L’Auto­crate nel tuo iPhone

Come lo spy­ware mer­ce­na­rio minac­cia la demo­cra­zia
Ronald J. Dei­bert Ronald J. Dei­bert è pro­fes­sore di Scienze poli­ti­che e diret­tore del Citi­zen Lab presso la Munk School of Glo­bal Affairs and Public Policy dell’Uni­ver­sità di Toronto.

Come lo spy­ware mer­ce­na­rio minac­cia la demo­cra­zia
Nell’estate del 2020, un com­plotto ruan­dese per cat­tu­rare il lea­der dell’oppo­si­zione in esi­lio Paul Ruse­sa­ba­gina ha atti­rato i titoli inter­na­zio­nali. Ruse­sa­ba­gina è meglio cono­sciuto come il difen­sore dei diritti umani e il desti­na­ta­rio della Meda­glia Pre­si­den­ziale della Libertà degli Stati Uniti che ha ospi­tato più di 1.200 hutu e tutsi in un hotel durante il geno­ci­dio ruan­dese del 1994. Ma nei decenni suc­ces­sivi al geno­ci­dio, divenne anche un impor­tante cri­tico sta­tu­ni­tense del pre­si­dente ruan­dese Paul Kagame. Nell’ago­sto 2020, durante una sosta a Dubai, Ruse­sa­ba­gina è stato atti­rato con falsi pre­te­sti a bordo di un aereo diretto a Kigali, la capi­tale del Ruanda, dove le auto­rità gover­na­tive lo hanno imme­dia­ta­mente arre­stato per la sua affi­lia­zione a un gruppo di oppo­si­zione. L’anno suc­ces­sivo, un tri­bu­nale ruan­dese lo con­dannò a 25 anni di car­cere, atti­rando la con­danna dei gruppi inter­na­zio­nali per i diritti umani, del Par­la­mento euro­peo e del Con­gresso degli Stati Uniti.
Meno notato all’epoca, tut­ta­via, era che que­sta sfac­ciata ope­ra­zione trans­fron­ta­liera potrebbe anche aver impie­gato una sor­ve­glianza digi­tale alta­mente sofi­sti­cata. Dopo la con­danna di Ruse­sa­ba­gina, Amne­sty Inter­na­tio­nal e il Citi­zen Lab dell’Uni­ver­sità di Toronto, un gruppo di ricerca sulla sicu­rezza digi­tale che ho fon­dato e diretto, hanno sco­perto che gli smart­phone appar­te­nenti a diversi mem­bri della fami­glia di Ruse­sa­ba­gina che vive­vano anche all’estero erano stati hac­ke­rati da un avan­zato pro­gramma spy­ware chia­mato Pega­sus. Pro­dotto dal gruppo israe­liano NSO, Pega­sus offre a un ope­ra­tore un accesso quasi totale ai dati per­so­nali di un tar­get. L’ana­lisi forense ha rive­lato che il tele­fono appar­te­nente alla figlia di Ruse­sa­ba­gina, Carine Kanimba, era stato infet­tato dallo spy­ware nel periodo in cui suo padre era stato rapito e di nuovo quando stava cer­cando di otte­nere il suo rila­scio e stava incon­trando fun­zio­nari di alto livello in Europa e il Dipar­ti­mento di Stato degli Stati Uniti, incluso l’inviato spe­ciale degli Stati Uniti per gli affari degli ostaggi. NSO Group non iden­ti­fica pub­bli­ca­mente i suoi clienti gover­na­tivi e il governo ruan­dese ha negato l’uso di Pega­sus, ma forti prove cir­co­stan­ziali indi­cano il regime di Kagame.
In realtà, l’inci­dente è solo uno dei doz­zine di casi in cui Pega­sus o altre tec­no­lo­gie spy­ware simili sono state tro­vate sui dispo­si­tivi digi­tali di impor­tanti figure poli­ti­che dell’oppo­si­zione, gior­na­li­sti e atti­vi­sti per i diritti umani in molti paesi. For­nendo la pos­si­bi­lità di infil­trarsi clan­de­sti­na­mente anche negli smart­phone più aggior­nati—l’ultima ver­sione “zero click” dello spy­ware può pene­trare in un dispo­si­tivo senza alcuna azione da parte dell’utente-Pega­sus è diven­tato lo stru­mento di sor­ve­glianza digi­tale di scelta per i regimi repres­sivi di tutto il mondo. È stato usato con­tro i cri­tici del governo negli Emi­rati Arabi Uniti (EAU) e con­tro i mani­fe­stanti pro-demo­cra­zia in Thai­lan­dia. È stato schie­rato dall’Ara­bia Sau­dita di Moham­med bin Sal­man e dall’Unghe­ria di Vik­tor Orban.
Ma l’uso di spy­ware è dif­fi­cil­mente limi­tato agli auto­ri­tari del mondo. Come hanno rive­lato i ricer­ca­tori, negli ultimi dieci anni molte demo­cra­zie, tra cui Spa­gna e Mes­sico, hanno ini­ziato a uti­liz­zare spy­ware, in modi che vio­lano le norme ben con­so­li­date sui diritti umani e la respon­sa­bi­lità pub­blica. Docu­menti del governo degli Stati Uniti divul­gati dal New York
Il Times nel novem­bre 2022 mostra che l’FBI non solo ha acqui­sito ser­vizi spy­ware da NSO, pos­si­bil­mente per scopi di con­tro­spio­nag­gio, ma ha anche con­tem­plato la loro distri­bu­zione, anche su obiet­tivi sta­tu­ni­tensi. (Un por­ta­voce dell’FBI ha detto al Times che ” non c’è stato alcun uso ope­ra­tivo del pro­dotto NSO per sup­por­tare qual­siasi inda­gine dell’FBI.”)
