NSO, l’azienda israeliana che produce e commercializza Pegasus, uno degli spyware più efficaci sul mercato, è finita nel mirino del Parlamento Europeo e dello European Data Protection Supervisor. Infatti, negli ultimi mesi sono aumentati i casi di spionaggio di diversi politici, anche di primo rilievo, oppositori e indipendentisti ad opera di altri governi.
La presidente del Parlamento UE, Roberta Metsola, ha chiesto che l’utilizzo di Pegasus sia vietato nei confronti di politici, giornalisti e avvocati e che ogni ulteriore interferenza non sarà più tollerata.
Spionaggio di Stato, Ue verso il bando degli spyware? Al via Commissione d’inchiesta
Va inoltre affrontato con urgenza il tema del rapporto fra l’uso degli spyware per garantire la sicurezza nazionale e il bilanciamento con i principi del GDPR.
Molti i temi sul tavolo, dunque, e le domande che attendono risposta.
I casi dell’Ungheria, della Spagna e del Regno Unito
Non più tardi di otto mesi fa, l’Ungheria ha ammesso di aver acquistato una licenza di Pegasus per i propri servizi segreti per spiare e ottenere informazioni da giornalisti e oppositori di Orban, tanto che il Parlamento Europeo ha dato la sua disponibilità a seguire l’indagine avviata dal Garante per la Protezione di Dati Personali ungherese. Le attività investigative, però, si sono bloccate poiché la legge ungherese prevede che ove sia in gioco la sicurezza nazionale, la sorveglianza di cittadini o di masse possa essere disposta semplicemente con l’avvallo del locale ministero della giustizia. Sino ad ora è emerso che sarebbero stati messi sotto controllo solo 37 dispositivi tramite i quali, però, il governo ungherese dovrebbe essere riuscito a spiare oltre 500.000 cittadini.
Poche settimane fa, l’istituto di ricerca canadese Citizen Labs ha confermato che i telefoni di oltre 60 importanti politici, anche membri del Parlamento Europeo, attivisti e giornalisti catalani sono stati intercettati tramite Pegasus, che le intercettazioni dovrebbero essere iniziate nel 2017 e che sono state poste in essere proprio dal governo spagnolo. Dunque, il “Catalangate” dovrebbe far tremare non solo l’esecutivo di Sanchez, che oggi si trova a dover gestire il caso, ma anche il suo predecessore Mariano Rajoy, dato che durante il mandato di costui s’è svolto il referendum per l’indipendenza della Catalogna.
Come se ciò non bastasse, Pegasus è stato utilizzato anche per infettare un dispositivo connesso alla rete del numero 10 di Downing Street, ossia dell’ufficio del Primo Ministro inglese Boris Johnson. Gli analisti di Citizen Lab si sono detti parecchio stupiti della scoperta, anche perché non possono escludere che ci sia stata una importante fuga di dati. A dire dell’istituto di ricerca, dietro l’attacco ci dovrebbero essere gli Emirati Arabi Uniti che, ovviamente, si sono rifiutati di commentare la notizia. Fra gli utenti europei v’è anche la Polonia, lo utilizzerebbe per gli stessi scopi illeciti.
Cos’è Pegasus
Per chi non ne fosse ancora a conoscenza, Pegasus è uno spyware per dispositivi iOS e Android prodotto dalla compagnia israeliana NSO Group, fondata nel tecnologicamente lontano 2010. Basti pensare che all’epoca Apple aveva appena lanciato iPhone 4, smartphone che avrebbe definitivamente consolidato la sua posizione sul mercato, mentre Google, con Android 2.2, riusciva a superare il Symbian di Nokia con le quote di mercato. Gli smartphone, quindi, si stavano imponendo come nuovo e – ancora oggi – definitivo strumento di comunicazione, ridefinendo il concetto di essere sempre connessi alla rete. Di conseguenza, politici, governanti e uomini di stato, ma anche separatisti, terroristi e criminali di vario genere avrebbero utilizzato i telefonini come nuovo strumento di comunicazione.
Da qui l’idea dei fondatori di NSO Group di creare uno spyware che, sfruttando gli exploit dei due principali sistemi operativi per dispositivi mobili, potesse essere in grado di accedere ai messaggi di testo, registrare le telefonate, raccogliere le password, tracciare gli spostamenti, usare i microfoni e le videocamere come microspie evolute e sempre disponibili sfruttando semplicemente gli smartphone. Del resto, anche il nome dello spyware non è casuale: Pegasus era un cavallo alato e il programma di NSO non è nient’altro che un c.d. cavallo di troia che viaggia nell’etere.
Le falle dei sistemi operativi che Pegasus sfrutta per infettare i dispositivi target non sono quasi mai scoperte per tempo: basti pensare che, nel momento in cui scrivo queste righe, tutti gli iPhone dotati di iOS fino alla versione 14.6 possono essere facilmente infettati sfruttando un c.d. zero-click exploit, ossia un bug che consente di eseguire il codice malevolo senza che la vittima debba compiere alcuna azione.
