Intercettazioni, la sicurezza fa flop: mille italiani finiscono spiati

Così gli hacker hanno fatto breccia nel software usato dalle Procure

Un Far West senza regole, dove grazie all'ignavia dei grandi gestori telefonici le Procure della Repubblica devono affidarsi alla creatività dei piccoli imprenditori italiani: a volte geniale, a volte fallace. Questo è il mondo delle intercettazioni di terza generazione, quelle in grado di inserirsi come un virus nei telefoni e succhiare ogni genere di sussurro, di contatto, di informazione. È una macchina delicata, perché investe la privacy dei cittadini. E tra gli addetti ai lavori era da tempo che si temeva che, prima o poi, qualche guaio sarebbe accaduto.|

E il guaio risuona nella voce scossa con cui ieri pomeriggio risponde al telefono Diego Fasano, giovane ed emergente imprenditore della information technology. Fino a ieri Fasano era una figura di spicco della economia giovanile del sud: la sua Connexxa sfornava a ripetizione prodotti in grado di conquistare mercati di mezzo mondo, ed è considerata azienda seria e affidabile. Ma ora uno di questi prodotti è sotto accusa: per colpa di Exodus, un software venduto a buona parte delle Procure italiane, sarebbero finiti sotto controllo per errore quasi mille telefoni di italiani qualunque mai coinvolti in inchieste giudiziarie, e pure essi svuotati di ogni loro segreto. «Di questo malfunzionamento non ho mai saputo niente - dice Fasano, assai provato - so che ne ha parlato una rivista ma giuro che cadiamo dalle nuvole. E capirà che è un momento difficile. Non faccio dichiarazioni».

Secondo la rivista Motherbard, Exodus avrebbe infettato per mesi le vittime incolpevoli, grazie ad app malevole disponibili su Android e sul playstore ufficiale di Google. Fonti interpellate dal Giornale, utenti istituzionali di Exodus, dubitano che i fatti siano andati precisamente così. Exodus infatti viene inoculato grazie a una falsa icona, generalmente identica a quella dell'home banking, che viene installata a tradimento sul telefono del soggetto da intercettare. L'utente clicca sull'icona convinto di accedere ai sistemi bancari e invece apre le porte del suo portatile agli intercettatori delle Procure, fornendo loro di tutto: dai calendari alle rubriche telefoniche alla geolocalizzazione alle conversazioni ambientali, oltre ovviamente alla messaggistica e alle conversazioni in voce. Ma non risulta che la falsa icona sia mai stata disponibile su richiesta dell'utente negli store o scaricabile per errore. O almeno, così doveva essere.

Di certo, e in attesa di capire cosa sia accaduto davvero, l'allarme lanciato da Motherboard apre una finestra su un tema critico ben noto agli addetti ai lavori: la riluttanza dei gestori telefonici a fornire direttamente alle Procure servizi di intercettazione evoluta. La legge obbliga Telecom, Vodafone e le altre compagnie a provvedere direttamente le prestazioni di ascolto classiche. Ma per estendere l'obbligo alle nuove frontiere delle telecomunicazioni servirebbe una modifica legislativa che viene osteggiata dalle lobby.

Così diventa inevitabile per la magistratura ricorrere alle invenzioni dei privati. Prodotti come Exodus vengono proposti in continuazione alle Procure di tutta Italia, e utilizzati su ampia scala. Sono prodotti in costante evoluzione e ad alta tecnologia: basti pensare che Exodus è in grado di documentare in diretta, scattando continui screenshot della schermata, le conversazioni che avvengono su servizi di messaggistica considerati sicuri come Whatsapp e Telegram, e - attraverso un canale di memorizzazione particolare - anche i relativi messaggi vocali. Ma proprio la necessità di continui aggiornamenti espone le diavolerie dell'intercettazione di terza generazione la a rischi di falle tecnologiche. E anche se, come pare, la falla di Exodus è stata tappata per tempo e ha riguardato numeri molto più esigui di quelli indicati da Motherboard, il problema esiste.