Gli scandali non fermano gli spyware: sono i Governi a guidare gli acquisti

Poiché le aziende operanti nel settore devono spesso fronteggiare un controllo maggiore da parte dei governi democratici sulle attività condotte, e soprattutto in funzione della normativa di riferimento alquanto nebulosa in vigore nell’Unione europea, esse tendono ad istituire le rispettive sedi degli uffici in Stati membri in cui l’attuazione dei controlli sull'utilizzo di tali strumenti risulti notoriamente inefficace.

Vale come esempio Nso Group, che ha creato filiali in Bulgaria e Cipro per agevolare la vendita dei suoi prodotti, o come Intellexa, che possiede una serie di società di spionaggio cibernetico, tra cui Cytrox e Circles, e che ha stabilito punti d’appoggio a Cipro, Grecia e Malta. Nel 2021 il “Pegasus project”, basato sulla collaborazione di oltre 80 giornalisti di 17 organizzazioni di media in dieci paesi coordinati da Forbidden Stories, un’organizzazione mediatica senza scopo di lucro con sede a Parigi, e con il supporto tecnico di Amnesty International, aveva rivelato come il spyware Pegasus di Nso Group fosse stato utilizzato per accedere ad un elenco di cinquantamila numeri di telefono identificati come “selected for targeting” dai clienti di Nso.

Il gruppo di lavoro aveva analizzato tutti i numeri, abbinandoli successivamente a una serie di persone identificate. Dall’elenco originale gli analisti avevano individuato, altresì, oltre mille individui classificati come “di interesse” e sparsi in oltre cinquanta paesi. Le vittime includevano diversi membri della famiglia reale araba, almeno 65 dirigenti d’azienda, 85 attivisti per i diritti umani, 189 giornalisti e più di 600 politici e funzionari governativi, inclusi ministri di gabinetto, diplomatici e ufficiali militari e di sicurezza. Almeno dieci primi ministri, tre presidenti e un re sono stati trovati anche nelle liste dei bersagli di Pegasus.

Com'era facile prevedere, l’indagine ha prodotto un livello di indignazione pubblica tale da costringere gli Stati Uniti, nel 2021, a inserire Nso Group in un sorta di lista nera che condotto l’azienda quasi sull’orlo della bancarotta . Alcune settimane dopo l'annuncio dello scandalo, Apple ha avviato un’azione legale contro Nso Group finalizzata a «frenare l’abuso di spyware sponsorizzato dallo Stato», elogiando nel contempo, Amnesty Tech e Citizen Lab per il lavoro svolto.

Sebbene il futuro di Nso Group sia attualmente avvolto in una nube di incertezze, l’industria dello spionaggio digitale, nel suo insieme, rimane particolarmente florida. Rimangono numerosi i governi che si rivolgono a società private per ottenere applicazioni di spionaggio digitale.

L'applicazione Predator di Cytrox, ad esempio, è diventata un’opzione di particolare pregio per molti governi, anche se recentemente è stato oggetto di indagini in Grecia in funzione di alcune rivelazioni secondo cui gli operatori governativi hanno utilizzato il malware Predator per hackerare i telefoni del giornalista Thanasis Koukakis e del leader dell’opposizione e membro del Parlamento europeo (MEP) Nikos Androulakis . Oltre alla Grecia, sembra che anche i governi di Armenia, Costa d’Avorio, Egitto, Indonesia, Madagascar, Serbia e Spagna stiano utilizzando Predator.

Recentemente, i ricercatori del Citizen Lab hanno confermato che l'Egitto ha utilizzato simultaneamente Pegasus e Predator per hackerare il telefono del politico dell’opposizione Ayman Nour. Ciò che traspare in tutta evidenza è la forte motivazione di numerosi Stati ad acquisire tecnologie di spionaggio digitale per finalità spionistiche, anche a rischio di reazioni pubbliche che potrebbero indebolire i rispettivi governi in carica.

Un'esigenza che sta conducendo alla proliferazione di società di spyware che sempre più spesso tendono a dislocare le rispettive sedi legali in altri paesi, nel tentativo di aggirare quei limiti legali e di operatività che produrrebbero inevitabilmente delle limitazioni alle attività condotte.