La storia di Hacking Team, dall’inizio
Come in pochi anni una società italiana si è trasformata in uno dei più controversi colossi della sorveglianza online, accusata di fare affari con i governi più repressivi del mondo
di David Kushner – Foreign Policy
Il 13 luglio del 2012, mentre il sole sorgeva sulle rive della Senna e sulle case medievali in legno e muratura di Rouen, in Francia, Hisham Almiraat trovò nella sua casella di posta un’email che aveva come oggetto «denuncia pubblica». «Per favore non citate il mio nome o nient’altro sia scritto in questa email», scriveva il mittente, Imane. «Non voglio avere problemi».
Almiraat – direttore e co-fondatore di Mamfakinch, un sito a favore della democrazia creato in Marocco durante la primavera araba – era uno dei principali oppositori politici del suo paese, ed era abituato a ricevere email criptiche. Molti attivisti marocchini sono finiti in carcere e hanno rischiato di perdere il lavoro, o la vita, per aver espresso opinioni contro il governo. A Rouen, capitale della regione francese della Normandia, Almiraat, un 36enne con gli occhiali, frequentava la scuola di medicina; quando non era a lezione o di turno in ospedale passava il suo tempo a revisionare gli articoli di oltre 40 giornalisti. Il suo gruppo si occupava di giornalismo partecipativo e seguiva i disordini in Marocco, dove Almiraat sarebbe tornato a breve dopo aver finito gli studi.
Almiraat e i suoi colleghi avevano insegnato ai giornalisti di Mamfakinch anche a usare dei software di criptaggio, soprattutto Onion (o come viene più spesso chiamato Tor, che permette ai suoi utenti di nascondere la loro identità e la loro posizione), in modo che le loro attività online rimanessero anonime e protette. «Le persone si affidavano a noi per proteggere la loro reputazione, la loro carriera e probabilmente anche la loro libertà», ha raccontato Almiraat. «Tutte cose che sarebbero in pericolo se le nostre attività fossero rese pubbliche». Mamfakinch vinse il Breaking Borders Award, sponsorizzato da Google e dalla rete di giornalismo partecipativo internazionale Global Voices, per il suo impegno a «difendere e promuovere il diritto alla libertà di parola su Internet».
Ma quella mattina di luglio, solo 11 giorni dopo aver ricevuto il premio, Almiraat lesse il messaggio di Imame e capì che «c’era qualcosa che non andava». Un link nell’email lo indirizzò a un documento chiamato “Scandalo”, che una volta scaricato appariva completamente vuoto. I suoi soci ricevettero lo stesso messaggio. Almiraat si insospettì e girò subito l’email a un attivista che conosceva, che a sua volta la inoltrò a Morgan Marquis-Boire, un attivista digitale 32enne con i dreadlock e tatuato che era cresciuto facendo l’hacker in Nuova Zelanda con il soprannome di “Mayhem” (“caos”, in inglese). Marquis-Boire era poi diventato un importante ricercatore per la sicurezza a Google e aveva lavorato come investigatore volontario per Citizen Lab, un gruppo che si occupa di ricerca tecnologica e diritti umani all’Università di Toronto.
Insieme ad altri colleghi, Marquis-Boire aveva raccolto prove che dimostravano come il governo del Bahrein avesse usato contro i suoi contestatori dei software di sorveglianza progettati per monitorare sospetti criminali. Dopo aver analizzato per un mese il file ricevuto da Almiraat, Marquis-Boire lo contattò per dargli una notizia inquietante: chiunque avesse scaricato il documento aveva aperto involontariamente un software di spionaggio molto sofisticato, che era stato inviato da un IP di Rabat, la capitale del Marocco. Ulteriori ricerche confermarono che il responsabile dell’attacco era il Consiglio Supremo di Difesa Nazionale del Marocco, che gestisce i servizi di sicurezza del paese. In sostanza Almiraat e i suoi colleghi avevano consegnato al governo marocchino le chiavi d’accesso ai loro dispositivi, rendendo inutili Tor o qualsiasi altro software di criptaggio. Le spie del Marocco potevano quindi leggere le email della squadra di Mamfakinch, rubare le loro password, registrare le loro azioni sulla tastiera e attivare le loro webcam e i loro microfoni. Probabilmente avevano fatto proprio questo, e altro ancora, da quando a luglio si erano introdotti nel loro sistema.
Ma c’era dell’altro. Marquis-Boire e altri esperti avevano trovato «un percorso di indizi lasciati da una società di sorveglianza che non è solita lasciare indizi, figuriamoci un percorso», ricorda Marquis-Boire. Nascosto nel codice sorgente del file “Scandalo” erano state lasciate per errore poche righe, le prime piccole tracce che portarono alla più potente e famigerata società di spionaggio online: l’italiana Hacking Team. Considerata come il Blackwater della sorveglianza, Hacking Team è tra le poche decine di società private al mondo che forniscono software di spionaggio alle forze dell’ordine e alle agenzie di intelligence di tutto il mondo, un settore da diversi miliardi di dollari.
