Strumenti che eludono la cifratura, tecnologie di intercettazione, software spia: sono i cosiddetti prodotti a duplice uso, ovvero che possono funzionare sia in ambito civile che militare, e che il Parlamento europeo vorrebbe proporre di limitare pesantemente, se non vietare del tutto. Il problema di questi prodotti, sviluppati da aziende che orbitano nei campi della difesa e dell’intelligence, è che una volta acquistati dai governi possono essere usati sia nella lotta al terrorismo e al crimine che come strumento di repressione interna contro giornalisti e attivisti. E normarne diffusione e commercializzazione è stato finora uno sforzo frustrante e inefficace.

Il tentativo più recente per normare efficacemente questo settore è con l’aggiornamento al regolamento sull’export di settembre del 2021: l’Unione europea ha cercato di rafforzare i controlli e obbligare gli Stati membri a maggiore trasparenza in merito alla concessione dei lasciapassare per vendere una tecnologia all’estero, le licenze per l’export.

Tuttavia, il mondo delle tecnologie dell’intelligence support systems (Iss, dall’inglese: sistemi di supporto dell’intelligence) non si compone delle sole aziende produttrici ma anche di soggetti intermediari che rivendono i prodotti, soggetti che spesso sono legati ai governi che li acquistano. Le leggi sul controllo dell’export, modificate solo dopo anni di scandali, non sono riuscite a prendersi carico delle possibili scappatoie alla licenza, come l’uso di intermediari o lo scambio di lasciapassare tra aziende dello stesso gruppo commerciale. Trovare il punto di equilibrio è difficile: il legislatore deve tenere conto, da un lato, della trasparenza necessaria rispetto all’uso di strumenti potenzialmente molto pericolosi e, dall’altro, della necessità degli utilizzatori finali delle tecnologie – per lo più agenzie appartenenti agli stessi governi, europei e non – di mantenere un certo grado di segretezza.

I timori legati a queste tecnologie non sono solo teorici: negli anni si sono susseguiti casi di abuso contro giornalisti, dissidenti, attivisti e politici. La sorveglianza digitale è diventata sempre più uno strumento di repressione nelle mani di governi di tutto il mondo, dalla Spagna al Messico, passando per Israele e il Vietnam. Il primo regolamento europeo sull’export è del 2009 e da allora sono state aperte diverse inchieste, alcune mai chiuse, sulla legittimità o meno della vendita all’estero di un certo prodotto. C’è stata qualche sanzione, ma la strada dei procedimenti penali si è dimostrata per lo più lunga e inefficace.

Le inchieste sui big della sorveglianza

Ogni anno a Praga, Repubblica Ceca, si tiene l’edizione europea della più importante fiera dell’industria della sorveglianza: Iss World Europe (le altre edizioni si tengono in Asia, Sud America, Nord America e Medio Oriente). Attraverso questi eventi, le aziende si presentano e raccolgono i contatti per poi partecipare alle gare d’appalto. Un elemento molto particolare unisce buona parte delle aziende presenti: una larga parte degli abituali protagonisti della fiera è, oppure è stata, toccata da qualche scandalo o indagine giudiziaria. A cominciare dallo sponsor principale dell’edizione 2023, NSO Group: l’azienda israeliana sviluppa il software spia Pegasus, noto a seguito del Pegasus Project per i numerosi scandali e abusi ai danni di attivisti e giornalisti in varie parti del mondo.

Nonostante le ingenti perdite causate dalla sospensione degli scambi commerciali con gli Stati Uniti decisa a novembre 2021 dall’amministrazione di Joe Biden, in Europa NSO continua ad avere un ruolo di primo piano.

