di Lorenzo Lazzeri
Immaginate di stringere tra le mani il vostro smartphone, di usarlo per chattare, fare chiamate, scattare foto. Pensate a quanta vita passa attraverso quel piccolo schermo, quante conversazioni, quante emozioni. Ora immaginate che, senza che lo sappiate, qualcun altro stia leggendo i vostri messaggi, ascoltando le vostre telefonate, guardando attraverso la vostra fotocamera. Non è fantascienza, né un’esagerazione, ma la realtà degli spyware governativi, strumenti di sorveglianza che trasformano i dispositivi personali in apparecchi di controllo su tutto ciò che facciamo.
Il caso più recente ha coinvolto Francesco Cancellato, direttore di Fanpage, e Luca Casarini della Mediterranea Saving Humans che racconta come, mentre viaggiava in treno, abbia ricevuto un messaggio su WhatsApp con scritto: “Ciao Luca. Informazioni importanti sulla sicurezza. Questa è una comunicazione di sistema”.
A scrivergli non era un amico, né un truffatore, ma Meta, la società di Mark Zuckerberg, che lo avvisava che il suo telefono era stato infettato da Graphite, uno spyware avanzato sviluppato dall’azienda israeliana Paragon Solutions. L’infezione era irreversibile e per proteggersi, avrebbe dovuto cambiare telefono. CitizenLab, il centro di ricerca canadese specializzato nell’analisi di attacchi informatici di alto livello, gli ha poi confermato che il suo dispositivo era stato compromesso con un attacco zero-click (ossia senza che fosse necessaria alcuna interazione da parte sua, n.d.r.).
Ma Graphite è solo uno dei captatori informatici presenti in questo mercato della sorveglianza. Il software più noto è Pegasus, sviluppato da NSO Group, capace di infiltrarsi in qualsiasi smartphone, bypassando anche le più sofisticate misure di sicurezza. Entrambi i software condividono una caratteristica comune, infatti, non hanno bisogno che l’utente faccia nulla per essere installati. Basta una chiamata persa, un SMS di configurazione, un messaggio silenzioso su WhatsApp, un’immagine JPG o un file pdf e lo spyware si insinua silenzioso e prende il controllo del dispositivo.
A differenza dei malware tradizionali, questi strumenti operano nell’ombra, catturano messaggi e screenshot, registrano telefonate, attivano fotocamere e microfoni, seguono gli spostamenti con il GPS, con il bluetooth e la wifi sanno in che luogo, in che appartamento siete e chi state incontrando, ascoltando i flussi dati di queste reti e tutto ciò accade senza lasciare tracce visibili.
Se da una parte esistono questi software dall’uso opaco e spesso illegale, dall’altra ci sono strumenti forensi utilizzati in modo legittimo dalle forze dell’ordine. Cellebrite UFED (Universal Forensic Extraction Device) è uno di questi. A differenza di Graphite o Pegasus, non è uno spyware e non utilizza trojan per infettare dispositivi. È un tool di informatica forense che permette di accedere ai dati di un dispositivo solo quando collegato fisicamente. L’uso di UFED è regolato nel nostro paese dal Codice di Procedura Penale, ed è impiegato esclusivamente su mandato dell’autorità giudiziaria per indagini su reati di una certa gravità.
Mentre Pegasus e Graphite possono essere installati da remoto senza il consenso dell’utente, UFED non ha capacità intrusive, non può intercettare comunicazioni in tempo reale né sorvegliare un individuo a sua insaputa. È progettato per recuperare dati già presenti sul telefono, come messaggi, cronologia chiamate, immagini e file cancellati. Un suo utilizzo al di fuori del perimetro legale, ad esempio da parte di privati o aziende senza autorizzazione, configurerebbe reati informatici, come l’accesso abusivo a sistemi informatici.
