Un’arma micidiale, un sistema capace di svelare ogni minimo dettaglio della vita del nemico. E’ la cyberwar, la guerra moderna dove vince chi possiede le informazioni giuste, al momento giusto. E Hacking Team lo aveva capito da tempo, trasformandosi in una sorta di Nsa privata, capace di fornire le piattaforme informatiche offensive per penetrare la vita privata di chiunque. Ma chi era il nemico? E’ questa la domanda chiave che dal 2013 si sono posti giornalisti e attivisti, dopo la prima pubblicazione del manuale del sistema RCS-Remote Control System – su Wikileaks. Se internamente il software era usato dalla Guardia di Finanza, dal Ros dei carabinieri, dalla Polizia postale e dai servizi di sicurezza per le intercettazioni, il vero business la società di Milano lo faceva con i paesi fuori dall’Unione europea. Sudan, Marocco, Kazakistan, Libano, Egitto, Russia, Messico, Cile, Svizzera, Usa. Un elenco che cresce mentre l’analisi dei 400 GB di informazioni esfiltrate lo scorso 6 luglio va avanti. E la domanda sui chi fossero i target assume un peso diverso. L’arma micidiale di Hacking Team – come un Kalashnikov qualsiasi – assume un valore diverso se viene puntata contro un oppositore, un giornalista o un attivista dei diritti umani.

La lettera del Mise. Si chiama “dual use”, uso duale. Un sistema può essere buono o cattivo, un’arma può servire per difendere una popolazione dagli attacchi di bande ribelli o può essere utilizzata per sedare con la violenza le ribellioni contro governi dispotici. E’ il principio che regola il commercio delle armi e si basa su un documento chiave, il Eus, il certificato “end user”. Ovvero la dichiarazione che attesti chi è l’utilizzatore finale del sistema. La normativa – europea e italiana – prevede che questo documento sia analizzato dal Ministero dello sviluppo economico per autorizzare l’esportazione del sistema. I funzionari devono valutare se il paese destinatario è incluso nelle liste di embargo e se l’utilizzatore finale ha problemi di violazione dei diritti umani.

Il 30 ottobre 2014 il governo italiano si accorge che anche il software di spionaggio di Hacking Team rientra nei prodotti da sottoporre all’autorizzazione ministeriale. “Questa amministrazione è in possesso di elementi di informazione relativamente ad operazioni di esportazione da parte della Società in oggetto, che potrebbero configurarsi come connesse con possibili utilizzazioni attinenti alla repressione interna ed alla violazione dei diritti umani”, scrive in una lettera indirizzata alla società milanese il dirigente del Mise Massimo Cipolletti. La conseguenza è chiara: per continuare ad esportare i sistemi Galileo-Rcs Hacking Team deve chiedere le autorizzazioni previste dalla legge, come una qualsiasi fabbrica di sistemi d’arma.

David Vincenzetti, amministratore della società milanese, capisce subito che non tira una buona aria. Passa all’attacco, scrivendo a tutti i clienti – decisamente di peso – italiani: “Rischiamo di chiudere”, spiega in una email inviata a forze di polizia, agli alti vertici del Viminale, della Presidenza del consiglio dei ministri. Hacking Team sa bene che il percorso non sarà facile e che i contratti già firmati con tanti paesi extra UE rischiano di saltare. La mente va subito alle dettagliate e circostanziate denunce arrivate contro il sistema di spionaggio made in Italy.

Il caso Marocco e lo spionaggio dei giornalisti. Reporter sans frontier aveva già inserito da tempo Hacking Team nella lista dei “nemici di Internet”, riportando – molto prima dell’uscita del leak – una presunta attività offensiva contro giornalisti marocchini, che sarebbe avvenuta utilizzando la piattaforma Rcs: “Il software di Hacking Team è stato individuato nei computer della redazione del sito di notizie del Marocco Mamfakinch (…). Il malware era stato trasmesso attraverso un documento word che apparentemente conteneva informazioni riservate”, scrive l’associaizone internazionale di giornalisti. Una seconda violazione dei diritti umani riguardava gli Emirati arabi: “Morgan Marquis-Boire, esperto di informatica, ha esaminato alcuni allegati corrotti di una email inviata al blogger Ahmed Mansoor, trovando forti evidenze che il Trojan contenuto provenisse da Hacking Team”. Quest’ultima ricerca era stata pubblicata da Citizen Lab, un istituto dell’Università di Toronto.

Dunque l’attività del gruppo milanese era ben nota da tempo. Eppure solo a fine ottobre il Mise interviene. Facendo scattare le contromisure.

La lobby di Hacking Team a Palazzo Chigi. Dopo l’arrivo dell’email dal Mise l’attività di lobbing di Hacking Team punta all’obiettivo primario di chiudere velocemente le prime autorizzazioni. L’aiuto viene direttamente da Palazzo Chigi, secondo quanto il fatto quotidiano ha potuto ricostruire basandosi sulle email interne di Hacking Team pubblicate da Wikileaks. Subito dopo lo sblocco delle prime autorizzazione da parte del ministero dello sviluppo economico – che arrivano all’azienda milanese a fine novembre 2014 – David Vincenzetti manda un’email che rivela la strategia dell’azienda: “Ormai abbiamo coinvolto e sensibilizzato talmente tante parti, assolutamente eterogenee tra loro, che non sappiamo con esattezza da dove sono arrivate le pressioni maggiori al Mise. Ma su una posso giurarci: la Presidenza del Consiglio”. Le email precedenti sembrano confermare l’intervento di Palazzo Chigi: “Signori, aggiornamento importante – scrive un manager della società il 10 novembre scorso in una email pubblicata da Wikileaks – Giancarlo e io da una parte, Teti e Cipolletti dall’altra, abbiamo avuto una conference call sollecitata dai nostri migliori contatti con la Presidenza Del Consiglio. Riassumendo: Teti patrocinerà la nostra causa alla riunione del Mise del 13 novembre”. Cipolletti è lo stesso dirigente del Mise che ha firmato la lettera del 30 ottobre, mentre Teti è molto probabilmente il nome del direttore generale dello stesso ministero.

Alla fine Hacking Team risolve l’impasse e cerca il raddoppio. Dai primi mesi del 2015 si mette all’opera per ottenere una licenza globale di esportazione del sistema di spionaggio, sostenendo che il sistema Rcs non ha nulla a che vedere con armi e guerra. “Sono come i panini”, spiega un consulente legale in una email. Magari un po’ indigesti per giornalisti e attivisti dei diritti umani, e molto utili per dittatori e governi decisamente poco pacifici.