L’uso di spyware governativi per il controllo su dissidenti e giornalisti incitano a un impegno più attivo contro queste prassi.
Recenti ricerche di Google hanno messo in luce una preoccupante espansione dell’industria dello spyware commerciale, indicando che oltre 40 aziende sono fornitori di malware invasivi utilizzati dai governi per sorvegliare figure sensibili come giornalisti e difensori dei diritti umani. La situazione richiede un intervento più deciso per contrastare tale pratica, la quale ha subito una crescita esponenziale, con nuove imprese che emergono annualmente e con altre che si reincorporano sotto nuovi nomi.
Le aziende produttrici di spyware forniscono strumenti di sorveglianza estremamente efficaci e mirati per governi sprovvisti di espertise cibernetica interna. Risorse eccezionali vengono impiegate per armare vulnerabilità precedentemente non rilevate, note nell’industria come “zero-days”, e renderle disponibili ai clienti per scopi di sorveglianza.
Il team di analisi delle minacce di Google afferma che se precedentemente le capacità più avanzate erano un monopolio governativo, ora quest’epoca è decisamente tramontata. Va notato che 20 dei 25 zero-days scoperti nel 2023 sono stati sfruttati da fornitori di spyware commerciali.
Nonostante le iniziative del governo statunitense mirate a regolamentare questi fornitori, inclusi ordini esecutivi e sanzioni, il rapporto di Google suggerisce che si debba procedere con maggiore trasparenza e una revisione critica dell’uso storico di questi strumenti.
Dalle politiche adottate per negare visti a chi è implicato nell’abuso di spyware commerciale, all’appello per ulteriori sanzioni tese a limitare le operazioni di queste aziende negli Stati Uniti, è chiaro che gli effetti dannosi di questa industria superano di gran lunga i benefici per un’eventuale utilizzazione continuativa.
Recenti rapporti di governo, ONG e media hanno documentato come le aziende dello spyware commerciale abbiano venduto capacità di sorveglianza a governi che hanno poi utilizzato queste tecniche contro dissidenti e giornalisti. Ad esempio, è stato rilevato che alcuni membri dello staff di Human Rights Watch in Giordania sono stati presi di mira dallo spyware Pegasus del NSO Group tra il 2019 e il 2023.
Un caso particolarmente illuminante è quello di Carlos Dada, co-fondatore e direttore del media investigativo salvadoregno El Faro. I telefoni suoi e di 21 suoi colleghi sono stati infettati da Pegasus da parte di un cliente governativo sconosciuto tra il 2020 e il 2021.
In risposta a questi abusi, il governo di El Salvador ha negato qualsiasi connessione con il NSO Group o con lo spyware Pegasus, tuttavia i membri dello staff di El Faro hanno citato in giudizio il NSO Group in una corte federale degli Stati Uniti, richiedendo di conoscere il cliente coinvolto.
La situazione attuale enfatizza l’impellente necessità di un’azione congiunta a livello globale per regolamentare e ostacolare un’industria che incide pesantemente sui diritti umani e sulla privacy delle persone.
- Google: Governments need to do more to combat commercial spyware
- TAG Report: Commercial Surveillance Vendors
- Spyware Targets Human Rights Watch Staff in Jordan
- Project Torogoz: Extensive Hacking of Media and Civil Society in El Salvador with Pegasus Spyware
- El Salvador’s Government Denies Connection to NSO Group or Pegasus Spyware