La NSO Group Technologies Limited è l’azienda israeliana di cyber-intelligence che produce il software utilizzato da Pegasus in numerosi Paesi. Tale micidiale spyware è in grado di realizzare tutte le operazioni che può compiere l’utente e anche altre. Esso ufficialmente viene venduto soltanto ai governi o ad agenzie governative di intelligence per l’intercettazione di terroristi e criminali, ma è abusivamente impiegato per sorvegliare politici, giornalisti, attivisti, accademici e comuni cittadini.
Il diabolico spyware Pegasus NSO Group ha dichiarato che i suoi clienti sono 60 agenzie di intelligence, militari e di polizia in 40 paesi e che «Pegasus è per l’uso contro terroristi e criminali e non è destinato a sorvegliare i cittadini rispettosi della legge», aggiungendo però che non può sapere come i suoi clienti usino Pegasus e chi intercettino. Per scoprire e analizzare le intercettazioni di NSO Group è stato creato il Pegasus Project, nato dalla collaborazione tra oltre 80 giornalisti di 16 testate d’informazione di 10 Paesi, sotto il coordinamento di Forbidden Stories, un organismo senza scopo di lucro che ha sede a Parigi. Oltre 80 giornalisti hanno collaborato per diversi mesi ad una lista di oltre 50.000 numeri di telefono che, dal 2016, si ritiene siano stati intercettati tramite Pegasus dai clienti governativi di NSO Group e tra questi numeri compare anche il cellulare del presidente francese Emmanuel Macron, l’ex primo ministro Édouard Philippe e 14 ministri del governo francese. Il Pegasus Project ha rivelato come lo spyware della NSO Group sia un’arma a disposizione dei governi repressivi che vogliono ridurre al silenzio i giornalisti, attaccare gli attivisti e stroncare il dissenso, mettendo a rischio innumerevoli vite umane. Forbidden Stories e i suoi partner giornalistici hanno identificato possibili clienti della NSO Group in 11 stati Arabia Saudita, Azerbaigian, Bahrein, Emirati Arabi Uniti, India, Kazakistan, Marocco, Messico, Ruanda, Togo e Ungheria. Anche il giornalista saudita Jamal Khashoggi ucciso e fatto a pezzi il 2 ottobre 2018 nell’ambasciata saudita ad Istanbul era stato preso di mira dallo spyware Pegasus, che è stato trovato all’interno del suo IPhone. Il Security Tech Lab di Amnesty International ha condotto le analisi forensi sui telefoni cellulari per identificare le tracce dello spyware ed ha accertato che Pegasus era stato installato pure sul telefono di Hatice Cengiz, la fidanzata di Khashoggi, quattro giorni prima del suo assassinio. Lo spyware Pegasus in Europa L’utilizzo dello spyware Pegasus è molto diffuso in Europa, tanto che il Parlamento europeo aveva istituito il Committee of Inquiry to investigate the use of Pegasus and equivalent surveillance spyware PEGA , che però ha terminato i suoi lavori il 9 giugno 2023 senza che l’Unione europea abbia adottato alcuna misura. In Spagna, nell’aprile 2024, l’Audiencia Nacional, il tribunale spagnolo con competenza nazionale, ha annunciato di aver riaperto l’inchiesta sulle intercettazioni effettuate ai danni di alcuni politici spagnoli, tra cui il primo ministro socialista Pedro Sánchez, tramite lo spyware Pegasus, anche se finora non vi sono indagati o imputati. Nel 2021, un’indagine a cui avevano partecipato molti giornali internazionali aveva rivelato che Pegasus era stato utilizzato per intercettare migliaia di persone in più di 50 paesi, tra cui politici, attivisti e giornalisti. Nel 2022 anche il Governo spagnolo aveva ammesso di essere stato intercettato, ma non aveva rivelato chi sospettava potesse esserci dietro l’operazione, e aveva escluso che fosse opera di agenzie statali come il Centro Nacional de Inteligencia CNI , l’agenzia di intelligence spagnola che ufficialmente è l’unica nel paese ad avere a disposizione il programma Pegasus. L’inchiesta però era stata archiviata provvisoriamente a