Sono passate poche settimane dal 16 dicembre 2021, giorno in cui l’azienda guidata da Mark Zuckerberg annunciava al mondo di aver messo al bando dai propri canali sette compagnie dedite alla cyber surveillance – definizione edulcorata per definire anche il moderno spionaggio – colpevoli, per l’appunto, di aver spiato per anni almeno 50.000 utenti Facebook dislocati in 100 nazioni diverse. Ignare vittime designate per specifiche ragioni: in alcuni casi perché giornalisti o attivisti dei diritti civili, in altri ancora perché avversari o dissidenti politici.
I cyber mercenari ci spiano via Facebook: ecco i rischi della Surveillance-as-a-service
La notizia, rimbalzata sulle principali testate internazionali, si aggiungeva quel filone di scandali che aveva caratterizzato buona parte del 2021, scoppiati durante l’estate con l’affaire Pegasus. Per mesi l’azienda israeliana NSO Group e la sua più nota creazione, lo spyware Pegasus, sono stati al centro dell’attenzione mediatica, oltre che sui fascicoli redatti dal Dipartimento del Commercio degli Stati Uniti e dalle denunce inviate alla Corte Distrettuale della California.
Hacking su commissione: un business fiorente
Tuttavia, malgrado il clamore mediatico e gli appelli lanciati dagli esperti di settore, in particolar modo da Citizen Lab, nonché dai colossi dell’hi-tech come Meta e Apple, su come la vendita indiscriminata di tali strumenti costituisca una minaccia per la democrazia, l’industria degli hacker su commissione – dall’inglese hacker-for-hire industry – è tutt’altro che in crisi, anzi.
Nell’ultimo decennio, la richiesta dei servizi offerti dalle compagnie operanti nel settore è cresciuta esponenzialmente per differenti ragioni.
I Paesi più attivi
Da una parte, ci sono quegli Stati che, consapevoli del proprio gap tecnico-scientifico, optano per l’esternalizzazione, andando quindi ad affidare a terzi il compito di gestire determinate attività. Rivolgersi al mercato – piuttosto che sviluppare tali asset strategici internamente – è molto spesso considerata la via più immediata e, per certi versi, più economica per rimanere al passo con le altre potenze. Si pensi ai Paesi del Golfo del Persico, notoriamente carenti dal punto di vista del know-how necessario per sviluppare strumenti di hacking ma non privi delle risorse economiche necessarie per sopperirne altrove.
Dall’altra parte, ci sono invece quegli Stati che – comunemente posti nell’alveo dei cosiddetti Paesi “democratici” – acquistano puntualmente, dalle imprese che offrono servizi di hacking, strumenti per fini decisamente poco nobili. È il caso di Polonia e Ungheria. Secondo le ultime indiscrezioni, il governo di Varsavia non solo avrebbe utilizzato lo spyware Pegasus per tenere sott’occhio alcuni membri dell’opposizione nonché dipendenti statali di alto profilo, ma avrebbe pagato NSO Group – la compagnia detentrice del software malevolo – utilizzando risorse del Fondo di Giustizia, il cui denaro dovrebbe servire per aiutare le vittime di crimini. Quanto all’Ungheria, secondo quanto ricostruito dall’organizzazione non governativa Forbidden Stories, sarebbero stati hackerati – sempre mediante il software Pegasus – i telefoni di diversi giornalisti, avvocati e avversari politici tutti invisi al governo Orban.
Sebbene la lista di Paesi, la cui condotta non è poi così dissimile dai due casi appena citati, si arricchisca ad ogni nuovo scandalo è evidente che i nomi degli attori coinvolti in questo genere di compravendite emergano, il più delle volte, solo a fronte di indagini di intelligence o d’inchieste giornalistiche di un certo rilevo. Come nel caso del Pegasus Project – dove grazie alla collaborazione di più di 80 giornalisti provenienti da 17 testate internazionali – è stato possibile svelare la nazionalità di alcuni dei governi che hanno beneficiato dei sistemi di spionaggio di NSO Group, per tenere sotto scacco migliaia di individui.
Hacker-for-hire, un settore ancora sconosciuto
Tuttavia, benché in diverse occasioni l’industria dell’hacker-for-hire sia finita sotto i riflettori, a oggi il settore rimane in gran parte sconosciuto. La maggior parte delle informazioni disponibili riguardano principalmente le aziende che offrono servizi di cyber surveillance. Questo perché, pur mantenendo un basso profilo, queste aziende popolano da anni le fiere internazionali di armi e tecnologie per la sicurezza e la difesa (come, ad esempio, la Milipol in Francia e la IDEX negli Emirati Arabi Uniti) così come i raduni annuali dell’ISS World (Intelligence Support Systems World Conference).
Secondo un recente report redatto dal think-tank Atlantic Council – che da vent’anni monitora il fenomeno – il commercio di beni e servizi legati alla surveillance è cresciuto esponenzialmente, al pari di altri mercati più convenzionali come quello delle pistole. Si tratta di un business dalla forte caratura internazionale. Il 75% delle aziende osservate dall’Atlantic Council (224 per l’esattezza) hanno venduto i loro prodotti al di fuori dei propri confini nazionali.
Una propensione che mette in allarme gli analisti del think-tank americano dal momento che l’ipotesi che esistano aziende che intrattengono, o che abbiano avuto rapporti, con i membri della NATO e contemporaneamente con i suoi principali rivali è tutt’altro che remota.
Come nei casi dell’israeliana Cellebrite e la svedese Micro Systemation AB (MSAB), che hanno venduto anche a clienti russi e cinesi software per estrarre ed indicizzare dati da dispositivi mobili.
È evidente quindi che l’intera faccenda non ruoti attorno all’opportunità o meno di utilizzare tali strumenti, che va detto, sono utili nel prevenire e combattere diverse tipologie di crimini (come la pedopornografia e il terrorismo) ma si concentra su due questioni fondamentali, ovvero: a chi vengono venduti tali strumenti e quali garanzie vengono poste rispetto ad un uso improprio?
La reazione dell’amministrazione Usa dopo lo scandalo Pegasus
Non è un caso che l’amministrazione Biden, dopo lo scandalo Pegasus, abbia:
- varato, tramite il Dipartimento al Commercio, una nuova legge che impone, alle aziende operanti negli Stati Uniti, una licenza il cui possesso, di fatto, vincola eventuali export verso quei paesi notoriamente “autoritari”;
- dato vita alla partnership internazionale “Export Controls and Human Rights”, che vede tra le sue fila Australia, Danimarca, Norvegia, Canada, Francia, Paesi Bassi e Regno Unito il cui obiettivo comune e quello di porre un freno al flusso di surveillance technology verso quei Paesi che calpestano i diritti umani e la rule of law.
Un insieme di atti e misure che formalmente costituiscono il superamento dell’accordo Wassenaar (intesa di cui fa parte anche la Russia) – che impone controlli sulle armi, sui beni e sulle tecnologie dual-use ma che, a detta di molti esperti, non è stata in grado di stare al passo con lo sviluppo tecnologico – e che allinea gli Stati Uniti e gli altri membri della neonata Export Controls and Human Rights alla legislazione dell’Unione Europea sul commercio dei prodotti dual-use entrata in vigore nel giugno dello scorso anno.
Conclusioni
Seppur in ritardo e facendo piccoli passi, le potenze occidentali stanno finalmente iniziando a porre dei limiti a un settore che fino a oggi si è sempre regolato autonomamente. Un nuovo approccio strategico che considera partnership internazionali, norme, codici di condotta comuni e licenze, strumenti idonei per arrestate una proliferazione indiscriminata e incontrollata.