L’avvento dello spy­ware avan­zato ha tra­sfor­mato il mondo dello spio­nag­gio e della sor­ve­glianza. Riu­nendo una gran parte non rego­la­men­tata
con un eco­si­stema digi­tale inva­sivo-by-design in cui smart­phone e altri dispo­si­tivi per­so­nali con­ten­gono i det­ta­gli più intimi della vita delle per­sone, la nuova tec­no­lo­gia può trac­ciare quasi chiun­que, ovun­que nel mondo. I governi ne hanno preso atto. Per Israele, che approva le licenze di espor­ta­zione per Pega­sus del Gruppo NSO, la ven­dita di spy­ware a governi stra­nieri ha por­tato nuovo peso diplo­ma­tico in paesi dispa­rati come India e Panama; un’inda­gine del New York Times ha sco­perto che gli accordi NSO hanno aiu­tato il primo mini­stro israe­liano Ben­ja­min Neta­nyahu a sigil­lare gli accordi di Abra­ham con Bah­rain, Marocco e Emi­rati Arabi Uniti. A loro volta, gli stati clienti hanno usato Pega­sus con­tro non solo gruppi di oppo­si­zione, gior­na­li­sti e orga­niz­za­zioni non gover­na­tive (ONG), ma anche rivali geo­po­li­tici. Nel 2020 e nel 2021, il Citi­zen Lab ha sco­perto che diversi dispo­si­tivi appar­te­nenti a fun­zio­nari del Foreign Com­mo­n­wealth and Deve­lo­p­ment Office del Regno Unito erano stati hac­ke­rati con Pega­sus e che un cliente di NSO Group negli Emi­rati Arabi Uniti aveva uti­liz­zato lo spy­ware per infil­trarsi in un dispo­si­tivo situato al 10 di Dow­ning Street, la resi­denza del primo mini­stro bri­tan­nico. Nel novem­bre 2021, il gigante tec­no­lo­gico Apple ha noti­fi­cato a 11 mem­bri dello staff dell’amba­sciata degli Stati Uniti in Uganda che i loro iPhone erano stati hac­ke­rati con Pega­sus.
In rispo­sta a que­ste rive­la­zioni, le aziende di spy­ware hanno gene­ral­mente negato la respon­sa­bi­lità per gli abusi dei loro clienti o hanno rifiu­tato di com­men­tare. In una dichia­ra­zione al New Yor­ker nell’aprile 2022, NSO Group ha dichia­rato: “Abbiamo ripe­tu­ta­mente col­la­bo­rato con inda­gini gover­na­tive, in cui le accuse cre­di­bili meri­tano, e abbiamo impa­rato da cia­scuno di que­sti risul­tati e rap­porti e miglio­rato le garan­zie nelle nostre tec­no­lo­gie.”La società israe­liana ha anche affer­mato che la sua tec­no­lo­gia è pro­get­tata per aiu­tare i governi a inda­gare sulla cri­mi­na­lità e sul ter­ro­ri­smo. Ma lo spy­ware avan­zato è ora impli­cato in vio­la­zioni dei diritti umani e spio­nag­gio inter­sta­tale in doz­zine di paesi, e le aziende di spy­ware hanno pochi obbli­ghi legali o incen­tivi per la tra­spa­renza pub­blica o la respon­sa­bi­lità. NSO Group non ha for­nito alcuna infor­ma­zione spe­ci­fica per con­tra­stare le prove det­ta­gliate degli abusi del Citi­zen Lab.
Le con­se­guenze della rivo­lu­zione spy­ware sono pro­fonde. Nei paesi con poche risorse, le forze di sicu­rezza pos­sono ora per­se­guire ope­ra­zioni high-tech uti­liz­zando la tec­no­lo­gia off-the-shelf che è quasi facile da acqui­sire come cuf­fie da Ama­zon. Tra le demo­cra­zie, la tec­no­lo­gia è diven­tata uno stru­mento irre­si­sti­bile che può essere distri­buito con poca super­vi­sione; solo nell’ultimo anno, le agen­zie di sicu­rezza in almeno quat­tro
Con gli spy­ware, i governi pos­sono fer­mare le pro­te­ste prima che si veri­fi­chino.
I paesi euro­pei-Gre­cia, Unghe­ria, Polo­nia e Spa­gna—sono stati coin­volti in scan­dali in cui le agen­zie sta­tali sono state accu­sate di dispie­gare spy­ware con­tro gior­na­li­sti e espo­nenti dell’oppo­si­zione poli­tica. Un mer­cato glo­bale di spy­ware signi­fica anche che le forme di sor­ve­glianza e spio­nag­gio che una volta erano limi­tate a poche grandi potenze sono ora dispo­ni­bili per quasi tutti i paesi e poten­zial­mente anche per più aziende pri­vate. Lasciata non rego­la­men­tata, la pro­li­fe­ra­zione di que­sta tec­no­lo­gia minac­cia di ero­dere molte delle isti­tu­zioni, dei pro­cessi e dei valori da cui dipende l’ordine inter­na­zio­nale libe­rale.
Noi spiare per voi
La rivo­lu­zione degli spy­ware è emersa come un sot­to­pro­dotto di una note­vole con­ver­genza di svi­luppi tec­no­lo­gici, sociali e poli­tici negli ultimi dieci anni. Gli smart­phone e altri dispo­si­tivi digi­tali sono vul­ne­ra­bili alla sor­ve­glianza per­ché le loro appli­ca­zioni spesso con­ten­gono difetti e per­ché tra­smet­tono con­ti­nua­mente dati attra­verso reti cel­lu­lari e Inter­net non sicure. Seb­bene i pro­dut­tori di que­ste piat­ta­forme tec­no­lo­gi­che impie­ghino inge­gneri per tro­vare e cor­reg­gere le vul­ne­ra­bi­lità, ten­dono a dare prio­rità allo svi­luppo del pro­dotto rispetto alla sicu­rezza. Sco­prendo e armando “zero days”—difetti del soft­ware che sono sco­no­sciuti ai loro pro­get­ti­sti—le aziende di spy­ware sfrut­tano l’insi­cu­rezza intrin­seca del mondo dei con­su­ma­tori digi­tali.
Ma la straor­di­na­ria cre­scita del mer­cato degli spy­ware è stata anche gui­data da diverse ten­denze più ampie. In primo luogo, spy­ware sfrutta una cul­tura digi­tale glo­bale che si forma intorno always-on, smart­phone sem­pre con­nessi. Hac­ke­rando un dispo­si­tivo per­so­nale, lo spy­ware può for­nire ai suoi ope­ra­tori l’intero modello di vita di un utente in tempo reale. In secondo luogo, lo spy­ware offre alle agen­zie di sicu­rezza un modo ele­gante per aggi­rare la crit­to­gra­fia end-to-end, che è diven­tata una bar­riera cre­scente ai pro­grammi di sor­ve­glianza di massa del governo che dipen­dono dalla rac­colta di dati di tele­co­mu­ni­ca­zioni e Inter­net. Entrando nel dispo­si­tivo di un utente, lo spy­ware con­sente ai suoi ope­ra­tori di leg­gere i mes­saggi o ascol­tare le chia­mate prima che siano state crit­to­gra­fate o dopo che sono state decrit­to­gra­fate; se l’utente può vederlo sullo schermo, lo spy­ware può farlo. Un terzo fat­tore che ha gui­dato la cre­scita del set­tore è stato l’aumento dei movi­menti di pro­te­sta abi­li­tati digi­tal­mente. Scon­vol­gi­menti popo­lari come le rivo­lu­zioni colo­rate negli stati ex sovie­tici nel primo decen­nio di que­sto secolo e la Pri­ma­vera araba nel 2010-11 hanno colto di sor­presa molti auto­crati, e gli orga­niz­za­tori hanno spesso usato i tele­foni per mobi­li­tare i mani­fe­stanti. Offrendo un modo quasi divino per entrare nelle reti di atti­vi­sti, spy­ware ha aperto
un nuovo potente metodo per i governi per moni­to­rare il dis­senso e adot­tare misure per neu­tra­liz­zarlo prima che si veri­fi­chino grandi pro­te­ste.
