Il governo spagnolo fa sapere di non essere in grado di identificare gli autori dell’infezione dei due cellulari. Si sa, però, quale sia lo spyware utilizzato, Pegasus, già al centro di un caso che coinvolgerebbe sempre il governo spagnolo, ma con un ruolo diverso. Secondo un recente report del Citizen Lab dell’Università di Toronto, un centro specializzato nello studio dell’uso delle tecnologie digitali nella comunicazione pubblica, le comunicazioni di alcuni membri del governo catalano e sostenitori dell’indipendentismo sarebbero state monitorate proprio con Pegasus e un altro software simile, Candiru. Secondo quanto si può leggere nel rapporto, non ci sarebbe la pistola fumante che fa indicare nelle autorità di Madrid i mandanti di questa operazione di spionaggio, “ma forti prove circostanziali suggeriscono un nesso con le autorità spagnole”. Insomma, con un colpo di scena degno di un thriller, i confini del cosiddetto CatalanGate si allargano e diventa complicato comprendere chi sia vittima e chi mandante.

CatalanGate: cosa sappiamo

Il primo segnale del caso arriva addirittura nel 2020, quando due giornali, El Pais in Spagna e The Guardian nel Regno Unito, pubblicano i risultati di una loro inchiesta che indica un potenziale caso di spionaggio interno. Secondo quanto si leggeva due anni fa, i cellulari di Roger Torrent, il presidente del parlamento regionale catalano, e almeno altri due sostenitori dell’indipendenza catalana, Anna Gabriel e Jordi Domingo, compaiono in una lista di 1.400 utenti WhatsApp che sono stati infettati dallo spyware Pegasus. A provocare grande eco in Spagna è il fatto che secondo Torrent e alcuni commentatori, dietro allo spionaggio ci sarebbe lo “stato spagnolo”, in qualche modo preoccupato dalla loro attività pro indipendenza. Le autorità spagnole, a cominciare dai servizi segreti, negano qualsiasi coinvolgimento.

Due anni dopo, l’analisi condotta dal Citizen Lab e pubblicata ad aprile conferma invece che le tracce lasciate dall’azione di spionaggio porterebbero alle autorità di Madrid. Il perimetro dell’operazione sarebbe di dimensioni ragguardevoli. Secondo gli analisti sono 65 i cellulari infettati da spyware a scopo di spionaggio nel governo catalano e negli ambienti indipendentisti che si sono sviluppati attorno al referendum del 2017 e al processo che è seguito dopo lo strappo di Puigdemont. L’annuncio del 2 maggio è definito da Miguel Gonzalez di El Pais come un vero e proprio “capovolgimento” del caso Pegasus, con membri del governo spagnolo che si ritroverebbero nella parte degli spiati tanto quanto i catalani.

Un video realizzato dal Guardian che spiega il funzionamento di Pegasus

Che cos’è Pegasus e come funziona

Pegasus è un software prodotto da NSO, un’azienda israeliana, e già al centro di diversi casi di spionaggio informatico. L’azienda ha sempre dichiarato di vendere il proprio software ad alcuni governi che lo impiegherebbero per operazioni di antiterrorismo e di prevenzione del crimine, ma NSO ha sempre ribadito che non può essere ritenuta responsabile dell’uso che ne viene fatto. Dal punto di vista informatico è un programma che si installa di nascosto sui terminali che si vogliono monitorare sfruttando le falle di qualche altro sistema. Nel caso del CatalanGate il cavallo di troia sembra sarebbe stato WhatsApp. Dopo che Pegasus si è installato sul telefonino è in grado di raccogliere informazioni su telefonate, messaggi, posta elettronica e altro per poi inviarlo di nascosto a chi lo sta utilizzando senza che l’utente ne abbia traccia. L’unico indizio è un potenziale picco anomalo di dati scambiati dal telefonino, ma non è facile accorgersene. L’unico altro modo per individuarlo è un’analisi fatta da esperti informatici in grado di trovare le tracce del software nel codice informatico.

Secondo un’inchiesta realizzata da un team internazionale di giornalisti che va sotto il nome di Forbidden stories, dal 2016 i clienti di NSO sono più di 50 stati e complessivamente sarebbero oltre 50 mila le utenze telefoniche messe sotto controllo grazie a Pegasus. Amnesty International, per voce della sua segretaria generale Agnés Callamard, sottolinea come Pegasus sia di fatto “un’arma a disposizione dei governi repressivi che vogliono ridurre al silenzio i giornalisti, attaccare gli attivisti e stroncare il dissenso, mettendo a rischio innumerevoli vite umane”.

Per l’Autorità Europea per la Protezione dei Dati (EDPS), Pegasus è un “game changer” dello spionaggio informatico che ha già messo sotto sorveglianza migliaia di cittadini europei. Per questo motivo ne caldeggia il bando, ma senza successo. Come racconta la giornalista del New York Times, Nicole Perlroth, nella sua lunga inchiesta sulle guerre informatiche, si tratta di un tipico atteggiamento dei governi, anche di quelli più democratici, che a parole tutelano la privacy dei propri cittadini ma faticano, soprattutto per quanto riguarda i servizi segreti e le autorità di polizia, a rinunciare a potenti mezzi di spionaggio, monitoraggio e vera e propria offesa informatica. Anche nei confronti dei propri cittadini, come i documenti rivelati alla stampa nel 2013 da Edward Snowden hanno dimostrato.

Da Forbidden Stories sono emersi dettagli dell’impiego di Pegasus nella vicenda che ha portato alla morte del giornalista saudita Jamal Khashoggi. Nonostante le smentite di NSO, dall’inchiesta è emerso che i familiari del giornalista sono stati presi di mira dal software Pegasus  da agenti sauditi prima e dopo il suo omicidio, avvenuto a Istanbul il 2 ottobre 2018. Ma sono almeno 180 i giornalisti di 20 diversi paesi, tra cui anche Ungheria, India e Marocco, che sono stati oggetto di spionaggio con Pegasus.

I confini del caso spagnolo

I fatti emersi finora in Spagna, con più fronti aperti, fanno presagire tempi lunghi per la comprensione reale della situazione in un contesto politico complicato. Oltre a Pedro Sanchez e Margarita Robles, il 3 maggio si aggiunge alla lista degli spiati anche Arancha Gonzalez Laya, che all’epoca dei fatti era ministra degli esteri. Lo sfondo è la crisi diplomatica tra Spagna e Marocco della primavera del 2021 all’interno della crisi migratoria che da anni coinvolge soprattutto le due città di Ceuta e Melilla che si trovano sulla costa africana, due vere e proprie enclave spagnole in territorio marocchino.

Per quanto riguarda Pedro Sanchez, secondo quanto riportato da El Pais, lo sfondo politico comprende anche le tensioni attorno al cosiddetto procés, il processo che vede come imputati i membri del governo catalano che nel 2017 in seguito al risultato del referendum dichiararono l’indipendenza della Catalogna dalla Spagna. Per la società spagnola, i temi politici saranno sicuramente al centro delle discussioni sul caso Pegasus nei prossimi mesi. Sul piano più generale, quello europeo, questa situazione fa nuovamente puntare le luci sulle lesioni della privacy che vengono perpetrate per mezzo di strumenti informatici e digitali. Un tema sul quale l’Unione Europea è chiamata ancora una volta a prendere posizione e provvedimenti. Con la consapevolezza, come ha ben raccontato Perlroth, che in una guerra informatica a volte è estremamente difficile comprendere quali sono davvero le parti in campo e in che squadra giocano i diversi protagonisti. Posto che si riescano a identificare.