Piuttosto che ventilare ipotesi di complotti o richiedere dimissioni, come si è già affrettato a fare qualcuno, sul caso Paragon – software usato per spiare personalità pubbliche, anche in Italia – è fondamentale fermarsi per provare a capire bene a cosa ci troviamo di fronte.
Indice degli argomenti
Paragon, capiamo cos’è successo
Solitamente quando avviene un attacco hacker, di qualsiasi tipo sia (spyware, ransomware, poco cambia), individuare le responsabilità delle azioni e attribuirle a un preciso soggetto è estremamente complesso.
Norma ISO 31700 e privacy by design: cosa devono sapere aziende e consulenti
Anche in questo, benché ci sia un forte sospetto che dietro queste operazioni ci siano entità in qualche modo riconducibili allo Stato italiano, appare difficile definire fin da subito il perimetro di quanto sta accadendo. D’altronde, se come dice il Guardian le persone interessate da questa violazione non sono soltanto 7 italiani ma un totale di oltre 90 tra giornalisti e attivisti europei, i contorni si fanno più sfumati e le responsabilità – fin da subito – meno chiare.
E se anche un episodio come questo, condotto a danno di giornalisti e organizzazioni non governative, è inquietante perché ricorda i peggiori scenari di regimi totalitari, dobbiamo tenere a mente che non è la prima volta che accade. Ve lo ricordate il caso Pegasus segnalato da Amnesty International 4 anni fa? È una storia molto simile: un’altra azienda israeliana, NSO Group, sfruttando una falla nelle videochiamate di WhatsApp riuscì ad infettare i device di oltre 80 giornalisti e attivisti.
Come funziona Graphite, lo spyware di Paragon Solutions
Sulla vicenda si è mobilitata fin da subito la politica, e diversi colleghi parlamentari – che evidentemente non hanno grande simpatia per i grossi colossi tech statunitensi – hanno insinuato che il proprietario di WhatsApp!, l’americana Meta (ex Facebook), potesse essere corresponsabile dell’accaduto; evidentemente ignorando che l’applicazione è stata un mezzo inconsapevole dell’hackeraggio e che la società è, essa stessa, vittima di quanto accaduto.
E non c’è dubbio che sia così, dato è stata proprio Meta ad avvisare le persone colpite non appena ha avuto cortezza dell’accaduto, e quindi, stanti le informazioni che abbiamo, è a tutti gli effetti parte lesa. Ad ogni modo, mentre ACN aiuterà a fare chiarezza sulla vicenda con la sua indagine, è utile spendere qualche riga per spiegare come funzionano attacchi di questo genere, giusto per fugare inutili dubbi.
Il presupposto di quasi tutte queste vicende è che anche le più avanzate soluzioni tecnologiche hanno potenziali falle di sicurezza che possono essere utilizzate da malintenzionati a fini criminali. Gli hacker e le società come Paragon Solutions che si occupano di produrre legalmente software di spionaggio per i governi, sfruttano proprio queste vulnerabilità per infiltrare i dispositivi delle vittime designate.
Nel caso specifico, Graphite, il software spia progettato da Paragon Solutions, è un cosiddetto “zero click”, ovvero uno spyware in grado di infettare uno device senza che l’utente debba compiere alcuna azione. Il software, dunque, è in grado di sfruttare le falle individuate dai suoi programmatori in modo automatico quando il dispositivo riceve i dati inviati dall’autore dell’attacco, senza che il destinatario possa fare nulla per impedirlo.
È necessario far luce sulla vicenda
Tornando alla questione delle responsabilità, rimane ad oggi poco chiaro chi sia il mandante di questi attacchi soprattutto dopo che la società produttrice del software ha interrotto bruscamente i propri rapporti con il Governo italiano. Secondo Repubblica, infatti, Paragon avrebbe segnalato un impiego non lecito dei propri strumenti di spionaggio da parte delle autorità italiane, in violazione con il codice etico imposto dalla società che impedisce l’utilizzo degli spyware per sorvegliare politici, attivisti o giornalisti.
Per questo alla Camera come gruppo parlamentare di Azione abbiamo depositato un’interrogazione sul caso Paragon per chiedere al Governo delucidazioni sull’accaduto. Ci aspettiamo che venga chiarito quanto prima il rapporto tra Paragon Solutions e Governo italiano e – soprattutto – se e perché la società ha interrotto la fornitura di software al nostro Paese.
Una lezione da portare a casa
Comunque vada a finire la vicenda, c’è una lezione che dobbiamo portarci a casa: non avremo mai la certezza di essere al sicuro da spionaggi – governativi o di altra natura.
Infatti, nonostante dispositivi normativi come il Media Freedom Act proibiscano specificatamente di spiare i giornalisti e politici, c’è sempre il rischio che ciò accada, anche nelle nostre democrazie.
Per questo, quindi, è fondamentale tutelare l’anonimato online garantendo al contempo l’esistenza di strumenti tecnologici che offrano la possibilità di comunicazione non in chiaro – che sia attraverso messaggi crittografati o altro. Non che sia una garanzia assoluta neppure questa, come dimostra il caso Paragon, ma sicuramente è un modo per rendere più complessa la vita alle “spie” digitali.
È una cosa che tutta la politica italiana ed europea dovrebbe tenere bene a mente prima di proporre la fine dell’anonimato o l’indebolimento delle comunicazioni criptate.