Un’inchiesta di Forbidden Stories e Amnesty International ha rivelato che lo spyware Pegasus, prodotto dall’azienda israeliana NSO Group e formalmente venduto ai governi per contrastare il terrorismo e la criminalità, in realtà sarebbe stato utilizzato da governi autoritari di tutto il mondo per sorvegliare giornalisti, attivisti per i diritti umani e politici. L’indagine getta ulteriore discredito sull’azienda, non nuova a questo tipo di accuse, e su un mercato, quello dei software spia, opaco e immenso.
L’inchiesta Pegasus Project
L’inchiesta, denominata Pegasus Project, è frutto della collaborazione tra più di 80 giornalisti di 17 testate di 10 paesi (tra cui il Guardian, il Washington Post e Le Monde), coordinate da Forbidden Stories, un’organizzazione giornalistica no-profit parigina, e il supporto tecnico della divisione tecnologia di Amnesty International.
Il consorzio sarebbe entrato in possesso, attraverso un leak, di una lista di circa 50.000 utenze telefoniche potenzialmente spiate dai clienti di NSO Group attraverso lo spyware Pegasus. L’indagine ha identificato finora in questa selezione tra il 2016 e giugno 2021 189 giornalisti, 65 dirigenti d’azienda, 85 attivisti per i diritti umani, politici e diversi capi di stato, tra cui il presidente francese Macron.
L’eterogeneità dei potenziali target dimostrerebbe come Pegasus sia stato largamente utilizzato oltre i suoi scopi. Infatti, lo spyware viene ufficialmente venduto da NSO Group (previo permesso di Tel Aviv) solo a governi e agenzie di intelligence per svolgere attività contro la criminalità e il terrorismo, ma risulterebbe evidente come l’azienda israeliana sia stata negligente nell’accertare l’uso legittimo della cyber-arma (classificata così dallo stesso governo israeliano) da parte dei suoi clienti, che non brillano certo per democraticità. Come osserva il Guardian, per questi regimi il dissenso politico è una forma di terrore. Pegasus Project è così riuscito a risalire a una lista dei clienti principali che avrebbero abusato di Pegasus per pratiche di sorveglianza: Azerbaijan, Bahrain, Kazakistan, Messico, Marocco, Ruanda, Arabia Saudita, Ungheria (unico membro dell’UE, dove la privacy dei cittadini dovrebbe essere un diritto fondamentale), India ed Emirati Arabi Uniti. Il Washington Post ha stilato le risposte (e i silenzi) dei paesi coinvolti.
La gravità di questa vicenda è lampante. Questo spyware, una volta installato di nascosto sui dispositivi Apple e Android attraverso phishing o tecniche no-click, cioè senza che sia necessaria un’azione della vittima, permette il completo accesso al telefono. Il trojan invia così i dati al cliente estraendoli dalle comunicazioni su app di messaggistica crittografate (come Whatsapp, Telegram e Signal), dalle email, e potendo accedere anche al microfono e alla fotocamera.
Il Security Lab di Amnesty International ha eseguito analisi forensi su un’ottantina di dispositivi della lista rintracciando l’installazione di Pegasus o il tentativo di infezione in 67 dei telefoni. Sebbene non sia ancora chiaro se tutti i numeri sulla lista siano stati effettivamente infettati da Pegasus, le analisi hanno confermato che esiste una correlazione. Per gli addetti ai lavori Amnesty International ha inoltre pubblicato un rapporto condividendo la metodologia forense utilizzata.
Nelle prossime settimane i media dell’inchiesta pubblicheranno ulteriori dettagli su chi è caduto vittima di Pegasus, ma viene confermata la pervasività e diffusione di attività di sorveglianza già denunciate nel 2013 da Edward Snowden, il whistleblower della NSA.
NSO Group, hacker su commissione che “salvano vite”
NSO Group, l’azienda sviluppatrice di Pegasus, ha negato tutte le accuse dell’inchiesta, segnalando in una risposta scritta a Forbidden Stories che l’indagine è basata su «ipotesi sbagliate» e «teorie non corroborate», ribadendo che la spyware factory è in «missione per salvare vite», considerandosi quasi un ente benefico al servizio dell’umanità.
La NSO è stata fondata nel 2010 da tre ex-membri dell’intelligence israeliana esperti nella sorveglianza dei palestinesi, costretti dai sorveglianti a lavorare come informatori per i servizi di sicurezza di Tel Aviv. Visto il pedigree dei fondatori, risulta poco credibile che i vertici di NSO non siano consapevoli dell’esteso abuso di Pegasus ad opera dei loro clienti.
