«Verranno fuori nuovi casi. Questo spyware è molto pericoloso»

John Scott-Railton è ricercatore senior presso The Citizen Lab, centro di investigazione indipendente canadese basato nell’università di Toronto, che conduce studi «all’intersezione tra tecnologie dell’informazione e della comunicazione, diritti umani e sicurezza globale». Attivo da oltre vent’anni «non prende soldi da società private né governi», sottolinea Scott-Railton.

In questi giorni si sta occupando dello spyware dell’azienda Paragon che ha messo sotto controllo almeno 90 persone in 14 paesi europei. Tra loro sette utenze italiane. Una appartiene al direttore di Fanpage Francesco Cancellato. Altre tre ad attivisti che si battono contro gli accordi italo-libici sull’immigrazione: Luca Casarini e Beppe Caccia di Mediterranea, David Yambio di Refugees in Libya (uno dei rifugiati che hanno denunciato i crimini del capo della polizia giudiziaria di Tripoli Elmasry). «È solo la punta dell’iceberg», dice Scott-Railton.

Quando sono iniziate le attività di spionaggio e su quali elementi si sono concentrate?
Non posso entrare in nessun elemento specifico dell’indagine, né rivelare le identità delle persone intercettate. È la nostra policy.

Quali sono le specificità di questo spyware in rapporto a quelli usati generalmente dai pm?
In generale c’è una tecnologia che definiamo di «spyware mercenari» che permette, anche ai governi, di hackerare i cellulari. È estremamente pericolosa perché dentro quei dispositivi c’è tutta la vita di una persona e questa finisce integralmente a disposizione di chi la sta controllando. Attività simili sono molto più invasive delle semplici intercettazioni delle telefonate.

Come inizia lo spionaggio?
Queste compagnie hanno sviluppato sistemi molto sofisticati che riescono ad accedere al telefono, per esempio attraverso un numero o una chat, senza che l’utente si renda conto di nulla. Un momento il suo dispositivo è privato, il momento successivo è come se avesse una spia in tasca. Una singola persona non può fare quasi niente per proteggersi. Per questo sono importanti le indagini. Bisogna stabilire le responsabilità precise sul caso.

Lo spyware di Paragon è in grado solo di registrare quello che c’è dentro un cellulare o può anche fargli compiere azioni e inserire del materiale dall’esterno?
Non si può escludere, ma va comunque verificato. Un avvocato esperto potrebbe contestare che quando un telefono è stato hackerato da uno spyware, soprattutto da uno «mercenario», l’integrità dei file presenti è compromessa. Per determinare se sono stati infiltrati dei dati nel singolo cellulare serve un’analisi forense approfondita, ma in ogni caso è un tema che apre molti interrogativi. Sarebbe importante che i giornalisti chiedessero a Paragon se i loro prodotti sono in grado di compiere queste operazioni.

Perché Meta ha avvisato gli utenti colpiti?
È molto importante che sia accaduto. Interventi di questo tipo sono necessari. Non sono un esperto di diritto europeo ma immagino ci siano anche degli obblighi legali. In generale quando l’azienda che offre il servizio conduce delle analisi sul suo prodotto lo rende più sicuro. E questo è un punto a suo vantaggio agli occhi dei tantissimi utenti che lo usano. Nel 2019 Meta e Facebook hanno notificato 1.400 casi di persone colpite da uno spyware simile a quello di cui stiamo parlando. Si chiamava Pegasus, della società Nso. Funzionava in modo analogo: attraverso attacchi zero-click in cui il cellulare viene infettato senza che l’utente compia alcuna azione. Queste reazioni aumentano i livelli di sicurezza e in quel caso hanno creato conseguenze importanti sulla società produttrice dello spyware. Il problema è che simili prodotti proliferano molto rapidamente e in maniera selvaggia. Creeranno molti altri scandali.

Se Meta ha avvertito tutte le persone coinvolte, circa 90 in questa vicenda, perché lei sostiene che finora abbiamo visto solo la punta dell’iceberg?
Questo è il punto. La spiegazione ha a che fare con il tipo di tecnologia. Noi sappiamo che spyware come quello di Paragon utilizzano diversi vettori per infettare i dispositivi. Per questo possono esserci molti altri casi che non sono passati da Whatsapp e di cui quindi Meta non è consapevole. È logico assumere che verranno fuori nuovi utenti colpiti. Oggi potrebbero esserci persone, anche in Italia, che vanno in giro con il loro cellulare hackerato da Paragon ma non hanno ricevuto alcuna comunicazione perché lo spyware non è stato inoculato attraverso Whatsapp.