Con un verdetto storico, i giudici statunitensi hanno condannato l’israealiana NSO Group a un risarcimento multimilionario per l’uso dell’ormai noto spyware Pegasus contro utenti WhatsApp. Per la prima volta in assoluto, un tribunale federale ha ritenuto legalmente responsabile un fornitore di spyware per le attività di monitoraggio e spionaggio svolte ai danni degli utenti di una piattaforma di comunicazione. A seguito della condanna, NSO Group è adesso chiamata a versare quasi 168 milioni di dollari come risarcimento danni a Meta/WhatsApp.

La decisione, alla quale è pervenuta la Corte Distrettuale della California (Northern District) rappresenta un punto di svolta nel confronto tra aziende tecnologiche e fornitori privati di strumenti di sorveglianza digitale, tradizionalmente protetti da complesse reti giuridiche e relazioni governative. Meta celebra la vittoria con un post approfondito.

L’attacco del 2019 con Pegasus: un’operazione mirata attraverso una vulnerabilità zero-day

Al centro della disputa giudiziaria vi era la campagna di monitoraggio lanciata a maggio 2019 da NSO Group, che ha sfruttato una vulnerabilità critica in WhatsApp (CVE-2019-3568).

Il meccanismo era tanto sofisticato quanto subdolo: stante la presenza della grave lacuna di sicurezza (all’epoca sconosciuta agli esperti di sicurezza così come a WhatsApp), bastava inviare un pacchetto RTCP (Real-time Transport Control Protocol) appositamente confezionato verso un numero di telefono target tramite una chiamata WhatsApp.

Anche se l’utente non rispondeva, la vulnerabilità era utilizzabile per forzare l’installazione dello spyware Pegasus sul dispositivo, all’insaputa della vittima. La leva utilizzata da NSO Group era un errore di buffer overflow ingenerabile nello stack VoIP di WhatsApp.

A seguito di un attacco informatico, Pegasus fu caricato sui terminali di circa 1.400 utenti di WhatsApp.

I bersagli dell’attacco via WhatsApp: attivisti, giornalisti e diplomatici

Sebbene NSO Group abbia sempre sostenuto che Pegasus fosse uno strumento di contrasto al crimine e al terrorismo, Meta ha fornito prove documentate che i bersagli dell’attacco includevano difensori dei diritti umani, giornalisti investigativi e diplomatici, ovvero categorie protette da norme internazionali in materia di diritti e comunicazioni sicure.

Quei 1.400 utenti, quindi, sono stati scelti con attenzione, con un’azione che ha sollevato forti preoccupazioni sul potenziale abuso di tecnologie di sorveglianza anche in contesti democratici.

Il processo e la responsabilità diretta di NSO Group

Meta, proprietaria di WhatsApp, ha avviato una vertenza legale contro NSO Group a fine ottobre 2019. L’indagine interna e il processo hanno rivelato dettagli inediti sull’operato di NSO Group. In particolare, le testimonianze degli alti dirigenti dell’azienda israeliana hanno mostrato come NSO Group fosse direttamente coinvolta nelle operazioni di “infezione” (impianto dello spyware), contraddicendo la narrativa della società secondo cui essa si limiterebbe a fornire strumenti tecnologici a governi e forze dell’ordine.

Il tribunale ha anche appurato che NSO Group ha continuato a sviluppare e utilizzare altri zero-day, anche dopo l’avvio della causa, investendo decine di milioni di dollari nello sviluppo di tecniche alternative di compromissione dei dispositivi di ignari utenti.

Tale comportamento ha pesato significativamente nello stabilire la sanzione amministrativa, riconoscendo un chiaro intento doloso e recidivo.

La sentenza e le sue implicazioni

A dicembre 2024, la giudice Phyllis J. Hamilton ha emesso una prima sentenza a favore di WhatsApp, stabilendo che NSO Group aveva violato le leggi statunitensi contro l’hacking e i Termini di Servizio di WhatsApp, aprendo la strada al processo per la determinazione dei danni.

Il risarcimento da quasi 168 milioni di dollari non rappresenta adesso soltanto una vittoria legale per Meta, ma costituisce un monito per l’intero settore dello spyware commerciale.

John Scott-Railton, ricercatore di Citizen Lab, ha definito il verdetto un monito severo per le aziende del settore, suggerendo che altri fornitori potrebbero presto dover rispondere delle proprie azioni in tribunale.

A rafforzare il messaggio di trasparenza, Meta ha reso pubbliche le deposizioni integrali (1, 2, 3, 4) dei dirigenti NSO Group durante il processo, offrendo a tutti l’opportunità di rendersi conto di come funzioni, al suo interno, una delle più controverse aziende di cybersorveglianza al mondo.