Gli spyware italiani sul mercato internazionale

#Sorveglianze

Gli spyware italiani sul mercato internazionale

Riccardo Coluccini

Il 10 marzo 2022 il Parlamento europeo ha istituito la commissione speciale PEGA per investigare sugli abusi compiuti da alcuni Stati membri che hanno usato lo spyware Pegasus, prodotto dall’azienda israeliana NSO, contro giornalisti e avversari politici. Questa tecnologia, considerata tra le più efficaci nel mondo della sorveglianza, ha dato prova di essere in grado di rivelare il contenuto e le attività degli smartphone sui quali viene installata all’insaputa del bersaglio. Tuttavia la strutturale mancanza di controlli su chi l’acquista ha spesso fatto sì che gli spyware venissero utilizzati da governi o forze di polizia repressive, se non da vere e proprie organizzazioni criminali.

Ma l’attività di PEGA, concentrata esclusivamente sui prodotti dell’azienda israeliana, rischia di lasciare campo libero alle altre aziende europee. Gli Stati membri possono contare infatti su una vasta offerta assicurata dalla grande quantità di società, prime fra tutte quelle italiane. Lo ha ricordato, lo scorso agosto, l’esperto di sicurezza informatica membro del Security Lab di Amnesty International, Claudio Guarnieri, quando è stato audito dalla commissione investigativa speciale: in Europa ci sono almeno nove aziende note produttrici di spyware, e sei di queste in Italia.

E proprio il passato e il presente dell’Italia forniscono chiari segnali di un mercato florido alimentato con soldi pubblici italiani e che, ormai saturo, trova sfogo all’estero. Tra i principali acquirenti si annoverano anche regimi illiberali che possono usare gli spyware contro attivisti per i diritti umani, giornalisti e dissidenti politici – episodi già avvenuti nella storia italiana come nel caso dell’azienda Hacking Team, con sede a Milano – i cui prodotti, si è già dimostrato, sono stati usati in Messico e contro dissidenti politici degli Emirati Arabi Uniti o anche la più recente notizia della presenza delle tecnologie dell’azienda RCS in Kazakistan. Sono passati quasi otto anni da quando Hacking Team è implosa sotto il peso di una fuga di informazioni che ne ha rivelato affari e clienti in tutto il mondo. Oggi l’Italia è pronta a riaffacciarsi sul mercato internazionale.

Soldi pubblici per malware di stato

Da quando lo smartphone è diventato il cuore pulsante di ogni aspetto della nostra vita quotidiana, il mercato della sorveglianza si è sempre più focalizzato su strumenti che possono infrangere le protezioni di sicurezza e catturare ogni informazione dai dispositivi digitali. Il risultato di questa ricerca sono gli spyware, software in grado di infettare uno smartphone e carpire ogni tipo di informazione: dai contenuti delle chat private con i propri familiari fino alle foto e ai file conservati nella memoria del dispositivo. Ma possono anche attivare la videocamere e il microfono dello smartphone da remoto così da monitorarne la posizione o vedere e sentire tutto ciò che avviene intorno.

IrpiMedia è gratuito

Ogni donazione è indispensabile per lo sviluppo di IrpiMedia

Nel tempo, in Italia, la forza trainante di queste tecnologie è stata rappresentata da una ingente spesa da parte delle autorità nazionali. Al momento si contano almeno una decina di attori noti al pubblico che vendono strumenti per le intercettazioni, molte di queste società sono accreditate presso le procure anche per fornire “captatori informatici” (così vengono chiamati gli spyware in termini legali).

Ci sono le quattro aziende quasi sempre presenti: AREA, RCS, SIO, e INNOVA. Poi ci sono quelle risorte dopo gli scandali che le hanno coinvolte, come Hacking Team, ora attiva con il nome di Memento Labs. E ancora realtà più piccole come Raxir e Negg – di cui siamo a conoscenza solo grazie a ricercatori di sicurezza informatica che ne hanno analizzato gli spyware – o colossi che nel giro di otto anni hanno raggiunto importanti traguardi commerciali, come Cy4gate, e che puntano a sfidare persino l’israeliana NSO, oggi nel mirino della Commissione PEGA.

Nel gruppo delle italiane appaiono poi anche piccole aziende che sono state al centro di scandali, come eSurv e il suo spyware Exodus finito sul PlayStore di Google e usato indiscriminatamente contro vittime ignare. Altre, invece, si sono specializzate in particolari settori come l’azienda IPS, con sede in provincia di Latina, che ha sviluppato prodotti per il monitoraggio del traffico internet e dei social media.

Queste sono inoltre solo la punta dell’iceberg perché spesso una serie di rivenditori semi sconosciuti si affacciano alla porta delle Procure per offrire i propri prodotti.

Secondo un tecnico con esperienza diretta nel settore delle intercettazioni, che ha richiesto l’anonimato per parlare più liberamente, il mercato italiano è diviso come una torta proprio grazie al funzionamento delle Procure: «Quelle grandi hanno più di un’azienda accreditata e tutte, bene o male, hanno lavoro», spiega la fonte. Ogni procura infatti può fare affidamento su più di un’azienda, in modo che su indagini diverse ci siano più fornitori.

Secondo le statistiche ufficiali, nel corso di un’indagine in Italia la durata media delle intercettazioni telematiche, che includono anche l’uso dello spyware, è di 74 giorni. Il recente decreto del ministero della Giustizia fissa un listino prezzi dove il costo giornaliero per uno spyware è di 150 euro. Ogni intercettazione con spyware costerà quindi in media 11 mila euro. Nel 2021 ne sono state effettuate 2.896 e il numero delle intercettazioni telematiche è quadruplicato negli anni tra il 2010 e il 2020 e potrebbe continuare ad aumentare.

Facendo un confronto, la Germania ha autorizzato solo 48 intercettazioni con spyware nel 2020, mentre nel 2019 le autorizzazioni erano state 33.

Sotto sorveglianza

L’utilizzo delle intercettazioni digitali è in costante aumento in Italia. Nel 2023 il ministrero della Giustizia ha fornito per la prima volta i dati statistici sulle intercettazioni con gli spyware per l’anno 2021: le intercettazioni con i trojan rappresentano circa un terzo di quelle digitiali, mentre il restante 64% sono intercettazioni informatiche, ovvero relative al traffico internet, e spesso propedeutiche all’inoculazione di uno spyware: permettono infatti di monitorare le abitudini di un target per capire come riuscire a infettarlo

Questi dati confermano quanto riportato a IrpiMedia da una fonte che è stata per anni nel settore: le intercettazioni telematiche sono quelle che producono un maggior flusso di incassi.

In parallelo, però, le spese per le intercettazioni sono passate dai 230 milioni del 2016 ai 213 milioni del 2022. Il calo più netto ha riguardato il prezzo delle intercettazioni telefoniche dai primi anni 2000 a oggi. Secondo un’altra fonte che conosce il settore italiano, infatti, le aziende nate 20 anni fa hanno goduto di maggiori guadagni sulle intercettazioni telefoniche ma ora il loro prezzo è drasticamente sceso. Nel nuovo listino costano infatti tre euro, ma in precedenti bandi il costo era sceso persino intorno a due euro al giorno. Di questi prezzi al ribasso si lamentano le stesse associazioni di categoria.

L’ingente investimento avvenuto negli anni ha creato una molteplicità di aziende in questo settore che si trovano a fare i conti non solo con la concorrenza ma anche con una riduzione delle spese di giustizia. Ora, come spiega a IrpiMedia un’altra fonte con esperienza diretta nel settore delle intercettazioni, il risultato è che un mercato saturo spinge le aziende italiane all’estero.

Le italiane sul palcoscenico estero

La pioniera per le italiane all’estero era stata Hacking Team. Secondo quanto ricostruito dai ricercatori di sicurezza informatica del Citizen Lab, un laboratorio interdisciplinare dell’Università di Toronto, tra il 2011 e il 2014 l’azienda era presente in paesi come Messico, Azerbaijan, Egitto, Sudan e Turchia. Hacking Team era però riuscita a vendere il proprio spyware persino negli USA a FBI e Drug Enforcement Administration (DEA), l’agenzia federale statunitense che si occupa di reati collegati al traffico di sostanze stupefacenti.

Tra le altre italiane che per prime si sono affacciate all’estero c’è anche l’azienda Area ma il suo export verso la Siria nel 2011 le è costato un’indagine che è stata archiviata solo nel 2018.

Malgrado scandali e indagini, il made in Italy della sorveglianza continua a essere apprezzato all’estero. Nei primi giorni di dicembre 2022 Cy4gate, colosso italiano della sorveglianza che ha già clienti in diversi continenti, ha siglato alcuni contratti per un totale di sei milioni di euro, di cui l’85% provengono dall’estero. Ma ora anche le altre aziende italiane sembrano spingersi sempre di più fuori dall’Italia.

Un preventivo internazionale

Nel caso di Intellexa, azienda coinvolta nello scandalo delle intercettazioni in Grecia con il suo spyware Predator, il costo per effettuare 100 infezioni con successo è di otto milioni di euro ed è inclusa la possibilità di gestire fino a dieci intercettazioni in contemporanea, ha spiegato Haaretz visionando un preventivo che era stato diffuso online. La gestione di ogni singola intercettazione costerebbe quindi circa 80 mila euro. In un altro caso, il New York Times ha analizzato l’offerta di Intellexa destinata all’intelligence ucraina: il costo complessivo è di 13,6 milioni di euro per un totale di 400 infezioni, circa 34 mila euro per ciascuna.

In un articolo del 2016 il New York Times ha analizzato email e proposte commerciali di NSO rivelando che per spiare dieci utenti che usano un iPhone, NSO ha chiesto alle agenzie governative 650.000 dollari più una tariffa fissa di 500.000 dollari per l’installazione iniziale. Era possibile anche pagare per avere più obiettivi: 100 bersagli aggiuntivi costano 800.000 dollari mentre 10 bersagli aggiuntivi costano 150.000 dollari.

Tra queste Innova, con sede a Trieste e tra le più attive nelle Procure italiane, che lo scorso ottobre era l’unica azienda nostrana presente alla International Exhibition for National Security and Resilience (ISNR) di Abu Dhabi. La fiera ha lo scopo di mettere in contatto gli enti governativi regionali con i produttori di tutto il mondo ed è organizzata in collaborazione con il ministero dell’Interno e il Comando generale della Polizia di Abu Dhabi. Ma il Paese arabo, al di là delle palme e dei grattacieli, è famoso per le violazioni dei diritti umani facilitate anche dall’uso di tecnologie di sorveglianza digitale, come nel caso di uno spyware per iPhone che secondo Reuters sarebbe stato usato contro centinaia di attivisti, capi di stato e sospetti terroristi.

Ma i palcoscenici esteri non si fermano qui per Innova. L’azienda era anche alla ISS World Latin America – una fiera di settore che si è tenuta a Panama a ottobre 2022 – ed è stata tra gli sponsor dell’evento di settembre della ISS World Asia Pacific 2022 a Singapore. Queste fiere non sono semplici occasioni di esposizione ma momenti in cui entrare in contatto diretto con membri delle agenzie di intelligence dei vari Paesi, esponenti delle forze dell’ordine e persino capi di Stato o ministri.

In passato, inchieste giornalistiche hanno cercato di fare luce su alcuni lati oscuri di questo tipo di eventi. Come rivelato nel 2017 da Al Jazeera, in alcune di queste fiere è possibile firmare accordi milionari ma anche stringere i primi contatti per pianificare esportazioni illecite verso Paesi posti sotto embargo, aggirando i regolamenti sull’export.

