Così il Sudan ha messo in crisi Hacking Team

Dopo il pesante attacco informatico che ha sottratto e riversato online 400 GB di suoi documenti e mail, Hacking Team - l’azienda milanese che ai governi vende software in grado di infettare pc e smartphone e di spiare in modo mirato le loro attività e comunicazioni - continua a non commentare sulle sue politiche commerciali. 

Il caso Sudan  

Neppure su uno dei più imbarazzanti documenti usciti: una fattura che – se corretta - mostrerebbe come nel 2012 i servizi segreti di Khartoum (NISS - National Intelligence and Security Service) avessero pagato 960mila euro per gli spyware made in Milano. L’assistenza tecnica dell’azienda italiana si sarebbe protratta fino al novembre 2014 e poi improvvisamente sospesa. 

Il Sudan non è un Paese qualsiasi: da anni è sotto embargo Onu per quanto riguarda forniture militari e prodotti collegati a causa di un conflitto protratto per decenni, alimentato da scontri etnici e lotta per l’accaparramento del petrolio. Inoltre proprio nell’aprile 2012 si erano riaccesi nuovi scontri militari tra il Sudan (Khartoum) e il Sud Sudan (che si era separato nel 2011), con migliaia di morti. Per di più, sulla testa del suo dittatore-presidente, Omar al-Bashit, pende dal 2009 un mandato internazionale di cattura della Corte penale dell’Aja per crimini contro l’umanità. 

Armi digitali e simili oppure no?  

Poteva o no Hacking Team esportare i suoi software di sorveglianza in quel Paese? E, in seconda battuta: possono i suoi software considerarsi se non delle vere e proprie “armi digitali” (come sostengono alcuni politici e attivisti) quanto meno un ausilio a operazioni di tipo militare? 

È questa domanda che a un certo punto comincia ad aleggiare come un fantasma sulle attività dell’azienda, rimbalzando fra il panel Onu che monitora le sanzioni sul Sudan, il Ministero degli Esteri, il Ministero dello Sviluppo Economico, i vertici di Hacking Team e i legali e gli investitori dell’azienda, con una serie di altri soggetti non da poco a fare da contorno e essere informati della situazione, come il ministero dell’Interno, della Difesa, dell’Economia e Finanze, oltre all’Agenzia delle Dogane. Una domanda continuamente elusa dalla società milanese, ma che diventa a un certo punto – fra 2014 e 2015 – anche oggetto di un braccio di ferro tra Onu, Hacking Team e Ministero dello Sviluppo Economico. 

Clienti in tutto il mondo  

Facciamo un passo indietro per contestualizzare. Hacking Team viene fondata nel 2003. Già nel 2004 vende il suo software spia alla Polizia Postale. È solo l’inizio: seguiranno i servizi spagnoli, un numero crescente di governi e agenzie di intelligence straniere, e praticamente tutte le forze dell’ordine italiane e i nostri servizi segreti – al punto che il direttore del Dipartimento delle informazioni per la sicurezza, Giampiero Massolo, dopo l’attacco all’azienda riferiva al Copasir del rischio che i dati della nostra intelligence potessero essere stati hackerati. Il software di Hacking Team – chiamato Rcs – è stato usato anche in indagini delicate e clamorose, contro la mafia, episodi di cronaca nera, ma anche la P4. 

Che i software di sorveglianza di Hacking Team fossero a un certo punto venduti in tutto il mondo non era un mistero, visto che veniva sbandierato anche nelle loro brochure. Recentemente le esportazioni rappresentavano però ben l’80 per cento del business dell’azienda, su cui negli anni hanno scommesso vari fondi di venture capital, da Innogest a Finlombarda Gestioni SGR Spa (FGSGR), riconducibile alla Regione Lombardia. I documenti usciti e pubblicati da più parti online, che finora l’azienda non ha smentito, mostrano come i clienti più grossi sarebbero il Messico, l’Italia, il Marocco, l’Arabia Saudita, il Cile. E includerebbero anche, tra gli altri, Uzbekistan, Etiopia, Egitto, Turchia, Russia e appunto Sudan. 

Nel mirino degli attivisti  

Ma Hacking Team a un certo punto comincia ad entrare sempre più nel mirino di alcuni gruppi di attivisti della Rete che monitorano la sorveglianza di governi e aziende. I primi report di ricercatori che collegano il suo software a episodi di abuso da parte di alcuni governi sono del 2012 e riguardano il Marocco. Nel febbraio 2014 però esce un ulteriore rapporto che prova a mappare l’utilizzo del suo software in vari Stati, inclusi regimi autoritari e repressivi: tra questi c’è anche il Sudan. A quel punto qualcosa si smuove. Il cliente, il NISS in Sudan, si preoccupa del report e chiede se siano state prese delle contromisure tecniche. A marzo la Ong britannica Privacy International manda una lettera al ministero dello Sviluppo Economico italiano chiedendo chiarimenti sulle esportazioni di Hacking Team.E, di lì a poco, comincia un balletto tra Onu, Hacking Team e ministeri. 