Tra gli sponsor associati dell’edizione 2023 c’è Intellexa, la società coinvolta nello scandalo PredatorGate in Grecia; ci sono le israeliane Elbit System, che produce anche bombe a grappolo e per le quali ha perso l’investimento del più grande fondo pensionistico norvegese lo scorso marzo, e Candiru, che secondo due report di Microsoft e Facebook del luglio 2021 e del dicembre 2022 avrebbe infettato i device di oltre cento persone (tra cui anche giornalisti, attivisti e oppositori politici in Palestina, Iran, Libano e Yemen), creando almeno 130 account finti rimossi da Facebook. C’è la britannica Bae System, che nel 2017 è stata al centro di un’inchiesta giornalistica per aver venduto spyware utilizzati contro oppositori politici in Arabia Saudita, Emirati Arabi Uniti, Oman, Qatar, Algeria e Marocco.

Ancora, la tedesca Utimaco, la cui tecnologia per le intercettazioni è stata venduta attraverso la norvegese Telenor alla Birmania nel 2021 e si teme sia stata usata dal regime contro i dissidenti politici. Quando si esporta, quindi, spesso si finisce coinvolti in scandali o inchieste giudiziarie, anche a causa dell’incertezza dei regolamenti. Di certo è molto difficile per gli investigatori provare responsabilità precise, e i processi raramente hanno risultati che vadano al di là del clamore mediatico per l’inopportunità di certe relazioni commerciali.

Tra gli sponsor di Iss World Europe 2023 ci sono anche tre importanti aziende italiane: Rcs, Ips e Area, anche loro coinvolte in passato in controversie dall’esito interessante. La prima ha sviluppato Hermit, uno spyware impiegato in Italia e Kazakistan, Paese con alle spalle una lunga storia di spionaggio nei confronti degli oppositori politici. Ips e Area invece nel 2017 sono state protagoniste del documentario Spy Merchants, prodotto da Al Jazeera, che ha mostrato grazie a un collaboratore sotto copertura il modo in cui all’epoca le aziende proponessero ai propri clienti di aggirare i controlli sull’export grazie a società consociate presenti all’estero.

Nel caso di Area, svela Al Jazeera, la vendita verso un Paese sotto embargo, il Sud Sudan, si sarebbe conclusa grazie al passaggio in un Paese terzo, la Turchia, dove è presente un partner dell’azienda. Per Ips invece la vendita in Iran passa attraverso un’altra azienda associata, Resi. Tra le persone coinvolte nell’inchiesta c’era anche il vicepresidente di Area.

In un’intervista con IrpiMedia, il fondatore e allora amministratore delegato di Area Andrea Formenti – oggi a capo del gruppo che la controlla, A+ – chiarisce che il caso svelato da Al Jazeera ha riguardato in realtà «un’iniziativa personale» di un ex dipendente che apparteneva alla parte commerciale, il quale ha successivamente lasciato l’azienda per questa e altre ragioni. «Quella iniziativa si sarebbe comunque arenata non appena portata sul tavolo per una pre-offerta», rassicura Formenti.

In ogni caso ad Area non è stata notificata alcuna notizia di reato. Formenti spiega che l’espansione verso il mercato estero è stata una scelta fatta alcuni anni dopo aver fondato l’azienda. Davanti a loro c’erano due strade: ampliare la tipologia di clientela stando in Italia e rivolgendosi così al mondo delle imprese o «provare a proporre (i propri prodotti, ndr) alle autorità ma su scala internazionale». La scelta è caduta sulla seconda opzione. Con l’espansione all’estero, sono arrivate anche le inchieste giudiziarie.

Cinque anni per un’archiviazione

La giustizia italiana ha cominciato a occuparsi di Area alla fine del 2012, quando un’indagine della procura di Milano ha ipotizzato il reato di finanziamento di condotte con finalità di terrorismo, legato alla vendita di tecnologie di sorveglianza al regime siriano. Vista l’assenza di prove precise in merito, l’indagine è stata derubricata a violazione del regolamento sull’export. Il timore era che a usare la tecnologia fosse l’intelligence siriana contro gli oppositori politici. Anche in questo caso non è emerso niente e la stessa procura ha chiesto e ottenuto l’archiviazione del procedimento dopo cinque anni, nel 2018. Il tempo trascorso, per via dell’eco avuto dalla notizia, è costato caro all’azienda sul piano della reputazione.