E proprio all’evento di Singapore era presente un’altra italiana che ora sembra determinata a espandersi sul mercato estero: Negg.

Con sede a Roma e con un’azienda consociata registrata ad Amsterdam, Negg è finita per la prima volta sotto i riflettori nel 2018 solo grazie a un report della società di sicurezza informatica Kaspersky, che è riuscita ad analizzare un malware per Android sviluppato da loro. Successivamente è stata individuata una versione dello stesso malware anche per dispositivi Apple. Lo spyware era collegato ad alcuni domini fasulli, alcuni di questi progettati per simulare le pagine di compagnie di telecomunicazioni presenti in Italia come Vodafone e che verrebbero usati come esche per spingere le persone a infettare i propri dispositivi semplicemente cliccandoci dentro.

La partecipazione alla fiera di Singapore è stata un evento significativo, come spiega la stessa azienda in un post sul proprio sito: «È la prima volta che Negg decide di partecipare a un evento internazionale così importante» e, prosegue il testo, uno dei motivi che l’ha spinta è stato il valore del «rapporto con il mercato asiatico».

#Sorveglianze

L’eterna lotta tra il bene e il malware

L’Ue fatica a regolamentare l’export dei beni a duplice uso, e anche le inchieste giudiziarie sugli export illeciti non danno risultati. Parla il manager di Area spa: il suo caso insegna ancora molto

Un mercato asiatico in cui, come conferma a IrpiMedia una fonte con esperienza nel settore, l’Italia è sicuramente presente da tempo, come anche nel mondo arabo. Una presenza che sembra molto solida considerando che l’azienda Area Spa ha aperto una società proprio in Oman per la necessità di lavorare con clienti istituzionali nel Paese, come già riportato da IrpiMedia in un precedente articolo.

I rischi della geopolitica degli spyware

Da qualche anno l’israeliana NSO non è solo al vaglio delle autorità europee, ma anche di quelle statunitensi: a novembre 2021 Washington ha sanzionato NSO aggiungendola alla lista di entità con cui è vietato fare affari: si vieta l’esportazione dagli Stati Uniti alla NSO di qualsiasi tipo di hardware o software. E a dicembre 2022 il Congresso degli Stati Uniti ha approvato alcune misure per mitigare le minacce legate alla proliferazione e all’uso di spyware commerciali stranieri. Tra le misure previste c’è quella di monitorare le aziende straniere produttrici di spyware che rappresentano un rischio per la comunità dell’intelligence statunitense.

I rischi e l’invasività degli spyware sono ben chiari quindi persino agli Stati Uniti, uno dei paesi più all’avanguardia in tema di tecnologie per la sorveglianza online. Almeno dal 2013, quando grazie al whistleblowing della National Security Agency (NSA), Edward Snowden, il mondo ha appreso dei programmi di sorveglianza statunitensi in grado di monitorare le attività online di chiunque, inclusi capi di governo di Paesi europei. Gli Stati Uniti hanno persino acquistato e testato Pegasus nel 2019, ma i timori alla luce degli abusi hanno spinto a prendere una decisione che va contro gli interessi di un alleato storico del Paese come Israele, scatenando la reazione del governo mediorientale che ha subito avviato la sua macchina di lobby per spingere la Casa Bianca a tornare sui propri passi.

Per Israele l’export di tecnologie di sorveglianza è uno strumento di geopolitica, come ricostruito dal New York Times, e viene usato per stringere accordi politici, tessere nuove relazioni commerciali e ottenere supporto a livello internazionale. E ora che il colosso della sorveglianza è messo all’angolo in metà mondo, l’Italia sembra aver intravisto un pertugio per espandere ulteriormente le proprie aziende di settore. L’export di queste tecnologie rimane comunque una spina nel fianco per tutta l’Unione europea: i regolamenti ci sono ma non sono sufficienti e l’Italia ha già dimostrato in passato scarsa trasparenza su queste vendite.

Vuoi fare una segnalazione?

Diventa una fonte. Con IrpiLeaks puoi comunicare con noi in sicurezza

Per di più l’Italia già fatica a controllare queste aziende e le loro tecnologie quando vengono usate nelle indagini, come hanno dimostrato alcuni recenti scandali.

C’è infatti il rischio che i dati delle intercettazioni possano finire in mano a persone terze senza che le autorità ne siano a conoscenza, come avvenuto con Area Spa, rinviata a giudizio perché sui computer di alcuni dipendenti sono stati trovati dati relativi alle intercettazioni. Per legge questi dati dovrebbero essere custoditi solo sui server delle Procure, caveau informatici creati appositamente per proteggere le informazioni sensibili delle indagini.

Inoltre, i casi di abuso devono far riflettere sull’effettiva capacità delle autorità italiane di monitorare le attività di queste aziende: in questo senso un caso esemplare è quello avvenuto nel 2019 con lo spyware prodotto dall’azienda Esurv, chiamato Exodus. Il captatore ha conservato dati riservati delle intercettazioni in un server in Oregon nonostante la legge imponga che non possano essere conservati fuori dal territorio nazionale. Exodus è stato disponibile sul Play Store di Google per circa due anni, nascosto in più di venti app all’apparenza innocue come quelle per le offerte di marketing di operatori telefonici italiani. Chiunque poteva scaricarlo. A quel punto, senza effettuare le dovute verifiche se si trattasse di un’utenza posta sotto intercettazione, il software iniziava a rubare i dati. L’azienda era a conoscenza di quanto avveniva ma usava queste ignare vittime come fossero delle cavie.

L’incapacità italiana di governare gli spyware si va a sommare ai rischi che gli stessi presentano per i diritti umani e che hanno spinto i Relatori speciali ed esperti delle Nazioni Unite a chiedere a tutti gli Stati di imporre una moratoria globale sulla loro vendita e trasferimento verso altri Paesi. Di fronte alle difficoltà italiane nel controllo degli spyware, il monito delle Nazioni Unite dovrebbe essere ancora più importante.

La stessa Commissione Pega ha suggerito l’adozione di una moratoria sugli spyware e il Garante europeo della protezione dei dati (EDPS) è arrivato a invocare un divieto assoluto di utilizzo perché gli spyware presentano «un livello di intrusività incomparabile con quanto visto in precedenza». La moratoria prevede una sospensione sull’esportazione e utilizzo degli spyware, almeno fino a quando non vi sia certezza su un quadro legale che garantisca le giuste salvaguardie per i diritti. Nel caso del divieto assoluto, invece, ci si spingerebbe oltre, vietando l’utilizzo completo di queste tecnologie poiché presentano minacce inconciliabili con i principi democratici.

Mentre l’Occidente è sempre più preoccupato dall’abuso degli spyware, gli stessi Paesi occidentali sembrano non voler guardare negli occhi la realtà ammettendo di essere parte di quel problema. Il caso italiano è esemplare: un eccessivo uso di queste tecnologie, accompagnato quindi da una costante iniezione di soldi pubblici, porta allo sviluppo di un mercato nazionale che diventa un trampolino di lancio verso l’estero. E lì, tra i clienti in attesa di nuovi strumenti per la sorveglianza, si annidano anche governi autoritari senza scrupoli e Paesi instabili dove queste tecnologie diventano uno strumento essenziale per reprimere ogni forma di dissenso.

CREDITI

Autori

Riccardo Coluccini

Editing

Raffaele Angius
Giulio Rubino

Infografiche

Lorenzo Bodrero

Foto di copertina

Getty

L’eterna lotta tra il bene e il malware

#Sorveglianze

L’eterna lotta tra il bene e il malware

Lorenzo Bagnoli
Riccardo Coluccini

Strumenti che eludono la cifratura, tecnologie di intercettazione, software spia: sono i cosiddetti prodotti a duplice uso, ovvero che possono funzionare sia in ambito civile che militare, e che il Parlamento europeo vorrebbe proporre di limitare pesantemente, se non vietare del tutto. Il problema di questi prodotti, sviluppati da aziende che orbitano nei campi della difesa e dell’intelligence, è che una volta acquistati dai governi possono essere usati sia nella lotta al terrorismo e al crimine che come strumento di repressione interna contro giornalisti e attivisti. E normarne diffusione e commercializzazione è stato finora uno sforzo frustrante e inefficace.

Il tentativo più recente per normare efficacemente questo settore è con l’aggiornamento al regolamento sull’export di settembre del 2021: l’Unione europea ha cercato di rafforzare i controlli e obbligare gli Stati membri a maggiore trasparenza in merito alla concessione dei lasciapassare per vendere una tecnologia all’estero, le licenze per l’export.

Tuttavia, il mondo delle tecnologie dell’intelligence support systems (Iss, dall’inglese: sistemi di supporto dell’intelligence) non si compone delle sole aziende produttrici ma anche di soggetti intermediari che rivendono i prodotti, soggetti che spesso sono legati ai governi che li acquistano. Le leggi sul controllo dell’export, modificate solo dopo anni di scandali, non sono riuscite a prendersi carico delle possibili scappatoie alla licenza, come l’uso di intermediari o lo scambio di lasciapassare tra aziende dello stesso gruppo commerciale. Trovare il punto di equilibrio è difficile: il legislatore deve tenere conto, da un lato, della trasparenza necessaria rispetto all’uso di strumenti potenzialmente molto pericolosi e, dall’altro, della necessità degli utilizzatori finali delle tecnologie – per lo più agenzie appartenenti agli stessi governi, europei e non – di mantenere un certo grado di segretezza.

I timori legati a queste tecnologie non sono solo teorici: negli anni si sono susseguiti casi di abuso contro giornalisti, dissidenti, attivisti e politici. La sorveglianza digitale è diventata sempre più uno strumento di repressione nelle mani di governi di tutto il mondo, dalla Spagna al Messico, passando per Israele e il Vietnam. Il primo regolamento europeo sull’export è del 2009 e da allora sono state aperte diverse inchieste, alcune mai chiuse, sulla legittimità o meno della vendita all’estero di un certo prodotto. C’è stata qualche sanzione, ma la strada dei procedimenti penali si è dimostrata per lo più lunga e inefficace.

IrpiMedia è gratuito

Ogni donazione è indispensabile per lo sviluppo di IrpiMedia

Le inchieste sui big della sorveglianza

Ogni anno a Praga, Repubblica Ceca, si tiene l’edizione europea della più importante fiera dell’industria della sorveglianza: Iss World Europe (le altre edizioni si tengono in Asia, Sud America, Nord America e Medio Oriente). Attraverso questi eventi, le aziende si presentano e raccolgono i contatti per poi partecipare alle gare d’appalto. Un elemento molto particolare unisce buona parte delle aziende presenti: una larga parte degli abituali protagonisti della fiera è, oppure è stata, toccata da qualche scandalo o indagine giudiziaria. A cominciare dallo sponsor principale dell’edizione 2023, NSO Group: l’azienda israeliana sviluppa il software spia Pegasus, noto a seguito del Pegasus Project per i numerosi scandali e abusi ai danni di attivisti e giornalisti in varie parti del mondo.

Nonostante le ingenti perdite causate dalla sospensione degli scambi commerciali con gli Stati Uniti decisa a novembre 2021 dall’amministrazione di Joe Biden, in Europa NSO continua ad avere un ruolo di primo piano.