Infine, l’indu­stria dello spy­ware è stata ali­men­tata anche dalla cre­scente pri­va­tiz­za­zione della sicu­rezza nazio­nale. Pro­prio come i governi si sono rivolti a appal­ta­tori pri­vati per ope­ra­zioni mili­tari com­pli­cate o con­tro­verse, hanno sco­perto che pos­sono ester­na­liz­zare la sor­ve­glianza e lo spio­nag­gio a attori pri­vati meglio equi­pag­giati e meno visi­bili. Come i sol­dati di for­tuna, le società di spy­ware avan­zati ten­dono a met­tere i ricavi davanti all’etica, ven­dendo i loro pro­dotti senza riguardo per la poli­tica dei loro clienti—dando ori­gine al ter­mine “spy­ware mer­ce­na­rio”—e come gli appal­ta­tori mili­tari, i loro rap­porti con le agen­zie di sicu­rezza gover­na­tive sono spesso amman­tati di segre­tezza per evi­tare il con­trollo pub­blico. Inol­tre, pro­prio come gli appal­ta­tori mili­tari hanno offerto lucra­tive car­riere nel set­tore pri­vato per i vete­rani delle agen­zie mili­tari e di intel­li­gence, le aziende di spy­ware e i ser­vizi di sicu­rezza gover­na­tivi hanno costruito part­ner­ship altret­tanto reci­pro­ca­mente van­tag­giose, sti­mo­lando l’indu­stria nel pro­cesso. Molti mem­bri senior del Gruppo NSO, ad esem­pio, sono vete­rani dell’intel­li­gence israe­liana, incluso il Diret­to­rato dell’intel­li­gence mili­tare d’élite.
Anche se la man­canza di tra­spa­renza ha reso l’indu­stria dello spy­ware mer­ce­na­rio dif­fi­cile da misu­rare, i gior­na­li­sti hanno sti­mato che valga circa bil­lion 12 miliardi all’anno. Prima delle recenti bat­tute d’arre­sto finan­zia­rie cau­sate da un numero cre­scente di cause legali, NSO Group è stato valu­tato a 2 2 miliardi e ci sono altri impor­tanti attori nel mer­cato. Molte aziende ora pro­du­cono sofi­sti­cati spy­ware, tra cui Cytrox (fon­data in Mace­do­nia del Nord e ora con ope­ra­zioni in Unghe­ria e Israele), Cyber­bit e Can­diru con sede in Israele, Hac­king Team con sede in Ita­lia (ora defunto) e il gruppo anglo-tede­sco Gamma. Ognuna di que­ste aziende può ipo­te­ti­ca­mente ser­vire nume­rosi clienti. I governi che sem­brano aver uti­liz­zato lo spy­ware Pre­da­tor di Cytrox, ad esem­pio, inclu­dono Arme­nia, Egitto, Gre­cia, Indo­ne­sia, Mada­ga­scar e Ser­bia. Nel 2021, il segre­ta­rio alla sicu­rezza e alla sicu­rezza pub­blica del Mes­sico, Rosa Icela Rodríguez, ha dichia­rato che le pre­ce­denti ammi­ni­stra­zioni mes­si­cane ave­vano fir­mato più con­tratti con NSO Group, per un totale di 61 milioni di dol­lari, per acqui­stare spy­ware Pega­sus e, come hanno dimo­strato ricer­ca­tori mes­si­cani e inter­na­zio­nali, il governo ha con­ti­nuato a uti­liz­zare Pega­sus nono­stante le assi­cu­ra­zioni pub­bli­che dell’attuale lea­der­ship che non lo avrebbe fatto. (Nell’otto­bre 2022, il pre­si­dente mes­si­cano Andrés Manuel López Obra­dor ha negato i risul­tati, affer­mando che la sua ammi­ni­stra­zione non stava usando lo spy­ware con­tro gior­na­li­sti o oppo­si­tori poli­tici.)
Sulla base di tali accordi lucra­tivi, le aziende di spy­ware hanno goduto del soste­gno di impor­tanti fondi di pri­vate equity, come il San Fran­ci­sco
Fran­ci­sco Part­ners e la lon­di­nese Noval­pina Capi­tal, raf­for­zando così le loro risorse. Fran­ci­sco Part­ners, che aveva una par­te­ci­pa­zione di con­trollo in NSO Group per cin­que anni, ha dichia­rato a Bloom­berg News nel 2021: “[Siamo] pro­fon­da­mente impe­gnati in pra­ti­che com­mer­ciali eti­che e valu­tiamo tutti i nostri inve­sti­menti attra­verso que­sta lente. Noval­pina, che insieme ai fon­da­tori di NSO ha acqui­sito la par­te­ci­pa­zione di Fran­ci­sco Part­ners nel 2019, ha dichia­rato che avrebbe por­tato la società di spy­ware “in pieno alli­nea­mento con i prin­cipi guida delle Nazioni Unite su affari e diritti umani”, ma le rive­la­zioni sugli abusi di Pega­sus sono con­ti­nuate, e la cor­ri­spon­denza pub­bli­cata da The Guar­dian nel 2022 ha indi­cato che Noval­pina ha cer­cato di scre­di­tare i cri­tici del Gruppo NSO, incluso que­sto autore. (Gli avvo­cati di Noval­pina hanno detto al Guar­dian che si trat­tava di “accuse tenue e infon­date.”) Dopo una disputa tra i soci fon­da­tori di Noval­pina, l’azienda ha perso la sua par­te­ci­pa­zione di con­trollo in NSO Group nel 2021.
Ma l’indu­stria dello spy­ware include anche aziende molto meno sofi­sti­cate in paesi come l’India, le Filip­pine e Cipro. Come l’equi­va­lente di sor­ve­glianza di negozi di ripa­ra­zione tele­fono strip-mall, tali abiti pos­sono man­care la capa­cità di iden­ti­fi­care zero giorni, ma pos­sono ancora rag­giun­gere gli obiet­tivi attra­verso mezzi più sem­plici. Pos­sono uti­liz­zare il phi­shing delle cre­den­ziali-uti­liz­zando falsi pre­te­sti, spesso via e—mail o mes­saggi di testo, per otte­nere le pas­sword digi­tali di un utente o altre infor­ma­zioni per­so­nali sen­si­bili-o pos­sono sem­pli­ce­mente acqui­stare vul­ne­ra­bi­lità del soft­ware da altri hac­ker sul mer­cato nero. E que­ste imprese più pic­cole pos­sono essere più dispo­ste a intra­pren­dere ope­ra­zioni ille­gali per conto di clienti pri­vati per­ché si tro­vano al di fuori della giu­ri­sdi­zione in cui risiede una vit­tima o per­ché l’ese­cu­zione è las­si­sta.
