Seguici anche su

26 gennaio 2018

Italia campione di sorveglianza

La scoperta di un nuovo spyware riaccende l'attenzione sul nostro Paese. Che ha un'eccellenza poco conosciuta: sistemi per spiare i cittadini. Esportati anche a regimi e dittature

Gabriella Colarusso

 Vai al sommario

Tutti i trojan si assomigliano, ma ogni trojan è malevolo a modo suo. La scoperta di Nikita Buchka e Alexey Firsh di un nuovo spyware, un software per raccogliere informazioni da computer e telefoni altrui, potrebbe segnare una nuova frontiera nel mondo dello spionaggio elettronico, un film in cui l’Italia gioca da tempo un ruolo da protagonista, non sempre lusinghiero…

Leggi l'articolo per 0,10 €

PAGA CON
Paga con Tinaba

Il 16 gennaio, i due ricercatori del Kaspersky Lab, una delle più potenti aziende di sicurezza informatica al mondo, hanno rivelato l’esistenza di un software spia, ribattezzato SkyGoFree (nulla a che fare con la società Sky), che è capace di mettere a soqquadro i telefoni Android, catturare immagini e video, leggere i messaggi, spiare Whatsapp, Facebook, Skype, attivare il microfono e registrare le conversazioni in base alla posizione geografica del telefono, capacità che viene definita geofence, e persino di collegare il dispositivo a reti wifi compromesse anche se la connessione è disattivata. «Le sue capacità ricordano più uno spy movie di Hollywood» che un «banale» virus per rubare dati di conti correnti o carte di credito, osservano gli analisti.

Lo spyware esiste dal 2014, ha subito almeno tre evoluzioni e a quanto raccontano gli informatici russi tutti gli indizi sulla sua provenienza portano in Italia: i dispositivi infettati si trovano infatti quasi esclusivamente nel nostro Paese e nelle righe di codice del sistema ci sono tracce di domini registrati da una società italiana, la Negg International, con sede a Roma e a Reggio Calabria.

La Negg è una software company che fornisce una serie di servizi, tra cui applicazioni per il mobile, sistemi di cybersecurity e per le analisi forensi. Il 30 novembre del 2017, il suo chief executive officer (Ceo), Francesco Taccone, è stato ospite nella sala Regina della Camera dei deputati per un convengo sulla cyber intelligence e l’information security: c’erano molti nomi che contano nel mondo della cybersicurezza italiana, dal generale Tricarico, presidente della fondazione Icsa (il centro studi sull’intelligence e l’analisi militare fondato nel 2009 da Marco Minniti), ai dirigenti di alcune delle principali aziende del settore, Prisma, Ts-Way, Leonardo, Area, Telsy, tra le altre.

Sebbene non ci siano prove certe del coinvolgimento della Negg nell’affare SkyGoFree, nella comunità infotec la scoperta dello spyware ha suscitato molta preoccupazione: chi sta usando quel software spia? Potrebbe essere stato messo a punto per il governo o le forze dell’ordine?

 

I trojan di Stato sono legali

Dal 2015, dopo il caso Hacking Team, l’Italia è un sospettato speciale per le questioni che riguardano la sorveglianza digitale. La nostra industria della cybersicurezza si è guadagnata la fama di eccellenza a livello internazionale ma anche il triste primato di esportatore di software spia per governi autoritari e regimi in giro per il mondo. Non solo. Il sistema di sorveglianza delle forze dell’ordine e di intelligence italiane è da tempo oggetto delle attenzioni delle organizzazioni internazionali che si occupano di tutela della privacy, di diritti e libertà digitali, di trasparenza.

A maggio scorso, la commissione per i diritti umani delle Nazioni Unite (United Nations Human Rights Committe), aveva espresso preoccupazioni per il rischio che «le agenzie di intelligence» italiane intercettassero «comunicazioni personali utilizzando tecniche di hacking senza esplicite autorizzazioni legali o chiare garanzie per evitare abusi». Anche associazioni come Privacy International e Freedom House, che ogni anno redige il rapporto sul grado di libertà di Internet, hanno espresso dubbi simili sull’uso di sistemi di hacking per le intercettazioni, chiedendo alle autorità maggiori tutele contro le violazioni.

La risposta del governo italiano è stata rendere legali i trojan di Stato. Già nel 2016 la corte di Cassazione aveva dichiarato ammissibile e costituzionale, per i processi che riguardavano la criminalità organizzata, «l’intercettazione di conversazioni o comunicazioni tra presenti mediante l’installazione di un captatore informatico in dispositivi elettronici portatili (ad esempio, personal computer, tablet, smartphone, ecc)».

A dicembre 2017 il governo ha fatto un passo in più con la riforma delle intercettazioni che di fatto autorizza l’utilizzo di sistemi di hacking senza limiti per i reati di terrorismo e criminalità e con alcune limitazioni invece per altre tipologie di reato. L’11 gennaio sono state pubblicate in gazzetta le nuove disposizioni: l’uso dei captatori informatici è limitato alle «intercettazioni tra presenti», ma il timore degli esperti è che questo possa essere esteso anche ad altri casi non essendo esplicitamente vietato dalle nuove norme.

