Il Garante della privacy interviene contro l’uso illegale dei software di spionaggio

Nella giornata di oggi, venerdì 14 febbraio, il Garante per la protezione dei dati personali (in sigla GPDP) ha condiviso un avvertimento a chiunque dovesse usare in maniera illegale i software di spionaggio (i cosiddetti spyware) come Graphite di Paragon.

“Tali attività, svolte al di fuori degli usi consentiti dalla legge” ha sottolineato il Garante della Privacy nel relativo comunicato stampa “violano il Codice della Privacy e possono comportare l’applicazione di una sanzione amministrativa fino a 20 milioni di euro o al 4% del fatturato”. Il riferimento alla questione delle persone spiate tramite WhatsApp tramite il software di spionaggio Graphite di Paragon è palese.

Software spia nel mirino del Garante per la protezione dei dati personali

Si tratta di un avvertimento, come anticipato, a cui faranno seguito tuttavia degli accertamenti volti a individuare le eventuali responsabilità dei soggetti che hanno utilizzato questi software di spionaggio come “Graphite“, lo spyware dell’azienda israeliana Paragon Solutions che a inizio febbraio si diceva avesse interrotto i rapporti commerciali con il governo italiano, a causa di usi impropri da parte di quest’ultimo, tesi poi smentita dal Ministro per i Rapporti col Parlamento Luca Ciriani, il quale mercoledì 12 febbraio, ha detto che non è stato rescisso alcun contratto tra Paragon e l’intelligence italiana e che “tutti i sistemi (compresi quelli di Paragon, ndr) sono stati e sono pienamente operativi contro chi attenta agli interessi e alla sicurezza della nazione”.

Come evidenziato dal Post, mancano tuttavia ancora dei tasselli, ovvero la presunta rescissione dei contratti con l’altro cliente italiano di Paragon, la non identificata forza di polizia, e i presunti usi impropri del software.

L’Autorità – a seguito di notizie di stampa e delle segnalazioni di alcuni cittadini preoccupati del possibile indiscriminato utilizzo degli spyware – ribadisce che le intercettazioni di comunicazioni elettroniche che non rientrano nelle finalità di sicurezza della Repubblica e di prevenzione, indagine, accertamento e perseguimento di reati, devono rispettare la normativa in materia di protezione dei dati personali.

Il Garante della privacy fa riferimento al caso dei giornalisti e attivisti spiati in maniera illecita tramite WhatsApp, circa novanta, fra cui anche sette italiani come il direttore del giornale Fanpage, Francesco Cancellato, e l’attivista fondatore della ONG Mediterranea Saving Humans, Luca Cesarini. Degli altri non è stata resa nota l’identità. Questo è il relativo messaggio d’avviso di WhatsApp recapitato alle vittime il 31 gennaio scorso:

Questo è un messaggio da parte di WhatsApp (…). A dicembre, WhatsApp ha interrotto le attività di una società di spyware che riteniamo abbia attaccato il tuo dispositivo. Le nostre indagini indicano che potresti aver ricevuto un file dannoso tramite WhatsApp e che lo spyware potrebbe aver comportato l’accesso ai tuoi dati, inclusi i messaggi salvati nel dispositivo

Le aziende come Paragon sfruttano le falle di sicurezza (come le cosiddette vulnerabilità zero-day, ovvero quei difetti che non sono stati ancora scoperti dalle stesse società che hanno sviluppato i propri sistemi) nei software come WhatsApp e simili per far eseguire ai dispositivi delle vittime (come gli smartphone) determinati compiti senza che i proprietari ne possano venire a conoscenza, perché sostanzialmente impossibili da rilevare.

Graphite permette ad esempio di accedere a tutti i dati del telefono, compresi i messaggi di WhatsApp e Signal, applicazioni considerate sicure perché protette da crittografia end-to-end. Oltre a non averne consapevolezza, le vittime di chi sviluppa software di spionaggio simili non sono nemmeno tenute a fare nulla, né cliccare su un link o aprire un allegato, perché non servono interazioni da parte dell’utente per sfruttare tali vulnerabilità e così accedere ai loro dispositivi. Per questo motivo, tali attacchi informatici sono noti anche come “zero clic“.

Non è un mistero che le forze dell’ordine e i servizi segreti utilizzino software simili a Graphite di Paragon per le loro attività di intelligence, ma è in questo caso il presunto uso illecito il problema, che il governo italiano ha chiarito solo in parte negli ultimi giorni. Paragon Solutions è un’azienda che lavora solo con clienti istituzionali, ragion per cui il ruolo del governo italiano è centrale in questa vicenda, e il fatto che coinvolge due persone “scomode” ha generato vari sospetti.

“Il Garante si riserva ogni ulteriore attività volta all’individuazione degli autori delle condotte messe in atto tramite gli spyware in violazione del norme sulla privacy” ha concluso l’Autorità, che provvederà a indagare ulteriormente su una questione di cui sapremo di più prossimamente.