È dif­fi­cile soprav­va­lu­tare la por­tata e la potenza degli ultimi spy­ware com­mer­ciali. Nelle sue forme più avan­zate, può infil­trarsi silen­zio­sa­mente in qual­siasi dispo­si­tivo vul­ne­ra­bile in qual­siasi parte del mondo. Prendi l’exploit zero-day, zero-click che i ricer­ca­tori del Citi­zen Lab hanno sco­perto nel 2021 su un iPhone infetto da Pega­sus. Uti­liz­zando l’exploit, che i ricer­ca­tori hanno chia­mato For­ce­dEn­try, un ope­ra­tore di spy­ware può inter­cet­tare sur­ret­ti­zia­mente testi e tele­fo­nate, com­prese quelle crit­to­gra­fate da app come Signal o What­sApp; accen­dere il micro­fono e la foto­ca­mera dell’utente; trac­ciare i movi­menti attra­verso il GPS di un dispo­si­tivo; e rac­co­gliere foto, note, con­tatti, e-mail e docu­menti. L’ope­ra­tore può fare quasi tutto ciò che un utente può fare e di più, tra cui ricon­fi­gu­rare le impo­sta­zioni di sicu­rezza del dispo­si­tivo e acqui­sire i token digi­tali che ven­gono uti­liz­zati per acce­dere in modo sicuro agli account cloud in modo che la sor­ve­glianza su un ber­sa­glio possa con­ti­nuare anche dopo che l’exploit è stato rimosso da un dispo­si­tivo, il tutto senza la con­sa­pe­vo­lezza del ber­sa­glio. Dopo che il Citi­zen Lab ha con­di­viso il For­ce­dEn­try di Pega­sus
con gli ana­li­sti di Apple e Goo­gle, gli ana­li­sti di Goo­gle lo hanno descritto come “uno degli exploit tec­ni­ca­mente più sofi­sti­cati che abbiamo mai visto“, notando che for­niva fun­zio­na­lità che ” in pre­ce­denza si pen­sava fos­sero acces­si­bili solo a una man­ciata di stati nazio­nali.”
Spa­rare ai mes­sag­geri
Negli ultimi dieci anni, l’ascesa di regimi auto­ri­tari in molte parti del mondo ha sol­le­vato nuove domande sulla durata dell’ordine inter­na­zio­nale libe­rale. Come è stato ampia­mente notato, molte élite al potere sono state in grado di sci­vo­lare verso l’auto­ri­ta­ri­smo limi­tando o con­trol­lando il dis­senso poli­tico, i media, i tri­bu­nali e altre isti­tu­zioni della società civile. Tut­ta­via, è stata pre­stata molta meno atten­zione al ruolo per­va­sivo dell’indu­stria dello spy­ware mer­ce­na­rio in que­sto pro­cesso. Que­sta negli­genza è in parte il risul­tato di quanto poco sap­piamo sullo spy­ware, inclusa, in molti casi, l’iden­tità delle agen­zie gover­na­tive spe­ci­fi­che che lo uti­liz­zano. (Data la natura segreta delle tran­sa­zioni spy­ware, è molto più facile iden­ti­fi­care le vit­time rispetto agli ope­ra­tori. Non vi è dub­bio, tut­ta­via, che lo spy­ware è stato uti­liz­zato per degra­dare siste­ma­ti­ca­mente le pra­ti­che e le isti­tu­zioni libe­ral-demo­cra­ti­che.
Uno degli usi più fre­quenti della tec­no­lo­gia è stato quello di infil­trarsi nei movi­menti di oppo­si­zione, in par­ti­co­lare in vista delle ele­zioni. I ricer­ca­tori hanno iden­ti­fi­cato casi in cui figure dell’oppo­si­zione sono state prese di mira, non solo in stati auto­ri­tari come l’Ara­bia Sau­dita e gli Emi­rati Arabi Uniti, ma anche in paesi demo­cra­tici come l’India e la Polo­nia. In effetti, uno dei casi più ecla­tanti è sorto in Spa­gna, una demo­cra­zia par­la­men­tare e mem­bro dell’Unione euro­pea. Tra il 2017 e il 2020, il Citi­zen Lab ha sco­perto che Pega­sus è stato uti­liz­zato per inter­cet­tare una vasta sezione tra­sver­sale della società civile e del governo cata­lani.Gli obiet­tivi inclu­de­vano ogni mem­bro cata­lano del Par­la­mento euro­peo che ha soste­nuto l’indi­pen­denza per la Cata­lo­gna, ogni pre­si­dente cata­lano dal 2010 e molti mem­bri degli organi legi­sla­tivi cata­lani, tra cui più pre­si­denti del par­la­mento cata­lano. In par­ti­co­lare, alcuni degli obiet­tivi hanno avuto luogo in mezzo a deli­cati nego­ziati tra il governo cata­lano e quello spa­gnolo sul destino dei soste­ni­tori dell’indi­pen­denza cata­lana che sono stati impri­gio­nati o in esi­lio. Dopo che i risul­tati hanno atti­rato l’atten­zione inter­na­zio­nale, Paz Este­ban, il capo del Cen­tro di intel­li­gence nazio­nale spa­gnolo, ha rico­no­sciuto ai legi­sla­tori spa­gnoli che lo spy­ware era stato usato con­tro alcuni poli­tici cata­lani, ed Este­ban è stato suc­ces­si­va­mente licen­ziato. Ma non è ancora chiaro quale agen­zia gover­na­tiva fosse respon­sa­bile e quali leggi, se ce ne sono, siano state uti­liz­zate per giu­sti­fi­care un’ope­ra­zione di spio­nag­gio nazio­nale così estesa.
