Come funziona uno spyware e perché serve più trasparenza
Foto di Kevin Ku
Nonostante pedinamenti e microspie nascoste sopra i lampadari continuino a essere strumenti di uso comune per Procure e servizi segreti, l’avvento degli spyware ha rivoluzionato i metodi di indagine, nonché la capacità delle autorità di acquisire informazioni di ogni tipo dai loro bersagli. Ultimo episodio in ordine di tempo riguarda lo scandalo Paragon, con giornalisti, attivisti e imprenditori italiani che hanno scoperto di essere stati bersaglio di un sofisticato attacco informatico volto ad acquisire le informazioni contenute nei loro smartphone. Ma si sono moltiplicati, negli anni, i casi di utilizzi poco cristallini di queste tecnologie. Proprio per l’invasività di cui sono capaci gli spyware sono severamente regolamentati nella gran parte dei Paesi occidentali. Complice anche un mercato in costante espansione, tra Medio Oriente, Stati Uniti ed Europa, gli abusi che se ne fanno emergono con sempre maggiore frequenza. E l’Italia ha un ruolo da protagonista, nel bene e nel male. Ma cosa possono realmente fare gli spyware? Come si installano sul dispositivo di un bersaglio? Chi può usarli? Cerchiamo di fare ordine.
Come si spiano le persone
Gli spyware sono software pensati per infiltrarsi silenziosamente in un dispositivo, solitamente uno smartphone, e monitorarne ogni attività. A differenza dei virus informatici tradizionali, non puntano a danneggiare il sistema, ma a trasformarlo in una fonte continua di informazioni. Sono strumenti di sorveglianza estremamente sofisticati, progettati per restare invisibili all’utente e ai sistemi di sicurezza, e per operare come una vera e propria “cimice digitale”.
L’infezione può avvenire in diversi modi. Le tecniche più diffuse sfruttano vulnerabilità del sistema operativo o delle app installate: un semplice messaggio con un link malevolo può essere sufficiente per aggirare le difese del dispositivo, ma gli spyware più avanzati sono in grado di entrare in azione anche senza che il bersaglio compia alcuna azione, attraverso attacchi cosiddetti “zero-click”. In altri casi l’installazione richiede un accesso fisico al telefono, magari durante un controllo di frontiera o un sequestro temporaneo del dispositivo. Indipendentemente dalla modalità, l’obiettivo è sempre lo stesso: ottenere privilegi di sistema tali da consentire un controllo totale.
A fare la differenza è il rischio che il bersaglio non cada nella trappola o che si accorga di qualcosa. È per questo che il costo di queste tecnologie può variare enormemente, da qualche centinaio di euro al giorno - sono quelli a cui generalmente fanno ricorso le procure - fino al mezzo milione di euro nel caso degli spyware “zero-click”, più comunemente utilizzati dalle agenzie d’intelligence.
Una volta insediato, uno spyware può raccogliere una quantità impressionante di dati. Non solo copia documenti, foto, messaggi e cronologie, ma può registrare chiamate, attivare microfono e fotocamera, tracciare gli spostamenti in tempo reale e intercettare comunicazioni cifrate prima che vengano criptate, a seconda del modello. In pratica, consegna al suo operatore una finestra completa sulla vita del bersaglio: relazioni personali, abitudini, reti di contatto, lavoro, spostamenti. È questa capacità intrusiva, quasi assoluta, a renderli strumenti tanto ambiti quanto pericolosi, e a spiegare perché il loro utilizzo sia oggetto di un acceso dibattito internazionale.
Il caso Paragon
È il 31 gennaio del 2025 quando novanta persone in tutto il mondo ricevono una notifica da WhatsApp con la quale la stessa piattaforma di messaggistica li informa di essere stati bersaglio di uno spyware. Il messaggio è stato inviato a valle di un’approfondita attività di analisi da parte dei tecnici di WhatsApp che, insieme al laboratorio tecnico di Citizen Lab (Università di Toronto), hanno scoperto come una vulnerabilità non ancora nota dell’app permettesse di installare da remoto un software sul dispositivo Android del bersaglio. Zero click, zero interazioni: per farlo era sufficiente un messaggio sulla stessa WhatsApp.
A scoprire la vulnerabilità e a usarla, prima degli sviluppatori del servizio di messaggistica, era stata Paragon Solutions, azienda israeliana che produce Graphite, uno degli spyware più sofisticati attualmente sul mercato.
L’efficacia di Graphite permette a chi lo acquista, al costo di diverse centinaia di migliaia di dollari per bersaglio, di acquisire qualunque tipo di informazione da un dispositivo e - con le licenze d’uso più sofisticate - di controllarne da remoto sensori, microfoni e fotocamera. Per questo l’azienda promette di vendere solo a condizione che i suoi tool non vengano usati contro giornalisti e attivisti, e solo a enti governativi di Paesi democratici. Tra questi anche i servizi segreti italiani, Paese dove numerose notifiche sono arrivate proprio a giornalisti e attivisti.
