Il mito Pegasus: uno spyware che vola

Pegasus: cavallo allato degli dei e, poi, luminosa costellazione. Ma nel linguaggio delle spie, il nome del mito è stato usato per etichettare il più sofisticato e, attualmente, invincibile spyware. Termine inglese intraducibile, quest’ultimo, utilizzato per definire una sorta di Coronavirus numerico pandemico che, una volta installato del tutto involontariamente in un qualunque cellulare privato, ne fa una centrale remota di ascolto. Prodotto dalla compagnia privata israeliana Nso, Pegasus viene venduto esclusivamente (solo in teoria, come si vedrà) a entità statuali per fini di lotta al terrorismo e alla grande criminalità organizzata. Per questo motivo, la sua vendita è condizionata all’approvazione degli Uffici di sicurezza e del ministero della Difesa israeliani. Quindi, di fatto, Pegasus non avrebbe dovuto essere in possesso né dell’Arabia Saudita, né di altri regimi europei o sudamericani che ne hanno fatto un uso illecito per il controllo di media e giornalisti scomodi. Ora, per fortuna della trasparenza democratica, abili hacker o ex consulenti infedeli (a volte non si sa quanto favoriti dal rispettivo Deep State per oscure ragioni di lotte interne di potere) sono in grado di violare periodicamente i santuari dei Big-data degli apparati di sicurezza, o di quelli depositati nei server di aziende private, per rivelare pubblicamente (operazione in gergo definita leak, o fuga di notizie) informazioni riservate, raccolte per lo più illegalmente da quelle stesse istituzioni pubbliche o da soggetti privati non autorizzati.

Esempi storicamente famosi sono i così detti “Panama Papers” che contengono milioni di informazioni su centinaia di migliaia di società offshore operanti nei paradisi fiscali e sui loro clienti; nonché l’enorme mole di documenti pubblicati da Edward Snowden sulla sorveglianza illegale di massa, da parte della National Security Agency, o Nsa, americana. Lo scandalo internazionale che ha coinvolto Pegasus e la Nso origina dalle leaks raccolte dall’organizzazione giornalistica Non profit Forbidden Stories, con sede a Parigi, che ha pubblicato un database di 50mila nominativi di personalità politiche e intellettuali di mezzo mondo, che sarebbero state spiate illegalmente grazie a Pegasus. La Nso, nel corso dei vari contenziosi giudiziari, ha contestato la validità degli elenchi di Forbidden Stories, in quanto molti numeri americani di rete fissa non sono infettabili da Pegasus, mentre per molti altri non ne è stata dimostrata con certezza la presenza, nel corso delle expertise da parte dei Ctu (Consulente tecnico d’ufficio) nominati dai giudici competenti. Tra i prodigi dello spyware israeliano (il più sofisticato del mondo), visto nelle sue versioni più avanzate, c’è la possibilità che il malware si installi automaticamente a seguito di una finta chiamata su WhatsApp, senza più bisogno che l’utente si faccia involontariamente parte attiva sfiorando un’opzione sullo schermo Touch screen, o aprendo un link fraudolento. E come ci riesce? Praticamente, la violazione di domicilio avviene grazie a porte (bachi, o buchi) lasciate inavvertitamente aperte nei sistemi operativi di Ios o Android e/o nei software delle App installate sul cellulare.

In altre parole, gli spyware più potenti si infiltrano grazie alle smagliature o ai punti deboli, che non sono ancora noti alle case costruttrici, presenti nei software installati dall’utente e nei sistemi operativi alla base del funzionamento dei cellulari, essendo persino in grado di aggirare la barriera numerica delle messaggerie criptate. Una volta entrato attraverso una o più porte segrete, Pegasus può fare molti danni ai suoi bersagli inconsapevoli estraendo tutti i tipi di possibili dati contenuti nei loro cellulari, e attivando microfoni e telecamere a tempo debito per intercettazioni ambientali, rese possibili dai servizi di localizzazione. Il bello è che, per questioni di esclusività del marchio e del suo sistema operativo, Ios di Apple non rende possibile, al contrario di Android, una verifica indipendente dall’esterno, da parte di terzi soggetti esperti, sulla presenza o meno di spyware tipo Pegasus che, da parte sua, è concepito per lasciare nessuna o pochissime tracce del suo passaggio. L’attacco, per quanto è dato di sapere, può avvenire in modi differenti: il link infettante è trasmesso attraverso messaggi sms o iMessage o, nelle versioni più sofisticate dello spyware, utilizza la tecnica così detta dello “Zero clic”, in cui si invia un messaggio all’utente che non viene però notificato. Ovviamente, Nso nega in tutte le sedi nelle quali è stata chiamata legalmente a rispondere, in base alle denunce presentate dalle organizzazioni per la difesa dei diritti umani e da WhatsApp, di aver accesso ai dati raccolti dai suoi clienti, avendo a suo dire un modus operandi particolarmente selettivo e severo nella scelta dei suoi clienti, al fine di evitare lo spionaggio di massa (miliardi di persone nel mondo possiedono un cellulare!) non autorizzato da misure emergenziali.

Pegasus è particolarmente utile nella lotta al crimine organizzato che, di solito, si avvale della parte meno accessibile della rete per gestire i suoi loschi affari ma, una volta nella disponibilità delle Agenzie di intelligence, contraddistinte da alti livelli di segretezza e dalla mancanza di strumenti di controllo tipo check and balance, non c’è modo di stabilire se le condotte adottate (come nel caso messicano, dove è accertato il suo impiego per spiare giornalisti, politici e intellettuali scomodi) siano o meno lecite. E la Nso, in questo caso, non può spingersi oltre i suoi vincoli contrattuali anche se, in caso di accertata violazione dei diritti umani, può rescindere (come è accaduto in cinque casi accertati, in base a quanto ufficialmente dichiarato dai responsabili dell’azienda) i contratti in essere con i Paesi che se ne sono resi responsabili, nei confronti dei quali non è dato di capire se ci siano chiavi di sicurezza esterne in grado di cancellare parti essenziali dello spyware, in modo da renderlo inutilizzabile, come si fa con i missili a testata nucleare o ordinaria nel caso di perdita della guidance da remoto.

Un altro problema, di tipo più squisitamente giuridico, è rappresentato dal fatto che le legislazioni dei Paesi democratici hanno strumenti normativi adeguati solo per quando riguarda le intercettazioni ordinarie (ambientali e telematiche, compresi i telefoni cellulari), affidate alla giurisdizione dei procuratori. Al contrario, non esistono sufficienti salvaguardie effettive rispetto alla grave violazione della privacy, e di altre fondamentali libertà individuali costituzionalmente garantite (come quelle della libera informazione), rese oggi possibili dall’intrusione in profondità nelle memorie e nei sistemi operativi Ios e Android dei cellulari, presi di mira dagli spyware più sofisticati, in grado di infettare gli smartphone di tutto il mondo. Forse, sarebbe il caso di sfruttare la presidenza di turno italiana del G20 per iniziare a impostare il problema dei tanti Pegasus in circolazione, oggi come domani.