di Winnon DeSombre Bernsen
Nel 2023, qualsiasi azienda pubblica o privata potrà avere accesso ai vostri segreti meglio custoditi. Come? Pagando un’azienda per hackerare il vostro telefono. Dall’inizio degli anni 2010, le notizie di aziende private che vendono spyware e altri strumenti informatici offensivi sono diventate comuni. La proliferazione degli strumenti attraverso queste “cybernarrazioni” è una minaccia sia per i diritti umani che per la sicurezza nazionale: i governi autoritari usano questi strumenti non solo per spiare gli Stati Uniti e i loro alleati, ma anche per spiare giornalisti e attivisti in nome della sicurezza nazionale, portando alla detenzione, alla tortura o addirittura all’omicidio di chi è vittima di hacking.
Per quanto riguarda lo spionaggio e gli attacchi di hacking allo Stato, alcuni guerrieri informatici possono essere “hacker a pagamento” che conducono operazioni informatiche per conto di clienti governativi. Tuttavia, un numero maggiore di mercenari vende strumenti informatici offensivi a clienti governativi, che poi li utilizzano per le proprie operazioni informatiche, poiché molti governi ritengono che l’hacking privato possa violare il diritto internazionale. Una regola fondamentale delle Convenzioni di Ginevra impone alle parti di separare chiaramente i combattenti dai civili in qualsiasi conflitto, e non sempre si riesce a distinguere tra un’operazione militare o di intelligence nel cyberspazio.
Gli strumenti venduti dai cyber-noleggiatori hanno usi legittimi: alcuni governi occidentali e le forze dell’ordine (con una supervisione efficace) hanno utilizzato strumenti di questo tipo per violare reti terroristiche, ottenere informazioni su sparatorie di massa e persino arrestare leader di cartelli come El Chapo. Alcune società di criminalità informatica si rifiutano categoricamente di vendere servizi agli Stati con i peggiori risultati in termini di diritti umani e vendono solo a Paesi con un’adeguata supervisione giudiziaria e delle forze dell’ordine. Nel complesso, tuttavia, l’industria è globale e in crescita, con i peggiori operatori che creano conseguenze pericolose per la vita e minacce di morte.
Gli Stati Uniti e l’Unione europea hanno avviato iniziative per frenare la crescita ed eliminare dal mercato gli operatori irresponsabili. Il Parlamento europeo sta esercitando pressioni sugli Stati membri attraverso l’indagine della commissione PEGA, recentemente istituita: uno dei primi dibattiti politici aperti sulla criminalità informatica. L’UE sta discutendo su come utilizzare i controlli sulle esportazioni contro questa minaccia, sostenendo che l’uso dei controlli sulle esportazioni per scopi umanitari proteggerà i diritti umani, e gli Stati Uniti hanno iniziato a fare lo stesso.
Tuttavia, i controlli sulle esportazioni da soli sono tristemente insufficienti per affrontare i problemi posti dall’industria. Se questo è l’unico strumento che gli Stati Uniti e l’Unione Europea scelgono di utilizzare, rischiano di adottare un approccio che nel migliore dei casi è inefficace e nel peggiore danneggia le loro capacità di intelligence e di applicazione della legge.
I controlli sulle esportazioni non sono la soluzione
In poche parole, i controlli sulle esportazioni impediscono che la tecnologia esca dai confini di un Paese e finisca nelle mani o negli usi sbagliati. Le fasi sono due: il governo di un Paese inserisce il tipo di prodotto o il potenziale cliente (Paese, società o individuo) in un elenco. Tutte le aziende di quel Paese che vogliono esportare quel prodotto o venderlo a un particolare cliente presente nell’elenco devono poi ottenere una “licenza di esportazione” dal governo per farlo. Senza questa licenza, le aziende rischiano sanzioni penali e civili se vengono sorprese a esportare.
Questa politica è nata dall’esigenza di tenere gli oggetti fisici (come i componenti di armi nucleari) fuori dalle mani del nemico. Mentre i controlli sulle esportazioni hanno bloccato con un certo successo le vendite di semiconduttori alla Cina, il codice software che può essere trasmesso via USB o via e-mail è molto più difficile da limitare. I criminali informatici ci sono riusciti: le aziende che vendono software spia (o “spyware”) hanno eluso i controlli sulle esportazioni per decenni utilizzando tattiche semplici come quella di chiamare il proprio spyware “sistema di gestione del traffico di rete” e sperando che i funzionari dell’UE che rilasciano le licenze di esportazione non prendano provvedimenti. Altri mercenari si limitano a esportare i loro prodotti senza alcuna licenza, il che costituisce una grave violazione dei controlli sulle esportazioni. L’azienda israeliana NFV Systems, ad esempio, è stata chiusa all’inizio di questo mese per aver venduto tecnologia di sorveglianza senza licenza per almeno cinque anni.