Lista delle aziende di sorveglianza che sponsorizzano l’edizione 2023 della ISS World Europe, tra le fiere di settore più importanti in Europa – ISS

Tra gli sponsor associati dell’edizione 2023 c’è Intellexa, la società coinvolta nello scandalo PredatorGate in Grecia; ci sono le israeliane Elbit System, che produce anche bombe a grappolo e per le quali ha perso l’investimento del più grande fondo pensionistico norvegese lo scorso marzo, e Candiru, che secondo due report di Microsoft e Facebook del luglio 2021 e del dicembre 2022 avrebbe infettato i device di oltre cento persone (tra cui anche giornalisti, attivisti e oppositori politici in Palestina, Iran, Libano e Yemen), creando almeno 130 account finti rimossi da Facebook. C’è la britannica Bae System, che nel 2017 è stata al centro di un’inchiesta giornalistica per aver venduto spyware utilizzati contro oppositori politici in Arabia Saudita, Emirati Arabi Uniti, Oman, Qatar, Algeria e Marocco.

Ancora, la tedesca Utimaco, la cui tecnologia per le intercettazioni è stata venduta attraverso la norvegese Telenor alla Birmania nel 2021 e si teme sia stata usata dal regime contro i dissidenti politici. Quando si esporta, quindi, spesso si finisce coinvolti in scandali o inchieste giudiziarie, anche a causa dell’incertezza dei regolamenti. Di certo è molto difficile per gli investigatori provare responsabilità precise, e i processi raramente hanno risultati che vadano al di là del clamore mediatico per l’inopportunità di certe relazioni commerciali.

Le conseguenze economiche degli scandali: i casi Hacking Team e FinFisher

Se da un lato le inchieste giudiziarie finiscono spesso con l’arenarsi, dall’altra ci sono alcuni casi in cui le conseguenze economiche, a seguito di scandali e inchieste, hanno effetti più tangibili: le aziende falliscono o si trovano costrette a farsi acquisire da altri gruppi. È successo in passato all’italiana Hacking Team, colpita da un attacco hacker che ne aveva rivelato clienti e dettagli interni. Nel 2019 Hacking Team è stata acquisita da Memento Labs, società diretta e coordinata dalla svizzero-italiana InTheCyber.

Alla tedesca FinFisher è andata molto peggio: a febbraio 2022 ha dichiarato il proprio stato di insolvenza, riporta la stampa tedesca, chiudendo gli uffici, licenziando i dipendenti e cessando ogni attività commerciale. FinFisher nel 2019 è stata denunciata da un gruppo di ong e di media in Germania perché nell’estate di due anni prima il suo spyware sarebbe stato usato in Turchia contro attivisti e dissidenti. Eppure non ci sarebbe stata alcuna autorizzazione all’export da parte dell’autorità di controllo tedesca. Secondo quanto ha scritto Bloomberg a marzo 2022, l’indagine della procura tedesca è ancora in corso e FinFisher nega di aver fornito tecnologie alla Turchia o di aver violato le regole normative sull’esportazione. I beni della società erano stati messi sotto sequestro, ma a causa dell’insolvenza la misura non è più applicabile.

L’attenzione internazionale su FinFisher però risale almeno al 2011. Durante le rivolte in Egitto, alcuni manifestanti hanno trovato documenti che dimostrano che le autorità egiziane avevano ottenuto una demo dello spyware. Negli anni seguenti molteplici report hanno indicato oltre 30 Paesi sospettati di utilizzare FinFisher, tra cui Bangladesh, Egitto, Etiopia, Oman, Arabia Saudita e Venezuela.

Tra gli sponsor di Iss World Europe 2023 ci sono anche tre importanti aziende italiane: Rcs, Ips e Area, anche loro coinvolte in passato in controversie dall’esito interessante. La prima ha sviluppato Hermit, uno spyware impiegato in Italia e Kazakistan, Paese con alle spalle una lunga storia di spionaggio nei confronti degli oppositori politici. Ips e Area invece nel 2017 sono state protagoniste del documentario Spy Merchants, prodotto da Al Jazeera, che ha mostrato grazie a un collaboratore sotto copertura il modo in cui all’epoca le aziende proponessero ai propri clienti di aggirare i controlli sull’export grazie a società consociate presenti all’estero.

Nel caso di Area, svela Al Jazeera, la vendita verso un Paese sotto embargo, il Sud Sudan, si sarebbe conclusa grazie al passaggio in un Paese terzo, la Turchia, dove è presente un partner dell’azienda. Per Ips invece la vendita in Iran passa attraverso un’altra azienda associata, Resi. Tra le persone coinvolte nell’inchiesta c’era anche il vicepresidente di Area.

In un’intervista con IrpiMedia, il fondatore e allora amministratore delegato di Area Andrea Formenti – oggi a capo del gruppo che la controlla, A+ – chiarisce che il caso svelato da Al Jazeera ha riguardato in realtà «un’iniziativa personale» di un ex dipendente che apparteneva alla parte commerciale, il quale ha successivamente lasciato l’azienda per questa e altre ragioni. «Quella iniziativa si sarebbe comunque arenata non appena portata sul tavolo per una pre-offerta», rassicura Formenti.

In ogni caso ad Area non è stata notificata alcuna notizia di reato. Formenti spiega che l’espansione verso il mercato estero è stata una scelta fatta alcuni anni dopo aver fondato l’azienda. Davanti a loro c’erano due strade: ampliare la tipologia di clientela stando in Italia e rivolgendosi così al mondo delle imprese o «provare a proporre (i propri prodotti, ndr) alle autorità ma su scala internazionale». La scelta è caduta sulla seconda opzione. Con l’espansione all’estero, sono arrivate anche le inchieste giudiziarie.

Cinque anni per un’archiviazione

La giustizia italiana ha cominciato a occuparsi di Area alla fine del 2012, quando un’indagine della procura di Milano ha ipotizzato il reato di finanziamento di condotte con finalità di terrorismo, legato alla vendita di tecnologie di sorveglianza al regime siriano. Vista l’assenza di prove precise in merito, l’indagine è stata derubricata a violazione del regolamento sull’export. Il timore era che a usare la tecnologia fosse l’intelligence siriana contro gli oppositori politici. Anche in questo caso non è emerso niente e la stessa procura ha chiesto e ottenuto l’archiviazione del procedimento dopo cinque anni, nel 2018. Il tempo trascorso, per via dell’eco avuto dalla notizia, è costato caro all’azienda sul piano della reputazione.

Per approfondire

Il glossario della cybersecurity

Una rassegna dei termini più comuni all’interno del settore della cyber sicurezza

Questa storia così datata, rivela però i problemi insiti nei meccanismi di controllo sulle esportazioni delle tecnologie di sorveglianza, oltre che un’enorme discrepanza per quanto riguarda la gestione delle licenze sulle esportazioni, anche tra Paesi europei. Il progetto di Area in Siria chiamato Asfador, prevedeva anche l’export di prodotti sviluppati da un’azienda francese, Qosmos, e da una tedesca, Utimaco. Avrebbe garantito, secondo le ricostruzioni giornalistiche, un sistema di monitoraggio in tempo reale della rete siriana: da un centro per le intercettazioni fino alle sonde per monitorare il traffico internet, inclusa la cattura e archiviazione delle e-mail. Del progetto però non si è fatto nulla.

Su Utimaco in Germania non è stata aperta alcuna indagine, mentre per Qosmos in Francia è arrivata nel dicembre 2020 l’archiviazione dall’accusa di complicità nelle torture ai danni della popolazione siriana. In quest’ultimo caso, il focus dell’indagine non era quindi la violazione delle norme sull’export ma il rischio che i sistemi di sorveglianza avessero facilitato l’individuazione degli oppositori che sarebbero poi stati catturati e torturati dal regime.

Per l’Italia, invece, le accuse riguardano solamente la violazione delle norme sull’export e lo scenario geopolitico non entra nella valutazione. Si legge infatti nel testo dell’archiviazione: «Solo dal 01.01.2015 il sistema di sorveglianza delle comunicazioni su rete funzionante con protocollo Internet (IP) veniva inserito nel catalogo dei prodotti dual use», quattro anni dopo l’inizio della guerra.

Formenti, durante l’interrogatorio con la pm di Busto Arsizio Francesca Parola, ha spiegato che per tutelarsi, essendo anche una delle prime operazioni internazionali dell’azienda, Area aveva chiesto un’autorizzazione al Mise (Ministero dello sviluppo economico, oggi sostituito nel ruolo di concedere le licenze dal Ministero degli esteri, ndr) anche se non era necessaria. E il Mise l’aveva concessa, come aveva dichiarato l’allora Sottosegretario di Stato per lo sviluppo economico, Ivan Scalfarotto, in una risposta scritta al Senato. Le dichiarazioni di Formenti sono ritenute «più che credibili» dagli inquirenti, che infatti non sono nemmeno voluti andare di fronte a un giudice in dibattimento. L’esportazione dei sistemi di Area in Siria è durata dal febbraio al novembre 2011, momento in cui l’azienda ha del tutto interrotto i rapporti con Damasco.

Se dal punto di vista della burocrazia dell’export, il problema sembrava non porsi, dal punto di vista dello scenario dei diritti umani in Siria la questione era più complicata. Il contesto in cui è maturato l’affare con Damasco era molto diverso dal quadro geopolitico attuale.

A marzo 2010, Giorgio Napolitano aveva visitato il Paese per rafforzare i rapporti diplomatici Italia-Siria. Il giorno prima dell’arrivo del presidente della Repubblica, Area aveva siglato l’accordo con la società di telecomunicazioni statali, la Syrian Telecommunications Establishment (STE). Solo un anno dopo sono scoppiate le rivolte. D’altra parte, però, i segnali della repressione già erano evidenti, come spiega Human Rights Watch a luglio del 2010 in un report in cui parlava di incarcerazioni di blogger e dissidenti, ma questo non aveva fatto cambiare la linea né dell’Italia né dagli altri Paesi europei. Anzi, c’era il desiderio di intensificare le relazioni diplomatiche e commerciali con il Paese.

#Sorveglianze

L’eterna lotta tra il bene e il malware

L’Ue fatica a regolamentare l’export dei beni a duplice uso, e anche le inchieste giudiziarie sugli export illeciti non danno risultati. Parla il manager di Area spa: il suo caso insegna ancora molto

Non tutti i Paesi erano dello stesso parere. Il quadro geopolitico, infatti, era già tenuto in considerazione dagli Stati Uniti che aveva indicato la Siria come un Paese «sponsor statale del terrorismo» a partire dal 1979, principalmente per il sostegno politico e tramite armi ad Hezbollah.

Washington, all’epoca della vicenda di Area, aveva già dal 2003 un sistema di licenze su questi prodotti, ulteriormente rafforzato nel 2011 e, poiché parte dei prodotti esportati dall’azienda italiana in Siria erano stati sviluppati da un’azienda statunitense, gli Stati Uniti hanno aperto un procedimento parallelo. La vicenda però si è chiusa immediatamente e senza strascichi con il pagamento di una sanzione di 100 mila dollari.

«A eccezione di alcuni medicinali e alimenti, nessun articolo soggetto ai Regolamenti può essere essere esportato o riesportato in Siria senza una licenza del Dipartimento del Commercio», si legge nel dispositivo della sanzione. Nello specifico, per potere essere esportata regolarmente in Siria, la tecnologia statunitense non doveva avere un valore superiore a una certa soglia. Questa regola è stata rispettata in un primo caso e non in un secondo, si legge nel comunicato stampa. «Abbiamo pagato la nostra multa ma non siamo stati oggetto di nessuna restrizione», spiega Formenti.

