Forbidden Stories
Tempo di lettura stimato: 9'
La NSO Group è una società israeliana che fornisce tecnologie ai governi in ambito di prevenzione e sorveglianza per contrastare il terrorismo e criminali di alto profilo.
Tra questi, lo spyware “Pegasus”, al centro di uno scandalo diventato pubblico anche sulla base delle denunce di Amnesty International perché venduto a stati che l’avevano usato per spiare persone dissidenti e giornaliste.
Il 1° settembre 2025 un tribunale degli Usa ha condannato l’azienda israeliana NSO Group a pagare oltre 168 milioni di dollari all’azienda Meta, la cui applicazione WhatsApp nel 2019 fu al centro di una campagna di hacking che colpì 1400 utenti.
La causa legale portata avanti da Whatsapp ha avuto una svolta a dicembre 2024, durante il primo processo quando la giudice Phyllis Hamilton ha stabilito che la NSO Group aveva oltrepassato i limiti delle leggi statunitensi e i termini di servizio della piattaforma stessa. Ad aggravare la decisione è stata anche la scarsa collaborazione mostrata dalla società israeliana durante la fase istruttoria che ha pesato ulteriormente sulla sua condotta. Si tratta di una vittoria epocale contro l’abuso degli spyware.
Tutto inizia quando a ottobre del 2019 la piattaforma messaggistica Whatsapp rivela che il software Pegasus è stato usato tra aprile e maggio 2019 per spiare circa 1400 utenti, approfittando di una vulnerabilità del sistema e così installandosi attraverso una chiamata.
A seguito di ciò Whatsapp ha intrapreso un’azione legale volta a tutelare i propri utenti e a riaffermare il proprio impegno nella cybersecurity, ponendo al centro della causa la presunta violazione del Computer Fraud and Abuse Act statunitense e dei termini d’uso della piattaforma stessa.
Nel 2018, invece, il Security Lab di Amnesty International aveva rivelato l’infrastruttura dello spyware Pegasus per poi rendere noti tutti i dettagli tecnici relativi alle indagini nell’ambito del “Pegasus Project”, documentando l’evoluzione degli attacchi dal 2018, con oltre 700 domini riconducibili allo spyware del NSO Group.
Il “Pegasus Project” nasce dalla collaborazione tra oltre 80 giornalisti di 17 mezzi d’informazione di 10 paesi tra cui The Guardian, Washington Post, Süddeutsche Zeitung e Le Monde, sotto il coordinamento di “Forbidden Stories”, un organismo senza scopo di lucro, con l’assistenza tecnica di Amnesty International che ha analizzato i telefoni cellulari per identificare le tracce dello spyware. Secondo i dati resi pubblici e le indagini condotte da “Forbidden Stories”, tra i potenziali clienti della NSO Group figurano 11 paesi: Arabia Saudita, Azerbaigian, El Salvador, Emirati Arabi Uniti, India, Kazakistan, Marocco, Messico, Ruanda, Togo e Ungheria. Mentre il numero delle vittime individuate dal Security Lab di Amnesty International, dal Citizen Lab dell’università di Toronto e dalle altre organizzazioni, è arrivato a circa 50.000 persone da oltre 20 stati di cui molti sono giornalisti, difensori dei diritti umani e parlamentari come Omar Abdulaziz, Yahya Assiri, Ghanem Al-Masarir, il vincitore di premi sui diritti umani Ahmed Mansoor e forse anche Jamal Khashoggi (vedi oltre).
Hicham Mansouri, un giornalista marocchino che vive in Francia, ha descritto l’attacco con Pegasus come “una forma molto violenta di censura, perché ci priva del diritto di esprimerci su molti temi sia in un contesto professionale che nella vita privata. Ecco qual è il loro obiettivo: farti andare in paranoia, isolarti dalle persone, chiuderti come in una prigione”.
