. Se ne trova traccia nel 2016, quando Cy4gate ha preso parte alla conferenza Future Police Technology di Abu Dhabi, il cui partner strategico dell’evento era il Ministero dell’Interno emiratino. Cyber Security Innovation Partner è DarkMatter mentre Cy4gate appare tra gli sponsor.

L’evento si inserisce nella UAE Vision 2021 National Agenda, iniziativa che ha l’obiettivo di rendere gli Emirati «il Paese più sicuro al mondo». Tra i benefici dell’essere sponsor dell’evento, si legge su una pagina archiviata del sito, c’è la possibilità di «espandere il proprio network di contatti e potenziali clienti nel settore delle forze di polizia degli UAE» e dimostrare il proprio interesse nel mercato locale oltre a «costruire la credibilità del proprio brand nella regione».

Un fotogramma tratto da un video caricato su YouTube relativo alla conferenza Future Police Technology che si è svolta ad Abu Dhabi nel 2016. Nel video, alle spalle dei relatori, si può notare il logo di Cy4gate insieme a quello degli altri sponsor dell’evento

Non è chiaro se anche rappresentanti di Cy4gate abbiano partecipato all’evento del 2016 ma il neo nominato, nel 2021, CTO di Cy4gate, Andrea Raffaelli, era presente già allora rivestendo il suo precedente ruolo: Comandante del Reparto Indagini Informatiche Telematiche presso il Raggruppamento Operativo Speciale Carabinieri (ROS). In un’intervista svolta durante l’evento Raffaelli sottolinea l’importanza dell’evento perché «questo tipo di innovazioni e tecnologie potrebbero essere molto utili per individuare e fermare molte minacce criminali».

L’azienda ha dichiarato a IrpiMedia che in quell’occasione «non sono stati siglati accordi per future vendite».

L’export di tecnologie dual-use e le licenze di Cy4gate

Anche se l’azienda dice di no, D-SINT, almeno nelle descrizioni del passato, sembra poter essere usato anche per analizzare informazioni raccolte tramite spyware di terze parti. D-SINT non fa quindi direttamente l’intercettazione ma potrebbe ricevere e analizzare i dati raccolti dagli spyware sviluppati da altre aziende. La storia recente di abusi effettuati negli Emirati dovrebbe quindi sollevare preoccupazioni rispetto a questi particolari clienti. Per di più, la vendita della piattaforma D-SINT non sembra essersi fermata a Mubadala. In un’intervista del 2017 al giornale Nation Shield Massimo Antonio de Bari, capo del gruppo Elettronica Group negli Emirati, dichiara che «molte aziende, anche negli Emirati Arabi Uniti, stanno usando D-SINT con successo» non solo per le attività di intelligence.

Cy4gate sviluppa anche Epeius, un proprio sistema per le intercettazioni che però, secondo quanto riportato dal magazine Intelligence Online, sarebbe alquanto carente dal punto di vista delle capacità di essere installato senza che le vittime debbano cliccare un link, i cosiddetti attacchi di tipo 0-click.

Oltre 10 anni di tentativi (falliti) di regolamentare l’export della sorveglianza

Sia Palantir, sia soprattutto NSO – pur essendo due delle aziende più note nei rispettivi settori – sono anche l’emblema di tutti i rischi della gestione delle tecnologie di sorveglianza: abusi da parte di dittatori e governi, raccolta indiscriminata di informazioni anche dai social network, monitoraggio costante del dissenso e delle proteste di attivisti e cittadini. Tutto questo senza che i regolamenti in materia di export di tecnologie siano riusciti a mantenere sotto controllo la proliferazione di queste tecnologie.

Il 2021 è stato l’anno degli scandali legati allo spyware Pegasus, prodotto da NSO. Un software che può monitorare le comunicazioni, gli spostamenti ed estrarre copia di tutti i dati presenti su uno smartphone, e l’inchiesta di Forbidden Stories ha mostrato che è usato contro giornalisti, dissidenti, e ministri in tutto il mondo. Gli effetti dell’inchiesta continuano a vedersi: le ultime vittime ufficiali sono sei attivisti palestinesi che sono stati monitorati tra il 2020 e il 2021 con Pegasus.

