Spiavano giornalisti, sindacalisti, attivisti per i diritti umani, politici, avvocati. Il tutto grazie a Pegasus, un malware della società israeliana Nso Group creato appositamente per tracciare e intercettare terroristi e criminali, ma utilizzato dai governi di tutto il mondo (tra i quali quello di Viktor Orban in Ungheria) anche per tenere sotto controllo avversari o personaggi ritenuti scomodi. A dare la notizia 16 organizzazioni giornalistiche mondiali, tra le quali il Guardian e il Washington Post, che hanno coordinato le proprie indagine creando il consorzio Pegasus Project, dal nome del software. Ad avere per primi le informazioni sono stati Amnesty International e i francesi di Forbidden Stories. Pegasus può colpire gli smartphone Android e Apple, ed è in grado di monitorare mail, media, chat, registrare le telefonate e accedere a microfoni e fotocamere.
NEW: global investigation coordinated by @FbdnStories + technical support from @AmnestyTech into a leak of 50,0000 phone numbers has revealed the widespread targeting of activists & journalists who were potential targets for surveillance by 11 clients of spyware company @NSOgroup
— Amnesty International (@amnesty) July 18, 2021
Sono circa 50 mila i numeri di telefono che potrebbero essere stati spiati attraverso Pegasus, appartenenti a persone sparse in 45 Paesi in tutto il mondo. E sarebbero più di 180 i giornalisti inclusi, tra cui la direttrice del Financial Times Roula Khalaf e altri reporter di New York Times, Guardian, Cnn, The Economist e altre importanti testate. Il Washington Post riporta che 37 persone legate al dissidente saudita Jamal Khashoggi – collaboratore del giornale, ucciso nell’ambasciata di Istanbul del Regno nell’ottobre 2018 – sono state spiate attraverso Pegasus, tra cui la sua compagna. Accusati di aver utilizzato il software in modo illegale anche i governi di Azerbaigian, Bahrain, Kazakistan, Messico, Marocco, Ruanda, Arabia Saudita, India ed Emirati Arabi Uniti.
Nso Group, chi sono i creatori di Pegasus
Fondata nel 2010 da Niv Carmi, Shalev Hulio e Omri Lavie, la Nso Group è una società tecnologica che ha sede alle porte di Tel Aviv, e fornisce ai governi di tutto il mondo gli strumenti per prevenire e contrastare l’azione di terroristi e criminali. I tre hanno fatto parte della Unit 8200, l’unità dell’intelligence israeliana che si occupa della raccolta di dati e della decrittazione di informazioni. «Creiamo tecnologie che aiutano le agenzie governative a prevenire e indagare atti terroristici e criminali, per salvare migliaia di vite in tutto il mondo», si legge sul loro sito.
L’azienda ha subito risposto alle accuse di responsabilità nelle attività di spionaggio illegale, negando qualsiasi coinvolgimento e ripetendo che le sue tecnologie sono messe al servizio dei governi per «salvare vite». Non è però la prima volta che il nome di Nso e dei suoi prodotti finisce al centro di storie come questa. Se nel 2011 il governo messicano ringraziò pubblicamente la compagnia per il suo ruolo nella cattura di El Chapo, il più potente narcotrafficante del Paese, un anno dopo il New York Times rivelò come le tecnologie di Nso furono usate dallo stesso esecutivo per spiare giornalisti e attivisti per i diritti umani. L’azienda fu poi accusata di aver fornito i propri software anche ai cartelli della droga messicani. Nel 2018, invece, Amnesty International accusò Nso di aiutare l’Arabia Saudita a spiare un membro della Ong, e per questo portò in tribunale l’azienda e il ministero della Difesa israeliano (che se ne serve): a partire da altri casi simili di spionaggio nei confronti degli attivisti, Amnesty chiese ai giudici di Tel Aviv di sospendere la licenza di esportazione al gruppo, visto l’utilizzo illegale fatto dai regimi autoritari clienti di Nso. Il ricorso fu però respinto.
Pegasus e le tensioni con WhatsApp
L’azienda ha anche avuto rapporti tesi con WhatsApp. Il servizio di messaggistica, che fa parte del gruppo Facebook, nel 2019 denunciò un attacco nei confronti di 1400 suoi utenti in 20 Paesi, e portò in tribunale proprio Nso per aver creato il programma in grado di superare le barriere di sicurezza dell’app. Tra le vittime, «almeno 100 difensori dei diritti umani, giornalisti e altri membri della società civile». Gli israeliani negarono di aver preso di mira determinate persone, non di aver creato la “falla” nel sistema. In tribunale, WhatsApp affermò come gli attacchi agli utenti avvennero dai server di Nso, non da quelli dei suoi clienti: «Nso ha usato una rete di computer per monitorare e aggiornare Pegasus dopo che era stato installato sui dispositivi degli utenti. I computer controllati da Nso fungevano da centro nevralgico, attraverso il quale l’azienda verificava il funzionamento e l’uso di Pegasus dei suoi clienti». La compagnia negò le accuse.
Nso e il governo israeliano
E la stessa azienda è stata anche denunciata da altri attivisti, come i ricercatori di Citizen Lab, che si occupa di studiare l’impatto della sorveglianza online sulla sicurezza di internet e sulle sue minacce per i diritti umani. Nel 2018, alcuni membri del centro studi accusarono di essere stati presi di mira da agenti sotto copertura legati a Nso, ma la compagnia respinse ancora una volta le accuse. Nell’agosto 2020, uno scoop del quotidiano israeliano Haaretz rivelò che Nso aveva venduto Pegasus a Emirati Arabi e altri Stati del Golfo per permettere lo spionaggio di attivisti anti-regime, attivisti, giornalisti e leader politici di nazioni rivali, il tutto grazie all’intermediazione del governo israeliano. Un documentario di Al Jaazera del novembre 2020 (La punta dell’iceberg) ha mostrato come la tecnologia sia usata da Israele per tenere sotto controllo sia i suoi oppositori che i suoi alleati.