Sedici redazioni sparse in tutto il mondo hanno lavorato per mesi a questo scoop: un’azienda privata israeliana – la Nso – ha creato un software sofisticato che si chiama Pegasus ed è capace di entrare negli smartphone e di rubare tutti i dati che contengono: le chat, i messaggi, le foto, i video, le posizioni, gli appunti e tutto il resto. La Nso negli ultimi quattro anni ha venduto questo software ad almeno quaranta Governi in tutto il mondo perché in teoria è un’arma formidabile contro terroristi e criminali. E qui cominciano i problemi. Fra i clienti di Nso ci sono anche regimi e Governi che invece usano Pegasus in modo illegale contro dissidenti, giornalisti, attivisti per i diritti umani e politici rivali.

Lo scoop si basa su una lista di cinquantamila numeri di telefono che, secondo l’accusa, sono i bersagli selezionati per la sorveglianza dai clienti di Nso. I ricercatori lavorano alla lista da molto tempo e sono riusciti a capire a chi appartengono un po’ di numeri: ci sono una decina di capi o ex capi di Stato e di Governo, oltre un ottantantina di attivisti per i diritti umani, poco meno di duecento giornalisti, decine di leader di aziende importanti e altri. La base di partenza della faccenda è chiara: i clienti di Pegasus hanno capito che possono entrare nei telefoni di chi vogliono e abusano di questo potere.

Ma il software è davvero così micidiale? Più la ricerca va avanti e più si capisce perché un esperto anonimo sul «Financial Times» l’ha definito «il giocattolo che tutti vogliono». Pegasus sfrutta alcune lacune nei sistemi di sicurezza che gli permettono di installarsi in un telefono anche senza che il suo proprietario faccia nulla. Sono le cosiddette vulnerabilità «zero clic», perché non c’è nemmeno bisogno di cliccare su un messaggio o su un link per essere contagiati. Nel maggio del 2019 alcuni ricercatori avevano scoperto che Pegasus riusciva a impadronirsi di un telefono con una semplice telefonata (anche se il ricevente non rispondeva) da un numero sconosciuto via Whatsapp (chi si ricorda se nell’ultimo anno ha ricevuto una chiamata da un numero non conosciuto?). Quella falla era stata sistemata, ma è chiaro che i programmatori di Pegasus aggiornano di continuo il loro prodotto e trovano altri passaggi. Il loro spyware funziona contro il sistema operativo IOS degli Iphone – incluso il 14,7 che è il più recente – e contro il sistema rivale Android.

Chi manovra Pegasus di fatto controlla il telefono come se l’avesse in mano. Può accendere la camera con discrezione e sentire e vedere cosa succede. Può leggere le chat di Whatsapp, Facebook, Telegram, Signal e altre applicazioni. Non conta nulla che in teoria siano messaggi criptati, perché appunto Pegasus non intercetta i messaggi mentre viaggiano ma vede quello che succede sul telefonino. È inutile avere una password se qualcuno registra lo schermo del tuo telefono. Com’è facile intuire, una volta acquistato questo superpotere – per svariate decine di milioni di dollari – Governi e regimi hanno cominciato ad abusarne.
Nel 2018 la principessa Latifa, figlia dell’emiro di Dubai, ha provato a fuggire dalla vita soffocante a cui la costringeva il padre. Si è sbarazzata del telefono come ovvia misura di sicurezza, ha raggiunto un porto dentro il vano bagagli di una macchina e si è imbarcata di nascosto grazie a una rete di complici su una nave che doveva portarla verso la libertà. Pochi giorni dopo però i commandos degli Emirati hanno abbordato la nave, hanno catturato la principessa e contro la sua volontà l’hanno riportata indietro, dove adesso non appare più in pubblico. I ricercatori hanno notato che i numeri di telefono dei suoi amici sono apparsi sulla lista dei bersagli da sorvegliare subito dopo la sua fuga e quindi è inevitabile chiedersi, come fa il «Washington Post»: Latifa è stata localizzata grazie a Pegasus? E questo è soltanto un caso.

Pegasus affiora con regolarità in molte storie orrende di questi anni, come se adesso ripercorrendole a ritroso capissimo cosa potrebbe essere successo. Il software appare nella storia del rapimento e massacro di una quarantina di studenti in Messico nel 2014, una storia che imbarazza il Governo. Appare nell’omicidio di Jamal Kashoggi, che nell’ottobre 2018 venne attirato con l’inganno nel consolato saudita di Istanbul e trucidato. Si capisce perché sedici redazioni hanno preso in carico la faccenda: è una storia con mille ramificazioni.
Adesso per Israele resta il problema diplomatico generato dallo scandalo. Un mese fa il «New York Times» spiegava in un titolo che oggi le potenze non negoziano più sul nucleare, ma sugli attacchi informatici, perché sono la vera guerra fredda del nostro tempo: dal punto di vista formale non violano la pace ma lasciano sul terreno molte vittime. La storia di Pegasus è una dimostrazione di questa realtà.

Sembra che in questi anni il Governo israeliano abbia trattato il software, il giocattolo che tutti volevano, come una carta diplomatica per tessere relazioni anche con Governi che in pubblico non hanno relazioni con Israele. Vedi Emirati arabi uniti, che l’anno scorso hanno firmato con Israele un trattato di normalizzazione, e Arabia Saudita, che ancora non l’ha fatto ma si sa che negozia sottobanco. E nella lista dei bersagli selezionati per la sorveglianza non sono stati trovati – per ora – persone negli Stati uniti, come se fosse stato deciso di evitare di innervosire il Governo americano, che di Israele è un alleato strategico. L’impressione è che lo scoop di domenica 18 luglio sia stato soltanto il capitolo iniziale di una storia con molti strascichi che ancora non si afferrano.

La lista al centro dello scoop ha due caratteristiche molto interessanti. La prima è che contiene i metadati dei cambiamenti: in pratica vuol dire che quando qualcuno la aggiornava e inseriva nuovi numeri, la lista registrava il giorno e l’ora e quindi adesso possiamo vedere che certi bersagli sono stati aggiunti proprio quando erano molto interessanti (come gli amici della principessa Latifa al momento della sua fuga). E questo conferisce alla lista un elemento di credibilità. La seconda caratteristica è che nessuno sa chi ha davvero compilato la lista. Nso dice che è falsa. I media che hanno fatto lo scoop sostengono che sia un leak, quindi doveva rimanere segreta ma un qualcuno non meglio specificato l’ha passata loro. Per ora (dato di giovedì di settimana scorsa) i ricercatori sono riusciti a esaminare soltanto 64 telefoni delle «vittime» su cinquantamila. E hanno trovato tracce di Pegasus su 37.