Per approfondire

Questa storia così datata, rivela però i problemi insiti nei meccanismi di controllo sulle esportazioni delle tecnologie di sorveglianza, oltre che un’enorme discrepanza per quanto riguarda la gestione delle licenze sulle esportazioni, anche tra Paesi europei. Il progetto di Area in Siria chiamato Asfador, prevedeva anche l’export di prodotti sviluppati da un’azienda francese, Qosmos, e da una tedesca, Utimaco. Avrebbe garantito, secondo le ricostruzioni giornalistiche, un sistema di monitoraggio in tempo reale della rete siriana: da un centro per le intercettazioni fino alle sonde per monitorare il traffico internet, inclusa la cattura e archiviazione delle e-mail. Del progetto però non si è fatto nulla.

Su Utimaco in Germania non è stata aperta alcuna indagine, mentre per Qosmos in Francia è arrivata nel dicembre 2020 l’archiviazione dall’accusa di complicità nelle torture ai danni della popolazione siriana. In quest’ultimo caso, il focus dell’indagine non era quindi la violazione delle norme sull’export ma il rischio che i sistemi di sorveglianza avessero facilitato l’individuazione degli oppositori che sarebbero poi stati catturati e torturati dal regime.

Per l’Italia, invece, le accuse riguardano solamente la violazione delle norme sull’export e lo scenario geopolitico non entra nella valutazione. Si legge infatti nel testo dell’archiviazione: «Solo dal 01.01.2015 il sistema di sorveglianza delle comunicazioni su rete funzionante con protocollo Internet (IP) veniva inserito nel catalogo dei prodotti dual use», quattro anni dopo l’inizio della guerra.

Formenti, durante l’interrogatorio con la pm di Busto Arsizio Francesca Parola, ha spiegato che per tutelarsi, essendo anche una delle prime operazioni internazionali dell’azienda, Area aveva chiesto un’autorizzazione al Mise (Ministero dello sviluppo economico, oggi sostituito nel ruolo di concedere le licenze dal Ministero degli esteri, ndr) anche se non era necessaria. E il Mise l’aveva concessa, come aveva dichiarato l’allora Sottosegretario di Stato per lo sviluppo economico, Ivan Scalfarotto, in una risposta scritta al Senato. Le dichiarazioni di Formenti sono ritenute «più che credibili» dagli inquirenti, che infatti non sono nemmeno voluti andare di fronte a un giudice in dibattimento. L’esportazione dei sistemi di Area in Siria è durata dal febbraio al novembre 2011, momento in cui l’azienda ha del tutto interrotto i rapporti con Damasco.

Se dal punto di vista della burocrazia dell’export, il problema sembrava non porsi, dal punto di vista dello scenario dei diritti umani in Siria la questione era più complicata. Il contesto in cui è maturato l’affare con Damasco era molto diverso dal quadro geopolitico attuale.

A marzo 2010, Giorgio Napolitano aveva visitato il Paese per rafforzare i rapporti diplomatici Italia-Siria. Il giorno prima dell’arrivo del presidente della Repubblica, Area aveva siglato l’accordo con la società di telecomunicazioni statali, la Syrian Telecommunications Establishment (STE). Solo un anno dopo sono scoppiate le rivolte. D’altra parte, però, i segnali della repressione già erano evidenti, come spiega Human Rights Watch a luglio del 2010 in un report in cui parlava di incarcerazioni di blogger e dissidenti, ma questo non aveva fatto cambiare la linea né dell’Italia né dagli altri Paesi europei. Anzi, c’era il desiderio di intensificare le relazioni diplomatiche e commerciali con il Paese.

Non tutti i Paesi erano dello stesso parere. Il quadro geopolitico, infatti, era già tenuto in considerazione dagli Stati Uniti che aveva indicato la Siria come un Paese «sponsor statale del terrorismo» a partire dal 1979, principalmente per il sostegno politico e tramite armi ad Hezbollah.

