Menu

Gli spyware italiani sul mercato internazionale

Capitalismo della sorveglianza. La spesa pubblica italiana ha creato un mercato nazionale oramai saturo pronto a spingersi all’estero. Ma l’Italia non è pronta per controllarlo

di Riccardo Coluccini

Il 10 marzo 2022 il Parlamento europeo ha istituito la commissione speciale PEGA per investigare sugli abusi compiuti da alcuni Stati membri che hanno usato lo spyware Pegasus, prodotto dall’azienda israeliana NSO, contro giornalisti e avversari politici. Questa tecnologia, considerata tra le più efficaci nel mondo della sorveglianza, ha dato prova di essere in grado di rivelare il contenuto e le attività degli smartphone sui quali viene installata all’insaputa del bersaglio. Tuttavia la strutturale mancanza di controlli su chi l’acquista ha spesso fatto sì che gli spyware venissero utilizzati da governi o forze di polizia repressive, se non da vere e proprie organizzazioni criminali.

Ma l’attività di PEGA, concentrata esclusivamente sui prodotti dell’azienda israeliana, rischia di lasciare campo libero alle altre aziende europee. Gli Stati membri possono contare infatti su una vasta offerta assicurata dalla grande quantità di società, prime fra tutte quelle italiane. Lo ha ricordato, lo scorso agosto, l’esperto di sicurezza informatica membro del Security Lab di Amnesty International, Claudio Guarnieri, quando è stato audito dalla commissione investigativa speciale: in Europa ci sono almeno nove aziende note produttrici di spyware, e sei di queste in Italia.

E proprio il passato e il presente dell’Italia forniscono chiari segnali di un mercato florido alimentato con soldi pubblici italiani e che, ormai saturo, trova sfogo all’estero. Tra i principali acquirenti si annoverano anche regimi illiberali che possono usare gli spyware contro attivisti per i diritti umani, giornalisti e dissidenti politici – episodi già avvenuti nella storia italiana come nel caso dell’azienda Hacking Team, con sede a Milano – i cui prodotti, si è già dimostrato, sono stati usati in Messico e contro dissidenti politici degli Emirati Arabi Uniti o anche la più recente notizia della presenza delle tecnologie dell’azienda RCS in Kazakistan. Sono passati quasi otto anni da quando Hacking Team è implosa sotto il peso di una fuga di informazioni che ne ha rivelato affari e clienti in tutto il mondo. Oggi l’Italia è pronta a riaffacciarsi sul mercato internazionale.

Soldi pubblici per malware di stato

Da quando lo smartphone è diventato il cuore pulsante di ogni aspetto della nostra vita quotidiana, il mercato della sorveglianza si è sempre più focalizzato su strumenti che possono infrangere le protezioni di sicurezza e catturare ogni informazione dai dispositivi digitali. Il risultato di questa ricerca sono gli spyware, software in grado di infettare uno smartphone e carpire ogni tipo di informazione: dai contenuti delle chat private con i propri familiari fino alle foto e ai file conservati nella memoria del dispositivo. Ma possono anche attivare la videocamere e il microfono dello smartphone da remoto così da monitorarne la posizione o vedere e sentire tutto ciò che avviene intorno.

 Nel tempo, in Italia, la forza trainante di queste tecnologie è stata rappresentata da una ingente spesa da parte delle autorità nazionali. Al momento si contano almeno una decina di attori noti al pubblico che vendono strumenti per le intercettazioni, molte di queste società sono accreditate presso le procure anche per fornire “captatori informatici” (così vengono chiamati gli spyware in termini legali).

Ci sono le quattro aziende quasi sempre presenti: AREA, RCS, SIO, e INNOVA. Poi ci sono quelle risorte dopo gli scandali che le hanno coinvolte, come Hacking Team, ora attiva con il nome di Memento Labs. E ancora realtà più piccole come Raxir e Negg – di cui siamo a conoscenza solo grazie a ricercatori di sicurezza informatica che ne hanno analizzato gli spyware – o colossi che nel giro di otto anni hanno raggiunto importanti traguardi commerciali, come Cy4gate, e che puntano a sfidare persino l’israeliana NSO, oggi nel mirino della Commissione PEGA.

Nel gruppo delle italiane appaiono poi anche piccole aziende che sono state al centro di scandali, come eSurv e il suo spyware Exodus finito sul PlayStore di Google e usato indiscriminatamente contro vittime ignare. Altre, invece, si sono specializzate in particolari settori come l’azienda IPS, con sede in provincia di Latina, che ha sviluppato prodotti per il monitoraggio del traffico internet e dei social media.

