“Se il problema era l’Egitto sarebbe bastato depennarlo dalla lista, invece ci hanno revocato il via libera per tutti i 46 Paesi verso i quali eravamo stati autorizzati ad esportare Galileo. Così facendo si condanna a morte un’azienda che per 13 anni ha servito l’Italia”. David Vincenzetti, fondatore e deus ex machina di Hacking Team (HT), proprio non riesce a spiegarselo. Il 31 marzo scorso la sua azienda di cybersecurity con sede a Milano, produttrice del Remote control system Galileo, il sistema che consente di spiare a distanza dati e informazioni che transitano su computer e smartphone, è stata destinataria di un provvedimento di revoca dell’autorizzazione globale all’export di uno dei suoi prodotti di punta da parte dell’Autorità che fa capo al ministero dello Sviluppo economico (Mise). Un provvedimento motivato “alla luce delle mutate situazioni politiche” in alcuni Paesi destinatari, tra cui l’Egitto, dove solo pochi mesi fa è stato brutalmente ucciso l’italiano Giulio Regeni. Che sia stato utilizzato proprio il software Galileo, come da alcuni ipotizzato, venduto da Hacking Team previa autorizzazione del governo italiano al Consiglio nazionale di difesa del Cairo, per intercettare il giovane ricercatore friulano è un’eventualità che Vincenzetti si sente però di escludere: “Ho letto che al povero Regeni sarebbe stato sequestrato il cellulare dai suoi rapitori, operazione totalmente inutile se quel cellulare fosse stato intercettato”. Ma i problemi per Hacking team, dopo lo stop arrivato dal Mise, non riguardano solo il mercato estero. “I miei commerciali, che hanno contatti diretti con le Forze dell’Ordine italiane, mi dicono che è in atto una ‘fase di riflessione’ nei nostri confronti e davvero non capisco perché, essendo stato il nostro software protagonista di molte operazioni di successo”. Stanno davvero così le cose?
Dottor Vincenzetti che cos’è Galileo, cosa è in grado di fare e come funziona?
Galileo è un software prodotto da Hacking Team in grado di poter leggere, se introdotto, cellulari e computer. Con “leggere” intendo accedere a tutti i dati trasmessi da e per il device, in chiaro, ai dati presenti sul device e mai trasmessi, ad esempio una rubrica telefonica, la geo-localizzazione del device, le conversazioni telefoniche nel caso che si tratti di un telefonino, eccetera. E’ un sistema estremamente sofisticato frutto della ricerca e dello sviluppo di oltre 13 anni e adattato continuamente in base ai feedback, cioè alle esigenze, soprattutto dei nostri clienti italiani.
Facciamo un esempio: dopo le stragi di Parigi ci sono volute settimane prima di scovare il presunto responsabile poi arrestato in Belgio. Paese che non risulta nella lista dei vostri clienti. Se le autorità di Bruxelles avessero avuto a disposizione Galileo le ricerche sarebbero state più rapide e cosa avrebbero potuto fare in più gli inquirenti?
Certamente sì. Come sempre succede le indagini sarebbero state facilitate avendo a disposizione la possibilità di “seguire” i mezzi elettronici usati dai terroristi. Vorrei aggiungere che il Marocco, nostro cliente, ha fornito alla Francia e al Belgio informazioni determinanti per l’identificazione e la localizzazione dei terroristi. Mi consenta di aggiungere che assai stranamente uno dei pochi paesi a non usare più il nostro strumento dopo la violazione informatica che ci ha colpito nel luglio 2015 è proprio l’Italia. E i miei commerciali mi informano che le Forze dell’Ordine italiane, non avendo a disposizione la nostra tecnologia, sono costrette ad usare tecnologie alternative assolutamente inferiori e questo è un fatto che dovrebbe far riflettere soprattutto in un momento geopolitico come questo. I miei commerciali, che hanno contatti diretti con le Forze dell’Ordine italiane mi dicono che è in atto una “fase di riflessione” nei nostri confronti e davvero non capisco perché essendo stato il nostro software protagonista di molte operazioni di successo.
Ma se Galileo cadesse nelle mani sbagliate quali rischi si correrebbero?