Non è la prima volta che NSO Group e Pegasus sono al centro delle accuse: Whatsapp nel 2020 ha citato in giudizio NSO per violazione della privacy degli utenti dell’app crittografata; lo stesso ha fatto Microsoft per violazione dei suoi sistemi operativi. A seguito delle rivelazioni di Forbidden Stories, Amazon Web Services (AWS) ha bloccato gli account di NSO.
Inoltre, solo un mese fa NSO ha pubblicato un rapporto sulla trasparenza, in cui sottolinea come Pegasus è stato «utilizzato solo dove c’era una legittima applicazione della legge» da parte dei clienti. L’azienda scrive che «il nostro obiettivo è quello di aiutare gli stati a proteggere i loro cittadini e salvare vite», ma il Pegasus Project getta seri dubbi su questa narrazione.
La sorveglianza mette in pericolo le vite dei giornalisti, dei loro familiari, colleghi, amici e fonti confidenziali. Basti pensare al caso di Cecilio Pineda Birto, giornalista messicano ucciso nel 2017 per aver denunciato la collusione tra la polizia statale e il leader di un cartello della droga. Il suo cellulare sarebbe stato infettato da Pegasus qualche settimana prima dell’omicidio, come anche il dispositivo del procuratore che seguiva il caso.
Una vicenda tristemente più nota è l’efferato omicidio di Jamal Khashoggi, editorialista del Washington Post, all’interno del consolato saudita a Istanbul nel 2018. Dissidente e inviso alla famiglia reale di Ryad e soprattutto al principe e probabile mandante Mohammed Bin Salman (sì, quello del Nuovo Rinascimento secondo Matteo Renzi), Khashoggi era probabilmente già stato obiettivo di Pegasus, nonostante le smentite reiterate di NSO Group negli ultimi anni. Forbidden Stories ha però scoperto che nella lista di utenze telefoniche compaiono la moglie e la fidanzata del giornalista, membri della sua famiglia, amici e colleghi, tutti bersagli di Arabia Saudita e Emirati Arabi Uniti.
Un mercato che non dovrebbe esistere
NSO Group è solo una piccola parte di un quadro complessivo molto più grande: aziende private di spyware come la corporation israeliana, FinFisher o l’italiana Hacking Team hanno proliferato in questi anni in un mercato immenso e non regolamentato, vendendo i loro prodotti e servizi a governi e istituzioni statali che non avevano le competenze tecniche per sviluppare le proprie armi cibernetiche. Facendo grandi profitti nell’opacità di questo tipo di commercio, queste aziende tech hanno affrontato relativamente poche conseguenze, a livello legale e finanziario, per l’abuso dei loro prodotti contro giornalisti e attivisti.
Intervistato dal Guardian, Edward Snowden, paragonando l’industria spyware a una fabbrica di varianti di coronavirus, l’ha definita un mercato che non dovrebbe esistere: «i loro unici prodotti sono vettori di infezione. Non sono prodotti di sicurezza. Non forniscono nessun tipo di protezione, nessun tipo di profilassi. Non fanno vaccini. L’unica cosa che vendono è il virus».
È per questo che secondo gli esperti la comunità internazionale non può più perseverare con una regolamentazione soft che, come dimostra Pegasus Project, si è rivelata inefficace nell’impedire che regimi autoritari violassero i diritti umani e nella protezione di individui e aziende contro gli attacchi hacker. Il primo passo è imporre una moratoria del commercio internazionale di spyware per poi negoziare un sistema globale che regoli e controlli strettamente queste transazioni, definendo con cura le tecnologie, l’iter di valutazione trasparente sui diritti umani e un registro pubblico di clienti, aziende e software.
«Una vicenda del genere in UE è inaccettabile», ha affermato la Presidente della Commissione Europea Ursula von der Leyen, commentando la vergognosa presenza nel novero dei clienti di Pegasus dell’Ungheria di Orban. Ma come sottolinea Riccardo Noury, portavoce di Amnesty International Italia, non vanno applicati doppi standard perché non è accettabile nemmeno in paesi che violano sistematicamente i diritti umani, come il Marocco o l’Arabia Saudita, e con cui l’UE ha rapporti consolidati.
Secondo Giovanni Ziccardi, professore di informatica giuridica all’Università statale di Milano, il Pegasus Project evidenzia tre aspetti fondamentali: il rapporto con la legge e la normativa sulla protezione dei dati; la perdita di controllo nella vendita degli spyware; e l’assoluta disparità delle armi, giacché strumenti così invasivi e avanzati vengono usati sui dispositivi di persone comuni, che si vedono impossibilitati a difendersi anche in sede processuale.
Alla domanda su come la gente potrebbe proteggersi, Edward Snowden ha risposto: «cosa può fare la gente per proteggersi dalle armi nucleari?». La soluzione è agire collettivamente: «se vuoi proteggerti devi cambiare il gioco, e il modo in cui possiamo farlo è porre fine a questo commercio».
Augusto Heras