In alcuni paesi, lo spy­ware si è dimo­strato altret­tanto effi­cace con­tro i gior­na­li­sti che stanno inda­gando su coloro che sono al potere, con con­se­guenze di vasta por­tata sia per gli obiet­tivi che per le loro fonti. Nel 2015, diversi dispo­si­tivi appar­te­nenti alla gior­na­li­sta mes­si­cana Car­men Ari­ste­gui e un mem­bro della sua fami­glia sono stati inviati Pega­sus exploit link men­tre stava inda­gando sulla cor­ru­zione che coin­volge l’allora pre­si­dente mes­si­cano Enri­que Peña Nieto. Non esi­ste una pistola fumante che iden­ti­fi­chi la parte respon­sa­bile, anche se forti prove cir­co­stan­ziali sug­ge­ri­scono un’agen­zia gover­na­tiva mes­si­cana. Nel 2021, un gior­na­li­sta unghe­rese che inda­gava sulla cor­ru­zione nella cer­chia ristretta del pre­si­dente Vik­tor Orban è stato hac­ke­rato con Pega­sus. (Il governo unghe­rese ha suc­ces­si­va­mente rico­no­sciuto di aver acqui­stato la tec­no­lo­gia.) E quello stesso anno, il cel­lu­lare del cor­ri­spon­dente del New York Times per il Medio Oriente Ben Hub­bard fu infet­tato da Pega­sus men­tre stava lavo­rando a un libro sul lea­der de facto dell’Ara­bia Sau­dita, il prin­cipe ere­di­ta­rio Moham­med bin Sal­man.
Quasi altret­tanto fre­quen­te­mente, lo spy­ware è stato uti­liz­zato per minare i fun­zio­nari giu­di­ziari e le orga­niz­za­zioni della società civile che stanno cer­cando di chie­dere conto ai governi. Pren­diamo il caso di Alberto Nisman, un noto pro­cu­ra­tore anti­cor­ru­zione argen­tino che stava inda­gando su una pre­sunta cospi­ra­zione cri­mi­nale da parte di fun­zio­nari argen­tini di alto livello. Nel gen­naio 2015, Nisman è stato tro­vato morto in cir­co­stanze sospette—la sua morte è stata poi dichia­rata un omi­ci­dio—il giorno prima doveva for­nire testi­mo­nianza al Con­gresso impli­cando l’allora pre­si­dente dell’Argen­tina Cri­stina Fernán­dez de Kirch­ner e il suo mini­stro degli esteri, Héc­tor Timer­man, in un insab­bia­mento del pre­sunto coin­vol­gi­mento ira­niano nell’atten­tato del 1994 di un cen­tro ebraico a Bue­nos Aires. Più tardi quell’anno, il Citi­zen Lab ha docu­men­tato come un gruppo suda­me­ri­cano di hack-for-hire fosse stato ingag­giato per col­pire Nisman con spy­ware prima della sua morte, sug­ge­rendo che qual­cuno al potere era desi­de­roso di scru­tare nelle sue inda­gini. In Mes­sico nel 2017, una o più agen­zie gover­na­tive ancora sco­no­sciute hanno uti­liz­zato lo spy­ware Pega­sus con­tro gruppi per i diritti umani e inve­sti­ga­tori inter­na­zio­nali che sta­vano rin­trac­ciando poten­ziali insab­bia­menti gover­na­tivi della fami­ge­rata scom­parsa e del maca­bro omi­ci­dio di 43 stu­denti a Iguala, in Mes­sico. Rap­porti suc­ces­sivi hanno mostrato che il governo mes­si­cano aveva mala­mente pastic­ciato le inda­gini e che il governo
Un lea­der dell’oppo­si­zione egi­ziana è stato preso di mira da due diversi governi.
il per­so­nale è stato coin­volto in un insab­bia­mento-sco­perte che non sareb­bero mai venute alla luce senza gli sforzi dei cani da guar­dia della società civile.
Altri obiet­tivi comuni di Pega­sus sono avvo­cati coin­volti in casi impor­tanti o poli­ti­ca­mente sen­si­bili. Nella mag­gior parte delle demo­cra­zie libe­rali, il pri­vi­le­gio avvo­cato-cliente è sacro­santo. Eppure il Citi­zen Lab ha iden­ti­fi­cato una varietà di casi in cui lo spy­ware è stato uti­liz­zato per hac­ke­rare o indi­riz­zare i dispo­si­tivi degli avvo­cati. Nel 2015, la tat­tica è stata usata con­tro due avvo­cati in Mes­sico che rap­pre­sen­ta­vano le fami­glie di Nadia Vera, una cri­tica del governo uccisa e soste­ni­trice dei diritti delle donne. Più recen­te­mente, diversi avvo­cati che rap­pre­sen­tano impor­tanti cata­lani sono stati presi di mira come parte della cam­pa­gna di sor­ve­glianza spa­gnola. E in Polo­nia, lo spy­ware Pega­sus è stato uti­liz­zato più volte per hac­ke­rare il dispo­si­tivo di Roman Gier­tych, con­su­lente legale di Donald Tusk, ex primo mini­stro e lea­der del prin­ci­pale par­tito di oppo­si­zione del paese. (All’ini­zio del 2022, il vice primo mini­stro polacco Jaro­slaw Kac­zyn­ski ha rico­no­sciuto pub­bli­ca­mente che il governo aveva acqui­stato lo spy­ware Pega­sus, ma ha negato che fosse stato usato con­tro l’oppo­si­zione polacca.)
Come la dispo­ni­bi­lità di spy­ware cre­sce, i clienti del set­tore pri­vato sono anche sem­pre in atto. Con­si­de­rate le atti­vità di Bell­TroX, una società indiana di hack-for-hire respon­sa­bile di ampio spio­nag­gio per conto di clienti pri­vati in tutto il mondo. Tra il 2015 e il 2017, qual­cuno ha usato i ser­vizi di Bell­TroX con­tro le orga­niz­za­zioni non pro­fit ame­ri­cane che sta­vano lavo­rando per pub­bli­ciz­zare le rive­la­zioni che la com­pa­gnia petro­li­fera Exxon­Mo­bil aveva nasco­sto le sue ricer­che sui cam­bia­menti cli­ma­tici per decenni. Bell­TroX è stato anche uti­liz­zato per indi­riz­zare le orga­niz­za­zioni sta­tu­ni­tensi che lavo­rano sulla neu­tra­lità della rete, pre­su­mi­bil­mente per volere di un cliente o di clienti diversi che si oppo­ne­vano a tale riforma. Bell­TroX ha anche un’atti­vità fio­rente nel mondo legale; studi legali in molti paesi hanno uti­liz­zato i ser­vizi della società per spiare i con­su­lenti avver­sari. Nell’aprile 2022, un detec­tive pri­vato israe­liano che ha agito come bro­ker per Bell­TroX si è dichia­rato col­pe­vole in tri­bu­nale degli Stati Uniti per frode, cospi­ra­zione per com­met­tere hac­king e furto di iden­tità aggra­vato, ma gli ope­ra­tori indiani di Bell­TroX sono rima­sti fuori dalla por­tata della legge. (Chie­sto da Reu­ters nel 2020 di rispon­dere ai risul­tati, il fon­da­tore della società, Sumit Gupta, ha negato qual­siasi ille­cito e ha rifiu­tato di rive­lare i suoi clienti.)