Le intenzioni dichiarate di NSO Group sono sempre state quelle di dare in licenza il software solo ai governi degli stati democratici, di modo da impedire che possa essere utilizzato per spiare giornalisti, attivisti o oppositori di regimi, ma, purtroppo, le cose stanno in maniera ben diversa.
Pegasus nel resto del mondo
A parte l’Ungheria e gli Emirati Arabi, pare alcuni clienti di NSO siano Paesi come l’Azerbaijan, il Bahrein, l’India, il Kazakistan, il Messico, il Marocco, il Ruanda, l’Arabia Saudita e il Togo, stati che, notoriamente, non sono dei veri e propri presidi di democrazia. Basti pensare che secondo Amnesty International, in Messico Pegasus è stato utilizzato per spiare il telefono del giornalista Cecilio Pineda qualche giorno prima del suo assassinio, mentre in Azerbaijan e in India lo spyware è tutt’ora utilizzato per tenere sotto controllo chi lavora per i media indipendenti dai rispettivi governi.
La posizione ambigua di NSO
Come s’è accennato, NSO ha sempre sostenuto di aver venduto Pegasus solo agli Stati e solo per garantire la loro sicurezza nazionale, ma mai per consentire loro di reprimere la libertà di opinione e quella di espressione, né per controllare i propri cittadini.
Le dichiarazioni di NSO, però, sono smentite per tabulas: basti pensare che la società s’è rifiutata di vendere lo spyware all’Ucraina per evitare di compromettere i rapporti con la Russia.
Tra l’altro, uno dei fondatori di NSO, raggiunto dal The New Yorker, ha paragonato la propria società a un qualsiasi produttore d’armi, con la differenza che quest’ultimo settore è disciplinato dalla Convenzione di Ginevra, mentre quello degli spyware per i cyberattacchi è ancora un territorio grigio, non normato a livello internazionale.
Ad ogni modo, NSO nega di avere la possibilità di accedere ai dati raccolti con Pegasus, dichiarazione che lascia quantomeno perplessi. Invero, la società israeliana installa ai propri clienti due rack che contengono la parte “server” dello spyware: uno esegue il software, l’altro memorizza i dati raccolti. Ovviamente, per poter erogare l’assistenza tecnica necessaria, NSO può accedere da remoto al sistema e, secondo un suo ex dipendente, sarebbe proprio questo tipo di collegamento che le consentirebbe di accedere ai dati raccolti da tutti i rack di Pegasus installati nel mondo. Il fondatore di NSO, nell’accennata intervista al The New Yorker, ha negato recisamente che NSO possa accedere ai sistemi senza il consenso dei propri clienti e, addirittura, di essersi riservata contrattualmente la possibilità di disattivare a distanza i sistemi ove, nel corso di un’indagine sulla presunta violazione dei diritti umani, il cliente non le fornisca il log dei dispositivi posti sotto controllo.
L’EDPS e il Parlamento Europeo vogliono vederci chiaro
I recenti fatti di cronaca hanno spinto l’European Data Protection Supervisor e il Parlamento Europeo a volerci vedere chiaro. Il primo, in un comunicato stampa del 15 febbraio scorso, ha chiarito che l’uso di Pegasus i diritti fondamentali di ogni cittadino europeo. Secondo il Garante Europeo, infatti, l’uso di Pegasus porta a un livello di intrusività mai visto prima, che minaccia l’essenza del diritto alla privacy, visto che lo spyware può interferire con gli aspetti più intimi della vita quotidiana di ognuno di noi, tanto da sollecitare la costituzione di una commissione di inchiesta che indaghi quanto prima sull’incresciosa e preoccupante vicenda.
Il Parlamento Europeo ha accolto l’appello del Garante e lo scorso 19 aprile ha istituito la compulsata commissione, con l’obiettivo di fermare quelle violazioni alla libertà personale e all’immunità parlamentare che “molti Paesi si stanno prendendo la licenza di violare”, così come ha sostenuto dal belga Philippe Lamberts (Verdi) riferendosi a Polonia e Ungheria.
Gli spyware di stato e il bilanciamento con il GDPR
Quel che però si tende a non affrontare è il rapporto fra l’uso degli spyware al fine di garantire la sicurezza nazionale e il bilanciamento con i principi del GDPR. È scontato che, ovviamente, l’uso di questi strumenti di spionaggio, ove il trattamento dei dati personali sia necessario e proporzionato per la protezione di una nazione, dovrebbe essere ammesso, ma per delineare la sottile linea rossa che separa tale finalità dallo spionaggio di massa deve intervenire il legislatore europeo, di modo da uniformare le regole almeno a livello europeo.
Infine, ci si augura che nel medio-lungo periodo si possa limitare anche la dipendenza da spyware stranieri per i propri servizi di intelligence, magari sviluppandoli internamente, onde evitare che importanti segreti di stato possano finire nelle mani sbagliate.
La strada è ancora lunga, complessa e tortuosa, ma, forse, quanto emerso dal lavoro di Citizen Lab e di Amnesty International può essere l’occasione per intraprenderla e percorrerla una volta per tutte.