Hacking Team è composta da una quarantina tra ingegneri e venditori che forniscono i loro prodotti a oltre 40 paesi e rappresenta alla perfezione quello che il gruppo internazionale Reporter senza frontiere definisce l’«era dei mercenari digitali». I servizi di Hacking Team – «strumenti di hackeraggio per le intercettazioni governative», come sostiene il sito delle società – sono destinati alla lotta contro criminali e terroristi. Ma sullo schermo del suo computer Marquis-Boire aveva la prova inquietante che i software di Hacking Team venivano usati anche contro i dissidenti politici, l’ultimo esempio di quello che lo stesso Marquis-Boire definisce una tendenza preoccupante: regimi corrotti che sfruttano i software forniti da società di sorveglianza a scopi anti-democratici.
Nell’ottobre 2012 Citizen Lab pubblicò le sue scoperte in un rapporto intitolato «Backdoors are Forever: Hacking Team and the Targeting of Dissent?», fornendo anche prove delle presenza di un software di spionaggio di Hacking Team in un documento inviato a Ahmed Mansoor, un attivista a favore della democrazia negli Emirati Arabi Uniti, e mettendo in allarme i gruppi per la tutela della privacy e le organizzazioni per i diritti umani. «Alimentando e legittimando questo commercio globale stiamo creando un vaso di Pandora», ha detto a Bloomberg Cristopher Soghoian, il principale esperto di tecnologia del progetto “Parola, Privacy e Tecnologia” dell’American Civil Liberties Union, una ONG americana che si occupa di diritti civili. Hacking Team, dal canto suo, non mostrò segni di cedimento: «In tutta franchezza le prove contenute nel rapporto di Citizen Lab non indicano nessun’azione inappropriata da parte nostra», ha detto il portavoce della società Eric Rabe al Globe and Mail.
Mentre media e attivisti facevano ipotesi sui paesi clienti di Hacking Team, il fondatore e CEO della società David Vincenzetti dal suo elegante ufficio bianco in un anonimo palazzo residenziale di Milano non si scompose davanti agli attacchi della stampa. Scherzando con i suoi colleghi scrisse in un’email privata di essere il responsabile della «tecnologia più malvagia del mondo». Vincenzetti – un 48enne alto e magro a cui piacciono le bistecche costose e i completi di sartoria – negli ultimi dieci anni è passato dall’essere un hacker clandestino che lavorava in uno scantinato senza finestre a diventare un magnate milionario. La sua idea di giustizia è categorica: il fondatore di WikiLeaks, Julian Assange, secondo lui «è un criminale che dovrebbe essere arrestato con tutti i mezzi possibili, estradato negli Stati Uniti e processato lì»; la whistleblower Chelsea Manning sarebbe «un altro fuori di testa»; Edward Snowden «dovrebbe finire in carcere, senza dubbio». «La privacy è importante», ha detto Vincenzetti a Milano una mattina di febbraio, fermandosi per bere il suo caffè, «ma la sicurezza nazionale lo è molto di più». Le posizioni di Vincenzetti hanno avuto ricadute molto gravi, e intorno a lui ci sono stati diversi episodi inquietanti: il suicidio di una spia, l’arresto di alcuni dissidenti e un’infinità di casi di abusi sui diritti umani. Di lui Guido Landi, un ex dipendente di Hacking Team, ha detto: «Se avessi saputo quanto è pazzo e pericoloso, non avrei mai accettato di lavorare per Hacking Team».
L’11 marzo 2004, durante l’ora di punta del mattino, dieci grandi esplosioni colpirono quattro treni di pendolari a Madrid, uccidendo quasi 200 persone e ferendone altre 1800. Gli attentati più letali nella storia della Spagna furono ancora più terribili perché i responsabili, probabilmente ispirati dalle letture su al Qaida fatte su Internet, avevano avuto a disposizione un arsenale di nuove tecnologie digitali a basso costo – come social network, programmi di messaggistica istantanea e software di videoconferenza – per elaborare il loro piano. All’epoca la polizia non aveva reparti interni per la sicurezza informatica e quindi neanche i mezzi per reagire. Le società private a cui si appoggiava, inoltre, di solito erano specializzate in tecnologie di difesa, come gli antivirus, e non in programmi capaci di attaccare e decriptare gli strumenti dei criminali. Per Vincenzetti la tragedia di Madrid rappresentò un’opportunità di lavoro. Con un solo cliente all’epoca, la Polizia Postale di Milano, il giovane imprenditore decise di convincere il governo spagnolo dell’importanza cruciale del suo software di sorveglianza per la lotta al terrorismo.