Nes­sun posto dove nascon­dersi
Il pro­li­fe­rare di spy­ware con­tro obiet­tivi poli­tici e della società civile nelle demo­cra­zie avan­zate è abba­stanza pre­oc­cu­pante. Ancora più minac­ciosi, tut­ta­via, potreb­bero essere i modi in cui la tec­no­lo­gia ha per­messo ai regimi auto­ri­tari di esten­dere la loro repres­sione ben oltre
pro­pri con­fini. Negli ultimi decenni, gli auto­crati hanno affron­tato bar­riere signi­fi­ca­tive per repri­mere i cit­ta­dini che erano andati in esi­lio. Con lo spy­ware, tut­ta­via, un ope­ra­tore può entrare nell’intera rete di un esule poli­tico senza met­tere piede nel paese adot­tato dall’obiet­tivo e con pochis­simi rischi e costi asso­ciati allo spio­nag­gio inter­na­zio­nale con­ven­zio­nale.
Gli esempi di que­sta nuova forma di repres­sione trans­na­zio­nale sono mol­te­plici. A par­tire dal 2016, Cyber­bit è stato uti­liz­zato per col­pire dis­si­denti etiopi, avvo­cati, stu­denti e altri in quasi 20 paesi. Nel 2021, i tele­foni di due impor­tanti egi­ziani—il poli­tico dell’oppo­si­zione in esi­lio Ayman Nour, che vive in Tur­chia, e l’ospite di un popo­lare pro­gramma di noti­zie (che ha chie­sto di rima­nere ano­nimo per la pro­pria sicu­rezza)—sono stati hac­ke­rati con lo spy­ware Pre­da­tor di Cytrox. In effetti, il tele­fono di Nour, che è un cri­tico espli­cito del pre­si­dente egi­ziano Abdel Fat­tah el-Sisi, è stato con­tem­po­ra­nea­mente infet­tato da spy­ware Pega­sus di Pre­da­tor e NSO Group, entrambi appa­ren­te­mente gestiti da clienti gover­na­tivi sepa­rati— l’Egitto nel caso di Pre­da­tor e l’Ara­bia Sau­dita o gli Emi­rati Arabi Uniti nel caso di Pega­sus. In una dichia­ra­zione a Vice News, Cyber­bit ha affer­mato che il governo israe­liano super­vi­siona la sua tec­no­lo­gia e che “le agen­zie di intel­li­gence e difesa che acqui­stano que­sti pro­dotti sono obbli­gate a usarli in con­for­mità con la legge. Nel caso di hac­king egi­ziano, il CEO di Cytrox, Ivo Malin­ko­v­ski, ha rifiu­tato di com­men­tare; secondo VICE news, ha suc­ces­si­va­mente can­cel­lato i rife­ri­menti a Cytrox nel suo pro­filo Lin­ke­dIn. (I governi di Egitto, Etio­pia, Ara­bia Sau­dita e Emi­rati Arabi Uniti hanno rifiu­tato di com­men­tare i risul­tati.)
Par­ti­co­lar­mente di vasta por­tata è stata la cam­pa­gna spy­ware trans­na­zio­nale del governo sau­dita. Nel 2018, un tele­fono appar­te­nente a Gha­nem al-Masa­rir, un dis­si­dente sau­dita che vive nel Regno Unito, è stato vio­lato con lo spy­ware Pega­sus. In coin­ci­denza con l’infe­zione del suo dispo­si­tivo, al-Masa­rir è stato rin­trac­ciato e aggre­dito fisi­ca­mente da agenti sau­diti a Lon­dra. Lo spy­ware potrebbe anche aver avuto un ruolo nella fami­ge­rata ucci­sione del gior­na­li­sta sau­dita in esi­lio Jamal Kha­shoggi nel con­so­lato sau­dita in Tur­chia. Nel 2018, un tele­fono di pro­prietà di Omar Abdu­la­ziz—un atti­vi­sta sau­dita, resi­dente per­ma­nente cana­dese e stretto con­fi­dente di Kha­shoggi—è stato vio­lato con lo spy­ware Pega­sus. Abdu­la­ziz e Kha­shoggi ave­vano discusso del loro atti­vi­smo con­tro il regime sau­dita su ciò che rite­ne­vano erro­nea­mente fos­sero piat­ta­forme di comu­ni­ca­zione sicure. Dopo l’ucci­sione di Kha­shoggi, l’ana­lisi forense ha rive­lato che anche i dispo­si­tivi di molte altre per­sone più vicine a Kha­shoggi, tra cui la moglie egi­ziana e la fidan­zata turca, erano stati infet­tati. Fino a che punto Kha­shoggi
i suoi tele­foni sono stati hac­ke­rati non è noto per­ché la sua fidan­zata li ha con­se­gnati alle auto­rità tur­che, che li hanno trat­te­nuti da ana­lisi indi­pen­denti, ma i suoi con­tatti più stretti erano tutti sotto sor­ve­glianza, for­nendo agli agenti sau­diti fine­stre sulla vita per­so­nale di Kha­shoggi, sull’atti­vi­smo poli­tico e sui movi­menti nei mesi pre­ce­denti al suo omi­ci­dio. (Il governo sau­dita ha rifiu­tato di com­men­tare le rive­la­zioni. Nel 2021, NSO Group ha dichia­rato al Guar­dian: “La nostra tec­no­lo­gia non è stata asso­ciata in alcun modo all’effe­rato omi­ci­dio di Jamal Kha­shoggi.”)
In effetti, pren­dere di mira i cri­tici del regime all’estero con spy­ware è solo uno dei diversi modi in cui il governo sau­dita ha impie­gato la tec­no­lo­gia digi­tale per neu­tra­liz­zare il dis­senso. Ad esem­pio, secondo un’accusa fede­rale degli Stati Uniti, un alto con­si­gliere del prin­cipe ere­di­ta­rio sau­dita Moham­med bin Sal­man ha pagato un dipen­dente di Twit­ter 3 300.000 e ha for­nito altri regali nel 2014 e nel 2015, appa­ren­te­mente in cam­bio di spiare i dis­si­denti sulla piat­ta­forma. Il dipen­dente, che ha lasciato Twit­ter nel 2015, è stato con­dan­nato in tri­bu­nale negli Stati Uniti nel 2022. Quando tali tat­ti­che ven­gono uti­liz­zate in com­bi­na­zione con il tipo di sor­ve­glianza alta­mente intru­siva che lo spy­ware rap­pre­senta, i dis­si­denti pos­sono essere sot­to­po­sti a una straor­di­na­ria pres­sione psi­co­lo­gica. Molte vit­time di hac­king hanno spe­ri­men­tato uno shock debi­li­tante sapendo che i loro dispo­si­tivi com­pro­messi hanno anche messo a rischio amici e col­le­ghi e che ogni loro mossa viene osser­vata. Un’atti­vi­sta sau­dita ha spie­gato che essere presa di mira digi­tal­mente è stata una forma di” guerra psi­co­lo­gica ed emo­tiva “che le ha cau­sato ” paura e ansia senza fine.”Uti­liz­zando spy­ware, auto­crati e despoti sono quindi in grado di repri­mere le reti della società civile ben oltre i pro­pri con­fini, anche se raf­for­zano l’auto­cra­zia in patria.