 

Occhi e orecchie digitali per la polizia di Stato: il progetto Craim

L’arrivo sulla scena investigativa dei trojan di Stato, del resto, non è una novità. Da tempo, intelligence e forze dell’ordine sono impegnate a presidiare i nostri ambienti di vita digitale, un terreno in cui lo scontro tra esigenze di sicurezza e protezione della privacy e delle libertà individuali si è fatto più sottile e subdolo. Anche per la scarsa trasparenza di quali strumenti vengono utilizzati e da chi vengono prodotti e gestiti.

In Italia, per esempio, la Polizia di Stato, insieme al Consiglio Nazionale delle Ricerche (Cnr,) gestisce il progetto Craim, un centro di ricerca per l’analisi «delle informazioni provenienti da fonti aperte sul web e sui canali televisivi, o Open Source Intelligence – Osint (analisi di video, audio e testi) attraverso soluzioni tecnologiche innovative e specificatamente progettate per le esigenze delle indagini, con particolare attenzione alla prevenzione dei fenomeni terroristici». E chi fornisce alle nostre forze dell’ordine i sistemi per sorvegliarci? Aziende private dal curriculum spesso non immacolato.

Dal database della Polizia viene fuori che solo tra il 2016 e il 2017, il progetto Craim è costato più di 1 milione e 300 mila euro, con gli appalti più fruttuosi andati ad aziende come Prisma, per la «fornitura software per aggiornamento infrastruttura tecnologica di broadcast e media monitoring per Craim (131 mila euro); Teleconsys (soluzione iperconvergenza per il Craim, 121 mila euro); Fastweb (hardware e software per realizzare il centro di elaborazione dati di Craim, più di 700 mila euro); Nova Systems (nuovi sistemi di videowall, 36 mila euro); Kapusons srl (fornitura sistema di controllo dataroom e annessi servizi di installazione configurazione manutenzione help desk, 80 mila euro)».

Ttra i nomi delle società che forniscono occhi e orecchie digitali ala Polizia di Stato spunta anche quello di Ips spa che a marzo del 2017 si è aggiudicata circa 40 mila euro per una «piattaforma di social engagement» sempre per il progetto Craim. Ips è un nome noto agli addetti ai lavori. Pochi mesi dopo l’appalto con la polizia di Stato, un documentario di Al Jazeera, Spy Merchant (Mercanti di sorveglianza), realizzato da giornalisti sotto copertura, ha accusato l’azienda romana e un’altra società italiana, Area, di aver eluso le leggi internazionali sull’esportazione di materiale dual use (quello che può essere destinato a usi sia civili che militari) e di aver venduto tecnologie per la sorveglianza a regimi dittatoriali che violano regolarmente i diritti umani come Iran e Sud Sudan.

 

Il mercato della sorveglianza vale 80 miliardi

Ips ha smentito. Area invece – una delle più famose aziende italiane tra quelle che forniscono sistemi di sorveglianza elettronica alle procure e che ha vinto anche appalti con il ministero dell’Interno – è finita sotto indagine per un’altra presunta violazione delle leggi internazionali: avrebbe venduto software di monitoraggio ai servizi siriani nonostante l’embargo internazionale.

A giugno del 2017, il ministero dello Sviluppo economico (Mise) ha revocato ad Area la licenza per l’esportazione in Egitto, il secondo caso dopo la revoca nel 2016 della licenza di Hacking Team, l’azienda di Milano che vendeva software spia a diversi regimi nel mondo. L’iniziativa del ministro Calenda però non ha diradato i dubbi sull’export di materiale di sorveglianza digitale dall’Italia.

Da tempo giornalisti e organizzazioni per i diritti umani chiedono al ministero e al governo maggiore trasparenza su questa particolare forma di esportazioni, ma – nonostante la recente introduzione del Freedom of information act (Foia) – il Mise ha sempre negato l’accesso agli atti trincerandosi dietro le esigenze di difesa della sicurezza nazionale.

Dalla relazione al Parlamento sappiamo solo che nel 2016 le licenze di esportazione per i beni duali sono state 981, erano state 901 nel 2015. Secondo Security for Sale l’Italia è uno degli 11 Paesi su 28 che si rifiuta comunicare i nomi delle aziende che hanno ottenuto le licenze di esportazione.
Sulla vendita di sistemi di cybersorveglianza, tuttavia, potrebbero presto esserci novità visto che il 12 gennaio il Parlamento europeo ha votato per chiedere regole più stringenti con una proposta di legge ora al vaglio del Consiglio. Parliamo di un mercato che vale circa 80 miliardi a livello internazionale, ma che si gioca anche sulla pelle di attivisti, dissidenti e difensori dei diritti umani in giro per il mondo.


Foto in apertura di Michael Wolf / Laif / Contrasto

Altri articoli che potrebbero interessarti