Pegasus, la paghiamo tutti l’assenza di norme globali sugli spyware

Pegasus ovvero ora non abbiamo più scuse per stabilire forti e uniforme regole globali per disciplinare le intercettazioni via spyware.

Facciamolo prima che sia troppo tardi.

Lo scandalo Pegasus sia quindi monito e occasione per fare meglio. Commercializzato e concesso in licenza a numerosi Governi in tutto il mondo dalla società israeliana NSO Group, è una mina vagante in questo stato di incertezza normativa.

Risulta essere uno dei migliori software di hacking, o spyware. La prima versione di Pegasus, individuata nel 2016, utilizzava come vettore di attacco lo spear-phishing, messaggi di testo o e-mail mirate verso destinatari al fine di indurli a cliccare su un link malevolo, creato appositamente. Da allora, Pegasus è stato aggiornato e migliorato arrivando a realizzare attacchi hacker attraverso i cosiddetti zero-click attack che non richiedono alcuna interazione da parte del proprietario del dispositivo, sfruttando le vulnerabilità zero-day, difetti o bug del sistema operativo sconosciuti al produttore dello smartphone e quindi non ancora risolti^[1].

Proprio il software in questione è finito recentemente sotto i riflettori. Un’inchiesta di Forbidden Stories, Washington Post, Amnesty international ed altri media ha rivelato che Pegasus, sviluppato per la cybersorveglianza di terroristi o grandi criminali, è stato utilizzato per spiare giornalisti, attivisti per i diritti umani e politici.

Pegasus, il cyberspionaggio globale dai risvolti agghiaccianti: ecco perché siamo tutti coinvolti

L’assenza di norme internazionali condivise

Tali abusi hanno riportato in auge una questione non ancora risolta: l’assenza di norme internazionali condivise riguardo l’impiego di spyware e software di sorveglianza. Le licenze di software simili, infatti, sono spesso oggetto di acquisizione da parte di soggetti che fungono da intermediari che cercano, ed evidentemente riescono, a eludere i controlli delle società produttrici e trasferire le licenze ad attori altrimenti non autorizzati. Questo, tuttavia, chiarisce solo in parte come e perché tra i fruitori della tecnologia vi siano anche gruppi criminali e governi autoritari che lo sfruttano per spiare^[2] e reprimere oppositori politici, giornalisti e attivisti.

Più voci si sono espresse sulla questione, tra cui quella di Edward Snowden, che ha sottolineato l’assenza di regolamentazioni e ne ha invocato la promulgazione per cercare di controllare una tecnologia che può essere impiegata anche per violare il diritto alla privacy.

Il problema risiede proprio nell’assenza di una governance internazionale volta a limitare gli abusi nell’utilizzo di simili software, ormai diffusi su scala globale, ma che, allo stesso tempo, ne consenta l’impiego a fini investigativi, in cui gli spyware sono largamente utilizzati.

Pegasus, il faro degli organismi internazionali

Un software con le capacità di Pegasus ha attirato l’attenzione di organismi internazionali sensibili al tema, come l’Organizzazione Non Governativa statunitense, Commitee to Protect Journalist (CPJ), la quale sta monitorando attivamente numerosi rapporti pubblici di attacchi spyware che costituiscono un pericolo per la libertà di stampa. I giornalisti denunciano infatti che Pegasus sia in grado di mettere a repentaglio le loro fonti, monitorandone gli spostamenti e ottenendo informazioni sensibili funzionali ad esercitare pressioni su di esse. Il Citizen Lab dell’Università di Toronto ha scoperto infatti che il software Pegasus aveva infettato il telefono di Omar Abdulaziz, il quale aveva dichiarato a CPJ nel 2018 di essere in stretto contatto con il giornalista Jamal Khashoggi prima del suo assassinio da parte di agenti sauditi^[3]. Anche David Kaye, ex relatore speciale delle Nazioni Unite sulla promozione e protezione del diritto alla libertà di opinione e di espressione, ha chiesto una moratoria sulla vendita, il trasferimento o l’uso di spyware, in attesa di più rigide garanzie sulla tutela dei diritti umani^[4].

Emergono, inoltre, nuovi preoccupanti sviluppi sul tema anche in relazione all’utilizzo non regolamentato di questa tecnologia da parte di Governi e organi statali, soprattutto illiberali. L’inchiesta giornalistica precedentemente citata e gestita da Forbidden Stories ha rivelato che almeno 180 giornalisti in tutto il mondo sono diventati obiettivi dei clienti della società di cybersorveglianza NSO^[5].

La lista completa, con più di 50.000 numeri di telefono, è stata consultata anche da Amnesty International, e condivisa con 17 organismi d’informazione. Tra le figure coinvolte compaiono ben 14 capi o ex capi di Stato e di governo, tra cui il presidente francese Emmanuel Macron e l’ex premier belga Charles Michel, attuale presidente del Consiglio europeo. Tra i nomi delle personalità potenzialmente prese di mira anche quello del direttore generale dell’Organizzazione mondiale della sanità, Tedros Adhanom Ghebreyesus^[6].

Il ruolo dell’intelligence israeliana

Mentre nuove e sconcertanti notizie sulla tentacolare diffusione di Pegasus vengono portate alla luce dai media internazionali, il governo israeliano ha creato una task force, composta da rappresentanti del ministero della Difesa, del ministero della Giustizia, del ministero degli Esteri, dell’intelligence militare e del Mossad, per gestire la situazione e svolgere un’indagine approfondita. Resta da chiare se le agenzie di intelligence israeliane siano state in grado di accedere alle informazioni raccolte da Pegasus, cosa che sia Israele che la società NSO negano fermamente^[7].

