A fine marzo, l’inchiesta congiunta condotta dai ricercatori di Security Without Borders e Motherboard sul malware Exodus e sull’azienda italiana che lo produceva, ha riportato nuovamente l’attenzione sul mercato italiano dei malware e su come questi strumenti di sorveglianza siano sfruttati da governi e forze di polizia. Ora, grazie a nuovi documenti scoperti da Motherboard, abbiamo la possibilità di farci un’idea concreta sui costi delle intercettazioni e sui tipi di attività richieste dalle autorità in Italia, a partire da quello che sembra essere a tutti gli effetti un listino prezzi della Procura di Milano.
Secondo i dati più recenti della Direzione Generale di statistica del Ministero della Giustizia, nel 2017 l’Italia ha speso quasi 169 milioni di euro per le intercettazioni. Ma se andiamo più nel dettaglio, i ricavi dell’azienda eSurv — produttrice del malware Exodus — sono passati da 728.731 euro nel 2016 a 1.262.272 euro nel 2017, un’impennata che sembra essere stata favorita anche dalla commercializzazione del malware Exodus.
Videos by VICE
Con le intercettazioni degli smartphone, infatti, si possono arrivare a guadagnare fino a circa 300 euro al giorno per ogni dispositivo intercettato.
Questo mercato, però, attrae anche altre aziende. Dall’inchiesta della Procura di Napoli — avviata già da prima della pubblicazione dell’articolo di Motherboard di marzo scorso — si è appreso che le aziende sotto indagine sono due, eSurv e STM; quest’ultima è l’azienda che rivendeva il malware Exodus alle procure.
Inoltre, Exodus non è di certo un caso senza precedenti, ma l’ultimo esempio di uno scenario in cui aziende di ogni dimensione sono pronte a gettarsi nel mercato dei malware come semplici rivenditori per trarre facili profitti — con il rischio però di compiere errori madornali.
In un caso riportato ad aprile da Il Fatto Quotidiano — che riprende dettagli dei documenti dell’inchiesta della Procura di Napoli —, infatti, i server negli uffici della Procura di Benevento erano disconnessi da internet — senza nemmeno un sistema operativo in esecuzione —, mentre i dati intercettati finivano su un server Amazon situato in Oregon, negli Stati Uniti.
In altre parole, la Procura di Benevento si sarebbe trovata con un ammasso di ferraglia inutile, mentre i dati riservati delle indagini erano salvati su un server al di fuori del territorio italiano — attività di per sé illegale: questi dati non dovrebbero nemmeno finire sui server delle aziende che vendono questo software, figuriamoci su quelli di Amazon.
Perché questo mercato sembra proliferare così rapidamente? Il listino prezzi pubblicato dalla Procura di Milano potrebbe offrire una giustificazione al numero crescente di aziende che producono malware in Italia. Con le intercettazioni degli smartphone, infatti, si possono arrivare a guadagnare fino a circa 300 euro al giorno per ogni dispositivo intercettato.
Il documento, liberamente accessibile online e datato 15 maggio 2017, introduce un nuovo prezziario per le intercettazioni telefoniche, ambientali, e telematiche di riferimento per tutte le aziende che offrono servizi alla Procura di Milano.
Nel caso delle intercettazioni telematiche, si distinguono due tipi di modalità: passiva e attiva. In quella passiva viene raccolto il traffico telematico relativo alle email e alle chiamate VoIP, ma anche tutto il traffico internet in generale, sfruttando le cosiddette sonde.
Come si spiega in alcune slide di un corso tenuto dall’Arma dei Carabinieri all’Università di Roma Tor Vergata, pensato per Procuratori della Repubblica in Brasile e risalente a maggio 2015, le intercettazioni di tipo passivo sfruttano degli apparati di rete “che si interpongono sul canale di comunicazione dell’utente da intercettare ma si ‘limitano’ ad osservare il traffico dati in transito e prelevare le informazioni di interesse investigativo (con l’uso di filtri) o l’intero flusso dati.”
Il traffico internet che esce dai nostri dispositivi viene quindi duplicato e salvato per individuare informazioni e dati di interesse.
