Jelena Sesar: dentro la prigione digitale serba

Una serie di rapporti di Amnesty International denuncia “la prigione digitale” serba, un’ampia campagna di sorveglianza contro i giornalisti e la società civile. Jelena Sesar, ricercatrice di Amnesty International, ci porta all’interno di questa prigione

Mentre proseguono le proteste antigovernative che dal novembre 2024 scuotono il paese, da alcune inchieste condotte da Amnesty International (AI) è emerso che la polizia e i servizi segreti serbi hanno utilizzato uno spyware avanzato, NoviSpy, sviluppato nel paese, e altri strumenti forensi digitali, tra cui quelli prodotti dall’azienda Cellebrite, per sorvegliare illegalmente i giornalisti, gli attivisti ambientali e gli studenti in protesta.

Dopo un primo rapporto, "A Digital Prison" , pubblicato nel dicembre 2024, nel febbraio di quest’anno AI ha rivelato ulteriori prove dell’utilizzo degli strumenti Cellebrite contro gli studenti serbi. Poi a marzo, nuove inchieste hanno dimostrato che due giornaliste del Balkan Investigative Reporting Network (BIRN) sono state prese di mira da Pegasus, uno spyware altamente invasivo dell’azienda israeliana NSO Group.

Rivelazioni che mettono in luce la costante minaccia della sorveglianza digitale a cui è sottoposta la società civile in Serbia, denunciando la mancanza di una risposta adeguata delle autorità per porre fine alla sorveglianza illegale.

Quali sono stati gli effetti della sorveglianza digitale sulle vittime? Come hanno reagito le persone bersagliate quando hanno saputo che i loro telefoni sono stati infettati da uno spyware?

Gli strumenti di spyware e la sorveglianza digitale hanno un profondo impatto sulle vittime. Oggi la nostra intera vita è racchiusa nei nostri telefoni. È molto inquietante scoprire che qualcuno ha avuto accesso ai nostri dati, fotografie e messaggi privati e alla nostra cronologia delle ricerche. Molte vittime paragonano questa dinamica ad un’intrusione in casa: una situazione in cui il nostro spazio più intimo viene violato, rendendoci esposti, vulnerabili e soli.

Per alcune vittime, scoprire che le autorità potrebbero aver avuto accesso ai dati riservati o intimi, oppure alle informazioni mai condivise, è stata un’esperienza terrificante. Vi è il costante timore che le autorità possano in qualsiasi momento utilizzare queste informazioni con l’intento di screditare o ricattare le persone bersagliate, o per compromettere la loro carriera e vita familiare.

Naturalmente, i giornalisti presi di mira – in particolare quelli che indagano sulla corruzione, la criminalità organizzata e le collusioni tra potere politico e criminalità – sono preoccupati anche per la sicurezza delle loro fonti. Non poter fare affidamento sulla comunicazione telefonica e sulle applicazioni di messaggistica è un grande problema. I giornalisti investigativi ora sono costretti a incontrare le loro fonti in luoghi pubblici, e questo non è sempre sicuro né pratico. Inoltre, il rischio di sorveglianza può scoraggiare le potenziali fonti dall’interagire con i giornalisti e, in generale, avere un effetto dissuasivo ostacolando la comunicazione e compromettendo l’accesso alle informazioni.

La sorveglianza digitale è una tattica di intimidazione e paura, una strategia molto efficace finalizzata a mettere a tacere le voci critiche. Così si crea un clima di autocensura, spingendo alcuni giornalisti ad evitare questioni spinose e a cambiare il proprio modo di lavorare e di relazionarsi professionalmente. È importante sottolineare che la sorveglianza non colpisce solo le persone prese di mira, ma tutti quelli che fanno parte della loro rete di contatti, mettendo a rischio le loro famiglie, i loro amici e tutte le persone con cui hanno comunicato.

Per molte vittime in Serbia, la sorveglianza digitale, pur essendo stata un’esperienza traumatica, sembra aver rafforzato la determinazione a impegnarsi nell’attivismo, a continuare a scrivere su temi di interesse pubblico e a difendere i valori ritenuti fondamentali per una società libera e democratica.

Quali sono le vie legali a cui possono ricorrere le vittime, comprese le Ong, e quelli che sospettano di essere sorvegliati?

In teoria, le persone che sospettano di essere oggetto di sorveglianza illegale in Serbia possono rivolgersi a uno degli organi di controllo, come l’Ufficio dell’ombudsman (difensore civico) e il Garante per la protezione dei dati personali, ma anche alle commissioni parlamentari incaricate di monitorare l’operato dei servizi di sicurezza.