In primis, la notifica è arrivata a Beppe Caccia e Luca Casarini, dell’ONG Mediterranea che si occupa di salvare le persone migranti in mare. Ma il medesimo avviso è arrivato anche a Francesco Cancellato, direttore della testata Fanpage. Sebbene il governo abbia riconosciuto di aver spiato gli attivisti - per prevenire eventuali favoreggiamenti dell’immigrazione illegale, dicono -, per il resto ha sempre negato di aver spiato Cancellato. Solo in aprile una nuova pioggia di notifiche contribuirà ad allargare il perimetro della vicenda Paragon: questa volta a mandarle è Apple, che ha scoperto una vulnerabilità nel proprio sistema di messaggistica, simile a quella di WhatsApp. Tra i riceventi c’è Ciro Pellegrino, altro giornalista di Fanpage. In tutti e due i casi, le analisi condotte da Citizen Lab hanno permesso di risalire a Paragon.
Da aprile a oggi nuovi nomi sono emersi nell’inchiesta giudiziaria che sta cercando di fare luce su chi abbia usato Graphite contro bersagli italiani. Se è vero che solo enti governativi possono acquistare il servizio, è stata l’intelligence nazionale oppure uno Stato estero? Il governo non ha mai dato una risposta. Resa più urgente a ottobre, quando IrpiMedia ha rivelato altri due bersagli fino a quel momento sconosciuti. Uno è Francesco Gaetano Caltagirone, imprenditore immobiliare, businessman ed editore, considerato vicino al governo presieduto da Giorgia Meloni. L’altro è Andrea Orcel, amministratore delegato di UniCredit. Infine un’ultima vittima si è aggiunta alla lista: è l’esperto di comunicazione politica Francesco Nicodemo, vicino al Partito Democratico, la cui identità è stata rivelata da Fanpage. Sebbene negli ultimi nove mesi il perimetro d’azione dello spyware si sia allargato a macchia d’olio, la reticenza di tutte le parti coinvolte dimostra la pericolosità di tecnologie estremamente invasive e difficilmente scrutinabili.
Captatori e riforme
In gergo giuridico, i trojan installati da remoto sui telefoni di un indagato vengono inquadrati nella categoria dei cosiddetti “captatori informatici”: software che, una volta inoculati in uno smartphone o in un computer, ne trasformano microfono, fotocamera, tastiera e geolocalizzazione in altrettanti sensori al servizio dell’autorità giudiziaria. La disciplina è relativamente recente. Con il decreto legislativo 216 del 2017, la cosiddetta riforma Orlando, il captatore entra per la prima volta nel codice di procedura penale come modalità di intercettazione “tra presenti” su dispositivi elettronici portatili, inizialmente pensata soprattutto per i reati di criminalità organizzata e terrorismo.
Grazie alla riforma voluta dal ministro della Giustizia Alfonso Bonafede (cosiddetta spazzacorrotti), questi strumenti possono essere utilizzati anche nelle indagini per corruzione e altri reati contro la Pubblica Amministrazione. La riforma ha dunque segnato un ampliamento importante nell’impiego da parte della magistratura, il cui vincolo principale risiede nella quantità di fondi che possono essere destinati a tale scopo e che, da tariffario ministeriale, ammontano a circa 150 euro al giorno.
Non meno insidiosi una volta installati, gli spyware impiegabili per quella cifra sono raramente zero click. Esiste una serie di stratagemmi che gli investigatori impiegano per tendere tranelli ai propri bersagli. Uno di questi, impiegato anche nell’inchiesta sui vertici dell’Associazione nazionale magistrati del 2019, ha previsto che l’operatore telefonico “tagliasse la linea” ai bersagli, inducendoli a chiamare il servizio clienti. All’altro capo del telefono un operatore opportunamente istruito inviava messaggi autoconfiguranti alla vittima, assicurando che avrebbero risolto il problema sul dispositivo. In realtà quei messaggi erano il veicolo dell’infezione.
In ogni caso vengono impiegati metodi anche più comuni, con classici messaggi e link malevoli. La vicenda Exodus - riguardante uno spyware sviluppato da aziende italiane e fino allora impiegato in diverse procure - ha visto lo spyware diffuso tramite finte app sul Play Store di Google, come scoperto da Motherboard.
Altra cosa è invece quando a impiegarli sono i servizi segreti. Sia Paragon sia i suoi predecessori, uno tra tutti è Pegasus, nel tempo hanno dimostrato di poter essere installati senza alcuna cognizione del bersaglio. Altrettanto silenziosamente possono essere rimossi, da remoto, cancellando ogni traccia del proprio passaggio.
Come ricordato dal Garante della Privacy e vari giuristi, l’uso di un trojan è estremamente invasivo, perché permette di acquisire informazioni non solo sull’indagato ma anche sull’ambiente e sulle persone vicine, trasformando di fatto il dispositivo in uno strumento di sorveglianza totale.
Gli smartphone sono dispositivi “sensoriali” per natura. Un malware che ne prenda il controllo può ascoltare, vedere e leggere tutto ciò che passa attraverso il telefono: sostanzialmente è questo ciò che fanno più o meno tutti gli spyware in commercio: acquisire un controllo da remoto del dispositivo di un bersaglio, aprendo una finestrella segreta sul suo mondo virtuale.