Per questo tipo di intercettazioni, gli importi giornalieri vanno dai 20€ agli 80€.
Nel caso invece delle intercettazioni attive — quelle che prevedono azioni dirette sui dispositivi degli indagati — le cifre aumentano.
L’intercettazione di computer e smartphone — che include, presumibilmente, anche l’installazione del malware — costa 150 euro al giorno. A cui poi si aggiungono 40 euro al giorno di attivazione del microfono per la registrazione delle conversazioni tra presenti; 60 euro per le intercettazioni delle mail di Outlook e screenshot dei testi, keylogger per registrare le password digitate, raccolta dei contatti e degli appuntamenti in agenda; 90 euro per le intercettazioni di comunicazioni Skype, incluse di attivazione della webcam durante le chiamate, screenshot delle chat di Facebook, e dati di social network.
Sommando quindi diversi servizi è facile arrivare a cifre che si aggirano intorno ai 300 euro al giorno.
Al momento non è chiaro se il listino sia ancora in uso o sia stato aggiornato, e non è chiaro se venga utilizzato anche da altre Procure italiane. Alla data di pubblicazione di questo articolo, non abbiamo ancora ricevuto risposta alle nostre domande inviate alla Procura di Milano lo scorso 8 aprile.
Un listino che contiene attività di intercettazioni molto più dettagliate è stato pubblicato anche dalla Procura di Ivrea a novembre 2018. In quel caso, però, erano le aziende a dover presentare una proposta economica per ciascuna voce elencata.
Lo scopo infatti era quello di avviare un accordo quadro della durata di tre anni per la fornitura dei sistemi di intercettazione e relativa assistenza tecnica.
Fra le varie attività, si contano quelle di intercettazione tramite malware per Windows, Android, iOS, e persino WhatsApp su dispositivi Android.
Oltre, ovviamente, alle intercettazioni di traffico telematico e altre attività legate alla raccolta di video e posizioni GPS.
La maggior parte delle attività riportate in questi listini prezzi, però, non è propriamente regolamentata. Alla fine del 2017, l’Italia ha introdotto una legge che regola l’uso di spyware per attività di investigazione, ma si occupa solamente della registrazione di audio in remoto, tralasciando tutte le altre funzionalità che un software di sorveglianza può avere, come appunto l’intercettazione di messaggi di testo o gli screenshot.
L’europarlamentare olandese Marietje Schaake, da sempre critica riguardo la proliferazione di questi malware di Stato, dopo la pubblicazione dell’inchiesta di Motherboard aveva puntato il dito contro i contratti lucrativi offerti dai governi per la compravendita di queste tecnologie.
“Lo sviluppo di potenti armi per la polizia, usate per catturare sospetti criminali e terroristi, deve sempre essere inquadrato all’interno di garanzie legali,” ha commentato Schaake a Motherboard Italia via email, “molte delle quali attualmente non sono disponibili.”
Tutto questo, ha aggiunto Schaake, “creerà un boomerang che possiamo solo sperare di controllare prima che sia troppo tardi.”
Inoltre, lo scorso 30 aprile, il Garante per la privacy italiano ha inviato una lettera aperta al Parlamento e al Governo proprio sulla proliferazione di questo tipo di malware. E ha ribadito come le indicazioni che aveva precedentemente fornito non siano state per la maggior parte tenute in considerazione.
Al momento non vi sono garanzie adeguate per impedire che questi strumenti investigativi, “da preziosi ausiliari degli organi inquirenti, degenerino invece in mezzi di sorveglianza massiva,” ha scritto il Garante.
“Il valore dei contratti governativi varia, ma nel suo complesso il mercato delle tecnologia di sorveglianza in Europa ha un valore di miliardi di euro,” ha spiegato Schaake. “Una corretta vigilanza dovrebbe includere la definizione di utilizzi specifici, garanzie di non proliferazione, meccanismi di ricorso, e controlli delle esportazioni per valutare l’impatto sui diritti umani,” ha concluso Schaake.
Hai qualche informazione? Puoi contattare Riccardo Coluccini in modo sicuro su Signal al numero +393519702612, sulla chat OTR a rcoluc@jabber.ccc.de, e via mail a riccardo.coluccini@vice.com.