«Sorveglianza segreta, Berna vuole più regole»

I governi e i servizi di intelligence di tutto il mondo fino a che punto possono spingersi con gli strumenti di sorveglianza? La domanda è tornata argomento d’attualità lo scorso anno a causa della vicenda Pegasus, il software della società israeliana NSO Group. Una vasta inchiesta internazionale ha svelato che molti Paesi – anche europei – hanno spiato per anni giornalisti e attivisti per i diritti umani, grazie a un cosiddetto spyware che consente tra le altre cose di estrarre dati dagli smartphone a insaputa (e senza il consenso) degli utenti, ma anche di registrare chiamate.

Anche sull’onda di questo scandalo, lo scorso 27 marzo il presidente statunitense Joe Biden ha firmato un ordine esecutivo che «vieta per la prima volta al governo degli Stati Uniti l’uso di spyware commerciali che pone rischi per la sicurezza nazionale o che è stato utilizzato impropriamente da attori stranieri per consentire violazioni dei diritti umani in tutto il mondo».

Appena tre giorni dopo, la Casa Bianca ha pubblicato una dichiarazione congiunta, a nome di undici Paesi, sugli sforzi per contrastare la proliferazione e l’uso improprio di spyware commerciali: tra gli Stati aderenti figura anche la Svizzera. Gli abusi commessi negli ultimi anni a livello internazionale, ad esempio con il software Pegasus, hanno spinto Berna a impegnarsi maggiormente per «contrastare e prevenire la proliferazione di questi spyware che sono stati o rischiano di essere utilizzati in modo improprio».

La Neue Zürcher Zeitung (NZZ), in un articolo apparso ieri, parla di «una società con offerte discutibili con sede in Ticino»: si tratta di «InTheCyber» di Lugano, che ha due unità operative attive nel campo della cibersicurezza. Una di queste sviluppa e vende software di sicurezza legali per le forze dell’ordine e i servizi di intelligence in tutto il mondo. È Memento Labs, filiale milanese nata dalle ceneri di Hacking Team: un’impresa criticata per attività controverse. Stando al quotidiano zurighese, Memento Labs «potrebbe essere uno dei produttori problematici» nel settore degli spyware, anche perché - sempre per la NZZ - «non sembra rifuggire da clienti problematici».

Abbiamo contattato Paolo Lezzi, fondatore e presidente di «In The Cyber», che smentisce le insinuazioni e fa chiarezza: «Abbiamo rilevato nel 2019 quel che rimaneva di Hacking Team, ma tutto il personale di allora è stato rilasciato poiché ancora coinvolto con la vecchia dirigenza, che si è spinta troppo oltre (era stata anche inserita in una blacklist di Reporter senza frontiere, ndr.). Si tratta di una storia ormai vecchia e superata, di cui non è rimasto nulla: l’abbiamo risanata e abbiamo anche riscritto da zero l’intero software affinché corrispondesse e rispettasse tutti i vincoli richiesti a livello internazionale».

«Memento Labs, essendo una società italiana, chiede ogni volta la licenza di esportazione del software agli organi competenti del Ministero degli affari esteri italiano. Se invece deve fare attività formative sul software chiede prima l’autorizzazione al Dipartimento federale degli affari esteri (DFAE) e un’apposita commissione valuta ogni singolo caso», spiega Lezzi.

Da noi contatto, il DFAE spiega che le aziende attive nella sorveglianza di Internet (anche transfrontaliere) sono soggette alle normative svizzere in materia di controllo delle esportazioni e alla Legge federale sulle prestazioni di sicurezza private fornite all’estero. Le autorità federali «esaminano se un bene o un servizio possa essere utilizzato a fini repressivi. Per motivi di protezione dei dati, tuttavia, il DFAE non commenta le attività delle singole aziende». La Confederazione, ci conferma Lezzi, può mettere dei vincoli. «Non solo nei confronti dei Governi, ma anche per determinate istituzioni all’interno dei singoli Stati, anche quelli europei. Per ogni singola richiesta prima viene fatta una valutazione e poi riceviamo il via libera. Sicuramente vendiamo meno dei nostri concorrenti israeliani, perché abbiamo pure una nostra blacklist interna», chiosa il fondatore di «InTheCyber».

Lezzi, dal canto suo, accoglie molto favorevolmente una maggiore regolamentazione per evitare abusi - sempre più frequenti - nel settore: «È chiaro che tocca tutti quanti, ma in passato alcuni Paesi – ad esempio con Pegasus - ne hanno abusato violando le regole. Per questo è importante inasprirle, affinchè le società serie, etiche e autorizzate possano continuare a collaborare con Governi e istituzioni senza correre il rischio di finire in pasto alla confusione mediatica, essendo un tema sempre più nell’occhio del ciclone. Queste società in realtà contribuiscono positivamente alla lotta al crimine».