Julia Gavarrete, giornalista di El Salvador, anche lei tra le vittime dello spyware:
“È impossibile non sentirsi infuriati quando la nostra vita intera è nelle mani di qualcun altro e non si sa chi ne sia responsabile”
“Ora il mio modo di comunicare è cambiato, sono cambiati i luoghi dove ero solita andare e penso sempre due volte a che genere di informazioni voglio condividere, non solo per la mia sicurezza ma anche per proteggere coloro che comunicano con me. Devo stare in guardia rispetto ai posti in cui vado e stare molto attenta ogni volta che ho il telefono vicino a me. Come giornalista devo salvaguardare le mie fonti, ma come donna devo proteggere la mia famiglia e i miei amici. La sorveglianza è una cosa indegna nei confronti della nostra vita professionale e di quella privata”.
Un caso in particolare riguarda la famiglia del giornalista saudita Jamal Khashoggi, quale secondo le prove raccolte dal Security Lab sembra essere stata bersaglio dello spyware Pegasus sia prima che dopo il suo assassinio avvenuto a Istanbul nel 2018 da parte di agenti sauditi. L’azienda israeliana nega qualunque coinvolgimento nell’omicidio del giornalista e afferma di aver condotto delle indagini sulle accuse ricevute che ribadisce essere prive di fondamento.
Nel rapporto tecnico intitolato “Forensic Metholodogy Report: How to Catch NSO Group’s Pegasus” che accompagna il “Pegasus Project”, Amnesty International intendeva dimostrare con prove concrete le attività dello spyware della NSO Group, che non solo è rilevabile ma che è stato ampiamente usato contro giornalisti, attivisti e difensori dei diritti umani, contrariamente a quanto affermato dalle dichiarazioni della società che lo presenta come strumento riservato a contrasto di criminali e terroristi.
Il documento presenta la metodologia adottata da Amnesty International per rintracciare le tracce di Pegasus all’interno dei dispositivi mobili, in particolare sugli iPhone. Gli esperti hanno analizzato file di sistema, cache, plist e traffico http anomalo, riscontrando attività sospette collegate ad applicazioni come Apple Music e iMessage; sono emersi schemi ricorrenti di attacchi “zero-click” – virus che non richiedono alcuna interazione da parte dell’utente e che riescono a compromettere i dispositivi anche nelle versioni più aggiornate di iOS.
Per rendere accessibili le sue scoperte, Amnesty International ha sviluppato e diffuso il “Mobile Verification Toolkit”, uno strumento open source che permette a chiunque di verificare in modo autonomo i propri dispositivi. Il software consente di analizzare internamente il proprio telefono e di individuare indizi di compromissione basati su indicatori di minaccia e generare report dettagliati.
L’impatto del rapporto è stato significativo a livello globale, in quanto ha contribuito all’istituzione di una Commissione tecnica da parte della Corte suprema d’India, l’apertura di indagini in diversi paesi come Ungheria, Belgio e Francia e l’inserimento della NSO Group nella lista di attività sospette da parte del governo statunitense. E anche all’istituzione da parte del Parlamento europeo del “Comitato Pega” per indagare sull’uso di Pegasus e di altri spyware in Europa.
Nonostante la società fosse a conoscenza, o quantomeno avrebbe dovuto esserlo, dell’impiego illecito del proprio spyware contro attivisti e giornalisti, la NSO Group non ha adottato misure adeguate a impedirne l’abuso anzi ha risposto negando le accuse, sostenendo che i dati trapelati e le liste di numeri di telefono non siano riconducibili ai suoi sistemi o ai suoi clienti e affermando di non poter rivelare le identità dei clienti per ragioni contrattuali e di sicurezza nazionale.
Inoltre, l’azienda accusa “Forbidden Stories” di attribuirle violazioni dei diritti umani sulla base di presunte azioni dei suoi clienti e aggiunge che le sue tecnologie hanno contribuito a salvare vite, prevenendo attentati e smantellando reti criminali, rivendicando la propria missione “salvavita” contro i tentativi di screditamento.