L'Arabia Saudita multata di 3 milioni di sterline per l'uso dello spyware Pegasus contro i dissidenti all'estero

Sentenza storica contro la sorveglianza sponsorizzata dallo Stato

Nel gennaio 2026, un tribunale britannico ha riconosciuto all'attivista saudita e YouTuber politico Ghanem Al-Masarir un risarcimento di 3 milioni di sterline dopo aver ritenuto il Regno dell'Arabia Saudita responsabile dell'impiego di sofisticati spyware contro di lui. La sentenza rappresenta una delle vittorie legali più significative contro la sorveglianza digitale sponsorizzata dallo Stato che prende di mira i dissidenti residenti all'estero.

Al-Masarir, che è stato un critico accanito del governo saudita dalla sua base nel Regno Unito, ha dimostrato con successo che gli agenti dell'intelligence saudita hanno utilizzato il noto spyware Pegasus di NSO Group per infiltrarsi nel suo dispositivo mobile. Il tribunale ha stabilito che questa intrusione digitale faceva parte di un modello più ampio di molestie che includeva aggressioni fisiche da parte di agenti sauditi.

Il risarcimento di 3 milioni di sterline comprende la compensazione per danni psicologici, i costi associati e i mancati guadagni derivanti dalla campagna di sorveglianza e dalle relative tattiche di intimidazione.

Come l'operatore KINGDOM ha preso di mira i dissidenti

Secondo le prove presentate in tribunale, l'Arabia Saudita gestiva un client Pegasus identificato come KINGDOM, incaricato specificamente di monitorare critici e figure dell'opposizione oltre i propri confini. Questo operatore inviava messaggi malevoli contenenti link progettati per sfruttare le vulnerabilità dei sistemi operativi mobili.

Quando Al-Masarir ha ricevuto questi messaggi e ha interagito con i link incorporati, il suo dispositivo è stato infettato dallo spyware Pegasus. Una volta installato, il sofisticato malware ha concesso agli aggressori un accesso completo alla sua vita digitale: messaggi, e-mail, foto, dati sulla posizione e persino la capacità di attivare il microfono e la telecamera da remoto a sua insaputa.

Pegasus opera attraverso quelli che i ricercatori di sicurezza chiamano exploit "zero-click" e "one-click". Gli attacchi zero-click non richiedono alcuna interazione da parte dell'utente, mentre le varianti one-click necessitano che il bersaglio tocchi un link o apra un file. L'operatore KINGDOM sembrava impiegare metodi one-click, inviando messaggi appositamente creati con URL malevoli ad Al-Masarir e ad altri bersagli.

Questo tipo di sorveglianza va ben oltre il semplice monitoraggio. Trasforma efficacemente un dispositivo personale in una stazione di ascolto portatile, catturando conversazioni private, tracciando i movimenti in tempo reale e raccogliendo dettagli intimi su relazioni, affari e routine quotidiane.

Il ruolo controverso di NSO Group

NSO Group, la società israeliana dietro Pegasus, sostiene da tempo di vendere la sua tecnologia esclusivamente alle agenzie di intelligence governative e alle forze dell'ordine per scopi legittimi, come la lotta al terrorismo e ai crimini gravi. L'azienda afferma di implementare rigorosi processi di verifica e tutele contrattuali per prevenire abusi.

Tuttavia, numerose indagini condotte da ricercatori di cybersicurezza, giornalisti e organizzazioni per i diritti umani hanno documentato un uso improprio diffuso di Pegasus. Gli elenchi dei bersagli hanno incluso giornalisti, difensori dei diritti umani, esponenti dell'opposizione politica, avvocati e persino capi di Stato.

Le rivelazioni sulle attività di KINGDOM si aggiungono a un crescente corpo di prove che suggeriscono che le tutele dichiarate da NSO Group si siano dimostrate inadeguate. Diversi governi avrebbero utilizzato Pegasus non per scopi di sicurezza legittimi, ma per la repressione politica e la sorveglianza transnazionale dei dissidenti.