Queste sono inoltre solo la punta dell’iceberg perché spesso una serie di rivenditori semi sconosciuti si affacciano alla porta delle Procure per offrire i propri prodotti.

Secondo un tecnico con esperienza diretta nel settore delle intercettazioni, che ha richiesto l’anonimato per parlare più liberamente, il mercato italiano è diviso come una torta proprio grazie al funzionamento delle Procure: «Quelle grandi hanno più di un’azienda accreditata e tutte, bene o male, hanno lavoro», spiega la fonte. Ogni procura infatti può fare affidamento su più di un’azienda, in modo che su indagini diverse ci siano più fornitori.

Secondo le statistiche ufficiali, nel corso di un’indagine in Italia la durata media delle intercettazioni telematiche, che includono anche l’uso dello spyware, è di 74 giorni. Il recente decreto del ministero della Giustizia fissa un listino prezzi dove il costo giornaliero per uno spyware è di 150 euro. Ogni intercettazione con spyware costerà quindi in media 11 mila euro. Nel 2021 ne sono state effettuate 2.896 e il numero delle intercettazioni telematiche è quadruplicato negli anni tra il 2010 e il 2020 e potrebbe continuare ad aumentare.

Facendo un confronto, la Germania ha autorizzato solo 48 intercettazioni con spyware nel 2020, mentre nel 2019 le autorizzazioni erano state 33.

Sotto sorveglianza

L’utilizzo delle intercettazioni digitali è in costante aumento in Italia. Nel 2023 il ministrero della Giustizia ha fornito per la prima volta i dati statistici sulle intercettazioni con gli spyware per l’anno 2021: le intercettazioni con i trojan rappresentano circa un terzo di quelle digitiali, mentre il restante 64% sono intercettazioni informatiche, ovvero relative al traffico internet, e spesso propedeutiche all’inoculazione di uno spyware: permettono infatti di monitorare le abitudini di un target per capire come riuscire a infettarlo

Questi dati confermano quanto riportato a IrpiMedia da una fonte che è stata per anni nel settore: le intercettazioni telematiche sono quelle che producono un maggior flusso di incassi.

In parallelo, però, le spese per le intercettazioni sono passate dai 230 milioni del 2016 ai 213 milioni del 2022. Il calo più netto ha riguardato il prezzo delle intercettazioni telefoniche dai primi anni 2000 a oggi. Secondo un’altra fonte che conosce il settore italiano, infatti, le aziende nate 20 anni fa hanno goduto di maggiori guadagni sulle intercettazioni telefoniche ma ora il loro prezzo è drasticamente sceso. Nel nuovo listino costano infatti tre euro, ma in precedenti bandi il costo era sceso persino intorno a due euro al giorno. Di questi prezzi al ribasso si lamentano le stesse associazioni di categoria.

L’ingente investimento avvenuto negli anni ha creato una molteplicità di aziende in questo settore che si trovano a fare i conti non solo con la concorrenza ma anche con una riduzione delle spese di giustizia. Ora, come spiega a IrpiMedia un’altra fonte con esperienza diretta nel settore delle intercettazioni, il risultato è che un mercato saturo spinge le aziende italiane all’estero.

Le italiane sul palcoscenico estero

La pioniera per le italiane all’estero era stata Hacking Team. Secondo quanto ricostruito dai ricercatori di sicurezza informatica del Citizen Lab, un laboratorio interdisciplinare dell’Università di Toronto, tra il 2011 e il 2014 l’azienda era presente in paesi come Messico, Azerbaijan, Egitto, Sudan e Turchia. Hacking Team era però riuscita a vendere il proprio spyware persino negli USA a FBI e Drug Enforcement Administration (DEA), l’agenzia federale statunitense che si occupa di reati collegati al traffico di sostanze stupefacenti.

Tra le altre italiane che per prime si sono affacciate all’estero c’è anche l’azienda Area ma il suo export verso la Siria nel 2011 le è costato un’indagine che è stata archiviata solo nel 2018.

Malgrado scandali e indagini, il made in Italy della sorveglianza continua a essere apprezzato all’estero. Nei primi giorni di dicembre 2022 Cy4gate, colosso italiano della sorveglianza che ha già clienti in diversi continenti, ha siglato alcuni contratti per un totale di sei milioni di euro, di cui l’85% provengono dall’estero. Ma ora anche le altre aziende italiane sembrano spingersi sempre di più fuori dall’Italia.

