Pegasus spia giornalisti, attivisti e politici... anche in Svizzera?

«Diversi governi ‘‘autoritari’’ hanno usato il software Pegasus dell’israeliana NSO Group per spiare i cellulari di giornalisti, attivisti, manager, premier e capi di Stato nel mondo. È quanto emerge dai leak di un'indagine condotta da Washington Post, Guardian e altre quindici testate internazionali, sotto il coordinamento di Forbidden Stories». È questa la notizia diffusa lo scorso fine settimana dalle agenzie di stampa. La lista dei numeri di telefono segnalati dall'inchiesta ne include più di 50.000. E subito sono partite condanne e indagini da parte delle nazioni coinvolte – dalla Francia alla Germania, che stanno verificando se anche Macron e Merkel siano stati spiati -, compresa l’UE che punta l’attenzione sulla «libertà di stampa» e invita tutti i Paesi coinvolti a occuparsi dell’importante questione di sicurezza nazionale. Ma che dire della Svizzera? È coinvolta in qualche modo? Lo abbiamo chiesto al Servizio delle attività informative della Confederazione (SIC), che ci ha rimandato alla risposta del Consiglio federale a una domanda del socialista Carlo Sommaruga. La data? 23 settembre 2019, quasi due anni fa.

L’allora consigliere nazionale (oggi agli Stati) faceva riferimento ai risultati della ricerca del Citizen Lab, il laboratorio dell’Università di Toronto, condotta per 24 mesi a partire da agosto 2016. «Abbiamo scansionato Internet alla ricerca di server associati allo spyware Pegasus della NSO Group – si legge nella presentazione del rapporto, datata 18 settembre 2018 -. Abbiamo trovato 1.091 indirizzi IP, 1.014 domini e identificato 45 paesi in cui Pegasus potrebbe essere attivo in operazioni di sorveglianza, almeno 10 nella sorveglianza transfrontaliera». Tra questi figurava anche la Svizzera (seppure «gialla» su una scala di colori dal giallo al rosso).

Cosa è Pegasus

Pegasus è un software che si insinua negli smartphone accedendo a foto, registrazioni audio, e-mail, servizi di localizzazione, telefonate, messaggi (anche quelli di app crittografate), registro chiamate, post sui social e password. È in grado anche di attivare la fotocamera e il microfono del cellulare. Lo spyware entra nel dispositivo attraverso un messaggio o un’e-mail che, a differenza di altri virus, non risultano sospetti perché il contenuto viene creato tenendo conto delle caratteristiche dell’utente preso di mira. Uno strumento utile contro il crimine organizzato e il terrorismo, che però è sfociato in utilizzazioni diverse. È dal 2016 che Amnesty International (che ha fornito assistenza tecnica nel «Pegasus Project» appena svelato) e il Citizen Lab di Toronto denunciano l’uso illecito del software nei confronti di avvocati della privacy e attivisti per i diritti umani e civili. «Il Pegasus Project rivela come lo spyware della NSO Group sia un’arma a disposizione dei governi che vogliono ridurre al silenzio i giornalisti, attaccare gli attivisti e stroncare il dissenso, mettendo a rischio innumerevoli vite umane», ha dichiarato negli scorsi giorni Agnés Callamard, segretaria generale di Amnesty International. Secondo Edward Snowden potrebbe rappresentare la più grossa violazione della privacy dai tempi di Prism, il programma americano di sorveglianza elettronica da lui svelato nel 2013.

