La software house più chiacchierata nel settore dello spionaggio informatico è stata colpita da un crack che ha sottratto mezzo terabyte di dati, in pratica tutto quanto era nel server dei principali manager dell’azienda. Un hack di proporzioni modeste in termini assoluti, ma politicamente incendiario perché la società in questione è Hacking Team, fornitrice di una parte consistente dei governi e delle agenzie di sicurezza e polizia in tutto il mondo. In pratica, ora una delle poche aziende che fanno spyware di Stato non ha più segreti.
Ci vorranno giorni, forse settimane, per venire a capo di tutto quanto è stato sottratto dal server della società milanese specializzata in software di sorveglianza, già citata più volte nel Datagate e da quattro anni almeno all’attenzione di Wikileaks e di associazioni come IFF, che l’accusano di aver fornito la sua suite più celeberrima, “Da Vinci”, in grado di controllare da remoto qualunque computer, anche a dittature che l’hanno usata contro giornalisti ed oppositori politici. Il problema di leggibilità della documentazione è dovuto non solo alla quantità e al necessario riscontro, ma anche a un fatto inquietante: le stesse vittime hanno dichiarato in passato di essere in grado di infilare documenti falsi in file veri; una tecnica che potrebbe essere stata usata anche dagli stessi hacker per danneggiare l’immagine dell’azienda.
My favorite bits, Russia and Sudan "not officially supported." pic.twitter.com/9HqYA4s3bq
— Eva (@evacide) July 6, 2015
Il primo elemento notato nel leak postato sull’account hackerato della società e del suo fondatore David Vincenzetti, è proprio una serie di file che dimostrerebbero i contatti e gli affari tra Hacking Team e paesi nella black list internazionale, o comunque parecchio invisi agli altri paesi tradizionalmente acquirenti dei loro prodotti. In pratica, se questi documenti fossero originali si scatenerebbe uno scandalo internazionale, per cui l’FBI, il Pentagono e le principali procure americane sarebbero clienti dello stesso fornitore di Sudan, Russia, Azerbaijan, Kazakistan, e altre intelligence ed eserciti di varie parti del mondo che non hanno particolarmente a cuore i diritti umani.
All’epoca delle prime accuse che le erano state rivolte la società disse che prendeva «precauzioni per assicurarci che il nostro programma non sia utilizzato per i fini sbagliati», facendo intendere comprensibilmente che potevano esserci casi in cui questo era successo, ma quei file in cui si parla di alcune contrattazioni con paesi “not officially supported” la dice lunga sull’opacità del modello.
Leaked Docs Show FBI, DEA and U.S. Army Buying Italy's Hacking Team Spyware http://t.co/PxFDELBL7H pic.twitter.com/C87tFRsT1K
— The Intercept (@theintercept) July 7, 2015
Su quale scacchiere si gioca?
In questa storia sono più le domande delle risposte e già questo è un problema. Non si sa chi effettivamente abbia “hackerato gli hacker”, ma nell’ambiente dell’attivismo sono tutti convinti si tratti di una strategia senza scrupoli della concorrenza: il leak è stato studiato a lungo e ha perforato la società attraverso una tecnica umana, non tecnologicamente complessa, sfruttando il paradosso tipico di queste società, meno attente alla sicurezza dei loro clienti e attaccabili sul piano degli errori di qualche dipendente. Insomma, da oggi il mercato dei malware legali ha un protagonista in meno e forse la documentazione servirà a spazzare via un intero vantaggio competitivo.
Lo scacchiere economico non è però l’unico sul quale potrebbero giocare i protagonisti di questa spy story, c’è anche l’aspetto politico. Basato su una documentazione su cui nessuno può giurare. Al contrario del Datagate, dove se qualcuno manipolasse delle documentazione Snowden potrebbe smentirlo senza problemi, qui nessuno apre bocca in un imbarazzo generale nel quale la stessa Hacking Team potrebbe trovare convenienza smentendo ogni contenuto del leak.
Lo Special Rapporteur dell'Onu per la libertà di espressione su #HackingTeam https://t.co/1AgAjNxR6r
— Fabio Chiusi (@fabiochiusi) July 7, 2015
Una proposta: inchiesta parlamentare
Di questa vicenda nulla è sicuro, neppure se il crack sia davvero tale oppure una mossa in uno scacchiere diverso da quello che appare a prima vista; forse anche parlarne in modo cronachistico sta facendo il gioco di qualcuno: tutto quanto è troppo simile a quello che gli attivisti stessi speravano di trovare, e quando l’offerta è troppo bella per essere vera spesso non è vera. A questo punto, visto che gli occhi del mondo guardano all’Italia, si dia vita a un commissione d’inchiesta parlamentare che una buona volta metta luce su uno dei settori più opachi del mondo, quello dei software di spionaggio a disposizione delle procure, delle agenzie e dei governi. La storia insegna che nelle democrazie soltanto i parlamenti hanno la credibilità e la trasparenza istituzionale per fare luce su casi come questi e approfittarne per stabilire nuove modalità, ma soprattutto sensibilizzare l’opinione pubblica. Si sono già fatte inchieste su temi simili, dal traffico internazionale agli incidenti diplomatici, alle attività commerciali con paesi ed eserciti stranieri.
Andando oltre l’aspetto legale – Hacking Team è vittima di un furto – si entra nell’ambito della trasparenza e della responsabilità sociale dell’impresa. È complicato immaginare come si dovrebbe comportare un’azienda del genere. Stando alla documentazione sottratta, sempre ammettendo in teoria che sia vera, sembra fosse al corrente dei suoi clienti, come testimoniano le fatture e contatti; tecnicamente il software è realizzato in modo che il customere service e il controllo da remoto siano indispensabili per farlo funzionare. Tuttavia è anche possibile che vendere questo software significhi già di per sé alimentare un mercato nero: basta vendere a un paese della zona grigia che supporta a sua volta un paese della lista nera.
Senza un riferimento ideale della politica, un mercato aperto e una opinione pubblica sensibilizzata, la possibilità di vedere sempre più degradato il rispetto dei diritti delle persone nella loro vita quotidiana, oggetto della sorveglianza, è talmente alta da rasentare il pessimismo assoluto.