Tra queste Innova, con sede a Trieste e tra le più attive nelle Procure italiane, che lo scorso ottobre era l’unica azienda nostrana presente alla International Exhibition for National Security and Resilience (ISNR) di Abu Dhabi. La fiera ha lo scopo di mettere in contatto gli enti governativi regionali con i produttori di tutto il mondo ed è organizzata in collaborazione con il ministero dell’Interno e il Comando generale della Polizia di Abu Dhabi. Ma il Paese arabo, al di là delle palme e dei grattacieli, è famoso per le violazioni dei diritti umani facilitate anche dall’uso di tecnologie di sorveglianza digitale, come nel caso di uno spyware per iPhone che secondo Reuters sarebbe stato usato contro centinaia di attivisti, capi di stato e sospetti terroristi.

Ma i palcoscenici esteri non si fermano qui per Innova. L’azienda era anche alla ISS World Latin America – una fiera di settore che si è tenuta a Panama a ottobre 2022 – ed è stata tra gli sponsor dell’evento di settembre della ISS World Asia Pacific 2022 a Singapore. Queste fiere non sono semplici occasioni di esposizione ma momenti in cui entrare in contatto diretto con membri delle agenzie di intelligence dei vari Paesi, esponenti delle forze dell’ordine e persino capi di Stato o ministri.

In passato, inchieste giornalistiche hanno cercato di fare luce su alcuni lati oscuri di questo tipo di eventi. Come rivelato nel 2017 da Al Jazeera, in alcune di queste fiere è possibile firmare accordi milionari ma anche stringere i primi contatti per pianificare esportazioni illecite verso Paesi posti sotto embargo, aggirando i regolamenti sull’export.

E proprio all’evento di Singapore era presente un’altra italiana che ora sembra determinata a espandersi sul mercato estero: Negg.

Con sede a Roma e con un’azienda consociata registrata ad Amsterdam, Negg è finita per la prima volta sotto i riflettori nel 2018 solo grazie a un report della società di sicurezza informatica Kaspersky, che è riuscita ad analizzare un malware per Android sviluppato da loro. Successivamente è stata individuata una versione dello stesso malware anche per dispositivi Apple. Lo spyware era collegato ad alcuni domini fasulli, alcuni di questi progettati per simulare le pagine di compagnie di telecomunicazioni presenti in Italia come Vodafone e che verrebbero usati come esche per spingere le persone a infettare i propri dispositivi semplicemente cliccandoci dentro.

La partecipazione alla fiera di Singapore è stata un evento significativo, come spiega la stessa azienda in un post sul proprio sito: «È la prima volta che Negg decide di partecipare a un evento internazionale così importante» e, prosegue il testo, uno dei motivi che l’ha spinta è stato il valore del «rapporto con il mercato asiatico».

Un mercato asiatico in cui, come conferma a IrpiMedia una fonte con esperienza nel settore, l’Italia è sicuramente presente da tempo, come anche nel mondo arabo. Una presenza che sembra molto solida considerando che l’azienda Area Spa ha aperto una società proprio in Oman per la necessità di lavorare con clienti istituzionali nel Paese, come già riportato da IrpiMedia in un precedente articolo.

I rischi della geopolitica degli spyware

Da qualche anno l’israeliana NSO non è solo al vaglio delle autorità europee, ma anche di quelle statunitensi: a novembre 2021 Washington ha sanzionato NSO aggiungendola alla lista di entità con cui è vietato fare affari: si vieta l’esportazione dagli Stati Uniti alla NSO di qualsiasi tipo di hardware o software. E a dicembre 2022 il Congresso degli Stati Uniti ha approvato alcune misure per mitigare le minacce legate alla proliferazione e all’uso di spyware commerciali stranieri. Tra le misure previste c’è quella di monitorare le aziende straniere produttrici di spyware che rappresentano un rischio per la comunità dell’intelligence statunitense.

I rischi e l’invasività degli spyware sono ben chiari quindi persino agli Stati Uniti, uno dei paesi più all’avanguardia in tema di tecnologie per la sorveglianza online. Almeno dal 2013, quando grazie al whistleblowing della National Security Agency (NSA), Edward Snowden, il mondo ha appreso dei programmi di sorveglianza statunitensi in grado di monitorare le attività online di chiunque, inclusi capi di governo di Paesi europei. Gli Stati Uniti hanno persino acquistato e testato Pegasus nel 2019, ma i timori alla luce degli abusi hanno spinto a prendere una decisione che va contro gli interessi di un alleato storico del Paese come Israele, scatenando la reazione del governo mediorientale che ha subito avviato la sua macchina di lobby per spingere la Casa Bianca a tornare sui propri passi.