La discussione su come controllare queste tecnologie di sorveglianza, però, è oramai più che decennale. Nel 2009 l’Unione europea ha introdotto un regolamento che prevede l’autorizzazione da parte dei singoli stati membri per l’esportazione dei «prodotti a duplice uso» ovvero tutti quei prodotti, inclusi software e tecnologie, che possono avere un utilizzo sia civile sia militare. Le modalità di controllo, la trasparenza degli Stati, e la definizione dei prodotti inclusi nella lista sono sempre stati dei punti deboli. Quindi, malgrado il regolamento, sono subito emersi abusi come quello legato al software prodotto dall’azienda tedesca FinFisher usato contro attivisti del Bahrain e documentato nel 2012.

Nel 2014 la Commissione europea ha annunciato un aggiornamento della lista di beni di uso duale, introducendo controlli per nuove categorie come gli spyware e quelle tecnologie che permettono di monitorare il traffico internet. Nel 2016 però in Italia esplode il caso Area SpA, azienda di Varese che secondo gli inquirenti avrebbe venduto tecnologie per monitorare il traffico internet ai servizi segreti siriani tra il 2010 e il 2011. Il Ministero dello sviluppo economico ha confermato in risposta a un’interrogazione parlamentare nel 2017 che Area aveva ottenuto regolare autorizzazione per l’export e che quelle tecnologie ancora non rientravano nelle categorie controllate secondo l’aggiornamento avvenuto solo nel 2014.

L’anno seguente il Ministero dello Sviluppo Economico ha revocato la licenza di esportazione verso l’Egitto ad Area, grazie anche alla pressione di organizzazioni della società civile. Poco prima della revoca, un’inchiesta di Al Jazeera, dal nome Spy Merchants, aveva mostrato quali stratagemmi usano le aziende del settore per evitare i controlli, sfruttando ad esempio aziende terze in Paesi dove è possibile esportare e bypassando di fatto ogni controllo. E altre inchieste giornalistiche hanno continuato a mostrare le maglie troppo larghe del regolamento sull’export: Security for Sale ha mostrato come dal 2014 al 2017 gli Stati membri dell’Ue hanno permesso l’export di tecnologie di sorveglianza anche verso Paesi totalitari o dove le libertà sono parzialmente compresse.

Nel frattempo i casi legati agli abusi delle tecnologie hanno continuato a moltiplicarsi in tutto il mondo: dal Messico dove ci sono tracce dell’attività dell’azienda italiana Hacking Team fino al Marocco e il Myanmar.

Il più recente tentativo di porre sotto controllo questo tipo di prodotti è l’aggiornamento al regolamento europeo sull’export di tecnologie dual-use, adottato dal Parlamento europeo a marzo 2021, con cui l’Ue ha cercato di correre ai ripari introducendo maggiori obblighi sulla trasparenza dei singoli stati membri per quanto riguarda le licenze di export concesse, e inoltre sono state incluse categorie più ampie come ad esempio le tecnologie per la cyber sorveglianza e tecnologie biometriche. Associazioni che si occupano di diritti umani, come Access Now, Amnesty International, Committee to Protect Journalists, FIDH (International Federation for Human Rights), Human Rights Watch, Privacy International, Reporters Without Borders (RSF) hanno subito sottolineato però che questo regolamento rischia comunque di essere carente.

Eppure, secondo un documento che descrive le capacità dei prodotti di Cy4gate, Epeius non avrebbe di questi problemi, prevedendo diverse modalità per infettare un dispositivo: infezioni da remoto sfruttando l’invio di link malevoli oppure con 0-click (un’installazione silenziosa che non richiede alle vittime di cliccare alcun link), e persino infezioni da locale. Capacità simili si trovano anche nello spyware Pegasus, venduto da NSO, e già coinvolto in abusi negli Emirati.