Figlio di un’insegnante e di un venditore di prodotti chimici per l’agricoltura, Vincenzetti iniziò come hacker autodidatta e iniziò ad affascinarsi alla crittografia a 14 anni. Da adolescente passava ore sui forum informatici; decifrare codici gli ricordava i tornei di scacchi a cui spesso partecipava: una serie di mosse complesse in difesa e attacco che portano alla vittoria il giocatore più astuto. «Un hacker è una persona che passa attraverso i varchi, e mai dalla porta d’ingresso», ha detto Vincenzetti. «Io ero un hacker. Ed ero bravo». Nel 1993, poco dopo essersi iscritto all’università Bicocca di Milano, Vincenzetti fu assunto dal suo ateneo come amministratore della sicurezza e della rete, un lavoro per il quale avrebbe avuto i requisiti solo dopo la laurea. «Era molto conosciuto», ricorda Stefano Zanero, suo vecchio compagno di corso e ora professore associato della Bicocca. «Era uno di quegli appassionati di tecnologia che stavano iniziando a capire come funzionava Internet».
Per Vincenzetti il panorama tecnologico nascente doveva aggirare le regole prestabilite. Mentre il settore della sicurezza era dominato da società che difendevano imprese e governi dagli hacker, Vincenzetti si chiedeva cosa sarebbe successo se gli hacker fossero stati usati come strumento di sicurezza. «Stavo cercando di prevedere il futuro», ha detto. Tra il 2003 e il 2004 Vincenzetti lavorò con due compagni di università in un umido appartamento seminterrato, dove codificarono quello che sarebbe diventato il software simbolo di Hacking Team: il Remote Control System (RCS).
Il programma – che in seguito fu ribattezzato prima Da Vinci e poi Galileo – è in grado di prendere il controllo dei dispositivi di un obiettivo senza essere rilevato, e permette a un governo di usare software malevoli contro un nemico identificato. Pensate al software come a un dossier su un criminale: una sezione chiamata “Obiettivi” mostra una foto profilo, fatta di nascosto dalle spie con la telecamera del dispositivo hackerato del soggetto in questione; di fianco alla foto si apre un menu con i dispositivi (computer, telefoni, tablet, eccetera) che permettono agli agenti di consultare i dati personali dell’obiettivo, come l’email, il profilo Facebook, Skype, gli alter ego online, i contatti, i siti preferiti e la posizione geografica. Con il tempo, il software permette al governo di raccogliere una rete di informazioni di intelligence approfondite e ramificate. Installare RCS non è sempre facile. Le spie devono accedere ai dispositivi tecnologici del loro obiettivo velocemente e senza farsi scoprire, per esempio nei pochi secondi in cui un telefono attraversa i controlli di sicurezza al confine. Bisogna accedere separatamente a ogni dispositivo, e le possibilità per farlo sono moltissime: una chiavetta USB, un DVD, una rete Wi-Fi pubblica, o addirittura un QR code, mascherato in modo da attirare il soggetto (una pubblicità di un servizio di escort, per esempio).
All’inizio della sua attività, Vincenzetti aveva strutturato Hacking Team come un’importante organizzazione per la difesa della sicurezza internazionale, una sorta di moderna “Justice League” capace di inventare tecnologie che i governi potevano sfruttare per proteggere i loro cittadini. Alberto Pelliccione, il capo sviluppatore di RCS per dispositivi mobili ed ex ricercatore sull’intelligenza artificiale, fu tra quelli che si unirono con entusiasmo alla causa di Vincenzetti. «Il programma doveva essere usato contro terroristi e criminali», racconta Pelliccione, «farne parte era molto entusiasmante». Per i suoi potenziali clienti Vincenzetti creò una presentazione che illustrava le funzioni di sicurezza di RCS; per garantire l’anonimato, quando i clienti contattavano il numero per l’assistenza di Hacking Team dovevano usare solo nomi in codice, e la società non aveva accesso ai dati raccolti dai clienti. «Sarebbe molto pericoloso per chi lavora qui», ha detto Vincenzetti.
Nella start-up di Vincenzetti i giorni correvano veloci, mentre i dipendenti della società passavano il loro tempo a scrivere codici. Poi, qualche mese dopo gli attenti di Madrid, la strategia promozionale di Vincenzetti diede i suoi frutti: i servizi segreti spagnoli diventarono il secondo cliente di Hacking Team. Dopo aver concluso l’accordo, Vincenzetti ricorda di aver pensato: «Ehi David, questa società ha futuro». RCS non era una tecnologia minacciosa secondo Vincenzetti, che pure era consapevole del fatto che il suo programma sarebbe potuto essere usato sia per scopi pacifici che militari. «Capimmo in fretta il potere di uno strumento come il nostro», ha detto. Le norme internazionali in materia di armi non prendevano in considerazione i software di spionaggio; era quindi compito di Vincenzetti e dei suoi colleghi valutare come i loro clienti avrebbero potuto usare i prodotti di Hacking Team. Vincenzetti dice che i suoi dipendenti non hanno mai preso la questione alla leggera. Nella sua politica sui clienti – pubblicata sul sito della società dopo la diffusione del rapporto di Citizen Lab – Hacking Team si impegna a vendere i propri prodotti esclusivamente a governi, e non ad aziende o singole persone (Vincenzetti dice che la società rifiuta spesso richieste di persone che vogliono spiare il proprio partner). In nessuna circostanza Hacking Team ha detto che venderà servizi a un paese che compare nelle liste nere di Nazioni Unite, Unione Europea, NATO o ASEAN. Vincenzetti ha assunto Bird & Bird, uno studio legale internazionale con sede a Londra, per aiutare la sua società a svolgere controlli sui clienti prima della vendita.
