È una vittoria importante per la privacy e la sicurezza. Nella giornata di ieri la società israeliana Nso Group – nota per aver sviluppato lo spyware Pegasus, utilizzato dai governi di tutto il mondo per sorvegliare dissidenti, giornalisti e politici – è stata condannata da un tribunale federale statunitense a pagare quasi 170 milioni di dollari di danni a WhatsApp e alla sua società madre Meta, dopo che il suo software è stato utilizzato per violare gli account di 1.400 utenti. Una sentenza che arriva a sei anni di distanza dalla prima accusa della piattaforma di messaggistica, e che crea un precedente importante per permettere a privati e aziende di perseguire legamente le società che sviluppano e commercializzano software dannosi.
La denuncia e il processo contro Nso Group
La viceda è ricostruita da Politico. Tutto è cominciato nel maggio del 2019, quando per la prima volta gli ingegneri di WhatsApp hanno rilevato e bloccato un attacco informatico ai danni degli utenti. Sfruttando una vulnerabilità nella funzione di videochiamata dell’app, gli aggressori riuscivano a infettare i telefoni delle vittime con lo spyware Pegasus senza avere alcuna interazione con loro, ma solo limitandosi a chiamarli da un account WhatsApp creato in precedenza. Una volta installato nei dispositivi, questo software dannoso era in grado non solo di accedere a qualunque informazione – dai messaggi alle email e ai dati di localizzazione -, ma anche di attivare da remoto la fotocamera e il microfono, così da permettere agli aggressori di spiare gli utenti in tempo reale.
Considerata la gravità della violazione, WhatsApp si è subito attivata per correggere la vulnerabilità e avviare le indagini per fare chiarezza sull’accaduto. Grazie alla collaborazione del Citizen Lab, un team di ricerca dell’Università di Toronto specializzato nella sicurezza digitale, la piattaforma di messaggistica ha potuto identificare le vittime dell’operazione: politici, giornalisti e attivisti, tenuti sotto osservazione dai governi in modo del tutto illecito. “Qui vediamo la cruda realtà: più di un centinaio di persone vengono prese di mira per essere sorvegliate, non perché siano criminali o terroristi, ma perché il loro legittimo esercizio dei diritti umani è un’interferenza con le élite dei potenti e gli autocrati corrotti”, ha commentato Ron Deibert, fondatore e direttore del Citizen Lab.
A rendere la portata di questo attacco ancora più preoccupante, infatti, è stata proprio l’identità delle vittime. “Questo dovrebbe essere un campanello d’allarme per le aziende tecnologiche, i governi e tutti gli utenti di Internet. Gli strumenti che consentono di sorvegliare la nostra vita privata vengono abusati e la proliferazione di questa tecnologia nelle mani di aziende e governi irresponsabili ci mette tutti a rischio”, ha dichiarato nel 2019 il responsabile di WhatsApp Will Cathcart, annunciando l’intenzione della società di perseguire legalmente la compagnia proprietaria dello spyware Pegasus, l’israeliana Nso. Una scelta importante, che ha reso la piattaforma di messaggistica la prima a prendere una posizione decisa nei confronti delle società che vendono software malevoli.
La sentenza
Secondo quanto riferito da un portavoce di Meta, la sentenza prevede che Nso Group paghi a WhatsApp 167,25 milioni di dollari, oltre a più di 440.000 dollari di danni compensativi – destinati a risarcire le vittime -. Inoltre, come dichiarato in una nota pubblicata sul suo blog ufficiale, Meta lavorerà ancora per ottenere un ordine del tribunale per “impedire a Nso di prendere ancora di mira WhatsApp”. E si impegnerà per finanziare le organizzazioni per i diritti digitali che lavorano per denunciare gli abusi dei software spia. Allo stesso tempo, la compagnia ha promesso che pubblicherà le trascrizioni dei video delle deposizioni dei dirigenti della Nso e degli altri testimoni interpellati nel corso del processo, così da permettere a giornalisti e ricercatori di comprendere al meglio l’uso fatto dello spyware Pegasus a livello globale. Nel complesso, quindi, Meta si è dimostrata più che soddisfatta della sentenza, “un importante passo avanti per la privacy e la sicurezza, che rappresenta la prima vittoria contro lo sviluppo e l’uso di spyware illegali che minacciano la sicurezza e la privacy di tutti”.