Le altre aziende europee in Siria

Area, Qosmos e Utimaco non erano le uniche aziende coinvolte in Siria. Secondo un report di Privacy International, pubblicato a dicembre 2016, il governo siriano avrebbe costruito sistemi di monitoraggio delle comunicazioni grazie all’aiuto di diverse altre aziende occidentali tra il 2007 e il 2012.

In un caso del 2008 e 2009, un’azienda rivenditrice con base a Dubai, Agt, in collaborazione con l’italiana Rcs, avrebbe proposto l’uso di apparecchiature di origine statunitense per intercettare le comunicazioni sulle reti di un fornitore di servizi Internet via satellite, Aramsat. Anche in questo caso le stesse regole costate la sanzione ad Area si sarebbero dovute applicare. Agt ha dichiarato a Privacy International che il progetto non è mai stato completato. Secondo la documentazione del progetto esaminata da Privacy International, però, alla fine Rcs non avrebbe incluso l’hardware nella propria offerta ad Agt.

Nel giugno 2009, invece, il governo siriano ha cercato di acquistare una tecnologia per intercettare direttamente il traffico internet, in entrata e in uscita dal Paese, che passava allora attraverso i due centri di scambio del traffico online, a Damasco e Aleppo. Al centro di questo progetto sarebbe stata l’azienda sudafricana VASTech.

Nel report si parla anche del bando aggiudicato da Area. Originariamente il duo Agt-Rcs aveva presentato una proposta ma, dopo che una dimostrazione della loro tecnologia aveva dato scarsi risultati e offerte di ulteriori prodotti da parte delle due aziende erano andate a vuoto, la Syrian Telecommunication Establishment (Ste) aveva assegnatoil progetto ad Area. Come nota Privacy International nel suo report, il bando di gara indetto dalla Ste specificava che «il sistema deve essere centralizzato e deve avere [sic] la capacità di monitorare tutte le reti che utilizzano servizi di comunicazione dati all’interno dei territori siriani», e all’epoca il governo siriano manteneva «uno stretto controllo dei servizi di telecomunicazione attraverso l’ente regolatore delle telecomunicazioni e proprietario dell’infrastruttura di telecomunicazione del Paese»: quell’ente era il Syrian Telecommunications Establishment.

Cosa resta dopo l’indagine su Area

L’archiviazione dopo cinque anni di indagini lascia insoddisfatti sotto molteplici punti di vista sia le associazioni e gli attivisti che si occupano di diritti umani – per l’impossibilità di verificare con chiarezza chi fosse l’utilizzatore finale della tecnologia – sia l’azienda a causa della lunghezza di un processo che ha confermato solo dopo diversi anni la posizione dichiarata sin dal primo momento.

L’archiviazione, però, permette di riflettere su alcuni nodi centrali dell’export che sono validi in ogni caso. Da un lato c’è la questione dell’ “utilizzatore finale”: la pericolosità di una tecnologia dipende infatti anche da chi la usa. Tra la documentazione per richiedere l’autorizzazione all’export esiste anche un documento in cui questa figura va indicata per legge, ma come già ricostruito da IrpiMedia, non sempre corrisponde al vero. Sia le organizzazioni che intentano le cause sia gli inquirenti che poi aprono i fascicoli spesso partono dall’ipotesi che la licenza dell’export non indichi davvero chi userà la tecnologia. Nel caso della Siria e di Area, alcuni testimoni (all’epoca dipendenti di Area) avevano indicato la presenza di una persona collegata ai servizi segreti siriani, che sarebbero stati i veri utilizzatori della tecnologia. Questa persona, indicata con il nome di Firas, non è mai stata identificata dal pm.

Dall’altro lato c’è il fatto che, anche se si identificasse un utilizzatore finale “sospetto”, ci sarebbe comunque da stabilire la responsabilità dell’azienda sull’eventuale uso della tecnologia per reprimere dissidenti o giornalisti. Soprattutto dal momento in cui sono coinvolte agenzie governative.

Nel caso di specie, Area, dal canto suo, ha dimostrato in fase d’indagine di aver fatto tutti i passi necessari per ottenere la licenza di esportazione, anche in un momento in cui non era richiesta. Ancora oggi Area dichiara di essere insolvente nei confronti di una banca italiana che aveva garantito le coperture economiche per il progetto in Siria, poi mai realizzato.

«Noi vorremmo la maggior chiarezza possibile – spiega Formenti -. Ci piacerebbe avere una lista di tecnologie classificate con grande scrupolo e con altrettanta flessibilità nell’adattamento dinamico all’evoluzione tecnologica e geopolitica. Siamo estremamente aperti».

Attualmente, secondo Area, in alcuni casi ci sarebbero delle contraddizioni. Ad esempio, le licenze non valgono allo stesso modo per due tecnologie che comunicano tra loro, come il sistema che duplica il traffico degli operatori telefonici (i cosiddetti sistemi di mediazione) e i sistemi di monitoraggio installati presso le procure dove si registrano e analizzano questi dati. I primi non sono soggetti ad autorizzazione per l’export mentre i secondi sì.

Questa discrepanza «tende a inclinare il piano di gioco: se sei un’azienda che si occupa di sistemi di mediazione, hai uno spazio di manovra più ampio», dice Formenti. Secondo il fondatore di Area, servirebbero inoltre per lo meno a livello europeo delle linee guida più precise rispetto a Paesi ed entità con le quali le aziende sono autorizzate a lavorare. Servirebbe poi «un organismo di controllo indipendente, come gli osservatori durante le elezioni» che periodicamente verifichino il rispetto di quanto previsto dalla licenza. Sulla composizione di questo organismo ci sarebbero diverse strade: soggetti terzi come quelli che già esistono e che fanno consulenze per il rilascio della licenza, o meglio ancora, «soggetti che abbiano una forma di accreditamento istituzionale», ha spiegato Formenti. Una sorta di organismo sovranazionale unico per tutti i Paesi.

Attualmente, infatti, ci sono Paesi europei che facilitano l’esportazione di tecnologie di sorveglianza. Questo aspetto emerge dal report di novembre 2022 pubblicato dalla Commissione incaricata dal parlamento europeo di indagare sull’uso degli spyware di sorveglianza, la Commissione PEGA. Non c’è accordo sulle scelte da prendere per controllare le esportazioni. Il problema che nota qui lo stesso Formenti è anche la disponibilità di governi e agenzie a rendere trasparente l’uso che fanno di certe tecnologie. In mancanza di vincoli precisi sono le singole aziende che, al di fuori delle maglie delle norme internazionali, sono libere di decidere in base ai propri criteri con quali entità sia opportuno lavorare e con quali no.

Attualmente, il regolamento dual use prevede già una sorta di matrice simile a quella descritta da Formenti, dove una lista puntuale di tecnologie e software deve essere valutata in base alla tipologia di utilizzatore finale e al Paese in cui risiede. Questa lista, secondo ong come AccessNow, non è necessariamente esaustiva e in alcuni casi non tiene il passo con le novità legate allo sviluppo tecnologico in questo settore.

La proposta: al bando gli spyware

Almeno per quanto riguarda gli spyware – controversa tipologia di malware che permette di prendere il controllo da remoto di qualsiasi dispositivo – l’europarlamentare dei Verdi e relatrice della Commissione PEGA, Sophie In’t Veld, auspica l’introduzione di una moratoria per bloccarne l’uso e la vendita in Europa. Una soluzione drastica che però rischia di non essere nemmeno efficace perché parte da un quadro incompleto delle aziende del settore e perché non tutti i Paesi europei sembrano avere un’idea comune sulle soluzioni.

Il lavoro della Commissione non è stato semplice, tra tensioni interne e indisponibilità di alcuni Paesi a fornire le informazioni richieste. Nel caso dell’Italia, il governo non ha fornito spiegazioni in merito all’acquisto e l’impiego degli spyware, e neanche sul quadro legale e sulle spese sostenute. Certamente l’Italia non è da sola in questa lista degli ultimi: solo Austria, Polonia e Cipro hanno risposto al questionario inviato dalla Commissione a luglio 2022.

Secondo alcune indiscrezioni rivelate da EURACTIV, il report dell’europarlamentare Sophie In ’t Veld ha il supporto della maggior parte dei gruppi parlamentari tranne del Partito popolare europeo (Epp), che presumibilmente cercherà di ridurre la portata delle decisioni prese per arginare lo scandalo delle intercettazioni illegali in Grecia, il “Watergate europeo”. Néa Dimokratía, il partito del primo ministro greco Kyriakos Mitsotakis, ovvero il personaggio politico più coinvolto nello scandalo, è infatti membro dell’Epp.

La moratoria, si legge nella bozza del report, sarebbe immediatamente applicabile e contempla il divieto complessivo di esportazione a meno che i Paesi non soddisfino alcuni requisiti: fare chiarezza senza ritardi su eventuali controversie in caso di abuso degli spyware, allineamento agli standard europei sulla sorveglianza, disponibilità a ricevere ispezioni e indagini dell’Europol e revoca di qualsiasi pregressa licenza di esportazione già erogata se questa non è in linea con lo spirito del Regolamento europeo.

Il report evidenzia ancora la mancanza di regole e conoscenza all’interno del mondo della sorveglianza. «La Commissione Europea – si legge – non ha finora intrapreso un’analisi della situazione né una valutazione delle aziende attive sul mercato europeo». Avere la lista delle aziende della sorveglianza che operano all’interno dell’Unione europea non è nemmeno sufficiente per avere un’analisi esaustiva del mercato dato che diversi operatori lavorano con una fitta rete di intermediari e di società rivenditrici, spesso molto difficili da identificare. Questa rete societaria è un elemento di rischio potenziale, ma la possibilità effettiva di intervenire sul piano dei controlli e delle norme è limitata dal fatto che spesso parte delle aziende coinvolte si trova in giurisdizioni anche extra-europee, dove le regole del grande gioco della sorveglianza sono diverse.

Unire i puntini: gli intermediari che sfuggono alle regolamentazioni

Per portare la propria tecnologia all’estero, ci sono due strategie: aprire una propria succursale locale oppure affidarsi a una rete di rivenditori sul posto. Nel caso di Area, si legge dai bilanci che ha due controllate in territorio extra-Ue: una in Oman dal 2017, Area Llc, e una in Gran Bretagna, Area Systems UK. Secondo quanto dichiarato dall’azienda a IrpiMedia, entrambe sono nate con l’obiettivo di commerciare prodotti nei due Paesi e hanno entrambe clienti istituzionali.

Se dal lato dell’azienda c’è stata disponibilità a spiegare il motivo dell’apertura delle due società controllate, sul piano delle istituzioni pubbliche non c’è stata alcuna trasparenza in merito al tipo di tecnologia fornito da Area. In Gran Bretagna, oltre 20 dipartimenti di polizia contattati da IrpiMedia attraverso una richiesta di accesso agli atti hanno risposto che non possono né confermare né smentire di avere acquisito tecnologia dall’azienda italiana. Il ministero degli Affari esteri italiano, invece, non ha fornito alcuna risposta in merito alla licenza per l’Oman.

Il Paese rappresenta proprio uno dei casi in cui assegnare una licenza per la vendita di certe tecnologie è delicato: Amnesty International lo indica come Paese dove oppositori e giornalisti finiscono in carcere. Inoltre, dal punto di vista delle tecnologie di sorveglianza, sono già emerse indicazioni della presenza di tecnologie che possono essere abusate. I ricercatori del Citizen Lab, un laboratorio interdisciplinare dell’Università di Toronto, hanno individuato l’uso del controverso spyware Predator; e secondo quanto riportato da Haaretz, negli anni scorsi anche NSO avrebbe venduto al Paese il proprio spyware Pegasus.

