Casablanca, 2019. Un noto attivista marocchino incontra un giornalista. È un suo amico, devono aggiornarsi su diverse cose accadute dal loro ultimo incontro. Una di queste è la disinfestazione del telefono dell’attivista: aveva scoperto di essere stato “infettato” da un potente spyware creato da un’azienda israeliana ed era dovuto ricorrere a una “pulizia” metodica e professionale del suo smartphone. Solo che durante l’incontro non sapevano che a essere “controllato” era anche il telefono del giornalista. È bastata una ricerca on line perché il suo smartphone fosse infettato, mettendolo completamente nelle mani di chi, dall’altra parte, ha potuto osservare, ascoltare e prendere nota di tutto quanto presente nel telefono cellulare del giornalista.
Lo spyware si chiama Pegasus e a produrlo è un’azienda israeliana, la Nso. Entrambi sono da tempo sotto la luce di Amnesty, Forbidden Story (che sulla vicenda marocchina produsse un denso report), Citizen Lab e tante altre organizzazioni che hanno denunciato da tempo la pericolosità di Pegasus e la completa mancanza di regole per limitare la sua esportazione da parte di Israele. Nelle ultime due settimane Pegasus è diventato noto a tutti i media, grazie a una inchiesta giornalistica che ha svelato come lo spyware sia utilizzato da molti paesi (per lo più autoritari, come Azerbaijan, Bahrain, Kazakhstan, Marocco, Ruanda, Arabia Saudita, ma non mancano democrazie, seppure non proprio limpide, come India, Ungheria e Messico) per prendere il completo controllo dello smartphone e dunque delle informazioni di giornalisti e attivisti.
Secondo la documentazione rilasciata da diversi quotidiani sarebbero almeno 50mila le persone potenzialmente colpite dallo spyware. In alcuni casi, come accaduto al giornalista saudita Jamal Khashoggi, dal “controllo” si è passati all’omicidio. In altri, lo spyware è diventato un vero e proprio stimolo a una sperimentazione dai numeri altissimi, come ad esempio in Messico dove, secondo i dati rilasciati dal Guardian, una delle testate protagoniste delle ultime rivelazioni sul software israeliano, «lo straordinario numero di numeri messicani nei dati trapelati, inclusi telefoni appartenenti a sacerdoti, vittime di crimini sponsorizzati dallo stato e figli di personaggi di alto profilo, mina gravemente le affermazioni di Nso secondo cui il suo software sarebbe utilizzato solo dai suoi clienti per combattere gravi crimini e terrorismo». Nonostante gli scandali degli anni scorsi, ad esempio quello rivelato da Snowden sulla Nsa, l’attenzione rispetto ad attività di controllo e accaparramento dei dati è stata spesso incentrata sulle “piattaforme”, dimenticando che una parte massiccia della sorveglianza, oggi, avviene soprattutto attraverso attività “di sicurezza” degli Stati. L’affaire Pegasus, solo l’ultimo nel suo genere, è lì a dimostrare che non solo “così fan tutti” ma che l’utilizzo di questi strumenti si diffonde a macchia d’olio, finanziando economie e regimi e portando sempre più indietro le richieste che arrivano da ong e associazioni per una regolamentazione del fenomeno.
I problemi più gravi messi in evidenza dalle recenti inchieste sono di due tipi: in primo luogo lo spyware è in grado di realizzare uno “zero click exploit”, cioè “entrare” nello smartphone senza che la vittima debba fare niente (né rispondere a una mail, né a un messaggio). Il software “buca” i sistemi operativi attraverso alcune falle: mano a mano che queste sono riparate (poiché si parla da tempo della potenza degli spyware) anche il software si aggiorna, rimanendo così pericoloso (è possibile usare dei tool per scoprire se si è stati infettati, ma servono minime conoscenze tecniche). In secondo luogo Pegasus è uno dei pesci più grossi di un oceano nel quale gli spyware costituiscono un mercato immenso: ne fa parte anche l’Italia con alcuni prodotti che nel corso degli anni sono stati al centro di attenzione mediatica e scandali. Le questioni sono tante e coinvolgono i produttori e le regole, mancanti, in grado di regolarizzare o vietare del tutto l’esportazione di questi software, un settore che Edward Snowden di recente ha definito «un’industria che non dovrebbe esistere».
