La vicenda del software spia Pegasus, dell’israeliana NSO, usato contro 180 tra reporter e attivisti e 13 capi di Satto induce una riflessione sui poteri di uno Stato nell’invadere lo “spazio informatico” di cittadini.
Pegasus e dittature? Ma anche l’Italia ha le sue colpe
Per quanto la vicenda sembri avere ad oggetto Stati autoritari, conosciuti per la sorveglianza dei cittadini, nondimeno va detto che anche in Italia, con il cosiddetto trojan di stato, le autorità hanno il potere di controllare i telefoni e gli apparati informatici dei cittadini.
Lecite le intercettazioni via trojan: la sentenza della Cassazione sui “captatori informatici”
E’ vero che le norme, da ultimo la spazzacorrotti dell’avvocato Bonafede, hanno cercato di prevederne l’uso in casi determinati, ma è anche vero che la giurisprudenza, soprattutto di legittimità, ha consentito l’estensione dell’uso del trojan, in maniera molto ampia. Il problema è che esiste un principio non scritto in base alla quale se una intercettazione telematica è avvenuta illecitamente, ma serve poi a scoprire eventuali reati, allora sarà in qualche modo utilizzabile.
Il problema dell’ordinamento italiano
Ciò significa ad esempio che se dovesse essere intercettato attraverso un captatore informatico un giornalista e la scoperta della sua fonte sia funzionale ad un determinato procedimento, si potrebbe pensare che quella intercettazione, per quanto atipica, possa poi essere utilizzata.
E’ il problema tipico del trojan di stato che non è mai stato risolto.
In altre parole nell’ordinamento italiano non è del tutto chiaro se l’utilizzo di uno spyware di stato, sia o meno illegittimo, e se possa essere utilizzato.
Intercettazioni via trojan, nuovo scandalo: il server occulto. Urgono nuove regole
Trojan di Stato, il secondo problema
Non solo. Non è chiaro nemmeno nell’ordinamento italiano che sorte seguano i dati estrapolati eventualmente dal computer di un soggetto bersaglio oppure che siano stati acquisiti da terzi, se questi dati sono ritenuti funzionali al procedimento da parte della pubblica accusa e poi da un giudice.
Recentemente si è avuta notizia di informazioni fiscali di milioni di cittadini provenienti da un anonimo, acquisti dalle autorità tedesche, che riguarderebbero cittadini di vari paesi, tra i quali l’Italia, e che sono stati richiesti dalle autorità italiane. Orbene quei dati, evidentemente sottratti da sistemi informatici, sono stati acquistati dallo stato tedesco e poi usati. Se un privato agisse in questo modo si renderebbe probabilmente responsabile anche del reato di ricettazione, rendendo del tutto inutilizzabili tali dati eppure probabilmente lo stato non si farà scrupolo di adottare tali dati e di usarli contro cittadini ignari.
Se applichiamo questi principi anche alle fonti di un giornalista, ci troviamo a giustificare in base al principio di necessità qualsiasi acquisizione di dati informatici, in qualsiasi modo ottenuti, ed e questa il vero pericolo per i diritti dei cittadini, che lo stato non abbia limiti nell’acquisizione e nell’utilizzo di dati provenienti dai dispositivi dei cittadini, purché servano a qualcosa.
Non serve, in altre parole, vivere in Stati autoritari, per temere che la violazione di sistemi personali, possa poi determinare pesanti conseguenze per i cittadini.
Il caso Pegasus, l’indagine: che cosa fa lo spyware e a chi
Amnesty International ha pubblicato l’indagine forense su azioni dello spyware Pegasus di NSO Group che, quando installato surrettiziamente sui telefoni delle vittime, permette ad un attaccante di avere accesso completo ai messaggi, alle email, ai media, al microfono, alla fotocamera, alle chiamate e ai contatti del dispositivo.
Dai dati trapelati e dalle loro indagini, Forbidden Stories e i suoi media partner hanno identificato potenziali clienti di NSO in 11 paesi: Azerbaigian, Bahrain, Ungheria, India, Kazakistan, Messico, Marocco, Ruanda, Arabia Saudita, Togo, ed Emirati Arabi Uniti (UAE).
“NSO Group non ha intrapreso azioni adeguate per fermare l’uso dei suoi strumenti per la sorveglianza mirata illegale di attivisti e giornalisti, nonostante il fatto che sapeva, o probabilmente avrebbe dovuto sapere, che questo stava avvenendo”, scrive Amnesty.
Le rivelazioni mostrano il danno reale causato dalla sorveglianza illegale:
- In Messico, il telefono del giornalista Cecilio Pineda è stato selezionato per essere preso di mira poche settimane prima della sua uccisione nel 2017. Il Progetto Pegasus ha identificato almeno 25 giornalisti messicani selezionati per il targeting in un periodo di due anni. NSO ha negato che anche se il telefono di Pineda fosse stato preso di mira, i dati raccolti dal suo telefono hanno contribuito alla sua morte.
- Pegasus è stato usato in Azerbaigian, un paese dove rimangono solo pochi media indipendenti. Secondo l’indagine, più di 40 giornalisti azeri sono stati selezionati come potenziali obiettivi. Il Security Lab di Amnesty International ha scoperto che il telefono di Sevinc Vaqifqizi, un giornalista freelance dell’emittente indipendente Meydan TV, è stato infettato per un periodo di due anni fino a maggio 2021.
- In India, almeno 40 giornalisti di quasi tutti i principali media del paese sono stati selezionati come potenziali obiettivi tra il 2017-2021. I test forensi hanno rivelato che i telefoni di Siddharth Varadarajan e MK Venu, co-fondatori dell’outlet online indipendente The Wire, sono stati infettati con lo spyware Pegasus nel giugno 2021.
- L’indagine ha anche identificato i giornalisti che lavorano per i principali media internazionali tra cui Associated Press, CNN, The New York Times e Reuters come potenziali obiettivi. Uno dei giornalisti di più alto profilo era Roula Khalaf, il direttore del Financial Times.