Quando l’esportazione avviene attraverso rivenditori e partner, tenere traccia dei passaggi è ancora più complesso. Nel caso PredatorGate, abbiamo raccontato che è stata Intellexa (azienda fondata da un ex capo dell’intelligence israeliana ma la cui sede è stata trasferita in Grecia) a rivendere lo spyware dell’azienda produttrice Cytrox. In Messico, una serie di aziende locali ha siglato accordi per rivendere i prodotti di NSO al governo. L’altra grande italiana, Rcs Lab, invece rivende le capacità della piccola azienda italiana Tykelab, con il marchio Ubiquo. La stessa Rcs è stata di recente acquisita dalla società proprietaria di Cy4gate, a sua volta collegata a Leonardo, l’industria delle difesa a partecipazione statale.

La Commissione afferma di aver raccolto informazioni, seppur non confermate, in merito ad acquisti di spyware da parte di tutti i Paesi dell’Unione europea. Il più importante fornitore è il gruppo israeliano NSO, dal quale comprano spyware almeno 14 Paesi. In Polonia, Ungheria, Grecia e Spagna ci sono elementi che indicano un abuso di Pegasus, mentre per quanto riguarda Cipro al momento ci sono solo sospetti. La stessa Cipro e la Bulgaria sono utilizzati come Paesi di transito per l’esportazione delle tecnologie di sorveglianza. Il Lussemburgo è il Paese dove ha sede la maggioranza delle banche a cui si appoggiano i fornitori di spyware, l’Irlanda la principale sede fiscale, come del resto accade già per le big tech.

Area ha preso parte insieme alla consociata Area Systems UK all’evento Security and Policing 2022, fiera di settore che si svolge in Regno Unito – Linkedin

L’export intra-gruppo: un “buco” nel regolamento europeo

Il regolamento introdotto nel 2021 cerca proprio di correggere queste distorsioni dell’industria. Resta però un buco per quanto riguarda la cessione di licenze all’interno di uno stesso gruppo aziendale.

Ipotizziamo che due aziende, controllate dalla stessa azienda madre, siano registrate in Paesi diversi: una all’interno dell’Unione europea e l’altra in un altro Paese. L’export di tecnologie dall’azienda europea verso la sorella extra-Ue dovrebbe richiedere un’autorizzazione. Questa speciale autorizzazione, una novità introdotta nell’ultimo regolamento, si applica solo nei confronti di Argentina, Brasile, Cile, Corea del Sud, Filippine, India, Indonesia, Israele, Giordania, Malesia, Marocco, Messico, Singapore, Sudafrica, Thailandia, Tunisia, ma esclude dal suo ambito di applicazione diverse tecnologie di sorveglianza come i software per facilitare l’infezione tramite spyware e sistemi per il monitoraggio di internet.

Non è chiaro che cosa accada negli altri casi. A quel punto, non resta che fare riferimento alle normative nazionali. Stando alla legge italiana (entrata in vigore nel febbraio 2018), serve una licenza per l’export anche per la semplice assistenza tecnica nella forma di «istruzione, pareri, formazione, trasmissione dell’apprendimento del funzionamento o delle competenze o servizi di consulenza, comprese le forme orali di assistenza». Lo stesso vale nel caso di accesso ai server per la condivisione delle informazioni, considerato un trasferimento intangibile. In questi casi l’azienda deve dotarsi di un sistema per garantire la sicurezza e tracciabilità degli accessi per consentire verifiche da parte dell’Autorità di vigilanza. Questo farebbe ipotizzare, quindi, che una licenza italiana per l’export sia sempre necessaria.

Ma se invece l’azienda sorella registrata fuori dall’Unione europea volesse riesportare verso un Paese terzo le tecnologie dell’azienda registrata in Ue? E se l’azienda sorella si trova in un Paese dove non sono previsti controlli simili a quelli in Ue? Le interpretazioni per questa casistica sono diverse, anche tra ricercatori e addetti ai lavori: il manager di Area chiederebbe una licenza in Italia. «Non esclude», però, che sulla carta qualcuno possa usare una propria controllata allo scopo di esportare tecnologia extra-Ue senza licenza. Concordano su questo duplice scenario anche due ricercatori che però non sono autorizzati a rilasciare dichiarazioni su questo argomento, data ancora l’incertezza che regna. Il Ministero degli affari esteri non ha risposto a una richiesta di commento al riguardo, inviata da IrpiMedia.

CREDITI

Autori

Lorenzo Bagnoli
Riccardo Coluccini

Editing

Raffaele Angius
Giulio Rubino

In partnership con

Privacy International

Foto di copertina

Metaworks/Getty

Sorveglianza: chi ha aiutato il Messico a spiare i giornalisti

#TheCartelProject

Sorveglianza: chi ha aiutato il Messico a spiare i giornalisti

Raffaele Angius

Nel deserto del piccolo Stato di Puebla, a un paio d’ore di macchina da Città del Messico, una casa abbandonata è il luogo perfetto per una compravendita che richiede discrezione. È il maggio del 2013 e l’incontro è organizzato da intermediari che godono di una solida reputazione nel campo della sicurezza. Il venditore è l’azienda italiana Hacking Team, in quegli anni molto nota per i suoi software spia. Il compratore, almeno ufficialmente, dovrebbe essere la procura generale di Puebla, in procinto di dotarsi di nuove capacità di intercettazione e intrusione informatica.

Il prodotto che ha reso celebre l’azienda milanese nel mondo dell’intelligence è il Remote Control System (Rcs): una tecnologia in grado di acquisire ed esplorare diversi tipi di documenti ospitati sul dispositivo di un bersaglio. Un utilizzo sconsiderato di questi strumenti potrebbe essere estremamente pericoloso, ragion per cui la vendita e l’esportazione dei software spia è altamente regolamentata e sostanzialmente autorizzata solo per usi ufficiali e governativi. Rcs – dicevano all’epoca e hanno ripetuto negli anni i rappresentanti dell’azienda – serviva ad aiutare a combattere il terrorismo, il crimine e il narcotraffico. Tuttavia, l’identità dell’utilizzatore finale non è sempre nota neanche alle stesse aziende che producono i software di spionaggio. La discrezione fa parte del pacchetto.

IrpiMedia è gratuito

Ogni donazione è indispensabile per lo sviluppo di IrpiMedia

The Cartel Project

Anni dopo l’omicidio di Regina Martínez una squadra di giornalisti da Messico, Europa e Stati Uniti ha ripreso le sue indagini da dove è stata fermata. Il progetto è coordinato da Forbidden Stories, organizzazione francese nata per concludere le storie dei giornalisti assassinati. Questa inchiesta appartiene al Cartel Project, un progetto collaborativo che ha coinvolto 60 giornalisti di 25 media in 18 Paesi. IrpiMedia è partner italiano dell’inchiesta.

#TheCartelProject

The Cartel Project

Dei cartelli messicani manca una mappatura dell’influenza e degli affari a livello internazionale. E dal 2000, 119 giornalisti sono stati uccisi per loro mano. The Cartel Project fa luce su tutto questo

All’incontro nello Stato di Puebla partecipano due tecnici di Hacking Team, che hanno il compito di consegnare il prodotto alle autorità. Ma all’altro lato dello scambio si presenta Joaquin Arenal Romero: ufficiale dell’intelligence messicana già noto all’epoca per i suoi collegamenti con i Los Zetas, un cartello di narcotrafficanti che in quegli anni rafforzava il proprio controllo sul mercato nel Paese. «Quando sono stati portati in quella casa senza finestre c’era un po’ di preoccupazione», spiega a Forbidden Stories, sotto garanzia di anonimato, uno degli ex dipendenti dell’azienda italiana, che monitorava l’operazione da remoto.

«Uno dei nostri che era lì ha detto che conosceva uno di questi, che era collegato ai Los Zetas: era sicuro fosse uno del cartello», aggiunge. «Non dico che certe cose succedessero ogni giorno, ma sicuramente succedevano spesso», spiega un altro ex dipendente: «Era normale – conclude – che ci si presentassero davanti dei personaggi che dicevano di lavorare per l’intelligence e che noi, guardandoli, ci chiedessimo “chi sono queste persone?”».

Dall’altro lato dello scambio si presenta Joaquin Arenal Romero: ufficiale dell’intelligence messicana già noto all’epoca per i suoi collegamenti con i Los Zetas

#TheCartelProject

Cuochi messicani per la metanfetamina olandese

Laboratori di droga scoperti tra Belgio e Paesi Bassi sono gestiti da chimici venuti dal Messico. Li reclutano intermediari via EncroChat, un sistema di comunicazione (mal)ritenuto a prova di indagini

I tentacoli del cartello di Sinaloa in Italia

A gennaio 2020 i narcos hanno portato 400 chili di cocaina in Sicilia. Cercavano di aprire una nuova rotta aerea. Un segnale della campagna per la conquista del mercato europeo

Ma non era normale per il dipendente di Hacking Team inviato a Puebla, al suo primo incarico sul campo, come testimoniano alcune mail contenute in un archivio di oltre 400 gigabyte di documenti sottratti alla stessa società e resi pubblici da un hacker nel 2015. Fino a quel momento Hacking Team aveva difeso strenuamente i suoi affari, rivendicando l’importanza di Rcs nel contrasto alla criminalità organizzata e al terrorismo. Dall’altra, gli attivisti già li definivano “mercenari dell’era digitale”, come scrive Reporters without borders nel 2013.

Dopo l’enorme fuga di informazioni che nel 2015 coinvolse Hacking Team fu possibile osservare come la società fosse impegnata in affari con decine di Paesi in cui avvengono sistematicamente violazioni dei diritti umani come Sudan, Azerbaijan e Russia. Del resto il fondatore David Vincenzetti era solito ricordare come la regola non scritta di questo mercato fosse la seguente: «Se un governo dice che una persona (un bersaglio, ndr) è un terrorista, allora è un terrorista», riporta oggi una fonte.

Il leak di Hacking Team

Nessuno sa che fine abbia fatto Phineas Fisher: l’anonimo hacker che, a luglio del 2015, ha divulgato 400 gigabyte di informazioni sottratte ad Hacking Team. Tra quelle figurano i Paesi ai quali David Vincenzetti, fondatore e amministratore delegato dell’azienda, vendeva a governi e agenzie di intelligence il software spia Remote control system, di cui si scrive diffusamente in questa inchiesta. Oggi Vincenzetti è uscito dai radar e da Hacking Team, che nel frattempo è stata assorbita da un’altra società che si ocupa di sicurezza informatica. Phineas Fisher nei radar non ci è mai entrato.

Una delle immagini promozionali di Hacking Team nel 2015

Ma all’epoca dei fatti, due anni prima della fuga di informazioni, il nuovo arrivato appena impiegato a Puebla questo non lo poteva ancora sapere. Era stato accolto nell’azienda con calore ed era stato invitato a usare, da quel momento in poi, la prima persona plurale, “noi”, nel riferirsi ai progetti e obiettivi di Hacking Team. Quindi forse si sarebbe aspettato maggiore comprensione nel raccontare al datore di lavoro cos’era appena successo: «Aveva chiesto di essere riportato indietro perché stava dando di matto», ricorda un ex-dipendente: «Loro (Hacking Team) si sono arrabbiati moltissimo e lui ha lasciato (il lavoro, ndr) il giorno stesso o quello successivo: hanno cercato di contattarlo ma era già sparito».

