10 dicembre 2021
Da qualche mese Claudio Guarnieri è diventato l’incubo di chiunque voglia contattarlo: ha ridotto al minimo l’uso dello smartphone e disinstallato ogni app, dirottando le comunicazioni verso la sua email. Ma non vuole che la scelta sia mitizzata, facendolo sembrare “un eremita digitale”: “Chi mi cerca, mi trova”, dice. Guarnieri, conosciuto con lo pseudonimo di Nex, è l’hacker alla guida del Security Lab di Amnesty International: il laboratorio di sicurezza informatica dell’associazione per i diritti umani che in collaborazione con 17 testate giornalistiche ha svelato come il software dell’azienda israeliana Nso venisse usato dai regimi di tutto il mondo per sorvegliare attivisti, dissidenti e giornalisti, tra cui Jamal Khashoggi, il reporter saudita assassinato nell’ottobre del 2018.
Sono chiamati spyware i software malevoli in grado di prendere il controllo di un dispositivo. In molti casi è necessario che l’utente clicchi su un apposito link perché il programma venga scaricato. Ma in altri l’installazione sfrutta vulnerabilità definite zero click che permettono di compromettere lo smartphone, o il pc, senza un ruolo attivo della vittima. Tutto avviene in modo automatico e silenzioso. È il caso di molti iPhone infettati con Pegasus, lo spyware prodotto dall’azienda israeliana Nso.
In gergo si chiamano spyware e sono programmi capaci di prendere il controllo di un dispositivo, riuscendo in modo silente a tracciarne ogni attività: possono monitorare e registrare tutte le telefonate ricevute ed effettuate, sapere dove ti trovi, leggere qualunque cosa scrivi sulla tastiera, vedere foto, video e contatti in rubrica, attivare la telecamera e il microfono. Strumenti che, dicono le tante società sviluppatrici occidentali, vengono venduti solo alle forze dell’ordine per contrastare la criminalità organizzata e il terrorismo.
"È falso – ribatte Guarnieri – e ora l’abbiamo dimostrato una volta per tutte". Le prove sono ormai tante, troppe. Molte le ha raccolte lui che, dopo anni di lavoro nel settore della sicurezza commerciale, ha scelto di mettere le proprie competenze a servizio dell’attivismo. La sua backdoor, termine che in informatica indica la porta d’accesso a un sistema, è stata il fattore umano: "Durante la primavera araba, ho conosciuto persone prese di mira con questi software per i propri ideali e ho realizzato l’esistenza di un’asimmetria di potere che potevo contribuire a colmare. Da una parte, un’industria milionaria. Dall’altra, individui che non hanno capacità né tecniche né economiche".
La privacy è un diritto solo per l'Occidente
La prima scoperta nel 2012, quando ha dimostrato che FinSpy, della tedesca Finfisher, era usato in Bahrain contro i movimenti di protesta. Poi è stata la volta dell’italiana Hacking Team, i cui prodotti sono finiti nei cellulari di persone invise alle monarchie del Marocco e degli Emirati Arabi Uniti. Le inchieste hanno avuto conseguenze importanti, come nel caso di Nso, che nelle scorse settimane il presidente degli Stati Uniti Joe Biden ha inserito nella lista nera di aziende in grado di mettere a rischio la sicurezza di Washington, limitandone gli affari con le imprese a stelle e strisce. La firma israeliana si è anche vista negata l’opportunità di invocare l’immunità, in quanto fornitrice governativa, per una causa che la vede contrapposta a Facebook. L’accusa è di aver consentito, tramite il proprio software, la compromissione illegale degli account di molti clienti di WhatsApp.
Contento?
È un segnale importante considerata anche la storica alleanza tra Stati Uniti e Israele: dimostra che, finalmente, la politica riconosce l’esistenza di un problema. Ma sono stanco di dare cattive notizie. Mi sento un po’ come un dottore della peste del 1300, sostanzialmente inutile. Dopo aver superato lo shock iniziale, tutti mi chiedono cosa fare per far sì che quanto successo non si ripeta più e in realtà la risposta è: molto poco, se non abbandonare lo smartphone e sparire da internet.
Tutti mi chiedono cosa fare per far sì che quanto successo non si ripeta più: poco, se non abbandonare lo smartphone e sparire da internet
Cosa rischiano le vittime di spyware?
Credo che la violazione del proprio telefono sia oggi una delle più intime. Permette di accedere ai tuoi pensieri, ai tuoi spostamenti, alle tue conversazioni, ai momenti della tua vita privata. Per attivisti e giornalisti può voler dire compromettere progetti, collaboratori, fonti, la libertà propria o di altri. In alcuni casi, la vita. Qualche storia: Ahmed Mansoor, dissidente emiratino, controllato nel tempo con prodotti di diverse società, è stato condannato a dieci anni di carcere. Anche il giornalista marocchino Omar Radi, spiato con Pegasus, adesso si trova in prigione. E poi c’è il caso Khashoggi.
