Home page Inchieste

Privacy International chiede chiarimenti al governo sull'attività di Hacking Team

Di Stefania Maurizi

Pubblicato su espressonline, 3 marzo 2014

(http://espresso.repubblica.it/attualita/2014/03/03/news/privacy-international-scrive-al-governo-e-chiede-chiarimenti-sull-attivita-di-hacking-team-1.155453)

C'è voluto un intervento da Londra per sollevare ufficialmente il caso dell'azienda Hacking Team di Milano con il nostro governo, perché, nonostante le denunce dei media internazionali e italiani, tra cui “l'Espresso” che per primo aveva messo sotto i riflettori la Hacking Team, nessuno in Italia aveva finora preso alcuna iniziativa concreta.

Ora, però, a muoversi è una delle più importanti e rispettate organizzazioni del mondo per la difesa della privacy. Si chiama “Privacy International” (PI), appunto, e ha sede a Londra. PI ha appena inviato una lettera al ministro Federica Guidi, a capo dello Sviluppo economico del governo Renzi, e al presidente della regione Lombardia, Roberto Maroni, per chiedere spiegazioni sull'azienda milanese ( la lettera è disponibile qui ).

Specializzata nella vendita di software per la sorveglianza, con clienti sia nelle forze di polizia che nell'intelligence, da due anni a questa parte la Hacking Team finisce sistematicamente nelle cronache internazionali per la commercializzazione del suo prodotto “Rcs”, un trojan, ovvero un software che, come un cavallo di Troia, s'installa in modo completamente invisibile nei computer o nei telefonini di un obiettivo e riesce a prenderne possesso, rubando email, chat, conversazioni telefoniche e via Skype e attivando la telecamera per filmare e fotografare la vittima anche nei suoi momenti più privati. Tutto questo a totale insaputa della persona finita nel mirino.

Ufficialmente, il trojan Rcs viene venduto solo per le intercettazioni legali compiute da forze di polizia e servizi di intelligence di governi che mirano a incastrare terroristi, criminali e pedofili. Negli ultimi due anni, però, sono stati documentati almeno tre casi in cui a finire sorvegliati e intercettati dal trojan della Hacking Team non sono stati delinquenti, bensì giornalisti e attivisti di regimi e paesi famigerati per la loro repressione delle libertà fondamentali.

A piazzare sotto i riflettori per la prima volta la Hacking Team di Milano è l'organizzazione di Julian Assange. Nel dicembre del 2011, WikiLeaks pubblica gli Spy Files , una serie di documenti confidenziali sulle aziende della sorveglianza di tutto il mondo. Pochi nei media e nell'opinione pubblica capiscono il valore di quelle informazioni, eppure ai signori della sorveglianza quei file danno fastidio, perché mettono in piazza nomi di aziende che, vista la natura del loro business, amano operare nell'ombra, senza grande pubblicità per la loro mercanzia e per l'identità dei loro clienti.

Messa da WikiLeaks sullo schermo del radar di giornalisti ed esperti, la Hacking Team finisce presto per fare notizia. Nell'ottobre 2012 il “Citizen Lab” di Toronto, che ha indagato anche sulla sorveglianza elettronica del Dalai Lama, documenta l'uso del trojan Rcs della Hacking Team contro l'organizzazione giornalistica marocchina “Mamfakinch”, critica dell'operato del governo del Marocco. Presto, il laboratorio di Toronto individua un'altra vittima del trojan: Ahmed Mansoor, attivista per i diritti umani di alto profilo, che negli Emirati Arabi è finito imprigionato con l'accusa di aver insultato il presidente. Passano due anni e sempre il Citizen Lab scopre una terza vittima: la televisione satellitare etiope “Esat”, che trasmette da Amsterdam, Londra e da altri paesi ed è gestita da giornalisti in esilio che si oppongono al regime dell'Etiopia.

I tre casi portano cattiva pubblicità all'azienda milanese, tanto che l'organizzazione internazionale “Reporters San Frontièrs” inserisce subito la Hacking Team in una lista nera di “cinque mercenari dell'era digitale”. Ma interpellata dai reporter, l'azienda milanese risponde sempre e inevitabilmente con lo stesso mantra: non vendiamo i nostri prodotti a paesi che violano i diritti umani e non vendiamo a nazioni sotto embargo o che sono nelle liste nere di Stati Uniti, Unione Europea, Nazioni Unite e Associazione delle nazioni del sud est asiatico.

E allora come si spiegano i tre casi documentati dal Citizen Lab? E come si spiega, che secondo le ricerche dello stesso laboratorio di Toronto, il trojan Rcs potrebbe essere stato usato da ben 21 governi nel mondo, tra cui il Sudan, l'Uzbekistan, il Kazakistan, che non sono esattamente dei campioni di democrazia?