Nono­stante un ampio e cre­scente corpo di docu­men­ta­zione sugli abusi spy­ware in tutto il mondo, ci sono diverse ragioni che la tec­no­lo­gia sem­bra desti­nata a diven­tare ancora più dif­fusa. In primo luogo, anche se molto con­trollo delle imprese spy­ware mer­ce­nari ha riguar­dato i loro con­tratti con le agen­zie gover­na­tive nazio­nali, molte aziende di mer­cato a più di un cliente in un deter­mi­nato paese, tra cui le forze dell’ordine locali. Ad esem­pio, in un viag­gio cono­sci­tivo in Israele nell’estate del 2022, i fun­zio­nari del Par­la­mento euro­peo hanno appreso che NSO Group ha almeno 22 clienti in 12 paesi euro­pei, sug­ge­rendo che un numero signi­fi­ca­tivo di que­sti clienti sono agen­zie sub­na­zio­nali. Tali accordi sol­le­vano ulte­riori domande sulla respon­sa­bi­lità, dato che la ricerca ha dimo­strato
Un exploit può accen­dere il micro­fono e la foto­ca­mera di un utente.
le forze dell’ordine locali sono spesso più suscet­ti­bili agli abusi, come la pro­fi­la­zione raz­ziale o la cor­ru­zione, e ten­dono ad avere scarsa tra­spa­renza e una super­vi­sione insuf­fi­ciente.
In secondo luogo, seb­bene alcune aziende spy­ware mer­ce­na­rie come NSO Group affer­mino di trat­tare solo con clienti gover­na­tivi, c’è poco che impe­di­sca loro di ven­dere la loro tec­no­lo­gia a società pri­vate o indi­vi­dui cor­rotti. Le prove sug­ge­ri­scono che alcuni già lo fanno: nel luglio 2022, il Threat Intel­li­gence Cen­ter di Micro­soft ha pub­bli­cato un rap­porto su una società di spy­ware e hack-for-hire a base austriaca chia­mata DSIRF che aveva preso di mira indi­vi­dui in ban­che, studi legali e società di con­su­lenza in diversi paesi. Anche se Micro­soft non ha spe­ci­fi­cato quale tipo di clienti ha assunto DSIRF, l’azienda pub­bli­cizza ser­vizi di “due dili­gence” alle imprese, il che implica che que­ste ope­ra­zioni di hac­king sono state intra­prese per conto di clienti pri­vati. Quando Reu­ters ha chie­sto a DSIRF del rap­porto Micro­soft, la società ha rifiu­tato di com­men­tare. Seb­bene sia ille­gale se fatto senza un man­dato, tale hac­king del set­tore pri­vato ha meno pro­ba­bi­lità di essere dis­suaso quando le aziende degli hac­ker si tro­vano al di fuori della giu­ri­sdi­zione in cui si veri­fica il tar­ge­ting. Poi­ché le pro­te­zioni per i diritti alla pri­vacy, la libertà di stampa e i tri­bu­nali indi­pen­denti sono sem­pre più minac­ciati in molti paesi, pro­ba­bil­mente diven­terà ancora più facile per le aziende cor­rotte o gli oli­gar­chi distri­buire spy­ware mer­ce­nari senza respon­sa­bi­lità.
In terzo luogo, lo spy­ware è diven­tato una com­po­nente cen­trale di un menu più ampio di stru­menti di sor­ve­glianza, come il trac­cia­mento della posi­zione e l’iden­ti­fi­ca­zione bio­me­trica, uti­liz­zati da molte agen­zie di sicu­rezza gover­na­tive. Più lo spy­ware è incor­po­rato nella rac­colta di infor­ma­zioni e nella poli­zia di tutti i giorni, più dif­fi­cile sarà fre­narlo. Più minac­cio­sa­mente, lo spy­ware potrebbe pre­sto acqui­sire capa­cità ancora più inva­sive sfrut­tando appli­ca­zioni indos­sa­bili, come moni­tor bio­me­dici, tec­no­lo­gia di rile­va­mento emo­tivo e reti neu­rali con­nesse a Inter­net attual­mente in fase di svi­luppo. Già, molte appli­ca­zioni digi­tali mirano a sca­vare più a fondo negli aspetti subli­mi­nali o incon­sci del com­por­ta­mento degli utenti e rac­co­gliere dati sulla loro salute e fisio­lo­gia. Non è più fan­ta­scienza imma­gi­nare spy­ware che potreb­bero uti­liz­zare l’accesso segreto a que­sti dati sui nostri sistemi bio­lo­gici o cogni­tivi per moni­to­rare e per­sino mani­po­lare il com­por­ta­mento e il benes­sere gene­rale di una vit­tima.
Ordini restrit­tivi
Per quasi un decen­nio, l’indu­stria dello spy­ware mer­ce­na­rio è stata in grado di espan­dere la sua por­tata in tutto il mondo in gran parte senza rego­la­men­ta­zione o respon­sa­bi­lità. Ma que­sta è una scelta che i governi hanno fatto, non un
risul­tato ine­vi­ta­bile che deve essere sem­pli­ce­mente accet­tato. Men­tre i cani da guar­dia e i gior­na­li­sti della società civile hanno por­tato alla luce abusi fla­granti, è diven­tato più dif­fi­cile per i prin­ci­pali for­ni­tori di spy­ware e clienti gover­na­tivi nascon­dere le loro ope­ra­zioni. In Europa e negli Stati Uniti, le com­mis­sioni hanno tenuto audi­zioni sullo spy­ware e le agen­zie gover­na­tive hanno ini­ziato a svi­lup­pare nuove poli­ti­che per limi­tarne l’uso. In par­ti­co­lare, il Dipar­ti­mento del Com­mer­cio degli Stati Uniti ha inse­rito NSO Group, Can­diru e altre società di hack-for-hire in una lista di restri­zioni all’espor­ta­zione, limi­tando il loro accesso ai pro­dotti e alla tec­no­lo­gia degli Stati Uniti e inviando un forte segnale ai poten­ziali inve­sti­tori che le società di spy­ware sono sotto cre­scente con­trollo. Anche le piat­ta­forme tec­no­lo­gi­che hanno preso prov­ve­di­menti. Meta (la società madre di Face­book) e Apple hanno citato in giu­di­zio NSO Group nei tri­bu­nali sta­tu­ni­tensi, noti­fi­cato le vit­time di infe­zioni da spy­ware e lavo­rato per soste­nere i cani da guar­dia della società civile. Apple ha anche donato 1 10 milioni a cyber­sur­veil­lance research e si è impe­gnata a fare altret­tanto con even­tuali danni asse­gnati dalla sua causa con­tro NSO Group.