Episodi simili in Messico non sono fuori dal comune, come spiega un ufficiale di alto grado dell’antidroga statunitense, la Drug enforcement agency (Dea). In un’altra occasione, nel 2011, l’intermediario messicano Dtxt ha tenuto per sé il software fornito da Hacking Team anziché consegnarlo all’utente finale, la polizia federale, che di fatto non ha mai firmato la licenza d’uso necessaria all’attivazione.

Per questa ragione, spiega un ex dipendente, l’installazione non dovrebbe neanche essere mai stata attivata, dal momento che la licenza era una condizione imprescindibile affinché il sistema venisse messo in funzione, spiega una fonte a Forbidden Stories. Dopo un anno e numerose richieste di avere il contratto di licenza firmato, un dipendente ha scritto in una nota interna: «Sembra sia una pratica comune in Messico».

In un’altra occasione, nel 2011, l’intermediario messicano Dtxt ha tenuto per sé il software fornito da Hacking Team anziché consegnarlo all’utente finale, la polizia federale

Il nuovo che avanza

Non stupisce che il Messico sia tra gli attori più attivi nel mercato delle intercettazioni: secondo il gruppo di attivisti della rete R3D, il Paese è stato a lungo quello che ha speso di più nelle tecnologie di Hacking Team. Mentre oggi, a cinque anni dal leak di informazioni dai server dell’azienda, secondo un ufficiale della Dea, sono almeno venti le società che riforniscono di tecnologie per lo spionaggio il governo e le polizie degli stati confederati, tra le quali l’israeliana Nso Group.

L’ultimo episodio, che oggi viene rivelato per la prima volta da Forbidden Stories, risale all’estate del 2016, quando il giornalista della rivista Proceso, Jorge Carrasco, è stato oggetto di un tentativo di infiltrazione informatica tramite il software Pegasus, prodotto di punta dell’azienda israeliana Nso. Carrasco stava investigando sui rapporti tra lo studio panamense Mossack Fonseca, al centro dei Panama Papers, e alcuni clienti messicani, quando riceve un inaspettato Sms sul cellulare: “Ciao Jorge. Ti condivido questo memo pubblicato oggi da Animal Politico. Credo sia importante farlo girare”. Seguendo il link, Carrasco avrebbe inconsapevolmente dato accesso a Pegasus: un trojan che avrebbe rivelato all’ignoto attaccante il contenuto del dispositivo.

Il messaggio “esca” spedito sullo smartphone del giornalista Jorge Carrasco – Foto: Forbidden Stories

La scoperta è il risultato di un lavoro d’indagine condotto dagli esperti di sicurezza informatica di Amnesty International, che da anni braccano Pegasus sui telefoni di attivisti e giornalisti di tutto il mondo. Come già raccontato da IrpiMedia, il software è lo stesso utilizzato in Marocco per spiare il giornalista Omar Radi, particolarmente inviso alla monarchia di Rabat. Ma si sospetta che Pegasus sia stato impiegato anche per spiare Jamal Khashoggi, dissidente e giornalista del Washington Post, ucciso dentro l’ambasciata saudita di Istanbul.

«Il messaggio che abbiamo recuperato faceva parte di una campagna (di intercettazioni, ndr) condotta in quello specifico periodo di tempo», spiega a Forbidden Stories Claudio Guarnieri, dell’Amnesty security lab. Come ricostruito dall’organizzazione, il numero di telefono da cui ha ricevuto il messaggio Carrasco è lo stesso utilizzato per condurre diversi tentativi di intercettazione nei confronti di Carmen Aristegui, tra le più note giornaliste d’inchiesta del Messico.

«Il messaggio che abbiamo recuperato faceva parte di una campagna di intercettazioni condotta in quello specifico periodo di tempo».
Claudio Guarnieri

Amnesty Security Lab

Il vecchio che evolve

Nonostante gli scandali e i palesi abusi di questa tecnologia, nessuna misura è stata presa per proteggere attivisti e giornalisti. Jorge Carrasco, oggi direttore della testata Proceso, è il nono giornalista in Messico il cui dispositivo contiene i segni di un attacco di Pegasus. E anche un ex dipendente di Hacking Team ricorda di aver assistito personalmente a un episodio nel quale il governatore di uno stato federale monitorava dal suo ufficio un giornalista: «Ne andava fiero», aggiunge.

Finora nessuno a livello di autorità pubbliche ha deciso di approfondire il tema. Al contrario, il Messico è stato a lungo uno dei principali acquirenti di Nso: la società israeliana nel 2014 ha firmato un contratto da 32 milioni di dollari con la Procura generale del Paese.

Dell’espansione di Nso nel Centroamerica si trova traccia anche nelle email sottratte nel 2015 ad Hacking Team, che rivelano come l’azienda si ponesse l’obiettivo di “sbugiardare il mito” della sua rivale israeliana.

«Sembra che praticamente tutte le principali società tecnologiche abbiano presentato i loro prodotti in Messico», spiega John Scott-Railton del Citizen Lab, un’organizzazione che da anni investiga sulle attività del software Pegasus prodotto da Nso.

Per approfondire

coding

Sorveglianza: giornalisti ancora nel mirino dei software spia

Amnesty International scopre come un altro giornalista, il marocchino Omar Radi, sia caduto vittima delle tecnologie di sorveglianza di NSO Group, azienda israeliana specializzata nello sviluppo di software di sorveglianza

«Sono convinto che gli abusi siano aumentati in tutto il mondo, ma è anche più difficile individuarli».

John Scott-Railton

Citizen Lab

La preoccupazione, da sempre, è che simili strumenti possano essere utilizzati per spiare attivisti e giornalisti, come più volte documentato, e non terroristi o appartenenti al crimine organizzzato. Ma a rendere ancora più complesso il quadro è l’evoluzione delle stesse tecnologie, sempre più invisibili e difficili da riconoscere. Un traguardo raggiunto quantomeno da Nso che, come già scritto da IrpiMedia a giugno, è in grado di introdurre Pegasus sul dispositivo di un bersaglio anche attraverso attacchi alla rete Internet che serve il dispositivo, bypassando così Sms o allegati malevoli su cui il bersaglio deve cliccare prima dell’inoculazione del virus.

«Sono convinto che gli abusi siano aumentati in tutto il mondo, ma è anche più difficile individuarli», commenta Scott-Railton: «Con l’Nso e altri che vanno nella direzione di vendere tecnologie “zero-click” che non si basano sugli Sms, siamo senz’altro in una situazione più difficile in termini di capacità di investigare». Ma la conseguenza dello sviluppo di queste tecnologie, riflette l’avvocato israeliano specializzato in diritti umani Eitay Mack, «è che in molti luoghi sarebbero in grado di identificare un Nelson Mandela prima ancora che sappia di essere il prossimo Nelson Mandela».

L’esempio di Mack riassume efficacemente le preoccupazioni di attivisti per i diritti digitali, oppositori politici e giornalisti: se chi ha il potere ne abusa, chi paga? Ma soprattutto, chi controlla?

Nessuno lo ha fatto finora nel caso di Emilio Aristegui, figlio della nota giornalista messicana, che ha ricevuto almeno 21 messaggi per altrettanti tentativi di attacco sul suo telefono cellulare, come accertato da Citizen Lab. La campagna nei suoi confronti si è svolta nel 2015 e risulta contigua con quella – evidentemente non andata a buon fine – sul telefono della madre. Ma all’epoca dei fatti Emilio Aristegui era minorenne: «Alcuni di questi messaggi rappresentavano contenuti sessualmente espliciti, mentre in altri si impersonava l’ambasciata statunitense o (si trasmettevano) notizie relative alla madre», si legge in un report pubblicato dall’organizzazione nel 2017.

Emilio Aristegui, figlio della nota giornalista messicana Carmen Aristegui, era minorenne quando ha ricevuto almeno 21 messaggi per altrettanti tentativi di attacco sul suo telefono cellulare

Chi controlla?

Nonostante le ripetute denunce da parte di organi di stampa e associazioni per la tutela dei diritti umani, il governo israeliano non ha mai ritenuto di intervenire nei confronti di Nso, che esporta su sua autorizzazione: «Ogni licenza è erogata alla luce di numerose considerazioni incluse quelle sulle autorizzazioni di sicurezza del prodotto e a una valutazione del Paese verso il quale il prodotto è commerciato», ha dichiarato a Forbidden Stories un portavoce del ministero della Difesa israeliano: «I diritti umani, le politiche e i problemi sociali sono tutti presi in considerazione».

Nel 2018 un gruppo di giornalisti e attivisti messicani presenta un esposto, in Israele, chiedendo di accertare eventuali negligenze di Nso relative agli abusi del governo Messicano, tuttavia il sistema giudiziario ha dovuto prendere atto della richiesta di tenere il procedimento sotto segreto per ragioni di sicurezza nazionale. La stessa segretezza è adottata nei confronti del comitato etico interno all’azienda, che non è però autorizzato a conoscere l’identità dei clienti, spiega Mack: «Se non hanno informazioni come possono intervenire? È una presa in giro».

«Compiamo approfondite indagini su ogni credibile segnalazione di abusi, comprese quelle che riguardano il sospetto che la nostra tecnologia possa essere stata utilizzata con scopi diversi dalla prevenzione legale o dall’indagine legittima in casi di terrorismo o altri reati maggiori», ha commentato un portavoce di Nso in risposta alle domande di Forbidden Stories. L’azienda rivendica di essere anche intervenuta in alcuni casi sospendendo l’accesso ai suoi prodotti: «Abbiamo la possibilità di interrompere l’intero sistema, una misura che abbiamo già preso in passato».

Nso rivendica di essere anche intervenuta in alcuni casi sospendendo l’accesso ai suoi prodotti

Ma se la Galilea piange, Roma non ride. A differenza di quanto dichiarato dal ministero della difesa di Tel Aviv, apparentemente in Italia Hacking Team ha goduto a lungo di migliori auspici, ben rappresentati da una licenza cumulativa all’esportazione ottenuta nel 2015 e valida nei confronti di 46 Paesi. All’epoca (ministro Carlo Calenda) e fino al 2019 queste autorizzazioni erano concesse dal ministero dello Sviluppo economico, ma non è chiaro se fossero previste delle procedure di due diligence come quelle dichiarate dal ministero della Difesa israeliano, al fine di compiere valutazioni specifiche sulle condizioni dei Paesi nei quali venivano esportati i software italiani.

In ogni caso, nel 2019 l’intero comparto è stato trasferito sotto il dicastero degli Affari esteri: «Qui non è rimasto più nulla», spiegano al telefono. Ma anche se così non fosse, negli anni passati il ministero dello Sviluppo Economico non è mai stato particolarmente disponibile a fornire informazioni né a rispondere alle numerose richieste di accesso inviate, in momenti diversi, da diversi giornalisti di IrpiMedia, respingendo sia le domande puntuali su alcune categorie di software sia quelle cumulative che avrebbero quantomeno permesso di ricostruire una statistica del mercato nazionale. Il tutto adducendo motivi di sicurezza nazionale. Al contrario, altri Paesi europei hanno fornito questo tipo di informazioni.


La risposta del Ministero per lo sviluppo economico alla richiesta di accesso agli atti del 2017 - IrpiMedia

«La cosa buona di essere un’azienda europea è che tu devi conoscere l’utente finale, anche se questo non vuol dire nulla e si traduce in un pezzo di carta con un timbro sopra», spiega uno degli ex dipendenti di Hacking Team: «Non dovevi controllare se l’ente sia poi effettivamente in grado di condurre quelle operazioni (di spionaggio, ndr) nella maniera corretta».

