Il merito della vicenda Equalize, da un punto di vista più cyber, sta nell'aver portato alla ribalta un'altra questione: esiste ed è sempre ben vivo un ecosistema dello spyware italiano, un insieme di entità che sono in vario modo in grado di carpire comunicazioni e informazioni, legalmente e non. Benvenuti, quindi, nel sottobosco italiano dello spyware commerciale: una galassia piuttosto nutrita di realtà grandi e piccole, più o meno sofisticate, grazie alle quali il nostro Paese si è ritagliato una posizione di assoluto rilievo nel mondo. Dopo Israele, siamo infatti quelli che "abilitano" più azioni illecite di spionaggio digitale ai danni di privati, aziende, gruppi politici, oppositori sgraditi.

Perché il mercato dello spyware si è particolarmente sviluppato in una nazione, come la nostra, che non è esattamente né un cardine dello sviluppo tecnologico avanzato - come lo sono invece Israele e gli USA, che indubbiamente hanno un ruolo chiave nel mercato della cybersecurity in generale - né al centro delle più complesse operazioni geopolitiche o finanziarie? Il motivo principale è banalmente che sviluppare spyware per intercettare le comunicazioni è un mercato remunerativo e nel quale è possibile operare senza essere per forza e sempre all'avanguardia della tecnologia.

Quanto sia remunerativo lo lasciano capire le cronache giudiziarie ma lo dice chiaramente, quantomeno come punto di riferimento verso il basso, la legge italiana stessa. Il Ministero della Giustizia ha ad esempio un listino ufficiale di quanto le Forze dell'Ordine possono pagare nelle operazioni di intercettazione delle comunicazioni. Il listino è uno degli allegati tecnici del Decreto Ministeriale del 6 ottobre 2022, quindi consultabile pubblicamente.

Secondo questo documento, l'infezione di un dispositivo - tipicamente uno smartphone o un computer - porta in tasca al massimo 250 euro, e da lì in poi per quella che ufficialmente si chiama "intercettazione telematica attiva", che spazia dalla cattura delle rubriche dei contatti alla esfiltrazione delle chat sino alla registrazione delle chiamate voce, si staccano fatture da 150 euro al giorno. Se consideriamo che una intercettazione ufficiale in Italia dura mediamente due mesi e mezzo circa, il suo introito si aggira intorno agli 11.500 euro. Non moltissimo ma nemmeno poco, per chi sappia industrializzare questo tipo di operazioni.

E, soprattutto, questi sono i costi minimi imposti dalla PA. Clienti meno attenti alle spese e magari orientati ad azioni di spionaggio e intercettazione poco, o per nulla, etiche sono certamente disposti a pagare molto di più. Chi ne sa di spyware tra l'altro racconta che quello italiano è apprezzato nel mondo: non è tecnicamente sofisticato ma costa relativamente poco. E pare sia anche user-friendly (per chi spia, ovviamente).

Il cluster italiano

In Italia il mercato delle intercettazioni va ben oltre le Forze dell'Ordine, ma a "supportare" lo sviluppo dello spyware commerciale Made in Italy è stata per parecchio tempo proprio la propensione degli uffici giudiziari italiani a usare molto spesso le intercettazioni telefoniche e digitali. Troppo spesso, secondo molti: siamo ormai a diverse migliaia l'anno. Questo ha favorito la nascita e la crescita di diversi sviluppatori e operatori locali di spyware commerciale, tanto che una recente analisi del Digital Forensic Research Lab dell'Atlantic Council parla di un vero e proprio "cluster italiano" dello spyware, con sei entità - Dataflow Security, DataForense, Memento Labs (già Hacking Team e Grey Heron), Movia, Negg Group/Negg International, RCS ETM Sicurezza - di rilievo. Le uniche altre nazioni che hanno il dubbio merito di rappresentare un cluster sono Israele, che è da anni il player principale del settore, e l'India, comunque in terza posizione per rilevanza dopo l'Italia.

È importante notare che le aziende "di riferimento" sono solo la cima dell'iceberg, o perlomeno la sua parte più evidente e comunque pubblica. Di solito chi produce spyware e gestisce operazioni di intercettazione crea una sua rete di filiali estere e aziende satellite - pubbliche o meno, legali o meno - e di collaborazioni tecnologiche che ne ampia sensibilmente il raggio d'azione. Memento Labs è un buon esempio: ha cambiato denominazione varie volte, generato almeno uno spinoff, collaborato con almeno un partner estero (la sudafricana VASTech) nello sviluppo di dispositivi di intercettazione digitale che hanno avuto un mercato ben più vasto di quello nazionale.

Per ogni produttore noto di spyware ce ne sono diversi altri che badano bene a non farsi notare, ma operano con la stessa pericolosità. La community dello spyware italiano, in sostanza, non si ferma affatto ai nomi citati. E ciascun attore in più aumenta il rischio che i dati raccolti nelle operazioni di intercettazione, anche quando queste sono legali, finiscano nelle mani di persone che li useranno per scopi illeciti. Il problema sussiste in tutto il mondo, per carità, ma in alcune nazioni più che in altre. E l'Italia è fra queste.

C'è certamente una tendenza globale a cercare di limitare la diffusione e l'uso degli spyware da parte dei Governi, per ovvie ragioni, ma è inevitabile che permangano aree di ambiguità. Le normative internazionali e locali dovrebbero chiarire in maniera netta proprio questo: chi può fare cosa, come ed entro quali limiti. Con il rischio, sottolineano però diversi legislatori, che qualsiasi legge che disciplini lo spyware commerciale finisca anche per legittimarlo, in qualche modo.

Per essere sicuri che le legislazioni anti-spyware a cui si sta lavorando portino almeno un risultato utile, spiegano diversi osservatori, uno degli obiettivi principali deve essere, prima ancora che cercare una idealistica eliminazione delle intercettazioni, garantire la trasparenza della loro supply chain tecnologica. Obbligare cioè le agenzie governative a ufficializzare i fornitori di cui si servono e soprattutto approfondire chi sono effettivamente, chi li controlla e li finanzia, quali legami hanno con le altre entità del mondo spyware. Questo aiuterebbe a mappare in profondità la galassia dello spyware commerciale e, nelle intenzioni, a individuare gli operatori che sarebbe assai meglio mettere fuori gioco. Non è la soluzione onnicomprensiva al problema dello spyware usato illegalmente, ma è un inizio.