Un software può finire nelle mani di chiunque, ma nessuno è in grado di fornire alle mani sbagliate gli aggiornamenti che sono praticamente continui. Vede, semplificando molto, il nostro software è come un antivirus alla rovescia. Un antivirus protegge un computer o un telefono, il nostro software consente alle Forze dell’Ordine di violare un computer o un telefono e di monitorarlo. L’obsolescenza di un antivirus è pari a quella della nostra tecnologia: se non lo aggiorni per due settimane diventa totalmente inefficace, e quindi inutile. Pertanto, anche se Galileo finisse nelle mani sbagliate, e questo lo trovo molto difficile a causa delle contromisure tecniche in esso contenute, in ogni caso diventerebbe qualcosa di totalmente inefficace, semplicemente inutile, in brevissimo tempo.
La scorsa estate sono stati violati i vostri sistemi informatici. Si è parlato di 400 gigabytes di informazioni riservate divulgate oltre alla pubblicazione della fonte sorgente del vostro software. Esclude che questa fuga di notizie abbia messo qualcuno nella condizione di utilizzare illegittimamente il vostro software?
Lo escludo. Di fatto non è successo nulla nemmeno ai nostri clienti ai quali abbiamo immediatamente chiesto di staccarsi dal software.
Le risulta che qualche indagine sia stata compromessa dall’attacco di luglio?
Noi vendiamo uno strumento che ha come paradigma numero uno la totale separazione tra noi e il cliente: non sappiamo come viene usato, non abbiamo assolutamente accesso ai dati raccolti dai clienti. Ma abbiamo la certezza che nessuna indagine è stata compromessa proprio per quello che le dicevo prima. E inoltre ribadisco che senza gli aggiornamenti non è possibile utilizzare il software in maniera produttiva: esso diventa zero in pochissimo tempo.
Certo, la violazione dei sistemi informatici di un’azienda leader in cybersecurity sembra una contraddizione in termini. Come è potuto accadere?
Le indagini sono ancora in corso e ho letto che una delle piste seguite dagli inquirenti porterebbe ad ex dipendenti infedeli. Le assicuro che di fronte ad un evento del genere nemmeno il Pentagono sarebbe sicuro.
Nell’elenco dei 46 Paesi verso i quali HT è stata autorizzata all’export di Galileo, fino alla revoca dello scorso 31 marzo, compaiono una serie di Stati in cui i diritti umani sono notoriamente violati. Posto che la sua azienda opera previa autorizzazione del governo, non ritiene che motivazioni di carattere etico avrebbero dovuto spingere HT ad evitare rapporti commerciali con tutte quelle Nazioni dove il vostro software può essere stato utilizzato per scopi tutt’altro che nobili?
La risposta a questa domanda è molto complicata. E per rispondere dobbiamo uscire dalla logica del tutto bianco o tutto nero. Diciamo che, seguendo il suo ragionamento, l’Italia non dovrebbe intrattenere rapporti commerciali con quei Paesi. Noi abbiamo sempre venduto il nostro software a Stati verso i quali eravamo autorizzati a farlo. La stampa ci ha largamente accusato di aver venduto a Paesi governati da una monarchia, Paesi non democratici. E’ vero lo abbiamo fatto e operavamo secondo la legge. Ma vorrei sottolineare che tali Paesi sono anch’essi colpiti da atti terroristici e spesso in maniera assai superiore rispetto all’Europa o agli Stati Uniti, basti pensare alla penisola arabica con l’Aqap (l’equivalente di Al-Qaeda) o al Maghreb islamico con l’Aqim. Molti di essi sono partner strettissimi dell’Europa e quindi sarebbe da ipocriti fare di tutte le erbe un fascio.
Il riferimento al caso di Giulio Regeni e all’Egitto è inevitabile. Premesso che HT non può essere responsabile di come Galileo viene usato da parte dei suoi clienti, ritiene possibile, come in molti sospettano, che il vostro sistema possa essere stato impiegato per ‘intercettare’ il ricercatore friulano e consegnarlo ai suoi carnefici?
Da quello che leggo sui giornali non ho rilevato da nessuna parte che l’orribile delitto sia stato preceduto da intercettazioni. Ho letto che al povero Regeni sarebbe stato sequestrato il cellulare dai suoi rapitori, operazione totalmente inutile se quel cellulare fosse stato intercettato.