NSO Group deve affrontare crescenti pressioni legali e commerciali. L'azienda è stata inserita in una lista nera commerciale degli Stati Uniti nel 2021 e Apple ha intrapreso un'azione legale contro di essa per aver preso di mira gli utenti iPhone. Diversi paesi hanno avviato indagini sulle implementazioni di Pegasus sul proprio territorio.

Il modello più ampio di repressione transnazionale

Il caso di Al-Masarir illustra un fenomeno preoccupante che gli esperti di sicurezza chiamano repressione transnazionale: governi autoritari che superano i confini per mettere a tacere, intimidire o danneggiare dissidenti e critici che vivono in paesi democratici.

Gli strumenti di sorveglianza digitale come Pegasus sono diventati fattori chiave di queste campagne. Consentono ai governi di mantenere un'intelligence dettagliata sulle comunità della diaspora senza le complicazioni e i rischi diplomatici derivanti dall'impiego di agenti fisici. Le informazioni raccolte tramite spyware possono poi alimentare tattiche di molestia più tradizionali, tra cui minacce contro i familiari rimasti nel paese d'origine, campagne diffamatorie o persino violenza fisica.

Il tribunale ha ascoltato prove secondo cui agenti sauditi hanno aggredito fisicamente Al-Masarir, suggerendo che la sorveglianza digitale facesse parte di una strategia di intimidazione integrata. Ciò rispecchia i modelli osservati con altri importanti critici sauditi, in particolare il giornalista Jamal Khashoggi, assassinato nel consolato saudita a Istanbul nel 2018.

Freedom House, un'organizzazione per la democrazia e i diritti umani, ha documentato centinaia di casi di repressione transnazionale in decine di paesi. L'Arabia Saudita appare regolarmente in questi rapporti, insieme a paesi come Cina, Russia, Iran e Ruanda.

Implicazioni legali e tecniche

Il risarcimento di 3 milioni di sterline contro l'Arabia Saudita potrebbe stabilire importanti precedenti per ritenere i governi responsabili delle violazioni dei diritti digitali commesse in ambito extraterritoriale. Tuttavia, l'esecuzione rimane difficile. Le dottrine sull'immunità statale spesso proteggono i governi dalle cause legali nei tribunali stranieri, sebbene esistano eccezioni per determinate categorie di danni.

Dal punto di vista tecnico, il caso sottolinea l'urgente necessità di una solida sicurezza dei dispositivi mobili. Apple e Google hanno implementato varie protezioni contro lo spyware, inclusi aggiornamenti di sicurezza che correggono le vulnerabilità sfruttate e nuove funzionalità del sistema operativo progettate per rilevare attività sospette.

I ricercatori di sicurezza raccomandano diversi passaggi pratici per le persone ad alto rischio:

Riavvio regolare del dispositivo: Molte infezioni da Pegasus non possono persistere dopo un riavvio, richiedendo una reinfezione. Riavviare quotidianamente può interrompere la sorveglianza.

Modalità isolamento (Lockdown Mode): iOS 16 di Apple e le versioni successive includono la Modalità isolamento, che disabilita molti vettori di attacco utilizzati da spyware sofisticati. Android offre opzioni di protezione simili.

Aggiornare tempestivamente: Le patch di sicurezza spesso risolvono vulnerabilità sfruttate dagli spyware. L'installazione degli aggiornamenti entro pochi giorni dal rilascio riduce significativamente le finestre di esposizione.

Dispositivi separati: Le persone ad alto rischio dovrebbero considerare l'uso di dispositivi distinti per le comunicazioni sensibili, utilizzando app di messaggistica crittografata su un telefono dedicato tenuto offline tranne quando necessario.

Analisi forense professionale: Organizzazioni come Amnesty International e Citizen Lab offrono servizi di rilevamento di spyware per attivisti e giornalisti a rischio.