Pensa che Pegasus abbia avuto un ruolo nella sua morte?
Sì. Ha fornito un supporto logistico e di intelligence. Non è un caso che non solo lui, ma anche i suoi familiari e i suoi più stretti collaboratori, siano stati bersaglio degli spyware. Il monitoraggio è proseguito anche dopo l’assassinio come dimostra la scoperta che la compagna è stata spiata la settimana successiva all’omicidio.
Come reagisce chi scopre di essere stato sorvegliato con questi software?
Alcuni diventano più combattivi, ma per la maggior parte delle persone è un’esperienza tragica. Tanti hanno dovuto affrontare lunghi processi, abbandonare il proprio Paese e chiedere asilo politico. Tra i primi attivisti a cui ho fornito supporto, tutt’oggi c’è chi ha un crollo emotivo quando vede un computer. La componente psicologica è molto forte e, purtroppo, ancora poco studiata e raccontata.
Qual è l’obiettivo di chi li utilizza?
Questo genere di sorveglianza è spesso parte integrante di un apparato di controllo e repressione diretto a silenziare, intimidire e perseguire ogni voce critica. Abbiamo notato che l’abuso sistematico di spyware genera uno stato di paura condivisa. Ha un effetto intimidatorio che spinge molti ad abbandonare la propria attività. Inoltre, possiamo considerare gli attacchi contro giornalisti e attivisti un campanello d’allarme: spesso sono serviti da terreno sperimentale per poi condurre attività analoghe contro governi e aziende straniere. È il nuovo fronte del conflitto digitale e mi frustra molto il mancato coinvolgimento della società civile in un dibattito sul tema: sarebbe essenziale su tre livelli, tutti egualmente importanti.
Più etica e trasparenza per gli algoritmi che governano il mondo
Quali?
Uno è politico. È l’unico su cui fino ad ora è stato fatto qualche passo avanti. Il miglioramento delle legislazioni in materia ha consentito un maggiore controllo di questi software. In Europa, ad esempio, sono stati equiparati agli strumenti dual use che possono essere impiegati sia in campo civile sia militare: le aziende che li sviluppano devono chiedere un’autorizzazione all’ufficio competente del loro Stato di appartenenza per esportare i propri prodotti al di fuori dell’Unione europea. Ma non è sufficiente, perché è dimostrato che aggirare le regole non sia difficile.
L’altro piano su cui lavorare è quello legale: salvo qualche eccezione, nessuna di queste società è stata chiamata a rispondere delle proprie responsabilità davanti a un tribunale, generando una percezione di impunità. Infine, avrebbero un ruolo da giocare tutti i produttori e i fornitori di tecnologie di consumo. A oggi gli investimenti nel mondo della sicurezza informatica riguardano soprattutto il settore aziendale, mentre si presta poca attenzione alle persone. Il risultato è un’asimmetria di potere. Apple, Google, Microsoft, Facebook, possono implementare cambiamenti radicali per rendere molto più complicata l’installazione di questi software. Tecnologie e servizi devono essere più robusti e rispettosi degli interessi degli utenti. Spesso questi ultimi vengono accusati di essere troppo ingenui perché cliccano sui link con disinvoltura, ma penso sia un’abdicazione di responsabilità da parte degli informatici.
Cosa sappiamo, invece, delle aziende che sviluppano questi strumenti?
Molto poco. È un’industria milionaria composta da una flora di società che competono e collaborano tra loro, fornendo prodotti e servizi diversi. Dagli sviluppatori di spyware e sistemi di sorveglianza a chi si occupa di mettere a punto i software che sfruttano le vulnerabilità dei dispositivi per attaccarli chiamati exploit, passando per broker e intermediari. È necessaria più trasparenza da parte delle istituzioni. Oggi se fai una richiesta di accesso civico per sapere se l’Italia ha approvato l’esportazione di certe tecnologie dual use e verso quali Stati, la risposta che ricevi è: impossibile fornire questi dettagli per ragioni di sicurezza nazionale. Lo stesso succede in quasi tutti gli altri Stati. Capisco che non si voglia fornire il nome delle aziende coinvolte, ma almeno qualche informazione in più, come il numero di autorizzazioni concesse e la destinazione dei prodotti, aiuterebbe ad avere un quadro migliore della situazione. Importante sarebbe anche una maggiore trasparenza sul processo decisionale: conoscere chi nega o concede l’ok all’esportazione e quali criteri segue permetterebbe di capire come le autorità nazionali si adoperano per prevenire gli abusi da parte di queste aziende, che spesso ricevono anche fondi pubblici. È stato il caso di Hacking team.