Sebbene i Paesi stiano migliorando nel reprimere le violazioni del controllo delle esportazioni, alcune delle aziende dubbie si rivolgono a intermediari in altri Paesi per vendere a Paesi autoritari. Alcune aziende stanno addirittura creando i propri intermediari. L’azienda israeliana Quadream, ad esempio, vende il suo principale strumento di hacking attraverso una filiale a Cipro che possiede azioni Quadream e vende strumenti Quadream, ma per comodità non è soggetta alle leggi israeliane sul controllo delle esportazioni. In definitiva, dal momento che le aziende ingaggiate che si rifiutano di rispettare i controlli sulle esportazioni possono riunirsi e cambiare giurisdizione, i controlli sulle esportazioni colpiranno in modo sproporzionato i pochi fornitori che vogliono rispettarli – probabilmente gli stessi che vendono servizi solo ai Paesi occidentali. Nel frattempo, i criminali informatici possono ancora ottenere contratti lucrosi dalle istituzioni democratiche. NSO Group, ad esempio, ha venduto il suo famigerato software Pegasus 14 ai governi dell’UE. Pegasus è lo stesso software che i governi autoritari usano per minacciare attivisti e dissidenti in tutto il mondo.
Affinché un minor numero di giurisdizioni diventi un rifugio sicuro per i mercenari, gli Stati Uniti e l’Unione Europea avranno bisogno che il maggior numero possibile di Paesi aderisca a un regime completo di controllo delle esportazioni. Tuttavia, molti governi potrebbero non voler firmare perché anche loro beneficiano di questi accordi. Ad esempio, il governo cinese ha promosso le sue società di sorveglianza nei Paesi africani come parte della sua iniziativa One Belt, One Road, e le vendite di spyware israeliano sono sempre state collegate a benefici diplomatici per il Paese. Anche se il governo cerca di controllare l’uso finale responsabile di questi strumenti, la corruzione interna può portare ad abusi. In Messico, ad esempio, è stato riscontrato che il malware NSO prende di mira non solo le persone di interesse per il governo, ma anche quelle di interesse per il cartello.
Che dire dell’elenco dei bersagli?
Naturalmente, i controlli sulle esportazioni degli Stati Uniti possono essere utilizzati contro aziende straniere senza scrupoli attraverso un elenco di entità. Le società che figurano in questo elenco del Dipartimento del Commercio non possono più ricevere determinate merci esportate dagli Stati Uniti, compresi i prodotti tecnologici. Dopo che nel 2021 gli Stati Uniti hanno inserito NSO Group e altre società di questo tipo nell’elenco delle entità legali, NSO non ha più potuto acquistare legalmente computer portatili Windows o iPhone senza l’esplicito permesso del governo statunitense, e la società si è trovata sull’orlo del fallimento. In un certo senso, si è trattato di un grande successo: il Gruppo NSO è ora un’organizzazione tossica il cui nome rischia di allontanare molti potenziali clienti. Tuttavia, il settore non rappresenta solo NSO Group. Gli strumenti di hacking sono venduti da centinaia di aziende in tutto il mondo e la tattica di elencare le persone giuridiche non è sostenibile nel lungo periodo, poiché l’elenco delle aziende note (Q Cyber, Circles, Intellexa, ecc.) si allunga sempre di più.
Se da un lato la quotazione di una persona giuridica può essere dannosa per un’azienda, dall’altro concentrarsi sulle singole società diventa un gioco a “colpire la talpa”. I fondatori delle aziende di solito si raggruppano o si riformano con un nome diverso per evitare le autorità di regolamentazione, offrendo quasi lo stesso prodotto. Diverse società di cyber-mercenari si sono riorganizzate dopo essere state quotate in borsa. Dopo che nel 2013 è stata scoperta l’attività di spionaggio negli Stati Uniti, Appin Security, un’azienda indiana, si è divisa in diverse altre società, ognuna delle quali offriva prodotti simili. Alcune di queste aziende sono ancora in attività. Tal Dilian, fondatore della controllata NSO Group, ha lasciato il gruppo nel 2014 e ha creato altre due società di cyberspionaggio, entrambe con precedenti di abusi dei diritti umani. Poiché i regolatori si concentrano sulle aziende irresponsabili piuttosto che sui fondatori irresponsabili, le loro sanzioni non rimangono in vigore quando un’azienda scompare, sostituita da una “nuova” organizzazione con lo stesso personale e gli stessi prodotti. I fondatori e i dipendenti di alto livello continueranno a trovare nuovi talenti, a sviluppare le loro aziende e a prendere le stesse decisioni commerciali per vendere servizi a regimi autoritari. Il comportamento scorretto non scomparirà mai se le autorità di regolamentazione non inizieranno a concentrarsi sulle persone che stanno dietro a queste aziende abilitate alla cibernetica.