Cosa significa per i diritti digitali

La sentenza Al-Masarir arriva in un momento di crescente attenzione internazionale verso l'industria degli spyware mercenari. Il Parlamento Europeo ha istituito una commissione d'inchiesta per indagare sull'uso di Pegasus all'interno degli stati membri dell'UE. Gli Stati Uniti hanno intrapreso azioni diplomatiche, comprese restrizioni sui visti per le persone coinvolte nell'uso improprio di spyware commerciali.

Diversi paesi stanno valutando o hanno approvato leggi per limitare il commercio di spyware. Tuttavia, l'industria opera in una zona grigia normativa, con società spesso registrate in giurisdizioni con scarsa supervisione mentre conducono operazioni a livello globale.

Le organizzazioni per i diritti umani chiedono una moratoria globale sulla vendita e il trasferimento di tecnologie di sorveglianza fino a quando non saranno stabilite solide tutele internazionali. Indicano casi come quello di Al-Masarir come prova del fatto che gli attuali controlli sulle esportazioni e i programmi di conformità aziendale non sono riusciti a prevenire abusi sistematici.

Il mercato degli spyware commerciali rimane redditizio, con stime che suggeriscono che generi miliardi di dollari all'anno. Oltre a NSO Group, numerosi concorrenti offrono capacità simili, comprese aziende con sede in Europa, Nord America e altrove. Alcuni operano in modo più discreto, evitando il controllo pubblico che ha travolto NSO Group.

Consigli pratici per attivisti e giornalisti

Se lavori come attivista, giornalista o in qualsiasi veste che possa renderti un bersaglio per la sorveglianza statale:

Presumi la compromissione: Opera partendo dal presupposto che i tuoi dispositivi principali possano essere monitorati. Usa questa ipotesi per guidare la tua postura di sicurezza.

Compartimentalizza: Separa il tuo lavoro più sensibile dalle comunicazioni quotidiane. Usa dispositivi, account e reti diversi per diversi livelli di rischio.

Costruisci il supporto della comunità: Connettiti con formatori sulla sicurezza digitale e organizzazioni specializzate nella protezione di persone ad alto rischio. Risorse come la Electronic Frontier Foundation, Access Now e Front Line Defenders offrono guida.

Documenta gli incidenti: Tieni registri dettagliati di messaggi sospetti, comportamenti insoliti del dispositivo o molestie fisiche. Questa documentazione può rivelarsi cruciale nei procedimenti legali.

Cerca consulenza legale: Comprendi i tuoi diritti nel tuo paese di residenza ed esplora se esistono opzioni legali per ritenere responsabili i colpevoli.

Dai priorità alla salute mentale: Essere presi di mira da una sorveglianza sofisticata causa un legittimo danno psicologico, come riconosciuto dal tribunale nel caso di Al-Masarir. Cerca un supporto adeguato.

Il risarcimento di 3 milioni di sterline assegnato a Ghanem Al-Masarir rappresenta più di una compensazione finanziaria. Riconosce la profonda violazione che lo spyware sponsorizzato dallo Stato infligge agli individui e segnala che i tribunali dei paesi democratici possono ritenere i governi autoritari responsabili degli abusi dei diritti digitali, anche quando tali governi operano a migliaia di chilometri di distanza.

Fonti

• Amnesty International Security Lab - Pegasus Project investigations and technical analyses
• Citizen Lab, University of Toronto - Research publications on NSO Group and Pegasus spyware
• Freedom House - "Out of Sight, Not Out of Reach" report series on transnational repression
• Electronic Frontier Foundation - Documentation of commercial spyware cases
• Apple Security Research - Technical details on spyware exploits and protections
• The Guardian, The Washington Post, BBC News - Reporting on Saudi surveillance campaigns and NSO Group
• European Parliament Committee of Inquiry on Pegasus - Official proceedings and findings