Nonostante Hacking Team non raccolga dati sull’uso che fanno di RCS dopo la vendita, Vincenzetti tiene sotto controllo i media per assicurarsi che i suoi clienti non commettano reati. «Se dovessero emergere dubbi su un possibile abuso dei nostri software in questioni legate ai diritti umani, Hacking Team indagherà per quanto possibile per accertarsi dei fatti. Nel caso in cui ritenga che uno dei suoi clienti possa essere coinvolto in un uso improprio del proprio software, Hacking Team contatterà il cliente nell’ambito delle indagini. Sulla base dei risultati dell’indagine, Hacking Team adotterà le misure adeguate», si legge nella politica sui clienti della società. Come esempio, Vincenzetti ha raccontato di aver annullato un contratto con la Russia nel 2014, prima dell’invasione della Crimea, dopo aver letto notizie su corruzione, omicidi e altri esempi di quello che «la Russia stava diventando». Stando a quanto dice Vincenzetti, Cina, Nigeria, Pakistan e Iraq, per citare alcuni stati repressivi, avrebbero richiesto i servizi di Hacking Team; la società avrebbe avuto «un’infinità di opportunità» per fare affari con questi paesi, che però ha sempre declinato. Ciononostante, Vincenzetti ammette che le procedure di controllo della società non sono perfette. Nel 2011 Hacking Team fu contattata dal Sudan, il cui presidente era stato accusato di genocidio dalla Corte Penale Internazionale, e un anno dopo i servizi di intelligence e di sicurezza del paese comprarono RCS per 960mila euro.
Vincenzetti racconta che in quel periodo la sua vita era diventata piena di impegni, e che spesso gli capitava di pensare che fosse passato un mese invece di una settimana. Si svegliava regolarmente alle 3 di notte per allenarsi, anche se sapeva che quel giorno avrebbe dovuto incontrare l’FBI a Washington, negoziare un contratto a sette cifre in Corea del Sud, aiutare dei poliziotti a infiltrarsi nei cartelli della droga in Messico o lavorare dal suo ufficio di Milano, per poi passare il resto della giornata senza mai fermarsi tra trattative e scrittura di codici. Nel 2013 Vincenzetti contava tra i suoi clienti una quarantina di governi, tra cui gli Stati Uniti, ognuno dei quali spendeva all’incirca dai 44mila euro a 1,7 milioni di euro l’anno per il software di Hacking Team. Nell’agosto del 2012 la Drug Enforcement Administration (DEA, l’agenzia federale antidroga americana) spese oltre 2 milioni di euro per RCS, per spiare 17 tra «trafficanti di droga e riciclatori di denaro che agivano dall’estero», secondo il contratto pubblicato sul sito Motherboard a febbraio. Vincenzetti frequentava ormai le persone più ricche e importanti del mondo, dividendo la ricchezza della sua società con i suoi fidati collaboratori.
Hacking Team non pubblicava i suoi guadagni, ma un suo ex dipendente, Landi, ha raccontato che «quando volevo più soldi Vincenzetti diceva sempre di sì». Dopo la pubblicazione del rapporto di Citizen Lab del 2012, alcuni collaboratori di Vincenzetti iniziarono a dubitare del fatto che le persone a cui vendevano il loro software lo usassero nel modo giusto e rispettassero la legge, racconta Pelliccione. Lo sviluppatore di RCS non partecipava al processo di controllo sui clienti, ma quando espresse le sue perplessità ai suoi superiori fu rassicurato del fatto che «stavano controllando tutti per assicurarsi che non ci fossero abusi».
All’esterno della società, tuttavia, gli oppositori di Hacking Team non erano altrettanto ottimisti, e la sua fama era cresciuta soprattutto tra i sostenitori della tutela della privacy. Nel marzo 2013 Reporter senza frontiere incluse le attività di Vincenzetti nel rapporto annuale sui “Nemici di Internet”, che segnalava come la sorveglianza online fosse «un pericolo crescente per giornalisti, blogger, chi si occupa di giornalismo partecipativo e di difesa dei diritti umani». Nell’autunno di quell’anno una ventina di attivisti fecero irruzione nella sede milanese di Hacking Team. Uno di loro urlava con un megafono mentre altri sventolavano volantini con slogan come «Uniti vinciamo» e «Smettetela di osservarci». Molti dei manifestanti indossavano maschere di plastica bianca con larghi sorrisi, guance rosee e dei baffi all’insù: il simbolo di Anonymous, famoso collettivo internazionale di attivisti e hacker.
