Il 18 luglio scorso, diverse testate giornalistiche – tra cui The Guardian, Le Monde, The Washington Post, Süddeutsche Zeitung e molte altre, da tutto il mondo – hanno pubblicato sulle proprie pagine i primi esiti di un'inchiesta giornalistica sull'azienda israeliana NSO Group e sugli utilizzi illegali del suo spyware Pegasus, cui da mesi collaboravano nell'ambito del cosiddetto «Pegasus Project». Lo scoop – di ciò si tratta, in questo caso – ha suscitato un gran clamore mediatico e generato forti preoccupazioni nell'opinione pubblica, rispetto ai rischi che lo sviluppo e la vendita (ben poco regolata) di spyware sempre più avanzati comportano per la salute delle nostre democrazie e la tutela dei diritti umani.
All'inchiesta, tuttora in corso, collaborano 16 testate, coordinate dall'ONG francese Forbidden Stories (la cui missione è di “proteggere, proseguire o pubblicare il lavoro di altri giornalisti che subiscono minacce, l'incarcerazione o che sono state vittime di omicidio”) e coadiuvate dal Security Lab di Amnesty International. Il progetto è stato avviato proprio da Forbidden Stories e da Amnesty International: venute in possesso di una lista di 50 000 contatti telefonici di persone che si ritiene siano state selezionate, a partire dal 2016, come obiettivi da sottoporre a sorveglianza mediante l'utilizzo di Pegasus, le due organizzazioni no-profit hanno deciso di condividere i dati con un network di media organizations da 10 paesi e di avviare un'inchiesta su scala internazionale.
Pegasus è uno spyware – che The Guardian non esita a definire “forse il più potente mai sviluppato, almeno da una società privata” - che, “una volta penetrato nel tuo cellulare, può renderlo un dispositivo di sorveglianza 24h/24 senza che tu te ne accorga”. Il software, infatti, è in grado di copiare i messaggi (anche se scambiati mediante WhatsApp o iMessage), le e-mails, registrare le chiamate, raccogliere foto e video, attivare la telecamera o il microfono, nonché il GPS del dispositivo – e così localizzare il suo possessore. Se nella sua prima versione Pegasus penetrava nei dispositivi mediante spear-phishing (l'utente riceve un messaggio o e-mail ingannevole contenente un link che una volta cliccato determina l'installazione dello spyware sul dispositivo), oggi il software può infiltrarsi negli smartphones anche tramite attacchi cosiddetti «zero-click», che non richiedono che l'utente faccia alcunché perché l'infezione abbia successo. Nel 2019, per esempio, WhatsApp ha dichiarato di aver verificato, tramite indagini interne, l'infezione da parte di Pegasus di 1400 dispositivi mediante chiamata WhatsApp: sfruttando una vulnerabilità «zero-day» dell'applicazione (una vulnerabilità di sicurezza informatica non nota allo sviluppatore), a Pegasus bastava una chiamata WhatsApp per installarsi sul dispositivo contattato, senza necessità di risposta da parte del proprietario. Si capisce, dunque, perché è ritenuto tanto pericoloso.
Pegasus è nato nel 2011 e il suo sviluppatore, la società NSO Group, che di sé dice di “generare tecnologie che aiutano le agenzie governative a prevenire e a indagare il terrorismo e il crimine e a salvare migliaia di vite in tutto il mondo”, sostiene di vendere i propri prodotti (Pegasus incluso) soltanto alle agenzie di law enforcement e d'intelligence di Stati che superano attente e approfondite valutazioni e che se ne servono esclusivamente per contrastare la criminalità e il terrorismo. Questo la società ha sostenuto in una dichiarazione pubblicata lo stesso 18 luglio in risposta alle accuse lanciate dai giornali coinvolti nel «Pegasus Project», oltre che dalla stessa Amnesty International. Agnés Callamard, Segretaria Generale di Amnesty International, infatti, ha dichiarato che “il Progetto Pegasus dimostra come lo spyware di NSO sia divenuto l'arma preferita di quei governi repressivi che vogliono silenziare i giornalisti, attaccare gli attivisti e schiacciare il dissenso, mettendo innumerevoli vite in pericolo”.
Venendo infatti alla sostanza delle rivelazioni frutto del lavoro investigativo svolto in seno al Progetto Pegasus, quel che si contesta alla società israeliana è di aver venduto lo spyware a governi ben poco affidabili, sotto il profilo del rispetto dei diritti umani, che se ne sono serviti per sottoporre a sorveglianza – in maniera del tutto illegale, com'è evidente – migliaia di giornalisti, attivisti, dissidenti politici, accademici, avvocati, ma anche ministri, diplomatici, primi ministri, e così via. Le testate coinvolte nell'inchiesta hanno infatti verificato l'identità dei proprietari dei 50 000 numeri di telefono riportati sulla lista di cui Forbidden Stories e Amnesty sono entrati in possesso (per vie ignote), che si ritiene siano stati selezionati negli anni dai clienti di NSO – acquirenti di Pegasus – quali bersagli da sottoporre a sorveglianza tramite lo spyware d'origine israeliana. I numeri sono così risultati appartenere per la maggior parte non a criminali e terroristi, ma ad attivisti, giornalisti, politici etc. (alcuni molto noti). Poiché, tuttavia, l'inclusione nella lista non assicura che il dato contatto sia stato effettivamente bersagliato e poi effettivamente infettato, il Security Lab di Amnesty International ha svolto approfondite analisi d'informatica forense su (per ora) 67 dei dispositivi il cui numero compare sulla suddetta lista: 23 sono risultati infetti e su 14 sono stati individuati i segni di una tentata infezione. Non è possibile individuare con certezza i responsabili (NSO non rende pubblici i propri clienti), ma organizzando i contatti in clusters – a seconda della provenienza o dell'area di attività dei soggetti selezionati – i membri del Pegasus Project sono arrivati a ipotizzare che ad aver ordinato gli attacchi siano stati i governi di 10 paesi: Azerbaijan, Bahrein, Kazakistan, Messico, Marocco, Rwanda, Arabia Saudita, Ungheria, India e Emirati Arabi Uniti.
Per quanto riguarda l'Ungheria, in lista spiccano i contatti di 10 avvocati, un politico di opposizione e 5 giornalisti. Tra di essi anche due giornalisti facenti parte della redazione di Direkt36, tra le 16 testate che collaborano al Progetto Pegasus, i cui cellulari sono quindi stati sottoposti ad analisi, risultando infetti.