Lei è indagato dalla Procura di Milano che ipotizza il reato di esportazione illecita di beni dual use (come Galileo). Cosa le viene contestato e ci sono collegamenti tra l’inchiesta e i rapporti commerciali intrattenuti da HT con il Consiglio nazionale di difesa egiziano vostro cliente?
Non le so rispondere. Come possiamo aver illecitamente esportato un bene dual use quando la licenza ci è stata ritirata il 31 marzo? L’esportazione è evidentemente stata lecita.
Appurato che le “mutate situazioni politiche” di cui genericamente si parla a motivazione della revoca dell’autorizzazione globale ad HT si riferiscono principalmente all’Egitto, come si spiega lo stop all’export di Galileo anche negli altri 45 Paesi di destinazione tra i quali, per esempio, Stati Uniti, Svizzera e Australia?
Non me lo spiego, bastava convocarci e spiegarci che il problema era l’Egitto, e se il problema era questo sarebbe bastato toglierlo dalla lista. Invece si condanna a morte un’azienda che per 13 anni ha servito il Paese. I processi autorizzativi che saremo obbligati a chiedere di volta in volta erano e sarebbero, senza autorizzazione globale, molto lenti mentre l’obsolescenza della nostra tecnologia è assai più veloce. Abbiamo decine di contratti di manutenzione aperti in altrettanti Paesi e, tali Paesi, sono stati ora privati di uno strumento indispensabile per la loro Sicurezza Nazionale. Non capiamo il provvedimento del Mise.
Quali sono state le conseguenze della revoca dell’autorizzazione globale per l’attività della sua azienda?
Come le dicevo, il danno è enorme. Commercialmente, siamo a conclusione delle trattative con diversi Paesi nostri forti alleati (uno per tutti: gli Stati Uniti) e con condizioni politiche per nulla mutate. E se non otteniamo l’autorizzazione rischiano di saltare tutte le trattative.
Dai documenti pubblicati da ilfattoquotidiano.it risulta che HT abbia depositato al Mise, il 30 giugno 2015 e il successivo 24 dicembre, due report a sua firma con tutte le indicazioni relative ai Paesi di destinazione e agli utilizzatori finali di ‘Galileo’. Il ministero è stato sempre regolarmente informato sulle specifiche della vostra attività?
Certamente, abbiamo sempre fatto il nostro dovere.
Avete prodotto lo stesso report anche in riferimento al periodo 24 dicembre 2015-31 marzo 2016, data della revoca dell’autorizzazione globale, e se sì quali sono stati i Paesi di destinazione e i relativi utilizzatori finali del vostro software?
Secondo la normativa del Mise, dobbiamo produrre un report semestrale. L’ultimo report prodotto è quindi quello dell’ultimo semestre 2015. Ricordo, come lei sa, che l’Egitto era nel report precedente.
In alcune recenti dichiarazioni lei ha detto che la sua azienda è sotto attacco e di intravvedere la regia di “una mano politica importante”. La mano di chi?
Non ne ho idea, chiederò al nostro attuale Governo delucidazioni, il sospetto che ci siano interventi ad esso estranei ci è venuto per la illogicità del ritiro della licenza in Paesi davvero amici, ma così si distrugge un’azienda. In termini generali quello che pensiamo è che la “sicurezza informatica offensiva”, un concetto inventato da me e da Valeriano Bedeschi, i fondatori di Hacking Team, sia diventata un business estremamente remunerativo.
Lei ha anche affermato che “alcuni inquirenti di livello molto elevato” le avrebbero rivelato di aver subito “pressioni dall’alto per motivi politici” affinché interrompano i rapporti con la sua azienda. Anche in questo caso la domanda è inevitabile: ha dei nomi da fare?
Preferisco non rispondere a questa domanda.
Alla luce di quanto da lei affermato, ritiene che ci sia una manovra per sostituire, sul mercato delle tecnologie dual use, HT con altra o altre aziende?
Non ne ho idea ma se così fosse sarebbe davvero grave.
Twitter: @Antonio_Pitoni