Intercettazioni di Stato in mani private
Alcune aziende produttrici di spyware, come Nso, hanno proposto e implementato soluzioni anti-Covid. La pandemia le sta beneficiando?
Sì, per molte società di sorveglianza l’attuale situazione rappresenta un’opportunità non solo per creare nuovi canali commerciali ma anche per ripulire la propria reputazione di fronte all’opinione pubblica: da nemici a alleati nella lotta al covid.
Abbiamo parlato di come i regimi sfruttino questi strumenti per compiere abusi, ma cosa succede negli Stati democratici?
Abbiamo evidenze di abusi anche lì: in Ungheria Pegasus è stato installato sugli smartphone di giornalisti che investigavano sugli affari e le relazioni del presidente Viktor Orban. Ma gli spyware vengono regolarmente sfruttati dalle forze dell’ordine di tutto il mondo. Il crescente utilizzo della crittografia da parte di siti web e servizi di messaggistica fa sì che le nostre comunicazioni e i nostri dati in transito siano offuscati e irriconoscibili, rendendo i metodi di intercettazione tradizionali inefficaci. Questi software sono la risposta allo sviluppo tecnologico, perché permettono di collezionare i dati alla fonte, cioè il dispositivo che li genera, prima di essere cifrati e trasmessi. Ma sono strumenti talmente invasivi e pericolosi che sollevano dubbi sulla loro affidabilità e la conciliazione con i nostri diritti umani e costituzionali.
Crede che rappresentino una minaccia per la democrazia?
Come ogni strumento che erode ai nostri diritti fondamentali, come il diritto alla privacy, anche l'utilizzo di spyware può rappresentare una minaccia alle nostre libertà civili, e di conseguenza alla democrazia. Devono essere regolamentati con occhio critico, costruiti e utilizzati con estrema serietà.
Il loro impiego nelle intercettazioni è prassi anche in Italia. Il settore è sufficientemente regolamentato?
No, servono regole più stringenti e specifiche: bisogna definire con esattezza i limiti delle capacità tecniche di questi software e come salvaguardare i dati collezionati. Inoltre, credo che al momento ci sia una crescita della loro adozione così rapida che mancano i dovuti controlli sulla qualità degli spyware in uso e sul loro rispetto delle regole esistenti. Trovo anche preoccupante che società private siano centrali nella produzione e nell'impiego di questi software spia da parte delle procure. Ci si affida a un sottobosco di piccole aziende. Alcune si sono reinventate produttrici di spyware, nonostante la totale mancanza di esperienza e competenze. Molti prodotti sul mercato sono inadeguati all'utilizzo critico che ne viene fatto, sia sul piano funzionale che su quello della privacy e della sicurezza. Gli operatori di questi strumenti di intrusione dovrebbero essere equipaggiati con significative abilità tecniche, legali, ed etiche.
Uno spyware di Stato potrebbe essere una soluzione?
Se si prevedono dei controlli da parte di organi indipendenti, potrebbe minimizzare alcuni rischi operativi e ridurre gli abusi locali. Eviterebbe anche lo sviluppo di realtà commerciali che, alla rincorsa del profitto, finiscono poi per fornire gli stessi strumenti ai regimi autoritari. Ma è raro che le istituzioni pubbliche possiedano competenze del genere.
Lei è uno dei pochi che ha deciso di abbandonare il settore commerciale. Perché?
Per molto tempo il mondo della tecnologia ha cercato di essere il più apolitico possibile, tant’è vero che ho perso contatti e persino amici perché considerato troppo esposto. Adesso le cose stanno cambiando, ma a lungo questo è stato un elemento scoraggiante. Alcuni, invece, pensano che la mia attività comporti troppi rischi, anche se non è così: a rischiare davvero sono le persone che supporto. Il motivo principale, però, è economico: gli stipendi di chi lavora nella sicurezza commerciale sono alti, persino assurdi. A volte mi chiedo: ma come fanno a essere pagati tutti così tanto?
Crediamo in un giornalismo di servizio ai cittadini, in notizie che non scadono il giorno dopo. Aiutaci a offrire un'informazione di qualità, sostieni lavialibera
La tua donazione ci servirà a mantenere il sito accessibile a tutti
Record di presenze negli istituti penali e di provvedimenti di pubblica sicurezza: i dati inediti raccolti da lavialibera mostrano un'impennata nelle misure punitive nei confronti dei minori. "Una retromarcia decisa e spericolata", denuncia Luigi Ciotti
La tua donazione ci servirà a mantenere il sito accessibile a tutti