Le capacità dello spyware sono estremamente invasive. Il software consente agli operatori di ottenere l’accesso remoto ai dispositivi in modo che possano rivolgersi a persone provenienti da quasi ogni parte del mondo. Una volta che un operatore ha infettato un dispositivo, quell’agente ottiene “l’accesso completo e illimitato a tutti i sensori e le informazioni sui dispositivi infetti, trasformando di fatto la maggior parte degli smartphone in dispositivi di sorveglianza 24 ore su 24”. L’hacking rappresenta una grave violazione del diritto alla privacy e può essere un’esperienza profondamente angosciante per le vittime. Lo spyware è anche uno strumento di intimidazione per giornalisti, attivisti e politici dell’opposizione, che serve a sopprimere i resoconti dei media, intimidire i critici o dissuadere gli sfidanti del regime dal candidarsi alle elezioni. Lo spyware consente agli agenti di “entrare nell’intera rete di un esule politico senza mettere piede nel paese di adozione del bersaglio” evitando i rischi associati allo spionaggio tradizionale. Per questo motivo, l’uso di spyware è fortemente presente nella repressione transnazionale. Uno dei casi più noti è stato l’assassinio del giornalista saudita in esilio Jamal Khashoggi nel consolato saudita a Türkiye. Dopo l’omicidio, gli investigatori hanno esaminato i telefoni di stretti collaboratori di Khashoggi e hanno scoperto che i dispositivi erano stati infettati da Pegasus. Gli agenti della sicurezza saudita probabilmente hanno utilizzato queste informazioni per aiutare a pianificare ed eseguire l’omicidio di Khashoggi.
Circostanze limitate possono giustificare l’uso di tecniche di sorveglianza intrusive, come la prevenzione o l’investigazione di uno specifico reato grave o di un atto che costituisce una grave minaccia per la sicurezza nazionale. Il diritto internazionale sostiene che le misure di sorveglianza mirate dovrebbero essere strettamente personalizzate per indagare su individui specifici sospettati di aver commesso reati gravi o atti che minacciano la sicurezza nazionale. Lo spyware dovrebbe essere distribuito come ultima risorsa, dopo che “tutte le misure meno invasive avrebbero dovuto essere esaurite o si sarebbero dimostrate inutili”. E la durata e la portata dell’uso dello spyware dovrebbero essere strettamente limitate solo ai dati rilevanti. In breve, i governi dovrebbero rispettare i principi di “legalità, necessità e proporzionalità” quando utilizzano le tecnologie di sorveglianza informatica. Ma i governi raramente aderiscono a questi standard. Gli Stati sfruttano le ragioni della sicurezza nazionale o dell’ordine pubblico per dare alle loro forze dell’ordine un ampio spazio per distribuire software intrusivo contro una serie di obiettivi, con scarsa considerazione dei principi di necessità e proporzionalità. Una volta che queste agenzie ottengono lo spyware, ci sono pochi guardrail che ne regolano l’uso. Come ha scritto David Kaye, l’ex relatore speciale delle Nazioni Unite (ONU) per la libertà di opinione e di espressione:
Non è sufficiente affermare che un sistema completo per il controllo e l’uso di tecnologie di sorveglianza mirate è rotto. Difficilmente esiste. Mentre la legge sui diritti umani prevede restrizioni precise sull’uso degli strumenti di sorveglianza, gli Stati conducono una sorveglianza illegale senza timore di conseguenze legali. Il quadro normativo sui diritti umani esiste, ma non esiste un quadro per far rispettare le limitazioni.
Empiricamente, sia gli stati autoritari che le democrazie conducono abitualmente una sorveglianza illegale contro una serie di obiettivi illegittimi: rivali politici, giornalisti intriganti o critici del governo. Un software a clic zero come Pegasus, che non richiede nemmeno che una vittima faccia clic su un collegamento compromesso o installi un file danneggiato, offre potenti tentazioni ai leader politici per espandere la rete di sorveglianza. Mentre c’è una crescente pressione pubblica tra un piccolo gruppo di democrazie liberali, come la Grecia e la Spagna, per porre fine ai loro abusi, questa è l’eccezione. Per la maggior parte dei governi che distribuiscono spyware, è improbabile che cambino comportamento. Ciò ha portato eminenti giuristi, come Dunja Mijatović, commissario per i diritti umani del Consiglio d’Europa, a chiedersi se vi siano circostanze che dovrebbero consentire l’uso di spyware. Osserva che strumenti come Pegasus sono un “punto di svolta nella sorveglianza digitale” e che è “praticamente inimmaginabile che l’uso di Pegasus o spyware equivalente possa mai essere considerato conforme alla legge e alle necessarie garanzie come delineato dal [European Corte dei diritti dell’uomo]”.
Le operazioni spyware possono essere suddivise in un paio di categorie: 1) operazioni interne nazionali e gruppi APT (Advanced Persistent Threat) – attori ad alta capacità che eseguono attacchi di intrusione prolungati per un periodo di tempo prolungato – e 2) spyware commerciale venditori. Le operazioni nella prima categoria sono spesso condotte da stati altamente capaci, come il gruppo di “operazioni di accesso su misura” dell’Agenzia per la sicurezza nazionale, l’Unità 8200 di Israele e attori cinesi o russi equivalenti che ricevono sostegno governativo diretto o tacito. Queste attività sono condotte in modo clandestino e sono difficili da esaminare. Non sono al centro di questo documento.
Invece, questo documento esamina le attività che si verificano nella seconda categoria: spyware commerciale venduto a scopo di lucro a clienti privati e governativi. Questi prodotti non richiedono agli attori di possedere la capacità interna di sviluppare o eseguire attacchi di sorveglianza informatica. Invece, i governi acquistano queste funzionalità direttamente dalle aziende, che forniscono supporto post-vendita, come aggiornamenti tecnici, aggiornamenti dei prodotti, corsi di formazione e relativi servizi ai clienti. L’emergere del settore dello spyware commerciale ha fornito a un’ampia gamma di paesi i mezzi per acquisire strumenti di sorveglianza avanzati che altrimenti farebbero fatica a ottenere.
No Comments