Attualmente il Gruppo NSO si è limitato a pubblicare quello che costituisce il primo Annual Transparency & Responsibility Report, nel quale la società ha fornito informazioni riguardo un numero limitato di utilizzatori: 60 clienti, diffusi in 40 Paesi, tra i quali figurano prevalentemente agenzie di intelligence e forze dell’ordine^[8].

Ciononostante, l’Unione Europea ha avviato indagini sull’uso del software della NSO per azioni di spionaggio, definendo “inaccettabile” quanto emerso, e sottolineando che farà ricorso a più fonti, da quelle giudiziarie alle autorità sulla protezione dei dati^[9].

Anche l’Alto Commissario delle Nazioni Unite per i diritti umani, Michelle Bachelet, ha dichiarato che i report su Pegasus “confermano l’urgente necessità di regolamentare meglio la vendita, il trasferimento e l’uso della tecnologia di sorveglianza e garantire una rigorosa supervisione e autorizzazione”.^[10]

Il precedente di Exodus

Lo spyware Pegasus, per alcuni aspetti, ricorda la vicenda Exodus, un malware italiano che è stato impiegato per rubare informazioni a più di 1000 utenti. Sviluppato dalla società italiana eSurv come parte di un progetto finanziato dalla Polizia di Stato per spiare persone finite sotto inchiesta, Exodus avrebbe intercettato per errore anche persone non indagate. Proprio come Pegasus, Exodus era in grado di effettuare numerosissime operazioni sul telefono della vittima: registrazione delle telefonate, intercettazione ambientale, copia di sms e numeri di telefono e geolocalizzazione^[11].

Conclusioni

Spyware così avanzati rappresentano certamente nuove frontiere e risorse nella lotta al terrorismo internazionale e alla proliferazione di minacce per la vita dei cittadini, garantendo un controllo effettivo e stringente su individui che rappresentano un pericolo per la società civile. Il possesso e l’utilizzo di tali mezzi da parte di Governi autoritari o dittatoriali, d’altra parte, può costituire una limitazione delle libertà individuali e dei diritti umani, impedendo la possibilità di esercitare diritti imprescindibili, quali la libertà di stampa e di espressione. Certamente il settore necessita di nuove e solide regolamentazioni che, ad esempio, obblighino i creatori di spyware a registrare le informazioni sui propri clienti e comunicare le modalità e i fini di utilizzo di tali strumenti.

Infatti, pur ipotizzandone una limitazione o una messa al bando, difficilmente sarebbe possibile contrastare efficacemente la commercializzazione di tale tecnologia su canali paralleli, dove avvengono anche gli acquisti zero-day exploit. Al contrario, è ragionevole supporre un aumento della circolazione di tali software in un mercato in cui molteplici attori malevoli potrebbero fiutare opportunità di guadagno. Proprio per tali ragioni, appare evidente la necessita di emanare norme internazionali che definiscano con precisione il perimetro di applicazione degli spyware e stabiliscono sanzioni per quei governi che ne facciano un uso non consentito dai regolamenti concordati. Le aziende produttrici, che fino ad ora si sono trincerate dietro dichiarazioni in cui declinano ogni possibile responsabilità riguardo eventuali abusi, devono prendere coscienza di un problema che ormai ha assunto caratteristiche sia legali sia etiche.

Il caso dello spyware Pegasus è emblematico in quanto rischia di rappresentare una palese violazione di libertà proprie delle società democratiche, sempre più attente al tema della privacy e dei diritti che ne conseguono. Eppure, sono proprio gli stessi Stati democratici che non sono ancora state in grado di regolamentarne l’impiego.

Note

1. https://www.theguardian.com/news/2021/jul/18/what-is-pegasus-spyware-and-how-does-it-hack-phones ↑
2. https://www.independent.co.uk/life-style/gadgets-and-tech/edward-snowden-pegasus-spyware-ban-b1886955.html ↑
3. https://cpj.org/spyware/ ↑
4. https://www.washingtonpost.com/opinions/2021/07/19/pegasus-spyware-nso-group-threat-democracy-journalism/ ↑
5. https://forbiddenstories.org/pegasus-the-new-global-weapon-for-silencing-journalists/ ↑
6. https://www.amnesty.ch/it/news/2021/pegasus-project-come-funziona-spyware-sorveglianza-attivisti-giornalisti ↑
7. https://www.cybersecitalia.it/cybersecurity-israele-avvia-una-task-force-per-indagare-sul-caso-pegasus-il-governo-teme-una-crisi-del-settore/12972/ ↑
8. https://www.technologyreview.com/2021/07/19/1029732/nso-pegasus-spyware-leaks/ ↑
9. https://www.huffingtonpost.it/entry/caso-pegasus-anche-macron-nella-lista-degli-spiati_it_60f70f49e4b0158a5eda9af6 ↑
10. https://www.ohchr.org/EN/NewsEvents/Pages/DisplayNews.aspx?NewsID=27326&LangID=E ↑
11. https://www.cybersecitalia.it/spyware-e-intercettazioni-il-precedente-italiano-con-exodus/12927/ ↑