In pratica, però, le vittime della sorveglianza digitale hanno un accesso molto limitato alla giustizia. La sorveglianza illegale è difficile da dimostrare, non solo per le difficoltà legate alla ricerca delle prove, ma anche perché i servizi di sicurezza in Serbia non rendono conto a nessuno e sono poco disposti a collaborare con gli organismi indipendenti.

Anche l’Ufficio del difensore civico e il commissario per la protezione dei dati sono spesso riluttanti a indagare sui casi di sorveglianza digitale per evitare quello che potrebbe essere percepito come uno scontro con la polizia e i servizi segreti.

Come abbiamo osservato nel nostro rapporto, in Serbia la diffusione del fenomeno di “state-capture” e la mancanza di indipendenza della magistratura compromettono in modo significativo il processo di accertamento delle responsabilità. Fortunatamente, nei casi rivelati da Amnesty International tra dicembre e marzo, ci sono prove chiare e innegabili che le autorità hanno utilizzato strumenti di analisi forense digitale, come Cellebrite, per sbloccare forzatamente i telefoni di attivisti e giornalisti con l’intento di installare su alcuni di questi dispositivi uno spyware in grado di monitorare le loro attività online. Abbiamo pubblicato tutte le prove nei nostri rapporti e la nostra analisi tecnica è stata inclusa nelle denunce che, nel dicembre dello scorso anno, una coalizione di ong ha sporto contro la polizia e i servizi segreti serbi.

Poi a febbraio, la procura serba per i reati informatici ha ufficialmente aperto un fascicolo e, da quello che abbiamo capito, anche il difensore civico e il garante per la protezione dei dati personali hanno avviato indagini su questi casi.

Mi preme sottolineare che le nostre rivelazioni sono state confermate da Google, il cui sistema di sicurezza Android è stato compromesso in questa campagna di sorveglianza, come anche dall’azienda Cellebrite che, dopo aver condotto un’indagine interna a febbraio, ha deciso di sospendere l’utilizzo dei propri prodotti da parte di alcuni clienti in Serbia.

Considerando la solidità delle prove, ci aspettiamo che le indagini condotte dalle autorità giudiziarie e dagli organismi indipendenti in Serbia possano contribuire a identificare i responsabili della sorveglianza illegale, garantendo alle vittime l’accesso alla giustizia e al risarcimento.

Ci auguriamo – ed è un aspetto altrettanto importante – che una maggiore consapevolezza dei rischi della sorveglianza digitale porti ad una vera riforma del quadro legislativo e di controllo, che attualmente non regolamenta in modo adeguato l’utilizzo di misure eccezionali, come la sorveglianza digitale, né tanto meno fornisce garanzie solide contro gli abusi.

Il software Cellebrite è stato acquistato da donatori che, a quanto pare, avevano piena fiducia nei funzionari serbi, credendo che questi ultimi avrebbero utilizzato il software per scopi legittimi. In questo contesto, quali sono gli obblighi dei donatori? Come invece si dovrebbero comportare le aziende produttrici di software?

Innanzitutto, va ricordato che gli strumenti forensi digitali di Cellebrite sono legittimi e vengono utilizzati dalle forze dell’ordine di tutto il mondo nel contesto delle indagini e azioni penali. La nostra ricerca però ha dimostrato che le autorità serbe hanno utilizzato questa tecnologia altamente invasiva per scopi politici prendendo di mira gli studenti, i manifestanti pacifici e i giornalisti investigativi.

Il governo norvegese, che ha donato Cellebrite alla Serbia, e l’Ufficio delle Nazioni Unite per i servizi ai progetti (UNOPS), che ha gestito l’approvvigionamento delle apparecchiature, non hanno effettuato una verifica adeguata per valutare e mitigare i potenziali rischi di questa tecnologia per i diritti umani. Si sono infatti limitati a fornire strumenti altamente invasivi ad un governo, quello serbo, con una reputazione discutibile per quanto riguarda il rispetto dei diritti umani, senza effettuare una valutazione dei rischi e senza prevedere garanzie solide per evitare abusi.

Dopo le nostre rivelazioni, il governo norvegese si è dimostrato molto disponibile a collaborare. Sembra che le autorità norvegesi, come anche l’UNOPS, stia rivalutando tutte le sue procedure di verifica relative agli aiuti a livello globale. Questo è un passo molto positivo.

Anche Cellebrite – pur avendo alla fine deciso di fare la cosa giusta, indagando le nostre denunce e interrompendo i rapporti con alcuni clienti in Serbia – in un primo momento non aveva effettuato alcuna valutazione del rischio per evitare che il loro prodotto venisse utilizzato in modo dannoso.

