giovedì 13 aprile 2017

“Esportava un sistema di monitoraggio internet ai servizi siriani”: come è nata l’ipotesi di reato che ha travolto Area

lastampa.it
carola frediani

Un’indagine, col sequestro di quasi 8 milioni di euro, rilancia il tema della vendita di tecnologie di sorveglianza



Negli ultimi giorni una delle più note aziende italiane tra quelle che forniscono sistemi di monitoraggio e sorveglianza elettronica per le procure nazionali e per governi stranieri è finita sotto i riflettori in seguito a due filoni di indagine che la riguardano. Si tratta di Area Spa, società di Vizzola Ticino (Varese), che da anni fornisce servizi di intercettazione a molte procure italiane, oltre che centrali di cattura e analisi del traffico internet e telefonico a vari Stati.

Il filone di indagine più eclatante, e che risalirebbe a episodi di vari anni fa, fra 2010 e 2011, riguarda la presunta violazione delle leggi sulle esportazioni per le tecnologie di uso duale o duplice, quelle tecnologie cioè che possono essere usate sia in ambito civile che militare. E che per questo sono soggette da tempo a un maggiore controllo da parte degli Stati, intensificatosi quasi anno dopo anno a livello europeo. Un’indagine che è improvvisamente sfociata nei giorni scorsi in una perquisizione e in un provvedimento di sequestro preventivo del valore di 7,7 milioni di euro sui conti e beni dell’azienda varesotta su disposizione della procura di Milano.

L’indagine sulle esportazioni è particolarmente delicata anche perché riguarda la Siria e vede come indagati l’ad e socio unico di Area, Andrea Formenti, e un project manager, A. M. All’origine c’è un contratto vinto da Area, del valore di 13 milioni di euro, per la fornitura di prodotti informatici alla Syrian Telecommunication Establishment (nota anche come Syrian Telecom o STE), il principale operatore telefonico del Paese. Di questa commessa si era parlato sui media già nel novembre 2011, quando un’inchiesta della testata Bloomberg aveva riferito per prima di un contratto tra l’azienda italiana e la telco siriana per fornire un sistema di monitoraggio del traffico internet.

Il suo obiettivo, sosteneva l’articolo di Bloomberg, sarebbe stato di intercettare, filtrare e analizzare e-mail e comunicazioni in tutto il Paese per conto dei servizi siriani e del presidente Bashar al-Assad, che proprio nel 2011 aveva intensificato la repressione sui civili. All’epoca la stessa Area aveva replicato sui media dicendo che il loro interlocutore era il gestore telefonico locale, che il contratto prevedeva un sistema di intercettazione legale e che comunque avrebbero abbandonato la commessa, ottenuta vincendo una gara internazionale nel 2008, vista la mutata situazione politica.

Allora non c’era uno specifico embargo europeo su questo genere di esportazioni in Siria (sarebbe arrivato di lì a poco, nel 2012). C’era però un embargo americano dal 2004 - che come vedremo ha una sua rilevanza perché Area, nell’ipotesi accusatoria, avrebbe riesportato anche tecnologie di aziende Usa. E c’era una legge che disciplinava il controllo delle esportazioni di prodotti e tecnologie a duplice uso, assoggettandole a specifiche autorizzazioni (Decreto legislativo n. 96 del 9/4/2003 che richiama la disciplina comunitaria, a partire dal Regolamento CE n 1334/2000 e integra i successivi Regolamenti come il n. 428 del 2009).

L’INDAGINE
Da qui prende probabilmente le mosse il procedimento italiano - aperto inizialmente al Tribunale di Busto Arsizio, poi passato per competenza funzionale alla procura di Milano - che arriva infine a formulare due ipotesi di reato: esportazione di materiale a duplice uso in Siria senza l’autorizzazione specifica individuale del ministero (dal marzo 2010 al febbraio 2011), nonché in maniera clandestina, col trasporto del materiale nel bagagliaio dei dipendenti che si recavano a Damasco e aggirando i controlli doganali; ed esportazione di materiale a duplice uso con l’autorizzazione ministeriale ottenuta però, per gli inquirenti, attraverso

dichiarazioni non veritiere (dal febbraio 2011 al novembre dello stesso anno, quando Area ottiene prima un’autorizzazione specifica individuale per l’esportazione dal ministero per lo sviluppo economico - che poi gli viene revocata proprio a novembre in concomitanza con l’attenzione mediatica sul contratto). Area, è l’ipotesi dei pm, non avrebbe indicato il reale utilizzatore finale della fornitura, che sarebbero stati i servizi segreti siriani e non STE. Quindi non un uso in ambito civile della tecnologia venduta in Siria, bensì militare.