Washington, all’epoca della vicenda di Area, aveva già dal 2003 un sistema di licenze su questi prodotti, ulteriormente rafforzato nel 2011 e, poiché parte dei prodotti esportati dall’azienda italiana in Siria erano stati sviluppati da un’azienda statunitense, gli Stati Uniti hanno aperto un procedimento parallelo. La vicenda però si è chiusa immediatamente e senza strascichi con il pagamento di una sanzione di 100 mila dollari.

«A eccezione di alcuni medicinali e alimenti, nessun articolo soggetto ai Regolamenti può essere essere esportato o riesportato in Siria senza una licenza del Dipartimento del Commercio», si legge nel dispositivo della sanzione. Nello specifico, per potere essere esportata regolarmente in Siria, la tecnologia statunitense non doveva avere un valore superiore a una certa soglia. Questa regola è stata rispettata in un primo caso e non in un secondo, si legge nel comunicato stampa. «Abbiamo pagato la nostra multa ma non siamo stati oggetto di nessuna restrizione», spiega Formenti.

Cosa resta dopo l’indagine su Area

L’archiviazione dopo cinque anni di indagini lascia insoddisfatti sotto molteplici punti di vista sia le associazioni e gli attivisti che si occupano di diritti umani – per l’impossibilità di verificare con chiarezza chi fosse l’utilizzatore finale della tecnologia – sia l’azienda a causa della lunghezza di un processo che ha confermato solo dopo diversi anni la posizione dichiarata sin dal primo momento.

L’archiviazione, però, permette di riflettere su alcuni nodi centrali dell’export che sono validi in ogni caso. Da un lato c’è la questione dell’ “utilizzatore finale”: la pericolosità di una tecnologia dipende infatti anche da chi la usa. Tra la documentazione per richiedere l’autorizzazione all’export esiste anche un documento in cui questa figura va indicata per legge, ma come già ricostruito da IrpiMedia, non sempre corrisponde al vero. Sia le organizzazioni che intentano le cause sia gli inquirenti che poi aprono i fascicoli spesso partono dall’ipotesi che la licenza dell’export non indichi davvero chi userà la tecnologia. Nel caso della Siria e di Area, alcuni testimoni (all’epoca dipendenti di Area) avevano indicato la presenza di una persona collegata ai servizi segreti siriani, che sarebbero stati i veri utilizzatori della tecnologia. Questa persona, indicata con il nome di Firas, non è mai stata identificata dal pm.

Dall’altro lato c’è il fatto che, anche se si identificasse un utilizzatore finale “sospetto”, ci sarebbe comunque da stabilire la responsabilità dell’azienda sull’eventuale uso della tecnologia per reprimere dissidenti o giornalisti. Soprattutto dal momento in cui sono coinvolte agenzie governative.

Nel caso di specie, Area, dal canto suo, ha dimostrato in fase d’indagine di aver fatto tutti i passi necessari per ottenere la licenza di esportazione, anche in un momento in cui non era richiesta. Ancora oggi Area dichiara di essere insolvente nei confronti di una banca italiana che aveva garantito le coperture economiche per il progetto in Siria, poi mai realizzato.

«Noi vorremmo la maggior chiarezza possibile – spiega Formenti -. Ci piacerebbe avere una lista di tecnologie classificate con grande scrupolo e con altrettanta flessibilità nell’adattamento dinamico all’evoluzione tecnologica e geopolitica. Siamo estremamente aperti».

Attualmente, secondo Area, in alcuni casi ci sarebbero delle contraddizioni. Ad esempio, le licenze non valgono allo stesso modo per due tecnologie che comunicano tra loro, come il sistema che duplica il traffico degli operatori telefonici (i cosiddetti sistemi di mediazione) e i sistemi di monitoraggio installati presso le procure dove si registrano e analizzano questi dati. I primi non sono soggetti ad autorizzazione per l’export mentre i secondi sì.