Ma fre­nare la dif­fu­sione glo­bale di spy­ware mer­ce­nari richie­derà un approc­cio glo­bale. Per comin­ciare, le aziende devono dedi­care molte più risorse per iden­ti­fi­care e sra­di­care gli spy­ware e garan­tire che i loro ser­vizi siano ade­gua­ta­mente pro­tetti con­tro lo sfrut­ta­mento. What­sApp e Apple hanno già mostrato come avvi­sare le vit­time quando viene rile­vato uno spy­ware e rite­nere i for­ni­tori di spy­ware come NSO Group legal­mente respon­sa­bili per vio­la­zioni dei loro ter­mini di ser­vi­zio e altri reati legali. Sia attra­verso un cam­bia­mento nella cul­tura azien­dale, o più pro­ba­bil­mente attra­verso rego­la­menti gover­na­tivi più forti, le piat­ta­forme tec­no­lo­gi­che dovreb­bero anche porre mag­giore enfasi sulla sicu­rezza e ridi­men­sio­nare l’inces­sante ricerca di aspi­rare i dati degli utenti. A loro volta, le inda­gini forensi di Citi­zen Lab, Amne­sty Inter­na­tio­nal, gior­na­li­sti e altri dovranno essere ampliate e inte­grate da altre orga­niz­za­zioni che svol­gono un lavoro simile, sia presso ONG, uni­ver­sità o orga­niz­za­zioni gior­na­li­sti­che inve­sti­ga­tive. La scienza forense digi­tale e la respon­sa­bi­lità digi­tale dovreb­bero essere rico­no­sciute come una disci­plina di ricerca for­male in grado di moni­to­rare l’atti­vità dello spy­ware, assi­stere le vit­time e gli obiet­tivi e man­te­nere la pres­sione su governi e società per essere più tra­spa­renti e respon­sa­bili delle loro azioni. Per­ché un tale campo emerga, saranno neces­sari molti anni di soste­gno pub­blico, pri­vato e filan­tro­pico.
In defi­ni­tiva, i governi stessi dovranno adot­tare un solido qua­dro nor­ma­tivo per l’uso di spy­ware. La rego­la­men­ta­zione del set­tore richie­derà pro­ba­bil­mente l’ema­na­zione di un com­plesso insieme di regole che affron­tano vari aspetti del mer­cato degli spy­ware. Ad esem­pio, a base dome­stica
le aziende spy­ware potreb­bero essere tenute a ren­dere rego­lar­mente pub­bli­che infor­ma­zioni sulle loro espor­ta­zioni e, a loro volta, le agen­zie gover­na­tive potreb­bero essere tenute a segna­lare da chi e dove stanno impor­tando spy­ware. Le regole di espor­ta­zione devono essere raf­for­zate per impe­dire la ven­dita di spy­ware a governi o altri clienti che potreb­bero usarli in vio­la­zione del diritto inter­na­zio­nale dei diritti umani. Sono inol­tre neces­sa­rie regole chiare e stan­dard di super­vi­sione per l’uso di spy­ware. Sarà pro­ba­bil­mente neces­sa­ria anche una legi­sla­zione spe­ci­fica che affronti il mer­cato zero-day, anche se dovrà essere atten­ta­mente ela­bo­rata in modo che la ricerca sulla sicu­rezza legit­tima non sia osta­co­lata. I governi potreb­bero anche appro­vare una legi­sla­zione che dia alle vit­time di spy­ware il diritto di citare in giu­di­zio sia i governi stra­nieri che i for­ni­tori di spy­ware per i danni cau­sati dallo spio­nag­gio.
Tali sforzi potreb­bero essere raf­for­zati a livello inter­na­zio­nale attra­verso lo svi­luppo di un regime glo­bale di con­trollo dello spy­ware. Le atti­vità mili­tari, ad esem­pio, sono state a lungo sog­gette alla super­vi­sione inter­na­zio­nale attra­verso mec­ca­ni­smi come il Regi­stro delle armi con­ven­zio­nali delle Nazioni Unite e le poli­ti­che che sono state messe in atto rela­tive agli stan­dard per i con­traenti mili­tari e di sicu­rezza pri­vati o il divieto di mine ter­re­stri. Un pro­cesso simile potrebbe por­tare alla rego­la­men­ta­zione inter­na­zio­nale dello spy­ware, com­presi i requi­siti di tra­spa­renza e repor­ting sul suo uti­lizzo. Que­sti modelli esi­stenti, tut­ta­via, sug­ge­ri­scono che il suc­cesso richie­derà il buy-in di un numero signi­fi­ca­tivo di paesi, e sono neces­sa­rie mag­giori pres­sioni per con­vin­cere i governi e i lea­der mon­diali che lo spy­ware mer­ce­na­rio rap­pre­senta una seria e cre­scente minac­cia per la sicu­rezza inter­na­zio­nale e l’ordine inter­na­zio­nale libe­rale.
Senza dub­bio, i governi auto­ri­tari e le agen­zie di sicu­rezza che attual­mente bene­fi­ciano di spy­ware cer­che­ranno di osta­co­lare tale rego­la­men­ta­zione, ma i cre­scenti rischi per la sicu­rezza nazio­nale di un mer­cato non rego­la­men­tato potreb­bero richie­dere una valu­ta­zione più sobria. Nel novem­bre 2022, Sir Jeremy Fle­ming, un alto fun­zio­na­rio dell’intel­li­gence bri­tan­nica, ha avver­tito che l’uso pro­li­fe­rante di spy­ware mer­ce­nari e “hac­ker a noleg­gio” da parte di paesi e mal­fat­tori “aumen­terà la futura minac­cia alla sicu­rezza infor­ma­tica del Regno Unito.”Se l’uso di spy­ware mer­ce­nari con­ti­nua a cre­scere incon­trol­lato, i rischi per la demo­cra­zia diven­te­ranno acuti. Se le élite di qual­siasi paese pos­sono uti­liz­zare que­sta tec­no­lo­gia per neu­tra­liz­zare la legit­tima oppo­si­zione poli­tica in qual­siasi punto della terra, met­tere a tacere il dis­senso attra­verso lo spio­nag­gio mirato, minare il gior­na­li­smo indi­pen­dente ed ero­dere impu­ne­mente la respon­sa­bi­lità pub­blica, allora i valori su cui è costruito l’ordine inter­na­zio­nale libe­rale potreb­bero pre­sto non essere più sicuri delle pas­sword sui nostri tele­foni.