Un giudice federale statunitense ha emesso una sentenza storica contro NSO Group, l'azienda israeliana produttrice del controverso spyware Pegasus, stabilendo che la società ha violato le leggi sull'hacking utilizzando WhatsApp per infettare i dispositivi di 1.400 utenti. La decisione, emessa venerdì scorso da un tribunale della California settentrionale, rappresenta una vittoria significativa per la privacy e la sicurezza digitale e potrebbe avere ripercussioni importanti sull'industria della sorveglianza informatica.
Il caso risale al 2019, quando WhatsApp, di proprietà di Meta, ha intentato una causa contro NSO Group, accusandola di aver sfruttato una vulnerabilità nella funzione di chiamata audio della popolare piattaforma di messaggistica per installare Pegasus sui dispositivi di utenti ignari. Lo spyware, noto per la sua capacità di accedere a dati sensibili come messaggi, email, foto e posizione, è stato presumibilmente utilizzato per colpire oltre 100 difensori dei diritti umani, giornalisti, membri della società civile, funzionari governativi e diplomatici in tutto il mondo.
Nella sua sentenza, il giudice Phyllis Hamilton ha affermato che NSO Group non ha contestato di aver "effettuato il reverse engineering e/o decompilato il software WhatsApp" per installare Pegasus, sollevando però dubbi sul fatto che lo avesse fatto prima di accettare i termini di servizio di WhatsApp, che vietano esplicitamente l'uso della piattaforma per scopi dannosi.
Tuttavia, il giudice ha sottolineato che "il buon senso impone che [NSO] debba aver prima ottenuto l'accesso" a WhatsApp, evidenziando come la società non abbia fornito "alcuna spiegazione plausibile" su come avrebbe potuto farlo senza accettare i termini di servizio. La sentenza sottolinea inoltre come NSO abbia ripetutamente omesso di produrre documenti rilevanti per le indagini, tra cui il codice sorgente di Pegasus, nonostante un'ordinanza del tribunale che ne richiedeva la consegna. L'azienda ha inoltre rifiutato di presentare comunicazioni interne, comprese quelle relative alle vulnerabilità di WhatsApp.
"La mancata conformità di NSO agli ordini di discovery solleva serie preoccupazioni circa la sua trasparenza e la volontà di collaborare con il processo giudiziario", ha affermato il giudice Hamilton.
Meta, attraverso la portavoce Emily Westcott, ha accolto con favore la sentenza.
"NSO non può più sottrarsi alla responsabilità per i suoi attacchi illegali a WhatsApp, giornalisti, attivisti per i diritti umani e società civile", ha dichiarato Westcott a TechCrunch. "Con questa sentenza, le aziende di spyware dovrebbero essere consapevoli che le loro azioni illegali non saranno tollerate. Siamo orgogliosi di esserci opposti a NSO e grati alle molte organizzazioni che hanno sostenuto questo caso. WhatsApp non smetterà mai di lavorare per proteggere la comunicazione privata delle persone".
Will Cathcart, il responsabile di WhatsApp, ha definito la sentenza una "enorme vittoria per la privacy" in un post su X (ex Twitter).
NSO Group, per voce del portavoce Gil Lainer, ha declinato ogni commento. In passato, l'azienda aveva sostenuto che Pegasus fosse uno strumento essenziale per le forze dell'ordine e le agenzie di intelligence nella lotta al crimine e nella protezione della sicurezza nazionale. Questa difesa, tuttavia, è stata messa in discussione da numerosi rapporti di organizzazioni per i diritti umani e media investigativi, che hanno documentato l'ampio uso di Pegasus per sorvegliare dissidenti politici, giornalisti e attivisti.
Il caso procederà ora a un processo nel marzo 2025, dove una giuria deciderà l'entità dei danni che NSO Group dovrà pagare a WhatsApp. La sentenza rappresenta un precedente importante e potrebbe avere conseguenze significative per l'intera industria della sorveglianza informatica. Invia un chiaro messaggio alle aziende che sviluppano e vendono spyware: l'impunità per le loro azioni illegali non è più garantita.
Questa sentenza potrebbe incentivare altre vittime di sorveglianza illegale a intraprendere azioni legali contro NSO e altre aziende del settore. Inoltre, potrebbe spingere i governi a regolamentare più severamente l'uso e l'esportazione di tecnologie di sorveglianza, al fine di prevenire abusi e proteggere i diritti fondamentali dei cittadini. La battaglia legale tra WhatsApp e NSO Group, dunque, non è solo una questione di risarcimenti economici, ma una questione di principio che riguarda la privacy, la sicurezza digitale e il rispetto dei diritti umani nell'era digitale.