Il ministero degli Affari esteri non ha risposto a una richiesta di commento inviata da IrpiMedia.

«L’Italia è vista come un fornitore affidabile perché è cerchiobottista – commenta a IrpiMedia un responsabile governativo nel campo della sicurezza informatica – e il vaglio del cliente o dei suoi intermediari è in capo all’azienda, non all’ente che rilascia la certificazione».

E così non resta che seguire il denaro: all’indomani dell’attacco informatico subito nel luglio del 2015, che ne ha svelato i rapporti commerciali con alcuni Paesi fortemente criticati sul piano internazionale, Hacking Team si è ritrovata isolata proprio da quei clienti che più verosimilmente ne avrebbero sfruttato la tecnologia per fini legittimi, osservano persone vicine alla vicenda. In tal senso nel 2015 sembra essere provvidenziale (dal punto di vista degli affari, sic) la licenza ottenuta dal Mise, che quantomeno avrebbe dovuto garantire all’azienda di espandersi in altre direzioni e così evitare anche lo strapotere di Nso, ormai in piena scalata grazie alla qualità dei suoi prodotti.

Quello che David Vincenzetti, fondatore di Hacking Team, non ha potuto prevedere è ciò che successe al Cairo a gennaio del 2016, con l’omicidio del ricercatore italiano Giulio Regeni. L’Egitto è tra i clienti del polo milanese dello spionaggio, e la stampa italiana si è chiesta se proprio Regeni non fosse stato sorvegliato utilizzando la tecnologia sviluppata in terra natia. Poco più di un mese dopo, il 31 marzo, Hacking Team si è visto revocare la licenza all’esportazione. Una misura che ha segnato la fine dell’azienda sullo scacchiere internazionale.

IrpiMedia è gratuito

Ogni donazione è indispensabile per lo sviluppo di IrpiMedia

CREDITI

Autori

Raffaele Angius

In partnership con

Editing

Luca Rinaldi

Foto

Chris Yang/Unsplash

Sorveglianza: giornalisti ancora nel mirino dei software spia

22 Giugno 2020 | di Cecilia Anesi, Raffaele Angius

Un altro giornalista è caduto vittima delle tecnologie di sorveglianza di NSO Group, azienda israeliana specializzata nello sviluppo di software di sorveglianza, grazie alla quale i governi di mezzo mondo possono spiare media, attivisti e oppositori politici. A farne le spese stavolta, in Marocco, è stato Omar Radi, giornalista d’inchiesta del giornale indipendente LeDesk, che grazie ad Amnesty International ha scoperto di essere stato il bersaglio di una campagna di intrusioni informatiche contro il suo telefono durata almeno un anno: dal gennaio del 2019 allo stesso mese del 2020. Dietro l’operazione si sospetta ci siano le autorità del Paese, da tempo tra i clienti ai quali NSO Group fornisce sistemi di intercettazione tra i più avanzati al mondo.

È questo il quadro che emerge da un’analisi condotta dagli esperti di sorveglianza di Amnesty International, condiviso in esclusiva con Forbidden Stories, piattaforma che prosegue le inchieste di giornalisti minacciati o uccisi, di cui IrpiMedia è partner per l’Italia.

Aggiornamento del 24 giugno 2020

Oma Radi è stato convocato dalla Brigata nazionale di polizia giudiziaria del Paese per chiarimenti. La misura è stata disposta all’indomani della pubblicazione dell’inchiesta che state leggendo condotta dal consorzio di giornalismo investigativo Forbidden Stories, di cui IrpiMedia è membro, nella quale si sono rivelati i numerosi episodi nei quali attaccanti informatici non identificati hanno preso di mira lo smartphone del giornalista, utilizzando il software-spia Pegasus. Questa tecnologia è sviluppata dall’azienda israeliana NSO, di cui il Marocco è ritenuto da tempo un cliente. Omar Radi dovrà presentarsi alle autorità domani, 25 giugno 2020, alle 9:00 del mattino ora locale (le 10:00 in Italia). L’inchiesta internazionale era stata pubblicata tre giorni prima.

Forbidden Stories

Forbidden Stories è una piattaforma che prosegue le inchieste di giornalisti minacciati o uccisi, di cui IrpiMedia è partner per l’Italia. Nel mondo questo approfondimento è pubblicato anche da Le Monde, Radio France, Die Zeit, Süddeutsche Zeitung, WDR, SVT, Utrikesmagasinet, Washington Post, Toronto Star, The Guardian, OCCRP, Daraj, Haaretz, NDR.

Il nome di NSO Group è ben noto nell’ambito della sicurezza informatica e delle organizzazioni per la tutela dei diritti umani. Il software-spia da loro sviluppato – nome in codice Pegasus – è estremamente efficace per condurre intercettazioni e acquisire qualsiasi informazione contenuta nei telefoni dei suoi bersagli: funzionalità particolarmente gradite a governi autoritari e regimi repressivi. Il nome di Pegasus è emerso tra l’altro più volte nel caso dell’omicidio del giornalista saudita Jamal Kashoggi, spiato e poi ucciso al consolato dell’Arabia Saudita a Istanbul.

«Amnesty International aveva già scoperto altre violazioni prima della mia, ma nulla è cambiato»

Omar Radi, giornalista

«Amnesty International aveva già scoperto altre violazioni prima della mia, ma nulla è cambiato: possiamo solo continuare a cambiare telefono ma è come la lotta tra Davide e Golia», ricostruisce Omar Radi. E il problema non è solo che il telefono di Omar sia stato infettato al fine di controllarne il contenuto, ma anche che alcuni di questi episodi siano avvenuti dopo che NSO aveva pubblicato le nuove policy di rispetto dei diritti umani che cercavano di “ripulire” l’immagine di un’azienda su cui Amnesty aveva già pubblicato dati preoccupanti.

Le ripetute campagne di intercettazione nei confronti del dispositivo di Omar dimostrano come, nonostante le promesse, Nso Group abbia continuato a distribuire i propri prodotti senza condurre delle adeguate verifiche di valutazione sul rispetto dei diritti umani da parte dei suoi clienti.

Eppure tutto sarebbe dovuto cambiare

«I prodotti Nso sono utilizzati esclusivamente da agenzie di intelligence nazionali e organi di polizia al fine di combattere il crimine e il terrorismo», si legge sul sito dell’azienda israeliana. Tuttavia, numerosi studi e ripetuti casi venuti alla luce nell’ultimo anno raccontano una storia diversa, nella quale i bersagli prediletti dei clienti di Nso sono piuttosto attivisti e giornalisti. Tra questi, sempre in Marocco, anche lo storico e co-fondatore del movimento Freedom Now, Maati Monjiib, e l’avvocato Abdessadak El Bouchattaoui, coinvolto nella difesa dei manifestanti arrestati durante le proteste berbere del movimento Hirak El-Rif, tra il 2016 e il 2017.

Grazie all’analisi dei loro dispositivi, gli esperti di Amnesty International non solo avevano scoperto le ripetute operazioni ai danni dei due attivisti, ma erano anche stati in grado di determinare l’evoluzione tecnologica delle tecniche d’intrusione perfezionate da NSO Group, che sembra ora in grado di inoculare Pegasus semplicemente sfruttando il controllo della rete alla quale sono collegati gli smartphone.

Tecnicamente si chiama network injection (dall’inglese, iniezione su rete) e consiste nella capacità di deviare la connessione di un dispositivo su un indirizzo scelto dall’autore dell’attacco informatico. Dall’analisi condotta a ottobre del 2019, sarebbe proprio questa la tecnica utilizzata con lo smartphone di Maati Monjib, che durante una normale navigazione su internet si è visto reindirizzato, cliccando sul link di un sito d’informazione sull’app di Facebook, verso la pagina free247downloads[.]com. Di fatto una trappola, che una volta scattata ha permesso di inoculare Pegasus nel suo smartphone. Tre giorni dopo che Amnesty International ha condiviso il risultato della sua ricerca con NSO Group per chiedere un commento, il dominio free247downloads[.]com è stato disabilitato.

Il sito Internet di NSO Group/IrpiMedia

Ma non per questo la tecnica è stata cestinata. La network injection è estremamente efficace in quanto permette all’autore di un attacco informatico di acquisire il controllo di un dispositivo senza che il bersaglio debba interagire con la trappola. La tecnica più comune osservata fino al 2018 prevedeva l’invio di Sms apparentemente legittimi al telefono del bersaglio, contenenti un link malevolo. In questo scenario la “preda” avrebbe dovuto cliccare erroneamente sul link perché avvenisse l’inoculazione.

Se da un lato possono rivelarsi estremamente utili nel contrasto alla criminalità e al terrorismo, questi strumenti possono essere molto dannosi se abusati da Paesi nei quali non è garantita a pieno la libertà di espressione e di critica nei confronti del governo. 

È questo il caso del Marocco che, come denunciato più volte dalle organizzazioni per i diritti umani, ha intensificato la stretta contro proteste pacifiche e dissidenti, arrestando arbitrariamente giornalisti, attivisti, artisti, youtuber e in generale chiunque abbia osato criticare apertamente il Re o le autorità. Da novembre 2019 a oggi, Amnesty ha documentato dieci casi di persone irregolarmente arrestate e detenute

Tra questi anche Omar Radi, che a novembre del 2019 è stato arrestato per un tweet pubblicato mesi prima, ad aprile, nel quale criticava il sistema giudiziario e la condanna delle persone che avevano protestato nel 2017 durante le proteste della popolazione berbera

Rilasciato dopo alcuni giorni, a marzo del 2020 Radi è stato condannato a quattro mesi di carcere (con il beneficio della sospensione della pena) e a pagare una multa di 500 dirhams (circa 50 euro). L’analisi condotta dagli esperti di Amnesty International ha permesso di individuare sullo smartphone di Omar Radi una cartella nascosta creata il 27 gennaio del 2019, nel cui nome compare il medesimo indirizzo riscontrato sul telefono di Maati Monjiib: free247downloads.com.

Come funziona Pegasus: quei decisivi tre millisecondi

Tre millisecondi. Tanto è servito allo smartphone di Omar Radi per essere reindirizzato verso il sito dal quale gli è stato inoculato il malware Pegasus. Almeno questo è quanto ha riscontrato Amnesty International in uno degli episodi identificati sul suo smartphone, il 27 gennaio 2020. Come ricostruito dai tecnici, Radi era sull’app di Facebook quando ha cliccato sul link di un sito d’informazione ed è stato immediatamente reindirizzato verso l’indirizzo contenente il malware. Ma questa volta si trattava di un dominio non noto ai ricercatori – urlpush[.]net -, corrispondente a un server messo in servizio un mese dopo la pubblicazione di Amnesty di ottobre. Il precedente dominio, free247downloads[.]com, era stato cessato il 4 o il 5 ottobre, due giorni dopo che Amnesty International contattasse NSO Group e una decina di giorni prima che il report fosse reso pubblico. Precedenti attacchi sul telefono di Omar sono stati rilevati il 27 gennaio 2019, l’11 febbraio e il 13 settembre. L’ultimo attacco riscontrato risale al 29 gennaio 2020, due giorni prima del precedente. «Mentre le tempistiche suggeriscono un link a NSO – si legge nel report – alcuni dettagli tecnici dell’attacco, compreso il fatto che entrambi i domini riconducono verso lo stesso sito è una prova decisiva per collegare gli strumenti di NSO Group all’attacco contro Omar Radi».