Secondo Vincenzetti, che in quel momento di trovava a Roma, i manifestanti rubarono tutto quello che riuscirono a prendere – documenti, appunti, oggetti personali – mentre filmavano la loro incursione, che successivamente postarono online. «È stata un’aggressione», ha raccontato Vincenzetti, nonostante non ci furono feriti. Tre giorni dopo, quando tornò a Milano ed entrò nella sua Smart grigia, Vincenzetti scoprì che qualcuno aveva tirato fuori la batteria della sua auto e portato via il tappo del serbatoio. «Fu un avvertimento», ha detto: con la sua ascesa Vincenzetti si era ritrovato anche con un gruppo di nemici sempre più folto, che sperava cadesse e lavorava per farlo.
Nel giugno del 2014 a Hacking Team arrivò un fax dal comitato del Consiglio di Sicurezza dell’ONU che faceva riferimento a un altro rapporto di Citizen Lab uscito quell’anno, in cui Lipika Majumdar Roy Choudhury, il coordinatore del gruppo di esperti dell’ONU sul Sudan, scriveva che le sanzioni internazionali proibivano la vendita di «armi […] incluso l’equipaggiamento militare». Gli accordi di Hacking Team con il Sudan, quindi, avrebbero potuto essere considerati come un’infrazione del divieto. La società respinse le accuse e Alessandra Tarissi De Jacobis, avvocatessa dello studio legale Cocuzza & Associati consultato da Vincenzetti, lo informò che vendere RCS al Sudan equivaleva a vendere un panino per strada». Secondo De Jacobis, «chi vende dei panini al Sudan non è soggetto, per quanto ne so, alla legge. Hacking Team dev’essere considerato come un venditore ambulante di panini». L’ONU, però, aveva un’opinione diversa: «Il gruppo di esperti ritiene che, dal momento che il software si adatta perfettamente a sostenere operazioni militari di intelligence elettronica (ELINT), potrebbe rientrare potenzialmente nella categoria di “equipaggiamento militare” o “assistenza” legata a prodotti vietati», scrisse Choudhury. «Pertanto il potenziale utilizzo per colpire le persone coinvolte del conflitto del Darfur è di interesse per il gruppo di esperti».
Lo scorso dicembre il gruppo ha presentato al Consiglio di Sicurezza dell’ONU un rapporto in cui accusa Hacking Team di non aver collaborato alla sua indagine, sostenendo di avere avuto «difficoltà a ottenere informazioni precise» dalla società. Secondo un rapporto inedito dell’ONU trapelato ad aprile e consultato dal giornalista di Foreign Policy Colum Lynch, Hacking Team «ha senza dubbio ostacolato il lavoro del gruppo di esperti rifiutandosi costantemente e deliberatamente di fornire, come richiesto, informazioni specifiche a sua disposizione». L’ONU non ha preso provvedimenti contro Hacking Team, ma Vincenzetti dice di aver terminato il contratto con il governo del Sudan nel novembre 2014. Col senno di poi Vincenzetti dice che se fosse stato più informato sul Sudan «non averebbe mai fatto affari con loro», anche se non si pente dell’accordo: «Non abbiamo infranto nessuna legge. Semplicemente, è successo», dice, confuso dall’esperienza. In altre parole Hacking Team aveva fatto un errore di valutazione, nient’altro. Ma anche errori di questo tipo non sarebbero più stati tollerati a lungo.
Il primo gennaio 2015 l’Italia adottò l’Intesa di Wassenaar, un accordo internazionale che regola le esportazioni di beni a duplice uso, creato nel 1996 e successivamente modificato per includere anche i software di sorveglianza. L’accordo permetteva al governo italiano di iniziare a esaminare i clienti di Hacking Team. Dopo le controversie degli anni precedenti per “l’inefficienza” delle informazioni sui clienti, come le definisce Vincenzetti, per il CEO di Hacking Team l’accordo fu un sollievo. «Ora mi dicono esattamente cosa è consentito e cosa no», ha detto, «e ne sono molto contento». Dietro le quinte, però, Vincenzetti aveva cercato di aggirare le regole prima ancora che venissero applicate.