Per Israele l’export di tecnologie di sorveglianza è uno strumento di geopolitica, come ricostruito dal New York Times, e viene usato per stringere accordi politici, tessere nuove relazioni commerciali e ottenere supporto a livello internazionale. E ora che il colosso della sorveglianza è messo all’angolo in metà mondo, l’Italia sembra aver intravisto un pertugio per espandere ulteriormente le proprie aziende di settore. L’export di queste tecnologie rimane comunque una spina nel fianco per tutta l’Unione europea: i regolamenti ci sono ma non sono sufficienti e l’Italia ha già dimostrato in passato scarsa trasparenza su queste vendite.

Per di più l’Italia già fatica a controllare queste aziende e le loro tecnologie quando vengono usate nelle indagini, come hanno dimostrato alcuni recenti scandali.

C’è infatti il rischio che i dati delle intercettazioni possano finire in mano a persone terze senza che le autorità ne siano a conoscenza, come avvenuto con Area Spa, rinviata a giudizio perché sui computer di alcuni dipendenti sono stati trovati dati relativi alle intercettazioni. Per legge questi dati dovrebbero essere custoditi solo sui server delle Procure, caveau informatici creati appositamente per proteggere le informazioni sensibili delle indagini.

Inoltre, i casi di abuso devono far riflettere sull’effettiva capacità delle autorità italiane di monitorare le attività di queste aziende: in questo senso un caso esemplare è quello avvenuto nel 2019 con lo spyware prodotto dall’azienda Esurv, chiamato Exodus. Il captatore ha conservato dati riservati delle intercettazioni in un server in Oregon nonostante la legge imponga che non possano essere conservati fuori dal territorio nazionale. Exodus è stato disponibile sul Play Store di Google per circa due anni, nascosto in più di venti app all’apparenza innocue come quelle per le offerte di marketing di operatori telefonici italiani. Chiunque poteva scaricarlo. A quel punto, senza effettuare le dovute verifiche se si trattasse di un’utenza posta sotto intercettazione, il software iniziava a rubare i dati. L’azienda era a conoscenza di quanto avveniva ma usava queste ignare vittime come fossero delle cavie.

L’incapacità italiana di governare gli spyware si va a sommare ai rischi che gli stessi presentano per i diritti umani e che hanno spinto i Relatori speciali ed esperti delle Nazioni Unite a chiedere a tutti gli Stati di imporre una moratoria globale sulla loro vendita e trasferimento verso altri Paesi. Di fronte alle difficoltà italiane nel controllo degli spyware, il monito delle Nazioni Unite dovrebbe essere ancora più importante.

La stessa Commissione Pega ha suggerito l’adozione di una moratoria sugli spyware e il Garante europeo della protezione dei dati (EDPS) è arrivato a invocare un divieto assoluto di utilizzo perché gli spyware presentano «un livello di intrusività incomparabile con quanto visto in precedenza». La moratoria prevede una sospensione sull’esportazione e utilizzo degli spyware, almeno fino a quando non vi sia certezza su un quadro legale che garantisca le giuste salvaguardie per i diritti. Nel caso del divieto assoluto, invece, ci si spingerebbe oltre, vietando l’utilizzo completo di queste tecnologie poiché presentano minacce inconciliabili con i principi democratici.

Mentre l’Occidente è sempre più preoccupato dall’abuso degli spyware, gli stessi Paesi occidentali sembrano non voler guardare negli occhi la realtà ammettendo di essere parte di quel problema. Il caso italiano è esemplare: un eccessivo uso di queste tecnologie, accompagnato quindi da una costante iniezione di soldi pubblici, porta allo sviluppo di un mercato nazionale che diventa un trampolino di lancio verso l’estero. E lì, tra i clienti in attesa di nuovi strumenti per la sorveglianza, si annidano anche governi autoritari senza scrupoli e Paesi instabili dove queste tecnologie diventano uno strumento essenziale per reprimere ogni forma di dissenso.

da Irpimedia

Osservatorio Repressione è un sito indipendente totalmente autofinanziato. Puoi  sostenerci donando il tuo 5×1000 e darci una mano a diffondere il nostro lavoro ad un pubblico più vasto e supportarci iscrivendoti al nostro canale telegram