Tutti gli attori coinvolti in questa cosiddetta “catena del valore”, dalle aziende tecnologiche che sviluppano prodotti potenzialmente invasivi ai donatori, avrebbero dovuto implementare processi proattivi di verifica dei rispetto dei diritti umani per identificare, prevenire e rendere conto di eventuali rischi per i diritti umani associati ai loro prodotti e servizi.

Dopo la pubblicazione del vostro rapporto sono emersi altri casi analoghi, anche in Italia. Amnesty International intende fornire assistenza anche alle altre ong e persone colpite dalla sorveglianza illegale?

I casi di utilizzo dello spyware Paragon contro i giornalisti e i difensori dei diritti umani in Italia sono particolarmente preoccupanti. Il Security Lab di Amnesty International sta assistendo diversi attivisti in Italia che temono di essere stati presi di mira.

Purtroppo, gli scandali legati allo spyware hanno dimostrato quanto sia ampia la categoria di persone che dovrebbero preoccuparsi. Abbiamo assistito ai casi di persone bersagliate a causa del loro attivismo, a volte sono stati presi di mira anche i loro familiari. Attualmente, Amnesty International cerca di fornire supporto innanzitutto alle persone che temono di essere maggiormente esposte alla sorveglianza digitale. Ad essere particolarmente a rischio sono le ong che si occupano di questa problematica, soprattutto nei paesi, come Italia e Serbia, dove di recente si è assistito ai casi di abuso di spyware, poi le persone i cui telefoni sono stati sequestrati e trattenuti dalle autorità, e quelle che hanno ricevuto una notifica da WhatsApp, Google o Apple che avvisa gli utenti che potrebbero essere stati presi di mira. Chiunque ritenga di rientrare in una di queste categorie dovrebbe contattare il Security Lab di Amnesty International.

Vi occupate anche di mappatura di aziende e agenzie in Europa e altrove che vendono questi softwer e forniscono assistenza, come Intellexa e NSO Group?

Amnesty International monitora costantemente l’infrastruttura utilizzata per lanciare attacchi spyware utilizzando prodotti di diverse aziende, tra cui Intellexa e NSO Group. Abbiamo anche monitorato attivamente le esportazioni di tecnologie di cybersorveglianza da e verso l’Europa. Ad esempio, nel caso di Intellexa, abbiamo rivelato che i loro prodotti, rintracciati in almeno venticinque paesi tra Europa, Asia, Medio Oriente e Africa, sono stati utilizzati per violare i diritti umani.

Il caso Intellexa è curioso perché l’azienda si autodefinisce “regolamentata e con sede nell’UE”. In realtà però l’UE ha permesso alle aziende come questa di operare sul proprio territorio senza un’adeguata supervisione e responsabilità. Una delle nostre principali raccomandazioni è infatti quella rivolta alla Commissione europea affinché pubblichi relazioni annuali sulle licenze concesse e negate per le tecnologie di cybersorveglianza. La mancanza di una rendicontazione pubblica ha spianato la strada all’esportazione e l’utilizzo di tali tecnologie evitando il controllo pubblico. Nel frattempo, Amnesty International continuerà a utilizzare database commerciali e altre metodologie di ricerca per monitorare il settore.

Qual è il ruolo delle istituzioni dell’UE? Possono fare qualcosa?

Anche il più solido quadro legislativo dei singoli stati membri non è capace di fornire una protezione sufficiente contro gli strumenti di spyware altamente invasivi come Pegasus e Predator, motivo per cui è necessaria un’azione più decisa a livello regionale e globale, anche da parte dell’UE.

Da tempo ormai Amnesty International chiede il divieto assoluto di sviluppo, trasferimento e utilizzo di tecnologie altamente invasive e controlli rigorosi sullo sviluppo, la vendita e il trasferimento di tecnologie di sorveglianza digitale. Purtroppo, come già dimostrato nei rapporti pubblicati da AI, l’UE resta un porto sicuro per le aziende produttrici di spyware.

Quanto alla Serbia, tenendo conto dello status di paese candidato all’adesione, l’UE dovrebbe impegnarsi maggiormente e fornire assistenza finanziaria e tecnica al paese per garantire che le autorità pongano fine alla campagna di sorveglianza contro la società civile, indaghino a fondo sui casi segnalati di sorveglianza mirata illegale e creino un quadro giuridico e di vigilanza solido per prevenire ulteriori abusi degli strumenti digitali a fini politici.