Alla fine del 2013, secondo alcune email trapelate, Vincenzetti aveva trattato con il governo dell’Arabia Saudita la vendita di una quota di maggioranza di Hacking Team, che avrebbe dato ai sauditi quote di controllo della società. Nonostante Vincenzetti non confermi né smentisca le trattative, sembra che l’idea fosse operare oltre il raggio d’azione dell’Intesa di Wassenaar. «La nuova società non opererebbe nei paesi che aderiscono alle imminenti norme sulle esportazioni delle “tecnologie d’offesa” stabilite dalla nuova Intesa di Wassenaar», scrisse Vincenzetti a un suo contatto in Arabia Saudita. «Vorremmo che la nuova società avesse sede in un paese che non ostacola l’esportazione della nostra tecnologia». Vincenzetti dice di non ricordarsi questo scambio di email, né quel momento in particolare. Il motivo del successivo fallimento delle trattative non è noto. Vincenzetti sottolinea che la sua società ha subito un duro colpo nel corso di altre attività con i sauditi, rivelate da Citizen Lab nel suo rapporto del 2014. «Abbiamo clienti in Arabia Saudita», ha detto, «l’Arabia Saudita è una democrazia? No, è un regno. Si può essere d’accordo o meno, ma non sono io a giudicare. Una cosa è certa: nella penisola araba c’è al Qaida, che è molto forte, organizzata e attiva, e attacca regolarmente l’Arabia Saudita. In quelle zone si possono combattere i terroristi». Vincenzetti si è rifiutato di commentare lo stato dei diritti umani nel paese.
Le trattative con l’Arabia Saudita diedero a molti dipendenti di Hacking Team l’impressione che la società fosse ormai una «nave che affonda», ha raccontato Landi. «Stavano cercando di vendere, e quindi non ci si concentrava molto a sviluppare un buon prodotto». Anche Pelliccione la pensa così: «La società diventò sempre meno trasparente. Decisi che non ero obbligato a fare quel lavoro». Pelliccione lasciò Hacking Team nel febbraio 2014, seguito poi da Landi e altri ancora. Landi ha raccontato che quando ha dato la notizia a Vincenzetti, lui disse che non era una sorpresa. In altre parole, come pensavano Landi e altre persone, anche i dipendenti di Hacking Team erano controllati. «Lo accettavamo», ha detto Pelliccione, «sanno dove sei e dove vai». Rabe, il portavoce di Hacking Team, respinge però le accuse: «I dipendenti di Hacking Team non sono mai stati sorvegliati».
Vincenzetti, innervosito per l’ondata di attacchi contro di lui e frustrato dai rapporti di Citizen Lab contro la sua società, difese pubblicamente Hacking Team. In una lettera del novembre 2014 a The Intercept, che aveva precedentemente pubblicato un pezzo di Marquis-Boire sulla tecnologia di Hacking Team, Vincenzetti definì l’attivista come «uno che grida di continuo “al lupo al lupo” sulla privacy. Per come la vede lui, chiunque dovrebbe poter fare qualsiasi cosa senza paura di essere rilevato» (in un’email Marquis-Boire ha descritto la sua reazione alle parole di Vincenzetti come «divertita»). Il giornalista Brian Donohue ha risposto a Vincenzetti sul blog dedicato alla sicurezza Threat Post, in cui fa notare come «la cosa interessante è che nella sua lettera Vincenzetti non dice esplicitamente che la sua società non vende prodotti a despoti».
In privato, Vincenzetti manteneva il suo atteggiamento sprezzante. Sempre nel novembre 2014 un cliente chiese se era possibile registrare un tutorial di Hacking Team, per usarlo successivamente. «Assolutamente NO!!!», fu la risposta di Vincenzetti. «Pensa a cosa succederebbe se su WikiLeaks arrivasse del materiale in cui TU spieghi come usare la tecnologia più malvagia al mondo! Saresti demonizzato dai nostri cari amici attivisti, e le persone punterebbero il dito contro di te». Ciononostante, Vincenzetti non poteva fare a meno di continuare a godersi la reputazione della sua società. «Senza dubbio abbiamo una brutta fama, probabilmente la peggiore in tutto il mercato dell’offensive security», scrisse al suo operations manager Daniele Milan a maggio 2015, per poi aggiungere: «È fantastico».
Una mattina del luglio 2015, molto presto, Milan chiamò al cellulare Vincenzetti, che si stava allenando: «Ci hanno attaccato», gli disse il suo operations manager. Un attivista e hacker noto come Phineas Fisher era entrato nell’account Twitter di Hacking Team e aveva postato un messaggio anonimo: «Dal momento che non abbiamo niente da nascondere, pubblichiamo tutte le nostre email, i nostri file, e il nostro codice sorgente». Sotto il messaggio c’era un link a oltre 400 gigabyte con i dati più sensibili della società (un anno prima Phineas Fisher aveva attaccato Gamma Group, un concorrente di Hacking Team, diffondendo 40 gigabyte di informazioni commerciali e tecniche sul software di sorveglianza della società, FinFisher, che all’epoca era usato in Turchia, Oman e in altri paesi). Nelle ore successive all’attacco, diverse spie in tutto il mondo scoprirono al loro risveglio che le loro reti di sorveglianza erano ormai di dominio pubblico. La tecnologia di Hacking Team era diventata inutile: l’attacco aveva reso visibile l’80 per cento del codice sorgente della società, il che significava che le società produttrici di antivirus avrebbero potuto adottare delle contromisure da lì a poco. «Il programma morirà», disse Vincenzetti ai suoi collaboratori. Il codice basato sull’invisibilità che aveva costruito, ora brillava al buio. John McAfee, famoso analista che si occupa di sicurezza e fondatore dell’omonima azienda di antivirus, ha descritto all’IB Times l’attacco come «un momento epocale che rischia di distruggere un nome molto conosciuto nel settore della sorveglianza di massa».
