Die Zeit, 7 settembre: “Secondo le informazioni in nostro possesso, l’Ufficio federale di polizia criminale, Bundeskriminalamt (BKA), ha apparentemente acquistato nella massima segretezza il controverso software di spionaggio israeliano Pegasus per monitorare i sospetti”. La versione acquistata dalla divisione della polizia tedesca sotto la diretta responsabilità del Ministero federale degli Interni, ha alcune funzioni bloccate per prevenire l’abuso d’utilizzo dello spyware. L’acquisto risalirebbe al 2019 e “il Bundestag era stato informato in una sessione a porte chiuse”. L’inchiesta di Die Zeit, Süddeutsche Zeitung e delle emittenti NDR (audio GER 8 settembre) e WDR (audio ITA, 21 luglio: intervista a Pierluigi Paganini) continua il Forbidden Stories di luglio.
I due giornali tedeschi e le due emittenti televisive fanno parte del consorzio internazionale che con il Pegasus Leak rivelò l’uso improprio del software NSO. Die Zeit riferisce che la prima negoziazione con il gruppo NSO è avvenuta nel 2017 a Wiesbaden con una dimostrazione delle capacità del Pegasus: “Una delegazione di NSO da Israele è venuta appositamente per questo scopo. All’epoca, tuttavia, gli avvocati dell’Ufficio federale di polizia criminale e del Ministero federale degli interni responsabile espressero preoccupazione per le capacità eccessive del software“. La preoccupazione, poi confermata da indagini e denunce conseguenti i leaks, riguardava la mancanza di limiti di un software che permette di prendere il controllo del dispositivo della persona bersaglio: “Dopo una decisione della Corte costituzionale federale sulla cosiddetta ricerca online, le autorità di sicurezza possono infiltrarsi nei telefoni cellulari e nei computer dei sospetti solo in casi speciali e avviare solo determinati tipi di sorveglianza“. La conferma del contratto BKA NSO, secondo il Süddeutsche Zeitung, arriva dalla vicepresidente BKA Martina Link.
L’operatività della licenza Pegasus per la BKA riguarda l’utilizzo dello spyware in operazioni di controllo avvenute anche lo scorso marzo in contesti di contrasto al terrorismo e alla criminalità organizzata. Il Die Zeit riporta che gli investimenti necessari all’utilizzo del Pegasus sono stati inseriti tra le voci dedicate allo sviluppo interno BKA: “secondo i rapporti, BKA avrebbe dovuto fare affari con NSO dalla fine del 2019. Secondo le nostre informazioni, i funzionari tedeschi hanno insistito affinché fossero attivate solo quelle funzioni compatibili con i requisiti richiesti dalla Corte costituzionale federale“. BKA e Ministero federale degli Interni non hanno rilasciato commenti ma lo Zeitung riferisce che è attesa una relazione del governo federale ai parlamentari sull’utilizzo del Pegasus da parte delle autorità di sicurezza tedesche. Lo Zeitung conferma la versione della vicepresidente BKA relativa alle richieste di conformare il software alle leggi federali tedesche anche con precauzioni di sicurezza “in modo che i numeri di telefono monitorati siano oscurati da valori hash per impedire al produttore l’identificazione delle persone target“.
Il gruppo NSO assicurava contrattualmente che il software non avrebbe inviato dati alla società ma solo al BKA, un contratto di cui il ministro degli Interni federale Horst Seehofer “sembra non ne fosse a conoscenza. L’acquisizione è stata decisa dalla BKA senza il coinvolgimento di altri organismi, come il responsabile federale della protezione dei dati sensibili“. Solo in seguito BKA sembrerebbe aver informato lo ZITiS, agenzia “che dovrebbe sviluppare soluzioni tecniche per i servizi di polizia e di intelligence e cercare prodotti adeguati sul mercato commerciale“. La ricerca di prodotti adeguati segue due strade a volte convergenti: dialogo e confronto tra agenzie, dipartimenti e produttori in contesti come il prossimo expo sulla sicurezza nel Regno Unito a cui parteciperà lo stesso gruppo NSO; commissioni d’appalto per lo sviluppo di soluzioni dedicate a sorveglianze specifiche come nel caso della recente gara Amazon, Google, Microsoft. Il Pegasus non è un prodotto sviluppato per il mercato commerciale ed il suo valore indiscusso per l’Industria dell’Insicurezza è consolidato da una rete di connessioni dirette maturata nel tempo con attori governativi.
