Alle Nazioni Unite per la prima volta si parla di spyware: richiesta una regolamentazione globale

Il Consiglio di Sicurezza delle Nazioni Unite ha indetto la scorsa settimana una riunione per affrontare il tema degli spyware commerciali (altresì noti con i nomi di spyware governativo o spyware mercenario) e dei loro pericoli. E' la prima volta che l'argomento è stato trattato in seno al Consiglio della Sicurezza dell'ONU.

La riunione tenutasi lo scorso martedì 17 gennaio e convocata dagli USA assieme ad altri 15 paesi membri, si è prefissa l'obiettivo di affrontare le implicazioni riguardanti la diffusione e l'uso improprio dello spyware commerciale per il mantenimento della pace e della sicurezza internazionale.

All'incontro ha partecipato anche John Scott-Railton, ricercatore senior di Citizen Lab: si tratta di un'organizzazione per i diritti umani che fin dal 2012 porta avanti attività di indagine sugli abusi di spyware. Scott-Railton ha evidenziato come la proliferazione di spyware sia catalizzata da un "ecosistema globale segreto" di sviluppatori, broker, intermediari e piccole aziende che "minaccia la pace e la sicurezza internazionale, nonché i diritti umani".

La riunione ha visto inoltre l'intervento di Polonia e Grecia, che recentemente hanno vissuto due scandali legati agli spyware. In Polonia la vicenda ha riguardato principalmente l'uso improprio del software Pegasus, sviluppato dall'azienda israeliana NSO Group. Secondo le indagini, il governo polacco guidato dal partito Diritto e Giustizia (PiS) avrebbe utilizzato questo potente strumento di sorveglianza per spiare oppositori politici, giornalisti e figure critiche verso l'esecutivo.

Lo scandalo è emerso a fine 2021, proprio grazie alle ricerche del gruppo Citizen Lab, che ha rivelato come i telefoni di queste persone fossero stati compromessi con Pegasus. L'uso dello spyware avrebbe avuto luogo anche durante le elezioni del 2019, sollevando dubbi sulla regolarità del processo elettorale. Per acquistare il software, il governo polacco avrebbe speso 5,4 milioni di euro provenienti dal Fondo per la giustizia, teoricamente destinato al sostegno delle vittime di reati.

All'incontro all'ONU, il rappresentante polacco ha sottolineato gli sforzi legislativi locali per "aumentare il controllo, anche da parte della magistratura, sulle attività operative dei servizi di sicurezza e intelligence", pur riconoscendo che lo spyware può essere utilizzato legalmente. "Non stiamo dicendo che l'uso dello spyware non sia mai giustificato o necessario", ha affermato.

In Grecia lo scandalo ha riguardato principalmente l'uso dello spyware Predator, sviluppato dall'azienda Cytrox e commercializzato dal gruppo Intellexa con sede ad Atene. La vicenda, emersa nel 2022, ha riguardato l'uso dello spyware per controllare giornalisti, politici e altre figure pubbliche. Il governo del primo ministro Kyriakos Mitsotakis è stato accusato di aver autorizzato queste operazioni di sorveglianza, sebbene abbia negato ogni coinvolgimento. Lo scandalo ha portato alle dimissioni del capo dei servizi segreti greci e di un alto funzionario dell'ufficio del primo ministro.

Il rappresentante greco, partecipando e intervenendo alla riunione dell'ONU, ha ricordato l'approvazione di una legge nel 2022 che vieta la vendita di spyware.

Drasticamente differente, invece, l'intervento del rappresentante russo che ha puntato il dito senza mezzi termini contro gli Stati Uniti, citando le rivelazioni del caso NSA che ha visto protagonista Edward Snowden e incolpando gli USA di aver "creato un vero e proprio sistema di sorveglianza globale e interferenza illegale nella vita privata dei propri cittadini e di quelli di altri paesi" e di continuare "a perfezionare questo sistema".

Il rappresentante cinese ha invece riservato critiche l'incontro stesso, affermando che discutere del "cosiddetto spyware commerciale e del mantenimento della pace e della sicurezza internazionale significa mettere il carro davanti ai buoi rispetto alle attività di proliferazione molto più dannose da parte dei governi". E ancora: "Dall'incidente Stuxnet, la proliferazione di armi informatiche nazionali avanzate ha creato una serie di gravi rischi per Internet, che sono molto più dannosi dello spyware commerciale", ha dichiarato il rappresentante cinese, riferendosi al malware Stuxnet sviluppato nell'ambito di un'operazione USA-israeliana volta a sabotare il programma nucleare iraniano.

L'incontro, per lo più informale, non ha portato a proposte concrete, e nonostante le posizioni fortemente critiche di Russia e Cina, diversi Paesi hanno avuto modo di convergere sulla necessità di un'azione governativa diffusa per il controllo della proliferazione e degli abusi legati a questi strumenti software.