L’uso di spyware come Pegasus e Graphite è teoricamente riservato alle forze di intelligence, agli apparati di sicurezza nazionale e alle forze dell’ordine e in Italia il loro impiego dovrebbe essere regolato dalle stesse leggi che disciplinano le intercettazioni. Sia la legislazione italiana che europea, tuttavia, non prevede norme chiare sugli spyware di nuova generazione, creando zone d’ombra che permettono il loro utilizzo senza un adeguato controllo giudiziario.
Sempre in Italia, le intercettazioni tradizionali sono normate dall’ articolo 266 e seguenti del Cpp, che stabiliscono che solo la magistratura può autorizzare la sorveglianza di un soggetto e solo in presenza di reati gravi e specifici; ciò nonostante, occorre considerare che gli spyware non rientrano nelle classiche intercettazioni. Il loro utilizzo non è limitato alle sole comunicazioni telefoniche e ambientali, ma si estende all’intero dispositivo, violando di fatto il principio di proporzionalità sancito dalla Corte Europea dei Diritti dell’Uomo.
C’è poi un aspetto ancora più preoccupante e cioè che questi software sono quasi impossibili da eliminare. Una volta installati, si radicano nel sistema, sfruttando vulnerabilità sconosciute persino agli stessi produttori di telefoni; si mimetizzano, riscrivono il proprio codice, resistono anche a un ripristino di fabbrica. È come avere un intruso in casa che sa esattamente dove nascondersi ogni volta che provate a trovarlo.
Alcuni spyware avanzati mirano al firmware del dispositivo (il software di base che gestisce l’hardware). Noti anche come bootkit, si installano all’avvio del sistema, prima del caricamento del sistema operativo, permettendo al malware di operare al di sotto del radar degli strumenti di sicurezza tradizionali. Un tipo di infezione che persiste anche dopo operazioni come la formattazione della memoria di massa e la reinstallazione del sistema operativo, poiché il malware risiede in una parte del sistema non influenzata da tali procedure.
L’uso di questi captatori informatici si fa ancora più grave quando la sorveglianza viene esercitata su giornalisti e attivisti, che in Italia è espressamente vietata sia dalla legge sulla libertà stampa (L. 69/1963), sia dalla Direttiva europea sulla protezione delle fonti giornalistiche. L’uso di spyware su queste categorie professionali mina la libertà di stampa e la protezione delle fonti, compromettendo il diritto dell’opinione pubblica a un’informazione indipendente.
E così, mentre le grandi democrazie occidentali si battono per la difesa dei diritti civili, si scopre che governi alleati degli Stati Uniti utilizzano Graphite o simili per controllare giornalisti e attivisti. Paragon Solutions ha dichiarato che il suo software è venduto solo a governi “affidabili”, eppure, come racconta Francesco Cancellato, il suo telefono è finito sotto attacco proprio da uno di questi governi.
Lo scenario che si prospetta è quello di una sorveglianza senza confini, dove i giganti della tecnologia come Meta arrivano a proteggere i cittadini più di quanto facciano gli stessi governi. Ed è qui che, citando le dichiarazioni di Luca Casarini, entra in gioco il paradosso Matrix: “Non servono i servizi segreti, bastano le protesi ipertecnologiche delle quali sembra che non possiamo più fare a meno. Siamo, come in Matrix, sempre connessi alla ‘macchina’, che ci inietta realtà virtuali funzionali al potere, dai magici effetti onirici sulle menti e dagli effetti anestetici sui corpi”.
Forse siamo davvero un’anomalia nel sistema, scegliendo consapevolmente di farci intercettare, ascoltare e pedinare. Ma, come scrive ancora Luca Casarini, c’è una “cospirazione del bene“ che si allarga ogni giorno di più e se c’è qualcosa che spaventa chi costruisce il male, è proprio questo: non riuscire a spegnere quella parte di umanità che ancora resiste, che non si lascia zittire, che non accetta di vivere sotto costante sorveglianza.