E' proprio questo paradosso e il lavoro scientifico del Citizen Lab sulla Hacking Team ad aver spinto l'organizzazione Privacy International (PI) a passare all'azione, scrivendo al ministro Federica Guidi e al governatore della Lombardia, Roberto Maroni, con una lettera firmata da Kenneth Page, policy officer di PI. «Prove emerse nel passato», recita la lettera, «hanno mostrato che la tecnologia della Hacking Team è stata usata per colpire e infettare giornalisti del Marocco vincitori di premi, attivisti per i diritti umani negli Emirati Arabi; prove recenti hanno dato indicazioni del fatto che è stata usata per colpire giornalisti etiopi ed è stata usata, tra gli altri, dai governi dell'Azerbaijan, Egitto, Etiopia, Kazakistan, Malesia, Nigeria, Oman, Arabia Saudita, Sudan, Turchia e Uzbekistan. E' stato riportato che il Sudan, attualmente sottoposto a una serie di restrizioni da parte dell'Unione Europea, che includono un embargo sulle armi, ha anche esso ottenuto tecnologie per la sorveglianza dalla Hacking Team». Il governo italiano, chiede senza mezzi termini Privacy International, chiarirà se l'esportazione di questi prodotti dell'azienda richiede una licenza? Se la licenza è effettivamente necessaria, il governo renderà noti tutti i paesi per cui ha autorizzato l'esportazione? E se invece le leggi italiani non prevedono alcuna licenza, il governo applicherà urgentemente il regolamento europeo sull'esportazione di prodotti a uso sia civile che militare (dual-use), in considerazione del fatto che quelle tecnologie sollevano gravi preoccupazioni in tema di diritti umani?, insiste Privacy International.

Ma l'organizzazione con sede a Londra non pone domande solo al ministro Guidi, interroga anche Roberto Maroni, perché «nel 2007 la Hacking Team ha ricevuto 1,5 milioni di euro da due fondi di venture capital», scrive Privacy, «uno dei fondi è “Finlombarda Gestioni Sgr”, che ha un unico azionista: “Finlombarda SpA”». Si tratta della finanziaria per lo sviluppo della regione Lombardia e sul sito della sua controllata, Finlombarda Gestioni Sgr, risulta che «la Hacking Team è elencata tra i beneficiari del fondo Next» per le piccole e medie imprese lombarde che operano in settori tecnologici ed innovativi. Privacy International non manca di notare anche che il capo del settore Venture Capital della Finlombarda Gestioni, Alberto Trombetta, siede nel board della Hacking Team. «Il governo e la regione Lombardia rivedranno il meccanismo di finanziamento delle start-up tecnologiche e indagheranno sull'uso di soldi pubblici per lo sviluppo di tecnologie per la sorveglianza?», domanda Privacy International a Maroni, e «attraverso Finlombarda Gestioni sgr e Finlombarda spa, la regione Lombardia continuerà a finanziare la Hacking Team alla luce dei report sulla sua tecnologia e sugli abusi dei diritti umani?».

Le domande di Privacy International vanno alla sostanza del problema. E colpisce che sia stato necessario l'intervento di un'organizzazione straniera perché qualcuno chiedesse conto dell'operato della Hacking Team al governo italiano e alla regione Lombardia, nonostante i ripetuti articoli, l'ultimo dei quali pubblicato due settimane fa da un grande giornale come il Washington Post senza suscitare alcuna reazione in Italia.

Ma fino a che punto le licenze per l'esportazione di questi software possono davvero impedire che trojan come l'Rcs della Hacking Team finiscano in mano a dittature e paesi famigerati per la repressione della libertà? Claudio Guarnieri, ricercatore italiano indipendente nel settore della sicurezza informatica, che ha lavorato con il Citizen Lab nel documentare l'attacco contro la televisione satellitare etiope Esat, spiega a “l'Espresso” che è difficile prevedere quanto le licenze possano essere efficaci, tuttavia ritiene anche che sia «un passo importante introdurre regolamenti e licenze restrittive» in quanto «l'esportazione degli strumenti di sorveglianza e' ancora largamente non regolamentata».

Guarnieri fa notare che «Hacking Team sostiene di avere un corpo di verifica indipendente ma, senza considerare il fatto che non sono mai stati identificati i membri di questo corpo né le metriche di valutazione, l'esistenza di molteplici abusi documentati è la dimostrazione del fatto che quel corpo non può in realtà esercitare un controllo su come i prodotti Hacking Team vengano effettivamente utilizzati».

Come dire che, ammesso che le rassicurazioni dell'azienda siano vere e che la Hacking Team abbia davvero, come ha dichiarato anche a l'Espresso nel settembre scorso, un comitato interno di esperti con potere di veto sulle vendite e con potere di sospendere i contratti in caso di abusi, la presenza di ben tre casi accertati scientificamente dimostra che la capacità di controllo del comitato è quantomeno dubbia. Privacy International chiede quindi di passare dalle generiche rassicurazioni non verificabili, a un serio scrutinio pubblico, imponendo a Hacking Team di rendere noti i nomi dei membri del comitato interno, i loro criteri di valutazione, documentare se mai e in quali casi l'azienda ha sospeso un contratto in presenza di abusi e cosa abbia fatto concretamente per prevenire i singoli casi.

Nella Hacking Team lavorano sicuramente giovani come Claudio Guarnieri e come i ricercatori del Citizen Lab, cosa fanno per impedire che il proprio talento finisca al servizio di governi, forze di polizia e d'intelligence di paesi senza scrupoli? Guarnieri si dice che sicuro che diversi di quei talenti siano motivati da buone intenzioni. «La mia speranza», conclude, «è che le nostre pubblicazioni [i lavori del Citizen Lab che documentano gli abusi, ndr] possano aiutare ad espandere le loro prospettive sui rischi e le conseguenze, magari inaspettate del loro lavoro».

La lettera al governo italiano di Privacy International è il primo passo fondamentale.