Pegasus in Svizzera

Tornando a noi, Carlo Sommaruga nel 2019 portò la questione a Berna, nell’ora delle domande. «Il Consiglio federale è a conoscenza dell’esistenza di questo sistema di spionaggio?». La Svizzera sapeva dell’esistenza di Pegasus già nel 2017. Se ne parla nel primo rapporto semestrale della Centrale d’annuncio e d’analisi per la sicurezza dell’informazione (MELANI) pubblicato il 2 novembre, sotto il capitolo La situazione a livello internazionale. «Pegasus è un sofisticato programma di spionaggio (spyware), appositamente ideato per i telefoni cellulari e in grado di infiltrarsi nei sistemi iOS e Android. È stato sviluppato dalla NSO, azienda israeliana di sistemi di sorveglianza, ed è venduto esclusivamente a istituzioni statali per la lotta al terrorismo e alla criminalità. Si è però consolidato il sospetto che, in alcuni casi, lo spyware sia stato sfruttato per particolari interessi commerciali e non per gli scopi previsti – vi si legge -. Tra luglio e agosto del 2016 Pegasus ha preso di mira un importante scienziato del Mexican National Institute for Public Health (INSP) e i direttori di due ONG messicane, impegnati nella lotta al sovrappeso. Le tre personalità oggetto dell’attacco erano favorevoli alla cosiddetta Soda Tax, una misura introdotta nel 2014 e intesa a limitare il consumo di bevande zuccherate. L’imposta ha portato, come sperato, a una flessione delle vendite di questi prodotti, il che ha comprensibilmente generato insoddisfazione nel settore dei generi alimentari. Nel mese di giugno del 2017 Citizen Lab ha pubblicato un articolo in cui si affermava che era in atto un tentativo di attaccare con malware giornalisti, avvocati e attivisti impegnati nella lotta per i diritti umani o nelle indagini contro la corruzione delle autorità governative messicane. I tentativi di infezione con lo spyware sono avvenuti in gran parte nel mese di agosto del 2015 nonché tra aprile e luglio del 2016, quando si sono moltiplicate le accuse rivolte al presidente e al governo del Paese».

Il Centro nazionale per la cybersicurezza (NCSC) quattro anni fa non fece alcun riferimento alla Svizzera, né Pegasus compare nei successivi rapporti (l’ultimo è del secondo semestre del 2020).

La sorveglianza del SIC

Eppure il nostro Paese compare nella lista del 2018 del Citizen Lab. «Il Consiglio federale è consapevole del fatto che governi e privati hanno a disposizione strumenti tecnici che consentono di acquisire illegalmente informazioni sul territorio svizzero - si legge nella risposta alla domanda di due anni fa di Sommaruga -. I servizi di intelligence utilizzano di frequente le tecnologie dell’informazione e della comunicazione per acquisire informazioni. Oltre al reclutamento di ‘‘fonti umane’’, utilizzano sempre più spesso anche strumenti ‘‘cyber’’. È il SIC a rilevare e prevenire le attività di spionaggio in attacco agli interessi svizzeri. I risultati delle sue ricerche vengono poi trasmessi alle autorità di perseguimento penale, responsabili dell’apertura di un’indagine contro i presunti autori, se necessario». Ma il SIC, da noi interpellato, «non commenta le attività e le procedure operative in corso» e «non intende fornire ulteriori informazioni».

Sorvegliati sì, ma solo «per perseguire reati gravi»

Ancora più lapidaria è stata la risposta dell’Ufficio federale di polizia (fedpol), che indaga per conto della Procura federale («l’autorità di perseguimento penale» di cui sopra). E che non conferma né smentisce l’utilizzo, in Svizzera, dello spyware Pegasus: «Per ragioni di sicurezza interna, non possiamo fornire informazioni sui programmi informatici utilizzati nella sorveglianza delle telecomunicazioni». La legge federale sulla sorveglianza della corrispondenza postale e del traffico delle telecomunicazioni prevede infatti la possibilità di utilizzare GovWare, i cosiddetti «cavalli di troia federali». Il GovWare «è necessario affinché il perseguimento penale dei criminali possa restare al passo con gli sviluppi tecnologici - spiega il Servizio di sorveglianza della corrispondenza postale e del traffico delle telecomunicazioni (SCPT) -. Non si tratta di intensificare la sorveglianza né tanto meno di ‘‘spiare’’ preventivamente i cittadini o di perquisire un computer. Le autorità di perseguimento penale devono tuttavia poter ricorrere ai mezzi di cui necessitano per perseguire reati gravi per il cui perseguimento può essere disposta anche un’indagine sotto copertura. L’impiego sarà esplicitamente limitato alla sorveglianza del traffico delle telecomunicazioni. Restano non autorizzate le perquisizioni online dei computer o, ad esempio, la sorveglianza di un locale mediante il microfono o la telecamera di un computer. Inoltre, l’impiego deve essere in ogni caso ordinato dal pubblico ministero e approvato dal giudice delle misure coercitive».

La domanda resta aperta: Pegasus è stato utilizzato anche in Svizzera? Se sì, con giornalisti, attivisti o politici? Affaire à suivre.