I documenti pubblicati contenevano molte fatture che confermavano i legami di Hacking Team con regimi oppressivi, come Etiopia, Bahrein, Egitto, Kazakistan, Arabia Saudita, Russia e Azerbaijan. Dopo aver sostenuto per anni di eseguire controlli sui propri clienti, fu chiaro che a Hacking Team le violazioni sui diritti umani dei suoi clienti non interessavano, o che perlomeno li avevano valutati con leggerezza. Come scrisse sul suo blog Bruce Schneier, un importante analista esperto di sicurezza, poco dopo la diffusione dei documenti: «La società losca ha mentito». Per Marquis-Boire fu la prova che confermava quello che diceva da anni: «La dirigenza di Hacking Team si è disinteressata dei diritti umani e della privacy: per Vincenzetti erano solo un ostacolo al perseguimento dei loro interessi economici». Marquis-Boire scoprì con sorpresa di essere tra le persone sorvegliate trovando nei file di Hacking Team una sua foto scattata durante una conferenza in Italia.
Per Vincenzetti, però, le cose erano molto diverse. L’attacco potenzialmente avrebbe potuto vanificare ore infinite e milioni di dollari che i suoi clienti avevano investito per raccogliere informazioni di intelligence. Soggetti pericolosi come terroristi, assassini e boss della criminalità organizzata avrebbero potuto scoprire di essere sorvegliati e decidere di nascondersi, o peggio vendicarsi. Vincenzetti ha raccontato che alcuni dei suoi clienti gli hanno detto di aver dovuto interrompere le loro indagini, mentre altri sono stati costretti a intervenire in anticipo sui propri bersagli, usando le poche prove che avevano raccolto. Lo scorso agosto l’allora capo della polizia, Alessandro Pansa, durante un’udienza del governo sul tema dell’intelligence convocata dopo la diffusione dei documenti di Hacking Team disse che «le forze dell’ordine furono costrette a interrompere le loro attività, con grossi danni a molte indagini fondamentali, legate soprattutto al terrorismo».
Anche se la maggior parte delle preoccupazioni dei governi furono espresse a porte chiuse, uno scandalo in Corea del Sud si rivelò essere una delle poche occasioni in cui le conseguenze della diffusione dei documenti di Hacking Team divennero pubbliche. Il servizio di intelligence nazionale sudcoreano era molto criticato dal 2014, quando un tribunale di Seul giudicò un ex capo dell’intelligence colpevole di aver usato nel 2012 i suoi agenti per pubblicare online 1,2 milioni di commenti negativi per danneggiare la campagna presidenziale di un partito d’opposizione. I documenti di Hacking Team alimentarono gli attacchi, confermando che la Corea del Sud aveva acquistato uno dei suoi software, che secondo gli attivisti veniva usato per tenere sotto controllo gli oppositori politici. Meno di due settimane dopo l’attacco a Hacking Team una spia dell’intelligence sudcoreana – di cui le autorità riportarono solo il cognone, Lim – fu trovata morta per avvelenamento da monossido di carbonio nella sua auto, parcheggiata in una strada di montagna fuori Seul. Sul sedile del passeggero Lim aveva lasciato un messaggio di tre pagine in cui si assumeva la responsabilità dell’acquisto del software da Hacking Team, giurando però di averlo usato solo per spiare la Corea del Nord. «È stato un errore da parte mia», aveva scritto Lim, «ma non ho fatto niente di cui preoccuparsi».
Alcune ricostruzioni successive rivelarono che, in un incontro a porte chiuse, l’intelligence sudcoreana aveva ammesso di aver usato il software di spionaggio più di 200 volte per tracciare il commercio illegale di armi della Corea del Nord e per arrestare un trafficante di droga cinese. In risposta, lo staff degli editorialisti del giornale sudcoreano in lingua inglese JoongAng Daily sostenne in un articolo l’accordo del governo con Hacking Team. «Nel mondo moderno la raccolta di informazioni di intelligence, la sorveglianza e le attività online attraverso le tecniche di hackeraggio sono necessarie per le spie del paese», si legge nell’articolo. «La tecnologia e le capacità cibernetiche sono essenziali per contrastare la Corea del Nord e i gruppi criminali che diventano sempre più sofisticati».
