Caso Paragon: l'azienda deve rispondere dell'uso di spyware contro la società civile e i giornalisti
ROMA-ADISTA. Access Now, autorevole coalizione statunitense per i diritti digitali, indirizza una lettera aperta all’azienda Paragon Solutions, proprietaria del malware “Graphite” usato dai servizi segreti italiani per spiare gli attivisti di Mediterranea Saving Humans e forse anche giornalisti d’inchiesta, ponendo una serie di domande, molto circostanziate, che se evase da parte di Paragon, porterebbero alla luce tutto ciò che ancora viene tenuto nascosto anche dopo la relazione del Copasir.
«Noi, sottoscritti, organizzazioni ed esperti per i diritti umani e la libertà di stampa, scriviamo alla luce delle recenti scoperte pubblicate dal Citizen Lab, che confermano l'uso dello spyware Graphite di Paragon Solutions contro i giornalisti, aggiungendosi alle precedenti scoperte che rivelavano come la tecnologia dell'azienda fosse utilizzata per colpire attori della società civile in Italia, inclusi gli operatori umanitari - si legge nella lettera di Access Now -. Queste rivelazioni, unite al rapporto del Comitato Parlamentare per la Sicurezza della Repubblica (COPASIR) e alle precedenti rivelazioni di Meta, sollevano urgenti preoccupazioni in merito alle pratiche di due diligence di Paragon, ai meccanismi di controllo post-vendita e alla fornitura di accesso ai rimedi per le persone colpite.
La situazione attuale dimostra che la strategia di Paragon di vendere esclusivamente a governi democratici come misura di mitigazione del rischio non offre di per sé una protezione sufficiente contro l'uso improprio delle tecnologie di sorveglianza. L'Italia, Stato membro dell'Unione Europea, firmatario del Codice di condotta per gli Stati di Pall Mall e soggetto all'European Media Freedom Act, ha tuttavia distribuito spyware contro individui impegnati in attività umanitarie e non ha fornito risposte soddisfacenti in merito alla presa di mira dei giornalisti in Italia. Questi sviluppi sottolineano che i quadri normativi volontari che si basano principalmente sulla valutazione degli utenti finali di spyware come attori responsabili e non irresponsabili sono inadeguati in assenza di solide garanzie, meccanismi di supervisione e applicazione.
Tra gli ultimi obiettivi dello spyware Paragon, confermati da analisi forensi del Citizen Lab, figurano il giornalista Ciro Pellegrino e un importante giornalista europeo anonimo. Sono stati presi di mira e confermati anche Luca Casarini e Giuseppe Caccia, individui coinvolti in operazioni di ricerca e soccorso nel Mediterraneo. La loro sorveglianza solleva significativi interrogativi sull'impiego di spyware con vaghe o eccessive giustificazioni di sicurezza nazionale, come indicato nel rapporto del COPASIR in merito a Casarini, Caccia e altre vittime italiane.
Nel caso del giornalista Francesco Cancellato, Meta aveva informato Cancellato che il suo dispositivo era stato preso di mira dallo spyware Graphite. Ad oggi, non sono state fornite informazioni su quale governo abbia distribuito lo spyware e Francesco Cancellato rimane senza risposte o rimedi. Nel frattempo, Paragon ha affermato di aver offerto al governo italiano un mezzo tecnico di verifica e di essere "pronta a fornire assistenza in qualsiasi indagine, qualora le autorità italiane ne facessero richiesta ufficiale".
Sebbene il contratto con l'Italia sia stato segnalato come risolto, ciò non esonera Paragon dalla responsabilità per i danni già causati. La sospensione reattiva del contratto a seguito di esposizione pubblica non sostituisce la supervisione proattiva, la trasparenza o la responsabilità. L'apparente assenza di un processo di notifica alle vittime, di un quadro di ricorso o di una segnalazione pubblica degli abusi da parte dei clienti indica fortemente un fallimento sistemico nella gestione dei rischi associati alle tecnologie di sorveglianza.
Paragon si propone come un'alternativa più etica rispetto ad altri fornitori di spyware, come NSO Group. Tuttavia, le rivelazioni in corso sull'uso della tecnologia Paragon da parte dell'Italia contro la società civile e i giornalisti sollevano seri dubbi sulla conformità dell'azienda alle norme internazionali sui diritti umani o alle aspettative delineate nei Principi Guida delle Nazioni Unite su Imprese e Diritti Umani (UNGP). Tra questi, l'obbligo di fornire riparazione in caso di danno e di adottare misure significative per prevenire futuri abusi.
Il mancato rispetto di tali norme può avere anche notevoli ripercussioni legali e finanziarie per Paragon, così come per i suoi investitori aziendali. Ad esempio, da quando le rivelazioni su Pegasus di NSO Group sono emerse per la prima volta nel 2016 , l'azienda è stata perseguitata da sanzioni governative , acquisizioni fallite e diversi casi legali, culminati più recentemente con una giuria californiana che ha ritenuto NSO Group responsabile di 447.719 dollari di danni compensativi e la sbalorditiva somma di 167.254.000 dollari di danni punitivi per aver preso di mira l'infrastruttura di WhatsApp con lo spyware Pegasus. Nel 2021, mentre le inchieste giornalistiche richiedevano un ulteriore esame delle operazioni dell'azienda, il fondo attraverso il quale NSO Group era stata acquisita due anni prima è stato liquidato . Novalpina Capital Partners, la società di private equity che aveva guidato il fondo, ha avviato a sua volta una procedura di liquidazione nel 2023.
