Spyware e politica, un intreccio sinistro

C’è un trend preoccupante che in tempi recenti lega il dominio cyber al mondo governativo e istituzionale. Negli ultimi anni, i giornalisti investigativi e i ricercatori in rete sono stati piuttosto impegnati nel tracciare, documentare e descrivere al pubblico il crescente uso di strumenti cibernetici e di sorveglianza dedicati allo spionaggio a sfondo politico.

Per loro natura, gli spyware sono progettati per essere tecnologie dual-use. Questo tipo di software malevoli (o malware) è programmato per infiltrarsi nei dispositivi connessi ad internet come smartphone o computer, registrare e immagazzinare le attività dell’utente trasmettendo poi i dati a parti terze senza essere rintracciato. Se impiegati dalle Forze dell’Ordine o dall’Esercito con un appropriato mandato legale, le soluzioni spyware possono essere di grande aiuto al settore della sicurezza in vari modi, dal tracciamento delle attività criminali, al monitoraggio delle conversazioni dei gruppi terroristici, fino alla protezione dei bambini da minacce sia online sia offline.

Ciononostante, la sfera politica sembra avere altri interessi. Come osservato dal centro di ricerca Carnegie Endowment for International Peace, nel solo 2020 gli abusi nell’utilizzo dei queste tecnologie per bersagliare attivisti, gruppi di opposizione, uomini d’affari, membri del clero e altri soggetti della società civile sono stati registrati in almeno 10 Paesi diversi. Le attività malevole sono state riscontrate in Arabia Saudita, Ungheria, India, Iran, Messico, Marocco, Ruanda, Spagna, Thailandia e Turchia. Sembra quindi evidente come, spaziando dai regimi strettamente autocratici fino alle democrazie liberali (ognuno con diversi livelli di libertà individuali garantiti dalle autorità), la natura politica di chi utilizza questi strumenti senza rispetto per la privacy degli utenti sia piuttosto eterogenea.

Ad oggi, una delle controversie più note in questo senso riguarda il Progetto Pegasus e il suo omonimo tool di sorveglianza, sviluppato dal gruppo israeliano Nso. Stando alle investigazioni internazionali, la compagnia sembra essere responsabile della vendita di spyware a clienti non noti per tenere sotto osservazione membri del governo, giornalisti, diplomatici e politici nel perimetro digitale. Tra i Paesi coinvolti ci sono anche alcuni membri dell’Unione Europea e della Nato come Spagna, Francia e Polonia. Senza contare che, a partire da novembre 2021, Washington ha inserito l’azienda tech con base a Herzliya e tutti i suoi prodotti nella propria lista nera, dal momento che l’entità non è allineata con “gli interessi di politica estera e di sicurezza degli Stati Uniti”.

L’Nso Group non è però l’unico distributore di questi strumenti malevoli. I gruppi di hacker finanziati dai governi (noti come Advanced Persistent Threat o APT), ad esempio, hanno sempre programmato in maniera indipendente i loro spyware proprietari per poi impiegarli in base alle esigenze. Ciò non toglie che la tendenza osservata di recente nel contesto euro-atlantico sia piuttosto allarmante. Come testimonia lo scandalo che ad agosto ha scosso profondamente il governo e i servizi di intelligence di Atene (già soprannominato il Watergate europeo), le attività di sviluppo spyware sembrano essere diventate un problema anche nel contesto europeo. Secondo le analisi tecniche compiute finora, la tecnologia impiegata in questo caso è stata rilasciata da Cytrox, una ditta fondata nel 2017 in Macedonia del Nord assorbita poi da una compagnia di intelligence con quartier generale nel Paese greco.

Nel 2022 però la Grecia non rappresenta un unicum, visto che a giugno Google ha rintracciato e denunciato attività sospette su alcuni smartphone in Italia e Kazakistan, portate avanti attraverso un tool di spionaggio fabbricato da una realtà italiana. A luglio invece, uno strumento malevolo di marca austriaca è stato indicato da Microsoft come il grimaldello per spiare entità legali, banche e società di consulenza localizzate in Austria, Regno Unito e Panama.

Questo oscuro scenario dai forti richiami orwelliani solleva almeno tre punti di discussione per governi e istituzioni. Dal punto di vista tecnico, l’impossibilità di attribuire con certezza le attività di spionaggio informatico rimane un problema centrale nel tentativo di individuare i responsabili per le violazioni dei diritti individuali e assicurare giustizia per le vittime di queste invasioni della privacy. A tal proposito, la collaborazione tra autorità e settore privato rappresenta un’indispensabile risorsa.

Passando alle questioni strettamente legali, la protezione delle identità online e offline dei cittadini europei richiede necessariamente l’adattamento e l’estensione dello European General Data Protection Regulation (Gdpr). La cornice legislativa già esistente necessita un’implementazione che tenga presente il concetto di responsabilità sociale (corporate social responsibility) per le compagnie di piccole, medie e grandi dimensioni. Dal punto di vista dell’offerta, i rivenditori del settore tech dovrebbero adattarsi a standard qualitativi più stringenti, venendo spinti poi a commercializzare i propri prodotti seguendo ferree linee guida etiche.

Il terzo ed ultimo punto riguarda da vicino la questione del consenso politico interno. Date la crescente polarizzazione sociale e l’ormai strutturale sfiducia dei cittadini nei confronti della classe politica e delle istituzioni nell’emisfero occidentale, l’adozione di spyware e strumenti di sorveglianza da parte di organismi governativi non può far altro che foraggiare scetticismo, malcontento, teorie del complotto e perfino odio nei confronti delle élite. Nella peggiore e più tetra delle ipotesi, questo scollamento interno può sommarsi ad altri fattori in una profonda spaccatura collettiva, con potenziali gravi conseguenze per l’ordine pubblico.

(Articolo tratto da Food for Thought pubblicato dall’autore per la Nato Defense College Foundation)