Anche se non si conosce l’identià di Phineas Fisher, Vincenzetti è convinto che l’attacco a Hacking Team sia arrivato dall’interno (le autorità italiane non hanno ancora incriminato nessuno). In ogni caso l’attacco ha danneggiato economicamente la società: Vincenzetti ha detto di aver perso circa il 20 per cento dei suoi clienti nei mesi successivi all’attacco, Stati Uniti compresi. Nel 2015 la società ha registrato entrate per oltre 12 milioni di euro. «Rispetto i clienti che decidono di non lavorare più con noi», ha detto. Vincenzetti non è turbato dal fatto che siano state diffuse le sue email personali. «Potete leggerle, se volete. Non mi interessa. Sono quello che sono», ha detto. Vincenzetti si è preoccupato molto di più di sistemare i prodotti della sua società. I dipendenti di Hacking Team hanno passato i tre mesi dopo l’attacco a riscrivere da zero lo spyware della sua società, trasformandolo in quello che Vincenzetti definisce un prodotto «molto migliore». Oltre alla nuova versione di RCS, Hacking Team ha tre nuovi strumenti. Vincenzetti non ne ha voluto discutere dettagliatamente, ma ha accennato che grazie a uno dei nuovi prodotti «quando ci si avvicina a una rete Wi-Fi, indipendentemente dal livello di protezione della rete, possiamo estrarre molte informazioni».
Con quella che a oggi potrebbe essere considerata la sua dichiarazione più azzardata e controversa, Vincenzetti ha detto poi che la sua società adesso è in grado di decriptare Tor. I suoi clienti non dovranno più adescare gli utenti di Tor per aggirare il software per l’anonimato, come ha fatto il Marocco con il file “Scandalo” inviato a Mamfakinch. Ora, dice Vincenzetti, il suo programma può infrangere Tor. «Posso mettere una scatola in una stanza e decodificare al volo tutto il traffico criptato di qualsiasi persona», ha detto, «Login, password, posizione, il vero nome dell’utente, i nomi dei siti… È magia nera». Una capacità di decriptazione del genere non trasformerebbe solo le forze dell’ordine; rischia anche di annullare la protezione che i privati cittadini, cioè i dissidenti politici, si aspettano di trovare su Internet. Jeff Moss, analista esperto di sicurezza e fondatore della conferenza di hacker Def Con, è scettico sulle parole di Vincenzetti; ma se quello che dice fosse vero, ha detto, sarebbe un problema gravissimo che la comunità di Tor dovrebbe sistemare in fretta. Il dispositivo è già in funzione, insiste Vincenzetti, che però non è in grado di dire chi lo sta usando: una volta venduti i suoi prodotti alle agenzie dei vari paesi, non sa da chi, dove o perché vengano usati. «Non ho nemmeno il numero di telefono dei miei clienti», dice, «ma loro hanno il mio».
Mentre i collaboratori di Vincenzetti cercano di vendere il nuovo RCS, Almiraat subisce ancora gli effetti della vecchia versione. L’attivista è in attesa del processo per aver «minacciato la sicurezza interna dello stato», come dice il codice penale marocchino, un reato punito con 5 anni di reclusione. Altri quattro collaboratori di Mamfakinch sono accusati di reati simili. Questa è solo l’ultima conseguenza dell’uso da parte del Marocco del software di Hacking Team contro Mamfakinch. Nei giorni successivi al 13 luglio 2012, quando Almiraat capì immediatamente che era successo qualcosa di grave, i volontari, la linfa del gruppo, passarono da 30 a 5. «Dimostrando che la privacy del nostro lavoro si può violare», ha detto Almiraat parlando di Hacking Team, «hanno mandato un messaggio inquietante a tutto il mondo dei dissidenti di Internet». Il Marocco è ancora tra i clienti di Hacking Team. Secondo Vincenzetti la sua società è legittimata a fare affari con un governo «alleato degli Stati Uniti nella lotta contro il terrorismo e anche della maggior parte dei paesi europei: i servizi di intelligence marocchini di recente hanno fornito alla Francia informazioni fondamentali per localizzare dei terroristi a Parigi e Bruxelles». Non è chiaro cosa abbia imparato Vincenzetti dagli abusi commessi dai suoi clienti, sempre che abbia imparato qualcosa e sia interessato a farlo. «Negli stati in cui potrebbero operare i terroristi, avere gli strumenti per combatterli protegge persone innocenti in quel paese e altrove».
In questi giorni Vincenzetti è impegnato a viaggiare in tutto il mondo per reclutare nuovi clienti e il suo calendario di impegni ricorda i primi tempi frenetici di Hacking Team. Come all’epoca degli attentati di Madrid, Vincenzetti vede crescere la domanda, sempre più urgente, per servizi in grado di hackerare e tracciare i criminali, da San Bernardino a Parigi, da Bruxelles a Istanbul. Hacking Team potrebbe anche aver perso clienti dopo l’attacco, ma l’attacco potrebbe aver fatto pubblicità alla società tanto quanto l’ha danneggiata: nell’ultimo anno Vincenzetti ha concluso quattro nuovi contratti. È possibile che Hacking Team debba ringraziare Phineas Fisher per averli spinti a migliorare i loro prodotti? Vincenzetti sorride, quasi imbarazzato. Per lui la risposta è facile.