Cy4gate precisa in un documento di essere in possesso di «Autorizzazioni Specifiche Individuali nei confronti di ciascuno dei propri clienti esteri» poiché «taluni dei prodotti esportati sono classificabili come “materiali d’armamento”».

Questo tipo di autorizzazioni, si legge sul sito del Ministero degli Esteri, sono rilasciate su parere di un Comitato consultivo interministeriale, emesso di volta in volta. Nella domanda per l’export devono essere inclusi copia del contratto di riferimento e una dichiarazione di uso finale. IrpiMedia ha chiesto all’Unità per le autorizzazioni dei materiali di armamento (UAMA) del Ministero degli Esteri (MAECI) dettagli sulle autorizzazioni fornite a Cy4gate. Un portavoce dell’Ufficio Stampa del Ministero degli Esteri ha dichiarato a IrpiMedia che non sono state rilasciate licenze all’azienda per esportare negli Emirati.

Nel suo documento Cy4gate non chiarisce però esattamente per quali prodotti è in possesso delle autorizzazioni all’export: se nel caso dello spyware Epeius è facile definire la categoria di bene a duplice uso (cioè utilizzabile sia in campo civile sia in campo militare), per D-SINT è un po’ più complicato. Cy4gate ha dichiarato a IrpiMedia di non essere in possesso di alcuna licenza di export attiva verso gli Emirati in quanto «D-SINT è classificato “civil good” e non richiede export control» ovvero non ricade sotto le tipologie di prodotti che necessitano di licenza per le esportazioni.

IrpiMedia è gratuito

Ogni donazione è indispensabile per lo sviluppo di IrpiMedia

Alla luce delle vicende di abusi e sorveglianza digitale negli Emirati, Cy4gate ha ribadito a IrpiMedia che il «D-SINT accede alle sole sorgenti pubbliche, e quindi, per quel che riguarda i dati reperiti sui social media, esclusivamente ai profili pubblici. Risulta chiaro di conseguenza che il D-SINT non abilita in alcun modo l’utilizzatore a praticare eventuali violazione del diritto di privacy di terze parti». «Cy4gate si attiene scrupolosamente alle normative nazionali ed internazionali vigenti in materia», ha aggiunto l’azienda.

L’EU Non-Proliferation and Disarmament Consortium, un gruppo istituto dal Consiglio dell’Unione europea che raccoglie centri di ricerca e think tank che si occupano di regolamentazioni di armamenti e tecnologie, ha pubblicato uno studio che analizza il nuovo regolamento europeo sull’export di tecnologie a duplice uso introdotto a marzo 2021. In una tabella dove si fa un confronto dei momenti in cui diverse tecnologie per la sorveglianza digitale sono state incluse nelle liste di materiali a duplice uso, i ricercatori sottolineano che l’Ue ha incluso nella lista già dal 2020 i monitoring centre, ovvero sistemi a disposizione delle forze dell’ordine e delle agenzie di intelligence per raccogliere, conservare e analizzare diverse forme di dati di comunicazione provenienti da varie fonti. La piattaforma D-SINT sembra poter offrire capacità simili, almeno nelle descrizioni del passato. Se ciò fosse ancora valido D-SINT dovrebbe rientrare sotto il controllo dell’UAMA in quanto applicazione di tipo “dual-use”.

Negli anni le storie di abusi di sistemi per le intercettazioni e per la sorveglianza hanno sollevato anche il problema di come sincerarsi che, una volta venduto il software e appurato l’abuso, ci sia un modo per bloccarlo e prevenire ulteriori pericoli. È successo con i software per l’estrazione dei dati dagli smartphone come nel caso del Myanmar. Su questo punto, qualora i sistemi venissero abusati da un cliente, Cy4gate dichiara di avere la possibilità di disabilitare la licenza del software impedendo la ricezione di nuovi aggiornamenti ma, fino al termine della scadenza della licenza, il sistema può continuare ad essere utilizzato.

CREDITI

Autori

Lorenzo Bagnoli
Riccarco Coluccini

Ha collaborato

Infografiche & Mappe

Lorenzo Bodrero

Editing

Luca Rinaldi