LA CENTRALE DI MONITORAGGIO INTERNET
Ma cosa esportava Area nel caso in questione? Una centrale di monitoraggio per internet e la terza generazione di telefonia mobile, dislocata tra Damasco e Aleppo, che avrebbe dovuto essere usata, secondo gli inquirenti, per intercettare, acquisire, catalogare il traffico internet ed e-mail di pressoché tutta la Siria. Un sistema diviso in varie parti. C’erano una serie di sonde IP (internet protocol) collegate in vari punti della rete pubblica siriana che avevano il compito di leggere i dati in transito facendo un primo filtraggio sulla base di specifici parametri di ricerca (tipo: Assad, rivoluzione ecc). E c’erano dei collegamenti ad alta velocità che trasportavano i dati a un secondo blocco che si occupava di configurare le sonde e di passare le informazioni raccolte dalle stesse al centro di monitoraggio vero e proprio. Questo centro doveva quindi salvare i dati, decodificando e inviando quelli più urgenti agli operatori finali.

I SERVIZI SIRIANI
Nome in codice del progetto: Asfador, dal nome di uno degli interlocutori locali, il consulente della società siriana Kanan, che doveva fare da partner di Area. Sempre secondo gli inquirenti, la centrale di monitoraggio sarebbe stata collocata in un palazzo a cinque piani di Damasco, occupato in parte da STE e in parte dall’intelligence siriana. Figura centrale in questa ricostruzione sarebbe stato un ingegnere dei servizi siriani, noto solo come Firas (Feras Hasan, ipotizzano gli inquirenti) che avrebbe coordinato i lavori relativi al contratto di Area. E che alcuni dipendenti dell’azienda incontrano più volte.

Firas avrebbe anche sollecitato la conclusione dei lavori dicendo che, visto quanto stava succedendo in Tunisia, Libia, Egitto, anche loro dovevano essere pronti a intercettare le comunicazioni del Paese. Un ruolo chiave nell’indagine è rivestito infine da due ex-dipendenti dell’azienda e da un ingegnere e attivista siriano, ascoltati come persone informate sui fatti, secondo i quali era evidente che il destinatario finale fossero i servizi del Paese. Ma ci sono anche le tecnologie di altre aziende - come l’americana NetApp, la francese Qosmos o la tedesca Ultimaco - che passano attraverso la commessa di Area. Ancora nell’estate 2015 Qosmos - che produce le sonde di cattura del traffico internet - era indagata in Francia proprio per queste esportazioni in Siria.

In quanto al sequestro preventivo, secondo gli inquirenti si tratterebbe della somma incamerata da Area per il progetto Asfador (poiché l’iniziale commessa pluriannuale da 13 milioni ottenuta dalla società italiana sarebbe stata interrotta a fine 2011). 

I PRODOTTI A DUPLICE USO
Area non è un’azienda qualsiasi in Italia. Lavora infatti da anni per numerose procure, fornendo tecnologie e assistenza per le intercettazioni e altri tipi di indagini online. È sempre presente alle fiere e ai convegni del settore, della Difesa e delle forze dell’ordine, italiane e internazionali. E ancora lo scorso giugno aveva ottenuto dal Ministero dello Sviluppo Economico (Mise) un’autorizzazione specifica per l’esportazione delle sue tecnologie di monitoraggio del traffico internet in Egitto, come avevamo riportato qui.