In questo contesto, e alla luce dei casi confermati di sorveglianza, chiediamo rispettosamente una risposta alle seguenti richieste: A seguito della risoluzione del contratto con l'Italia, quali azioni specifiche intraprenderà l'azienda per porre fine a questo rapporto? Quali processi e meccanismi vengono messi in atto per garantire che il governo non sia più in grado di utilizzare lo spyware Graphite di Paragon dopo la risoluzione del contratto? Quali procedure e misure di sicurezza tecniche e legali sono state messe in atto per garantire che Paragon sia in grado di rilevare, monitorare e segnalare gli abusi non appena si verificano? Paragon si impegnerà a effettuare audit indipendenti dei suoi registri e di altre informazioni pertinenti in caso di sospetto uso improprio della sua tecnologia? Quali protocolli utilizza l'azienda per indagare su potenziali usi impropri dei suoi prodotti segnalati internamente o esternamente da organizzazioni della società civile? Quali dati vengono estratti e archiviati dal dispositivo di un individuo una volta che viene preso di mira dallo spyware di Paragon? In quali giurisdizioni e attraverso quali giurisdizioni? Come e dove vengono conservati? Chi controlla i privilegi di accesso? Quali misure vengono adottate per porre rimedio ai danni causati alle vittime recentemente identificate in Italia? In che modo e quando Paragon provvederà o collaborerà alla riparazione delle vittime di sorveglianza che sono già state colpite dall'abuso documentato della sua tecnologia? Quali parti interessate saranno consultate dall'azienda nella progettazione e nell'implementazione di un processo di bonifica? L'azienda creerà un meccanismo di reclamo per monitorare gli impatti negativi in corso sulle comunità e sugli individui? Paragon fornirà agli obiettivi confermati del suo spyware tutte le informazioni necessarie per cercare un rimedio, soprattutto nel caso di Francesco Cancellato? AE Industrial pubblicherà una politica sui diritti umani che affronti l'uso dello spyware e le relative responsabilità, approvata dal Consiglio di amministrazione e dai dirigenti aziendali? Quali programmi di due diligence sui diritti umani (HRDD) e relative politiche sono attualmente in vigore presso Paragon e Red Lattice? Paragon pubblicherà un elenco dettagliato della sua attuale clientela, nonché l'elenco di tutti i clienti, oltre all'Italia, con cui Paragon ha rescisso i contratti a causa del mancato rispetto degli standard sui diritti umani? Quali criteri vengono utilizzati per determinare se un paese o un regime è idoneo a utilizzare la vostra tecnologia? Con quale frequenza rivalutate se i paesi sono ancora idonei? Quali meccanismi sono in atto per rispondere ai cambiamenti nei contesti nazionali, come ad esempio la nuova leadership governativa? È stata condotta una revisione di questo tipo dopo le rivelazioni italiane? In che modo il programma HRDD è progettato per identificare, prevenire, mitigare e tenere conto in modo efficace dei rischi emergenti e dell'uso improprio dei vostri prodotti da parte dei clienti? L'azienda effettua periodicamente audit indipendenti di terze parti sul programma di due diligence sui diritti umani per verificarne l'efficacia? L'azienda dispone di un sistema di segnalazione delle irregolarità da parte dei dipendenti, in base al quale è vietata qualsiasi ritorsione nei confronti dei segnalanti e ne viene tutelata la riservatezza?
Gli individui e le comunità presi di mira in questo caso esercitavano diritti fondamentali e svolgevano un'attività che contribuiva a sostenere i diritti fondamentali e i pilastri della democrazia. Invitiamo Paragon e AE Industrial Partners a cogliere questa opportunità per dimostrare un impegno significativo nei confronti degli standard internazionali sui diritti umani, impegnandosi in modo trasparente, fornendo rimedi laddove giustificati e implementando solide misure di salvaguardia per impedire che tali situazioni si ripetano».
«Il fatto che gli attivisti di una ong italiana siano stati spiati dai servizi segreti per anni fa già discutere di per sé - afferma Mediterranea Saving Humans in una nota -. Che poi dal 5 settembre 2024 il sottosegretario Alfredo Mantovano abbia ordinato l’ulteriore continuazione dello spionaggio attraverso l’uso dello strumento più potente ed invasivo presente sul mercato, non può risultare normale in un Paese che si dice democratico. A tutto questo si aggiungono nomi di giornalisti, del presidente dell’associazione Refugees in Libya, di un sacerdote, che non si sa secondo il Copasir da chi siano stati spiati. Ma tutti hanno ricevuto avvisi di presenza di “attacchi sofisticati di natura governativa” sui loro cellulari o computer. Sicuramente uno dei giornalisti è anch’esso stato spiato con “Graphite”. Che trama si nasconde dietro questa attività di dossieraggio effettuata contro attivisti e giornalisti, tra dimensione autorizzata e non autorizzata? Chi ha in mano i materiali del dossieraggio? Vi è una relazione tra livello governativo dello spionaggio, e centrali occulte ed illegali che utilizzano lo stesso software?»
Adista rende disponibile per tutti i suoi lettori l'articolo del sito che hai appena letto.
Adista è una piccola coop. di giornalisti che dal 1967 vive solo del sostegno di chi la legge e ne apprezza la libertà da ogni potere - ecclesiastico, politico o economico-finanziario - e l'autonomia informativa.
Un contributo, anche solo di un euro, può aiutare a mantenere viva questa originale e pressoché unica finestra di informazione, dialogo, democrazia, partecipazione.
Puoi pagare con paypal o carta di credito, in modo rapido e facilissimo. Basta cliccare qui!