La potenza dello spyware conferma il “mito” del luogo dal quale proviene, ovvero la Nso, un’azienda israeliana nata dalla “Unità 8200”, divisione dell’intelligence di Tel Aviv che si è lanciata nel settore commerciale. Fu lo stesso allora premier israeliano Benjiamin Netanyahu a sottolineare le ragioni di questo sbocco: «è per fare tanti soldi», disse più volte a un convegno sulla tecnologia in Israele. E fu l’attuale premier Bennet, quando era ministro della Difesa, a dare l’ok alla vendita nel mondo dello spyware. A Tel Aviv, infatti, conoscono bene tanto Pegasus quanto la Nso. Già nel 2018 un’indagine condotta da Haaretz, basata su circa 100 fonti in 15 paesi, aveva mostrato che «l’industria israeliana non ha esitato a vendere capacità offensive a molti paesi privi di una forte tradizione democratica, anche quando non hanno modo di accertare se gli articoli venduti fossero usati per violare i diritti dei civili. Le testimonianze mostrano che l’attrezzatura israeliana è stata utilizzata per localizzare e detenere attivisti per i diritti umani, perseguitare membri della comunità Lgbt, mettere a tacere i cittadini che erano critici nei confronti del loro governo e persino per fabbricare casi di blasfemia contro l’Islam nei paesi musulmani che non mantengono rapporti formali con Israele». A proposito di Nso, Antonella Napolitano, Policy officer presso Privacy International, ci ha raccontato che «due mesi fa abbiamo pubblicato un rapporto congiunto con Amnesty International e il Centre for Research on Multinational Corporations, analizzando la struttura labirintica del Gruppo Nso che ha fornito all’azienda vantaggi legali e normativi in varie giurisdizioni per facilitare gli investimenti, il funzionamento e la crescita. La resistenza di Nso a rivelare dettagli essenziali sulle sue operazioni, comprese le vendite e l’impatto sui diritti umani, ha fornito al settore della sorveglianza un modello su come evitare la trasparenza. Nso Group e il resto di questa industria della sorveglianza colpiscono giornalisti e attivisti di tutto il mondo, facendoli arrestare o terrorizzandoli con il rischio che il governo stia osservando ogni loro mossa. I governi coinvolti non possono più sottrarsi alle responsabilità e devono attuare una moratoria sulla vendita e il trasferimento di apparecchiature di sorveglianza fino a quando non sarà messo in atto un adeguato quadro normativo improntato al rispetto dei diritti umani».
Oggi Israele, insieme alla Cina, è probabilmente il paese con il know how più forte in fatto di sistemi di sorveglianza, sia per l’utilizzo interno sia per scopi commerciali. Il controllo sui palestinesi, più volte denunciato e le cui conseguenze drammatiche sono state raccontate nel film del 2013 “Omar” del regista Hany Abu-Assad, e alcuni spregiudicati utilizzi dei sistemi di tracciamento durante il Covid-19 portarono Haaretz a sollevare dubbi e alla segnalazione di come Israele stia «seguendo la Cina in materia di sorveglianza», attraverso il monitoraggio dei cellulari e il tentativo costante «di intromettersi ancora di più nelle nostre vite tramite i nostri telefoni. E una volta entrato, è difficile credere che possa mai uscirne di nuovo». Eitay Mack, un avvocato israeliano per i diritti umani che ha cercato per anni di far annullare la licenza di esportazione di Nso, ha raccontato al Financial Times che «dagli anni ’50, Israele ha usato le sue vendite di armi per guadagni diplomatici, l’unica cosa che cambia sono i nomi dei paesi».
Sul tema, ovvero come gestire l’esportazione di questi prodotti, Antonella Napolitano specifica che «dopo ben dieci anni di negoziazioni, a maggio 2021 è stato approvato il regolamento europeo sulle tecnologie a uso duale, che introduce alcune tutele e responsabilità. Si tratta di un passo importante ma il risultato avrebbe potuto essere più ambizioso. Con alcune altre ong come Human Rights Watch, Amnesty International, Access Now, abbiamo analizzato il regolamento, che è davvero una base minima. Ci sono aspetti positivi, come l’obbligo per le autorità dell’Ue di fornire pubblicamente informazioni dettagliate su quale esportazione le licenze sono state approvate o negate e i rischi per i diritti umani, ma l’accordo non fornisce indicazioni esplicite e condizioni rigorose per le autorità e gli esportatori degli Stati membri».
Come emerso nel corso degli ultimi anni, anche l’Italia ha un suo ruolo: nel 2019 un’inchiesta di Wired sulla base della ricostruzione del centro di giornalismo d’inchiesta Irpi svelò Exodus, un malware «che ha messo a repentaglio milioni di byte di dati secretati e sensibili, intercettando almeno 393 telefoni», sviluppato dalla E-Surv, una società di Catanzaro. E ancora prima, nel 2016, il report di Privacy International dal titolo The Global Surveillance Industry aveva individuato18 aziende italiane, tra cui alcune come Hacking Team e Area diventate nel tempo note ai media. Nel 2017, ad esempio, il Mise revocò la licenza di esportazione di Area verso l’Egitto anche a seguito della pressione di diverse ong italiane (Area è anche citata insieme alla Nso all’interno di un documentario di Al Jazeera dal titolo “Spy Merchants”). Il mercato è fiorente anche in Italia, così come in tutto il mondo, considerando che non tutto è “emerso”. Per questo è ancora più complicato soddisfare gli obblighi internazionali di protezione dei diritti umani: «C’è ancora molto da fare in termini di ampliamento delle definizioni di cybersorveglianza. Insomma, questa è una base minima», spiega Antonella Napolitano, «e molta responsabilità va agli stati membri in termini di implementazione. Purtroppo, molti di essi hanno privilegiato gli interessi dell’industria di sorveglianza anche in fase di negoziazione. L’Italia è stata storicamente poco trasparente su questo tema. Inchieste come questa rendono ancora più evidente l’urgenza di certe misure».