Il duello con l’Onu  

Nel giugno 2014 il panel delle Nazioni Unite che monitora l’implementazione delle sanzioni sul Sudan inizia infatti a chiedere a Hacking Team se ancora vende o se ha venduto in quel Paese. L’azienda prende tempo, tutto il tempo che riesce finché le pressioni Onu non fanno intervenire anche il governo italiano. Infatti dalla prima richiesta di informazioni dell’Onu a dicembre 2014 ne seguiranno altre tre, inclusa una domanda rivolta al rappresentante italiano permanente alle Nazioni Unite Sebastiano Cardi. A quel punto la situazione era diventata già critica per l’azienda che decide di sospendere la fornitura al Sudan, con grande scorno del cliente. 

A inizio 2015 però interviene il ministero degli Esteri, a cui si è rivolto il panel Onu, che insiste nel voler ricevere informazioni sulla possibile vendita del software al Sudan. Ma la preoccupazione principale dell’azienda sembra essere una sola: che il proprio software possa essere soggetto a misure restrittive. La linea adottata è che il panel Onu – a cui a quel punto è stato detto che no, Hacking Team non sta vendendo i propri prodotti in Sudan - non sarebbe autorizzato a chiedere informazioni sul passato. Come dire: non stiamo vendendo ora, però non chiedeteci se lo abbiamo fatto. 

Ma il panel Onu insiste ancora e torna all’attacco. La questione si gioca sempre su come debba essere considerato il software Rcs esportato da Hacking Team: è ormai chiaro che i funzionari delle Nazioni Unite tendono a pensare che faccia parte della categoria di “assistenza militare” e come tale rientrare nelle misure restrittive previste dalle risoluzioni del Consiglio di sicurezzza 1591 (2005) e 2200 (2015). Interpretazione rifutata dalla società milanese. Al punto che ancora a 2015 inoltrato la lenta e faticosa trattativa con l’Onu, mediata anche dal ministero degli Esteri, non sembra arrivare a una conclusione. 

Le restrizioni europee  

Parallelamente, sempre a partire dall’autunno 2014, inizia anche uno scontro sotterraneo tra Hacking Team e il ministero dello Sviluppo Economico. Proprio a causa delle preoccupazioni legate al possibile uso di questi software per reprimere dissidenti e violare diritti umani in alcuni Stati, il ministero decide di applicare una clausola specifica della legge sulle esportazioni, in particolare l’art 4 del regolamento europeo (CE N. 428/2009) sul controllo delle esportazioni di una serie di prodotti a duplice uso (prodotti che possono avere un uso civile ma anche militare). La clausola prevede una autorizzazione all’esportazione nel caso in cui si pensi che dei prodotti, anche quando non rientrino nelle liste ufficiali di beni di uso duplice controllati, possano comunque essere destinati a un utilizzo militare. Di fatto quindi la decisione del ministero congela per un periodo le esportazioni di Hacking Team. La quale a quel punto inizia un’intensa attività lobbistica distribuita su ambienti politici, governativi e militari di alto livello per quella che avverte come la più grave minaccia al proprio business mai verificatasi. 

Lo stallo dura poco, viene sbloccato a dicembre; ma a quel punto arriva un’altra grana. Un aggiornamento del regolamento della Commissione europea prevederà comunque l’inclusione della tipologia di prodotti di Hacking Team nella lista delle tecnologie a uso duplice o duale controllate a partire da gennaio 2015. Alla luce di ciò la società milanese chiede dunque un incontro col ministero per ottenere un’autorizzazione preventiva o un tipo di regolamentazione che comunque le consenta di esportare anche fuori dall’Europa. 

Accanimento?  

Più volte in queste diverse vicende i vertici di Hacking Team sembrano ritenere di essere l’oggetto di un accanimento – di attivisti, media, funzionari, burocrati, e soprattutto di interessi potenti. Che il loro stesso software – e l’aiuto dato a indagini su criminalità organizzata e corruzione – sia un nemico da abbattere per chi ha qualcosa da nascondere, anche nelle alte sfere. E sembrano invece impermeabili a un contesto internazionale che negli ultimi quattro anni ha accumulato numerosi rapporti di denuncia di Ong e singoli ricercatori sull’uso di questo tipo di software di sorveglianza in Paesi autoritari e sulle loro conseguenze pesanti sulla vita di attivisti, giornalisti e avvocati spiati. Tra l’altro Hacking Team non era la sola azienda del genere a essere criticata: lo era anche la tedesca FinFisher, che proprio nell’agosto 2014 è stata hackerata con diffusione online dei suoi documenti.  

Non si sa chi sia stato a farlo, ma appare molto probabile che si tratti della stessa mano che qualche giorno fa ha violato anche la società milanese – come già scritto da noi subito dopo l’azione.  

Certo, le informazioni uscite dopo l’attacco informatico non aiuteranno la causa di Hacking Team.Ancora a maggio un rappresentante della società milanese andava in Bangladesh a mostrare la propria tecnologia a un’agenzia di sicurezza paramilitare nota per torture ed esecuzioni sommarie. Human Rights Watch l’aveva soprannominata «squadrone della morte».