Pensare oltre i controlli sulle esportazioni
I controlli sulle esportazioni non possono combattere i criminali informatici da soli. L’applicazione delle norme sulle esportazioni contro i software o gli operatori di dubbia provenienza è incredibilmente complessa e l’inclusione di singole aziende non è scalabile. Inoltre, non affronta due cause principali del problema: (a) i singoli attori senza scrupoli non hanno attualmente alcun incentivo a rispettare le regole e (b) alcuni clienti governativi consentono consapevolmente o non sono in grado di controllare la distribuzione di questi strumenti. Se gli Stati Uniti e l’Unione Europea vogliono continuare a utilizzare i controlli sulle esportazioni come forza trainante per fermare la proliferazione dei criminali informatici, devono combinare questo approccio con altri sforzi per affrontare le cause profonde.
In primo luogo, gli Stati Uniti e l’Unione Europea dovrebbero rilasciare dichiarazioni pubbliche chiare che definiscano le caratteristiche e il ruolo di un signore della guerra informatica responsabile. Attualmente è difficile trovarle. Il governo degli Stati Uniti ha presentato motivazioni vaghe e confuse nell’elencare le società mercenarie come organizzazioni, a volte persino raggruppando alcuni mercenari quando forniscono servizi apparentemente diversi, come ha fatto il governo con la società boutique di Singapore Computer Security Initiative Consultancy e l’appaltatore russo Positive Technologies. Le leggi che regolano i mercenari informatici sono anche un mosaico di regolamenti sugli appalti pubblici, restrizioni sul personale dell’ex comunità di intelligence e controlli sulle esportazioni. Motivi vaghi per la punizione, senza indicazioni chiare sul comportamento che gli Stati Uniti permetteranno, non fanno altro che spingere gli operatori senza scrupoli nella clandestinità e allontanare del tutto quelli bravi.
Per risolvere questo problema, gli Stati Uniti e l’Unione Europea devono dichiarare congiuntamente e pubblicamente (attraverso la giurisprudenza, le dichiarazioni o le politiche) quali decisioni aziendali o comportamenti operativi rimangono nell’ambito di applicazione (e consentiranno alle aziende di partecipare alle gare d’appalto governative) rispetto a quelli che comporterebbero un’accusa. Sebbene ogni governo possa avere una propria politica segreta su ciò che conferisce a un buon cliente strumenti informatici offensivi (nascosta in stanze secondarie, accessibile solo con un’autorizzazione di sicurezza o un precedente rapporto con il governo), queste politiche devono essere annunciate pubblicamente per essere pienamente efficaci, poiché molti hacker diventano mercenari informatici senza una precedente esperienza con il governo.
In secondo luogo, e sulla stessa linea, gli Stati Uniti e l’Unione europea dovrebbero chiarire pubblicamente cosa rende un buon acquirente di strumenti offensivi, soprattutto se la vendita alle forze dell’ordine di un determinato Paese comporterebbe l’inserimento dell’azienda nell’elenco delle persone giuridiche. Il rapporto della commissione PEGA, ad esempio, chiarisce l’uso finale responsabile degli strumenti informatici, riconoscendo che questi possono essere venduti per scopi di spionaggio e sicurezza nazionale, ma non per scopi politici e criminali. La commissione auspica inoltre un controllo giudiziario imparziale e la divulgazione delle vulnerabilità, due elementi cruciali per il controllo dei clienti dell’intelligence governativa e delle forze dell’ordine. Tuttavia, non è ancora chiaro se gli Stati membri dell’UE trasformeranno queste raccomandazioni in legislazione vincolante e quanto efficacemente queste leggi saranno applicate.
Chiarendo gli standard di utilizzo finale attraverso accordi internazionali o norme vincolanti, gli Stati Uniti e l’Unione Europea possono deliberatamente limitare le vendite ai governi che non rispettano tali standard e dare ai criminali informatici un motivo per condurre una due diligence sui potenziali clienti governativi. La chiave di questi sforzi sarà la collaborazione con Paesi amici con importanti industrie di cybersicurezza e di alta tecnologia, e convincere altri Paesi a smettere di usare la diplomazia delle spie (Cina e Israele non sono gli unici a usare queste tattiche).
Infine, mentre le società di cyber-mercenari possono trasformarsi e scomparire, le persone che operano nel settore rimangono in gran parte le stesse. Gli Stati Uniti e l’Unione europea hanno l’opportunità unica di applicare politiche incentrate sulle persone all’industria dei mercenari informatici. I governi possono far pagare i fondatori particolarmente gravi e offrire visti di lavoro a importanti ingegneri stranieri: entrambe le opzioni sottraggono personale chiave alle società informatiche straniere.
La soluzione al problema dei mercenari informatici non è il controllo delle esportazioni, ma questi controlli possono e devono far parte di un insieme più ampio e olistico di politiche che impediscano a questi strumenti di finire nelle mani sbagliate. La considerazione dei modelli comportamentali delle persone chiave che compongono queste società e delle azioni dei loro clienti è essenziale per mitigare i problemi causati dai dirottatori informatici.
Traduzione a cura della Redazione
Foto: Idee&Azione
2 aprile 2023