«Questo [tipo di attacco] è tipicamente condotto grazie all’uso di apparecchiature tattiche», spiega a IrpiMedia Claudio Guarnieri, esperto di sicurezza informatica e autore dello studio condotto da Amnesty International. Il riferimento è agli IMSI Catcher: apparecchi che simulano una cella telefonica e quindi si frappongono tra uno smartphone e l’operatore telefonico. Un’altra ipotesi è che chi conduce l’operazione di spionaggio possa avere accesso agli stessi operatori telefonici. In tutti e due i casi, chi attacca ha accesso al traffico dati dell’utente. «Una volta stabilita la posizione di vantaggio, come nel caso di Omar a gennaio o prima ancora di Maati, gli attaccanti possono monitorare il traffico dei dispositivi». L’unico presupposto affinché il dirottamento della connessione avvenga è che l’utente provi ad accedere a siti non protetti da un certificato SSL: si tratta delle pagine il cui indirizzo è preceduto da un “http://”. Da anni è in fase di introduzione in tutto il regno di Internet il protocollo “https://”, la cui “S” identifica che la pagina è protetta. In tutti i casi analizzati, sia Maati Monjib sia Omar Radi stavano navigando su pagine prive di questo tipo di protezione.

«Qualsiasi sito visitato, sia tramite una ricerca manuale su Safari (il browser di default in iOS, ndr) sia visitando un link condiviso su Twitter o Facebook potrebbe causare la trasmissione [del malware], purché la pagina a cui si accede non sia criptata», precisa Guarnieri: «Il tutto avviene in modo automatico e non richiede alcuna interazione né da parte del bersaglio né da quella dell’attaccante: il sistema è autosufficiente».

Ma Pegasus non è solo un software d’intercettazione, anzi: «questo è solo un nome in codice che gli è stato affibbiato ormai diversi anni fa», spiega Guarnieri. «Versioni precedenti scoperte anni fa hanno fornito qualche indicazione su che tipo di dati raccolga, dai registri di Viber e IMO (due app di messaggistica, ndr) fino alle chiamate Whatsapp e agli Sms. Insomma, i dati che tipicamente ci si aspetta vengano esfiltrati da un telefono», aggiunge.

Ma a quali dati acceda oggi nessuno può saperlo con precisione, né è nota la lista dei clienti di NSO Group. A fornire una prima ricostruzione della fisionomia di Pegasus ci aveva pensato, nel 2018, il Citizen Lab della Munk School of Global Affairs di Toronto, che aveva accertato l’impiego di Pegasus in Arabia Saudita, Bahrain, Kazakistan, Marocco, Messico e Emirati Arabi Uniti. Una testimonianza del suo successo è però ben rappresentata anche dal valore del gruppo: a febbraio del 2019 il fondo privato britannico Novalpina Capital ha supportato l’acquisto dell’azienda da parte dei suoi dirigenti. Un’operazione costata un miliardo di dollari (circa 900 milioni di euro) e alla fine della quale il fondo d’investimento ha mantenuto una quota dell’azienda.

In seguito all’operazione, Novalpina Capital si era impegnata a promuovere una migliore definizione delle linee guida e dei principi di NSO Group al fine di meglio tutelare i diritti umani, istituendo addirittura un “Governance, Risk, and Compliance Committee”. Tre giorni dopo l’annuncio, Omar Radi è stato vittima di uno dei tentativi di inoculazione di Pegasus.

Sfortunatamente nessuno ha mai potuto analizzare una versione più recente di Pegasus – «Per quanto ne sappiamo», dice Guarnieri di Amnesty – dal momento che l’azienda ha sviluppato capacità e tecniche tali da renderlo irreperibile a qualsiasi analisi esterna: «L’azienda è molto più prudente di quanto non fosse cinque anni fa».

Le prime tracce di Pegasus risalgono proprio al 2016, quando un’inchiesta del New York Times ne svelò l’esistenza in collegamento con una massiccia campagna di spionaggio internazionale. All’epoca era possibile eseguire l’inoculazione del malware su dieci telefoni al costo di 650 mila dollari, più 500 mila dollari di supporto tecnico.

Ma della tecnologia “dual use” – termine che identifica gli strumenti impiegabili sia in scenari di pace sia bellici – si è tornati a parlare a maggio del 2019, con la scoperta che i tecnici di NSO Group erano in grado di installare il proprio prodotto sul dispositivo di un bersaglio attraverso una semplice videochiamata su Whatsapp, a causa di una vulnerabilità non nota e immediatamente riparata dagli sviluppatori dell’app di messaggistica. Tutt’ora Facebook, proprietaria dell’app per chattare, è in causa con NSO Group. Un miliardo e mezzo di utenti dovettero aggiornare l’app sui propri dispositivi.

Il confronto di Nso Group con l’opinione pubblica era iniziato proprio con quell’episodio, denunciato dagli esperti del Citizen Lab. I ricercatori avevano scoperto che la vulnerabilità di Whatsapp aveva permesso di infettare il telefono di un avvocato londinese coinvolto in un processo proprio proprio contro NSO Group, che doveva difendersi dall’accusa di aver fornito gli strumenti utilizzati per spiare il dissidente saudita Omar Abdulaziz. Tra il 2016 e il 2018 si stima che Pegasus sia stato impiegato in 36 diverse installazioni indipendenti tra loro in tutto il mondo, per un totale di 46 Paesi coinvolti.

«Gli attaccanti possono vedere qualunque cosa venga mostrata sullo schermo del bersaglio», ha commentato a Forbidden Stories un portavoce del Citizen Lab, una volta che l’organizzazione è stata messa al corrente della prossima pubblicazione di questa inchiesta. «Non abbiamo avuto alcuna significativa dimostrazione del fatto che le nuove regole sui diritti umani di NSO Group siano stati efficaci – commenta Citizen Lab – ma è importante notare che una volta venduto il prodotto c’è anche un’intensa attività di collaborazione tra il cliente e NSO. Per esempio, per la fornitura degli aggiornamenti»

Contattata il 16 giugno per una richiesta di commento, NSO Group ha risposto: «L’NSO è profondamente disturbata dalle accuse contenute nella lettera di Amnesty International. Stiamo verificando le informazioni in essa contenute e inizieremo un’investigazione», commenta un portavoce. «La lettera di Amnesty International pone diverse questioni riguardanti il rapporto che NSO Group potrebbe avere nei confronti delle autorità del Marocco, e delle azioni che avevamo preso in seguito a un rapporto di Amnesty International riguardo potenziali abusi dei prodotti di NSO da parte di quelle autorità. L’NSO intende essere quanto più trasparente possibile in risposta a tali accuse riguardanti gli abusi del suo prodotto. Ma dal momento che sviluppiamo e distribuiamo tecnologie che assistono la lotta al terrorismo, ai crimini seri e alle minacce di sicurezza nazionale, NSO è obbligata a rispettare un vincolo di confidenzialità e non può rivelare l’identità dei suoi clienti».

Gli altri attacchi e il lavoro di Omar

Omar ci racconta che da tempo sospettava di essere intercettato. Sia perchè in passato il governo aveva già spiato il suo computer grazie a un virus prodotto dalla italiana Hacking Team (erano state infettati più di 2.000 target in Marocco) e sia perché, sostiene Omar, «le autorità marocchine stanno comprando qualsiasi tipo di tecnologia di sorveglianza e spionaggio possibile. Vogliono sapere tutto, sono diventati un’azienda di spionaggio. D’altronde siamo in uno stato di polizia, quindi è normale». 

Omar ha lavorato come giornalista d’inchiesta per oltre 12 anni seguendo la politica, il potere locale e le relazioni con l’industria e la finanza. Ha anche lavorato e lavora sul tema della giustizia sociale, soprattutto la questione del land grabbing. Proprio in questi giorni su LeDesk è stato pubblicato un nuovo lavoro di Omar sul tema che è stato più difficile del previsto: le vittime che avevano deciso di parlargli sono state poi minacciate dalla polizia e Omar prima di pubblicare ha dovuto togliere le loro storie per proteggerli. Durante la primavera araba, Omar aveva contribuito al lancio della piattaforma di informazione in francese Lakome.com che è stata censurata dalle autorità e il suo direttore imprigionato per avere «glorificato il terrorismo».

Il giornalista Omar Radi – Foto: Fanny Hedenmo

Durante il lockdown a causa del Covid-19, Omar con la redazione di LeDesk ha lavorato sulla mancanza di trasparenza negli appalti per le forniture mediche. Ma per Omar non è solo la voglia di scoprire i temi su cui lavorano i giornalisti il motivo delle intrusioni delle autorità marocchine con il software spia Pegasus. «Faccio parte di un gruppo di persone ritenute “teste calde”, “nemici della nazione”. E ci sorvegliano, anche elettronicamente. È fastidioso perché è una invasione della nostra privacy, lo Stato ha in mano il tuo passato, presente, le tue foto, i tuoi messaggi, le tue cose personali», spiega Omar. Ma non è solo questo, è la rete dei contatti che secondo il giornalista è la gallina dalle uova d’oro che cercano le autorità. «C’è in corso un vero e proprio processo di mappatura delle persone, e probabilmente spiano principalmente i soggetti che hanno più contatti, come i giornalisti. Ed è una cosa che credo sia iniziata da molto tempo, almeno dal 2009», conclude Omar Radi.

Il 7, 9 e 14 giugno di quest’anno il tabloid Chouftv ha pubblicato una campagna di delegittimazione su alcuni giornalisti di punta, tra cui Omar. Le vittime sospettano che sia stata una manovra pilotata dai servizi segreti. Le informazioni riportate erano sicuramente state estrapolate dai telefoni dei giornalisti. «Hanno pubblicato informazioni su di noi di vario tipo, chi siamo, dove viviamo, con chi viviamo, se paghiamo l’elettricità o no, se beviamo alcolici e cose di questo genere. Tutto per fare passare un messaggio: vi controlliamo». Nel caso di Omar, è stato pubblicato il nome della sua coinquilina descrivendo la cosa come una «relazione illegale, fuori dal matrimonio» ma anche materiale di lavoro, per lo più conversazioni avvenute su Whatsapp, e in particolare una conversazione con un ricercatore americano avvenuta sulla app Signal (in teoria sicura, ma non se Pegasus buca il telefono).

Alcune delle informazioni però, erano chiaramente frutto di un’altro tipo di sorveglianza, quella classica, fisica, e non meno preoccupante. Significa che chi spia i giornalisti marocchini con i software NSO, poi li segue anche per strada e potrebbe facilmente attaccarli. Ma per Omar questo non è l’aspetto peggiore. L’aspetto peggiore sono le smear campaign che vengono costruite, campagne di delegittimazione che isolano il giornalista e che terrorizzano potenziali fonti, su cui si basa il lavoro di informazione. «In questo modo le persone diventano riluttanti a parlare con noi giornalisti, se sanno che sono intercettato. Ci organizziamo con altri sistemi come SecureDrop», spiega Omar. Questo però, conclude il giornalista «rallenta i processi, per le persone è complicato capire come usare i sistemi di comunicazione sicura. Ma non importa, anche se ci vorrà più tempo e se ci sorvegliano, non smetteremo di fare il nostro lavoro». Il governo marocchino, contattato da Forbidden Stories per il consorzio, non ha voluto commentare.

In partnership con: Forbidden Stories | Foto: Shahadat Rahman/Unsplash

18Shares
Share via