Questa discrepanza «tende a inclinare il piano di gioco: se sei un’azienda che si occupa di sistemi di mediazione, hai uno spazio di manovra più ampio», dice Formenti. Secondo il fondatore di Area, servirebbero inoltre per lo meno a livello europeo delle linee guida più precise rispetto a Paesi ed entità con le quali le aziende sono autorizzate a lavorare. Servirebbe poi «un organismo di controllo indipendente, come gli osservatori durante le elezioni» che periodicamente verifichino il rispetto di quanto previsto dalla licenza. Sulla composizione di questo organismo ci sarebbero diverse strade: soggetti terzi come quelli che già esistono e che fanno consulenze per il rilascio della licenza, o meglio ancora, «soggetti che abbiano una forma di accreditamento istituzionale», ha spiegato Formenti. Una sorta di organismo sovranazionale unico per tutti i Paesi.

Attualmente, infatti, ci sono Paesi europei che facilitano l’esportazione di tecnologie di sorveglianza. Questo aspetto emerge dal report di novembre 2022 pubblicato dalla Commissione incaricata dal parlamento europeo di indagare sull’uso degli spyware di sorveglianza, la Commissione PEGA. Non c’è accordo sulle scelte da prendere per controllare le esportazioni. Il problema che nota qui lo stesso Formenti è anche la disponibilità di governi e agenzie a rendere trasparente l’uso che fanno di certe tecnologie. In mancanza di vincoli precisi sono le singole aziende che, al di fuori delle maglie delle norme internazionali, sono libere di decidere in base ai propri criteri con quali entità sia opportuno lavorare e con quali no.

Attualmente, il regolamento dual use prevede già una sorta di matrice simile a quella descritta da Formenti, dove una lista puntuale di tecnologie e software deve essere valutata in base alla tipologia di utilizzatore finale e al Paese in cui risiede. Questa lista, secondo ong come AccessNow, non è necessariamente esaustiva e in alcuni casi non tiene il passo con le novità legate allo sviluppo tecnologico in questo settore.

La proposta: al bando gli spyware

Almeno per quanto riguarda gli spyware – controversa tipologia di malware che permette di prendere il controllo da remoto di qualsiasi dispositivo – l’europarlamentare dei Verdi e relatrice della Commissione PEGA, Sophie In’t Veld, auspica l’introduzione di una moratoria per bloccarne l’uso e la vendita in Europa. Una soluzione drastica che però rischia di non essere nemmeno efficace perché parte da un quadro incompleto delle aziende del settore e perché non tutti i Paesi europei sembrano avere un’idea comune sulle soluzioni.

Il lavoro della Commissione non è stato semplice, tra tensioni interne e indisponibilità di alcuni Paesi a fornire le informazioni richieste. Nel caso dell’Italia, il governo non ha fornito spiegazioni in merito all’acquisto e l’impiego degli spyware, e neanche sul quadro legale e sulle spese sostenute. Certamente l’Italia non è da sola in questa lista degli ultimi: solo Austria, Polonia e Cipro hanno risposto al questionario inviato dalla Commissione a luglio 2022.

Secondo alcune indiscrezioni rivelate da EURACTIV, il report dell’europarlamentare Sophie In ’t Veld ha il supporto della maggior parte dei gruppi parlamentari tranne del Partito popolare europeo (Epp), che presumibilmente cercherà di ridurre la portata delle decisioni prese per arginare lo scandalo delle intercettazioni illegali in Grecia, il “Watergate europeo”. Néa Dimokratía, il partito del primo ministro greco Kyriakos Mitsotakis, ovvero il personaggio politico più coinvolto nello scandalo, è infatti membro dell’Epp.

La moratoria, si legge nella bozza del report, sarebbe immediatamente applicabile e contempla il divieto complessivo di esportazione a meno che i Paesi non soddisfino alcuni requisiti: fare chiarezza senza ritardi su eventuali controversie in caso di abuso degli spyware, allineamento agli standard europei sulla sorveglianza, disponibilità a ricevere ispezioni e indagini dell’Europol e revoca di qualsiasi pregressa licenza di esportazione già erogata se questa non è in linea con lo spirito del Regolamento europeo.

