La questione delle persone spiate su WhatsApp si complica

Paragon Solutions, la società israeliana produttrice di software per spiare le comunicazioni su smartphone e altri dispositivi, ha interrotto i rapporti con l’Italia dopo le notizie sull’utilizzo dei suoi sistemi per spiare giornalisti e attivisti. L’azienda non ha fornito direttamente spiegazioni, ma l’interruzione dei rapporti commerciali è stata confermata da diverse fonti al giornale inglese Guardian, a quello israeliano Haaretz e a Repubblica. I nuovi sviluppi rendono ancora più complessa la vicenda, che il governo italiano aveva provato a ridimensionare con un proprio comunicato mercoledì.

Tutto era iniziato alla fine della settimana scorsa, quando Meta aveva detto che Graphite, uno dei sistemi per lo spionaggio digitale prodotti da Paragon, era stato utilizzato per spiare una novantina di persone che utilizzano la sua applicazione WhatsApp, in diversi paesi del mondo. I software come Graphite impiegano di solito falle di sicurezza nei sistemi operativi e nei programmi non ancora note a chi li ha sviluppati, in modo da sfruttarle per ottenere un accesso ai dispositivi sui quali sono utilizzati.

Tra le persone spiate c’erano attivisti e giornalisti, compreso il direttore del giornale online Fanpage, Francesco Cancellato, e l’attivista Luca Casarini, capomissione e tra i fondatori dell’organizzazione non governativa Mediterranea. Entrambi, come le altre decine di persone coinvolte, erano state avvisate da Meta sulla violazione dei loro dispositivi, senza ricevere però molte altre informazioni sulle circostanze intorno a quella violazione.

Paragon fornisce i propri servizi esclusivamente ai governi e alle loro istituzioni, offrendo per lo più sistemi che possono essere impiegati per spiare comunicazioni e altre attività sui dispositivi elettronici. Nei suoi contratti di fornitura sono indicate clausole che impongono ai governi di utilizzare quei sistemi per specifiche attività di intelligence, come il contrasto al terrorismo, mentre vietano il loro utilizzo per spiare i comuni cittadini. Il confine è però labile e già in passato erano stati espressi dubbi sull’estensione delle attività di sorveglianza, con sistemi simili a quelli di Paragon realizzati da società concorrenti, come NSO Group, altra azienda israeliana del settore.

Secondo le fonti consultate da Haaretz, dopo la notizia diffusa da Meta sulla violazione dei dispositivi, Paragon aveva chiesto al governo italiano di fornire dettagli su quanto fosse successo per riscontrare eventuali violazioni del contratto. La società aveva sospeso l’accesso alla piattaforma di gestione di Graphite, necessaria per effettuare le attività di spionaggio, e aveva poi segnalato l’intenzione di interrompere i rapporti commerciali.

Forse anche per questo motivo mercoledì il governo aveva pubblicato un proprio comunicato, nel quale segnalava «che le utenze italiane interessate finora appaiono essere sette» ed escludeva la possibilità che fossero «stati sottoposti a controllo da parte dell’intelligence, e quindi del governo, i soggetti tutelati dalla legge 3 agosto 2007, n. 124 (Sistema di informazione per la sicurezza della Repubblica e nuova disciplina del segreto), compresi i giornalisti». Il comunicato citava anche i paesi cui appartengono i numeri di telefono coinvolti oltre all’Italia: Belgio, Grecia, Lettonia, Lituania, Austria, Cipro, Repubblica Ceca, Danimarca, Germania, Paesi Bassi, Portogallo, Spagna e Svezia.

Stando alle informazioni raccolte dal Guardian e da Haaretz, i responsabili di Paragon non avrebbero trovato convincente la versione del governo italiano e per questo avrebbero interrotto la fornitura dei loro servizi. Nel caso in cui ritenga che i propri termini di servizio non siano stati rispettati, la società ha la facoltà di verificare le attività svolte dai suoi clienti. Haaretz ipotizza che Paragon «ritenga che il governo italiano stia mentendo» e per questo abbia interrotto i rapporti. Secondo altre fonti consultate da Repubblica, già venerdì Paragon aveva sospeso l’accesso ai propri sistemi in attesa di chiarimenti.

Per rispondere alle critiche ricorrenti sulle aziende che rendono possibile l’accesso non autorizzato ai dispositivi elettronici, sfruttando le vulnerabilità del software, Paragon negli ultimi tempi aveva provato a distinguersi dalla concorrenza dicendo di fornire soluzioni e regole per fare spionaggio in modo responsabile e commisurato alle necessità di sicurezza nazionale. Il sito stesso dell’azienda mostra ancora oggi lo slogan “Potenziare la difesa informatica etica”. La decisione di interrompere i rapporti con uno dei suoi più importanti clienti in Europa potrebbe essere derivata dai dubbi sul mantenimento di quell’impegno, ma la società non ha comunicato direttamente le proprie valutazioni.

È raro che aziende di questo tipo interrompano in modo netto i rapporti con i clienti. Alcuni anni fa NSO Group aveva bloccato l’accesso ai propri sistemi a Ungheria, Arabia Saudita e Polonia, dopo che erano state denunciate attività di sorveglianza indirizzate verso giornalisti e dissidenti politici in quei paesi.

La vicenda sta intanto avendo risvolti politici, con diversi partiti di opposizione che hanno chiesto in parlamento un’informativa urgente al governo. Sono state annunciate anche interrogazioni alla Commissione Europea, il cui portavoce Markus Lammert ha ricordato che «le indagini sono questione che spetta alle autorità nazionali e non alla Commissione Europea e ci aspettiamo che verifichino tali accuse. Quello che posso dire, in generale, è che qualsiasi tentativo di accedere illegalmente ai dati dei cittadini, compresi giornalisti e oppositori politici, è inaccettabile, se provato».