L’uso finale dichiarato era di agevolare l’attività di intercettazione di comunicazioni ai fini della sicurezza nazionale. E il cliente finale era il Technical Research Department (TRD), che però secondo la denuncia di vari ricercatori e attivisti sarebbe un’unità opaca, autonoma e priva di controlli democratici dell’intelligence e degli apparati egiziani, protagonista di una intensa attività di sorveglianza delle comunicazioni. Una notizia che non era passata inosservata anche in considerazione delle tensioni fra Italia e Egitto sul caso Regeni.

IL CASO PARALLELO DI HACKING TEAM
Interessante notare un dettaglio. La violazione della legge sulle esportazioni di prodotti di uso duplice, contestata all’ad e al project manager di Area, è la stessa alla base di un’altra inchiesta, condotta sempre dalla procura di Milano, nei confronti di una seconda azienda italiana che produce ed esporta tecnologie di sorveglianza, Hacking Team. L’ad dell’azienda milanese produttrice di spyware, che è stata vittima di un attacco informatico nel 2015 (per il quale è in corso un’indagine separata, sempre alla procura di Milano), è indagato con ipotesi di reato di violazione dell’art 16 del decreto legislativo 96/2003 (lo stesso che abbiamo visto sopra per Area), violazione che si configura nel caso in cui le esportazioni avvengano senza le dovute autorizzazioni oppure con autorizzazioni ottenute attraverso dichiarazioni o presupposti non veritieri.

I parallelismi fra le due aziende - che producono sistemi di sorveglianza complementari, tanto che, come scritto in passato, sono stati anche partner commerciali, con Area che comprava gli spyware di Hacking Team - non mancano. In generale, entrambe sono state investite dalle polemiche sulle esportazioni di prodotti di uso duale in Paesi dove venivano violati i diritti umani. Anche se la cornice legislativa su cosa si debba intendere per tecnologia a uso duale è stata per anni incerta e mutevole, e questo sembra aver complicato la valutazione di singole operazioni (vedi il caso Sudan-Hacking Team di cui avevamo scritto qui). Un quadro legale complesso e farraginoso, ingarbugliato dalla presenza di intermediari locali nei vari Paesi, dall’individuazione dell’effettivo utilizzatore finale e dal proliferare di agenzie statali o parastatali interne interessate a questi strumenti.

L’ultimo esempio in materia: pochi giorni fa è uscito un report di un’associazione messicana per i diritti digitali, R3d, sullo stato della sorveglianza (fuori controllo) in Messico. E in un capitolo - dedicato agli spyware di Hacking Team, di cui il Messico era il maggior acquirente al mondo - si sostiene che «la grande maggioranza delle autorità (messicane, ndr) che hanno comprato il software di Hacking Team non possedevano la facoltà legale o costituzionale per intercettare comunicazioni private, per cui il loro acquisto così come il loro utilizzo era chiaramente illegale».

L’INCHIESTA SULLE INTERCETTAZIONI
In questo contesto già complesso, tornando ad Area, si è aggiunta nei giorni scorsi anche la notizia di un altro filone di indagine che riguarderebbe proprio le attività di supporto alle intercettazioni delle procure da parte della società del Varesotto. Indagine nata dal ritrovamento di intercettazioni disposte da varie procure italiane sul pc di una dipendente della società. Dati che avrebbero dovuto risiedere solo sui computer delle procure e non su quelli dell’azienda. L’indagine era nata inizialmente nel 2015 dalla procura di Trieste, cliente dei servizi di Area, dopo che per un problema tecnico e una conseguente richiesta di assistenza da remoto alla stessa società, i pm avevano sospettato la presenza di alcuni materiali sulle intercettazioni anche sui server dell’azienda.

Che si tratti di un disguido tecnico o meno, tutto ciò ha intanto portato a delle circolari del ministero della Giustizia che invitano le procure a rafforzare i controlli sulla sicurezza nella gestione delle intercettazioni e delle società esterne che forniscono servizi al riguardo. La Stampa ha contattato Area per commenti e precisazioni, ma al momento della pubblicazione dell’articolo non ha ancora ricevuto risposte. L’articolo verrà aggiornato qualora arrivassero.