Il report evidenzia ancora la mancanza di regole e conoscenza all’interno del mondo della sorveglianza. «La Commissione Europea – si legge – non ha finora intrapreso un’analisi della situazione né una valutazione delle aziende attive sul mercato europeo». Avere la lista delle aziende della sorveglianza che operano all’interno dell’Unione europea non è nemmeno sufficiente per avere un’analisi esaustiva del mercato dato che diversi operatori lavorano con una fitta rete di intermediari e di società rivenditrici, spesso molto difficili da identificare. Questa rete societaria è un elemento di rischio potenziale, ma la possibilità effettiva di intervenire sul piano dei controlli e delle norme è limitata dal fatto che spesso parte delle aziende coinvolte si trova in giurisdizioni anche extra-europee, dove le regole del grande gioco della sorveglianza sono diverse.

La Commissione afferma di aver raccolto informazioni, seppur non confermate, in merito ad acquisti di spyware da parte di tutti i Paesi dell’Unione europea. Il più importante fornitore è il gruppo israeliano NSO, dal quale comprano spyware almeno 14 Paesi. In Polonia, Ungheria, Grecia e Spagna ci sono elementi che indicano un abuso di Pegasus, mentre per quanto riguarda Cipro al momento ci sono solo sospetti. La stessa Cipro e la Bulgaria sono utilizzati come Paesi di transito per l’esportazione delle tecnologie di sorveglianza. Il Lussemburgo è il Paese dove ha sede la maggioranza delle banche a cui si appoggiano i fornitori di spyware, l’Irlanda la principale sede fiscale, come del resto accade già per le big tech.

L’export intra-gruppo: un “buco” nel regolamento europeo

Il regolamento introdotto nel 2021 cerca proprio di correggere queste distorsioni dell’industria. Resta però un buco per quanto riguarda la cessione di licenze all’interno di uno stesso gruppo aziendale.

Ipotizziamo che due aziende, controllate dalla stessa azienda madre, siano registrate in Paesi diversi: una all’interno dell’Unione europea e l’altra in un altro Paese. L’export di tecnologie dall’azienda europea verso la sorella extra-Ue dovrebbe richiedere un’autorizzazione. Questa speciale autorizzazione, una novità introdotta nell’ultimo regolamento, si applica solo nei confronti di Argentina, Brasile, Cile, Corea del Sud, Filippine, India, Indonesia, Israele, Giordania, Malesia, Marocco, Messico, Singapore, Sudafrica, Thailandia, Tunisia, ma esclude dal suo ambito di applicazione diverse tecnologie di sorveglianza come i software per facilitare l’infezione tramite spyware e sistemi per il monitoraggio di internet.

Non è chiaro che cosa accada negli altri casi. A quel punto, non resta che fare riferimento alle normative nazionali. Stando alla legge italiana (entrata in vigore nel febbraio 2018), serve una licenza per l’export anche per la semplice assistenza tecnica nella forma di «istruzione, pareri, formazione, trasmissione dell’apprendimento del funzionamento o delle competenze o servizi di consulenza, comprese le forme orali di assistenza». Lo stesso vale nel caso di accesso ai server per la condivisione delle informazioni, considerato un trasferimento intangibile. In questi casi l’azienda deve dotarsi di un sistema per garantire la sicurezza e tracciabilità degli accessi per consentire verifiche da parte dell’Autorità di vigilanza. Questo farebbe ipotizzare, quindi, che una licenza italiana per l’export sia sempre necessaria.

Ma se invece l’azienda sorella registrata fuori dall’Unione europea volesse riesportare verso un Paese terzo le tecnologie dell’azienda registrata in Ue? E se l’azienda sorella si trova in un Paese dove non sono previsti controlli simili a quelli in Ue? Le interpretazioni per questa casistica sono diverse, anche tra ricercatori e addetti ai lavori: il manager di Area chiederebbe una licenza in Italia. «Non esclude», però, che sulla carta qualcuno possa usare una propria controllata allo scopo di esportare tecnologia extra-Ue senza licenza. Concordano su questo duplice scenario anche due ricercatori che però non sono autorizzati a rilasciare dichiarazioni su questo argomento, data ancora l’incertezza che regna. Il Ministero degli affari esteri non ha risposto a una richiesta di commento al riguardo, inviata da IrpiMedia.