causa della mancanza di collaborazione del governo israeliano sulla vendita e l’utilizzo di Pegasus al fine di spiare politici spagnoli. Ora l’Audiencia Nacional, dopo aver ricevuto una richiesta di collaborare a un’indagine simile da parte della Francia, ha comunicato di aver riaperto l’inchiesta per indagare più a fondo sull’azienda NSO, per cui è probabile che gli investigatori condivideranno le informazioni con la Francia, dove pure sono stati presi di mira politici e altre personalità. L'indagine mira a scoprire chi sia il regista occulto di queste manovre e il giudice dell’Audiencia Nacional, José Luis Calama, ha affermato che c’è motivo di credere che le nuove informazioni fornite dalla Francia possano «permettere alle indagini di andare avanti». Lo spyware Pegasus negli U.S.A. Anche negli Stati Uniti d’America, nonostante il Presidente Biden, con un suo executive order del 27 marzo 2023, ne abbia vietato la vendita per i rischi che comporta per la sicurezza nazionale, lo spyware Pegasus ha larga diffusione. È notizia di questi giorni che, negli Stati Uniti, l’azienda israeliana produttrice del Pegasus è stata citata in giudizio in una causa civile per aver infettato, con il suo malware, oltre 1.400 devices mobili al fine di sorvegliare gli utenti californiani di WhatsApp. L’azienda aveva negato qualsiasi responsabilità, sostenendo di avere solo fornito il software ad alcuni clienti e di non aver mai inoculato il malware, ma si era rifiutata di fornire il codice sorgente di Pegasus, affermando che esso era disponibile per la visione solo in Israele e solo a vantaggio di cittadini israeliani. Con un’ordinanza del 20 dicembre 2024, la United States District Court Northern District of California ha deciso sulla litigation tra WhatsApp e la NSO Group Technologies Limited, riconoscendo la responsabilità in capo alla azienda israeliana e rinviando l’udienza per decidere solo sulla quantificazione dei danni. La Corte californiana, riconosciuta la propria giurisdizione in ragione del fatto che le azioni di NSO erano indirizzate verso i server di Whatsapp situati in California, ha accertato la responsabilità della NSO e si è riservata di decidere sui danni caso Whatsapp Inc. e altri contro NSO Group Technologies Limited, Case 4 19-cv-0713-PJH . E’ la prima volta che un giudice accerta e sanziona lo spionaggio abusivo tramite Pegasus, realizzato in violazione delle leggi federali e della legge californiana sull’accesso ai dati in quanto la NSO ha ecceduto l’uso autorizzato di accesso ai server e ha commesso pratiche come l’invio di codici di sorveglianza contrari alla legislazione U.S.A., e perciò l’azienda israeliana dovrà rispondere dei danni provocati dall’invio del malware nei dispositivi californiani. Osservazioni conclusive Era già accaduto in passato che l’impiego di Pegasus avesse comportato una citazione in giudizio dell’azienda produttrice dinanzi ai giudici statunitensi e talvolta essa aveva anche cercato di contestare la giurisdizione americana in virtù del Foreign Sovereign Immunity Act FSIA , sostenendo che, poichè la vendita del software di Pegasus è autorizzata dal governo israeliano, si sarebbe trattato di un’azione svolta a supporto di uno Stato estero per combattere terrorismo e gravi crimini, ma i giudici nordamericani l’avevano sempre respinta. Questa volta – ed è la prima volta - abbiamo il riconoscimento in giudizio e la sanzione per l’impiego di intercettazioni abusive negli U.S.A. commesse a mezzo del malware Pegasus. In un momento in cui negli Stati Uniti si propone di abolire il fact-checking e di consentire la libera pubblicazione delle fake news, una sentenza come quella californiana su Whatsapp. v. NSO riporta l’ordinamento americano al rispetto della legalità. E in Italia quando accerteremo chi, dove, quando e, soprattutto, contro chi si utilizza lo spyware Pegasus?