Software spia, cosa c'entra la SUPSI?

Strumenti informatici di sorveglianza e di spionaggio: un tema dal respiro internazionale - basti pensare all'ondata di polemiche e di conseguenze suscitata dallo scandalo Pegasus (il software della società israeliana NSO Group, attraverso il quale vari Paesi hanno spiato oppositori politici, attivisti per i diritti umani e giornalisti). Ora però il respiro si potrebbe fare anche più locale. Non si parla più di Pegasus, ma di altri prodotti simili, sviluppati da un'azienda luganese ("InTheCyber") con il supporto della SUPSI, la Scuola Universitaria professionale della Svizzera italiana (una delle 9 scuole universitarie professionali riconosciute dalla Confederazione). La storia è intricata e in proposito la RSI ha interpellato il direttore generale della SUPSI, Franco Gervasoni.

"Noi collaboriamo con "InTheCyber", abbiamo collaborato su diversi progetti, sono sempre delle progettualità comunque pensate nell'interesse pubblico e pensate per aumentare le competenze e le conoscenze, in particolare, anche delle autorità inquirenti, che sono chiamate a indagare su queste situazioni", dice Gervasoni. "I progetti in questione sono stati finanziati dall'Agenzia svizzera per la promozione dell'innovazione, Innosuisse. Sono dei progetti di partenariato tra la scuola, che viene finanziata da Innosuisse e partner aziendali. Ne abbiamo centinaia ogni anno, con tutta una serie di esami da parte di esperti sulle finalità dei progetti".

Voi siete consapevoli che "Memento Labs", che appartiene a "InTheCyber" fa un certo tipo di commercio?

"La relazione diretta l'abbiamo con l'azienda "InTheCyber", attiva a Lugano. I progetti Innosuisse hanno dei criteri di valutazione molto stretti, che sono legati al grado di innovazione, alla capacità di questi progetti di generare valore per l'economia, per la società. Viene valutata la qualità metodologica, le competenze dei ricercatori e dei partner aziendali che sono nel campo. La valutazione dei progetti è anche basata sulla capacità di commercializzazione da parte dell'azienda dei prodotti che vengono sviluppati. I diritti poi, sono ceduti integralmente all'azienda, che ha una propria politica, una propria strategia di commercializzazione. Quello che "InTheCyber" poi sviluppa con questi progetti non è di nostra competenza,non abbiamo un diretto controllo".

Ma non teme un rischio reputazionale?

"Quando partono questi progetti sicuramente non c'è questa prospettiva, questa visione. L'auspicio ovviamente è che questo non succeda, però si tratta anche di attività ai confini dell'innovazione, dove questi strumenti possono essere utilizzati nello scopo del progetto, quindi in termini estremamente positivi e virtuosi per le autorità giudiziarie, ad esempio del nostro Cantone e della Confederazione, che hanno anche sostenuto attivamente questi progetti. C'è questa componente, diciamo negativa e rischiosa che, naturalmente, valutiamo, ma che è di stretta competenza poi di chi gestisce la commercializzazione dei prodotti. Questo non vuol dire che in prospettiva, anche a seguito di queste riflessioni, non si debba avere un approccio più prudente".

Che tipo di controlli e verifiche fate come SUPSI per valutare i partner privati?

"Abbiamo diversi strumenti, che partono dai singoli ricercatori che hanno un diretto contatto con le aziende. Poi, a diversi gradi istituzionali, abbiamo anche una Commissione etica, che si occupa di valutare i progetti di ricerca e le loro finalità".

Il progetto e una collaborazione di questo genere. Stridono con quanto deciso dalla stessa Svizzera che ha deciso di firmare questa convenzione internazionale che intende combattere proprio gli spyware commerciali. Anche qui non crede che ci sia una questione di opportunità?

"Io non posso valutare personalmente gli aspetti commerciali. Noi siamo anche soggetti a dei controlli da parte della Confederazione su questi dispositivi. Partiamo dal principio che, se un progetto ha finalità positive, innovative, è sostenuto anche dalle autorità, è un progetto che, con le nostre competenze e con un partner aziendale è attivo comunque nel territorio cantonale, nazionale, regolarmente, possa essere portato avanti".

La SUPSI collabora molto strettamente con "InTheCyber". Che tipo di rapporto o contratto c'è con "InTheCyber"?

"Non c'è nessuna relazione commerciale o di compensi, come in tutte le altre collaborazioni Innosuisse ci sono delle chiare definizioni, anche di finanziamento. Di regola Innosuisse finanzia le scuole per collaborare e per ottenere dei risultati con le aziende che sono poi monitorate al termine dei progetti. Quindi non ci sono degli scambi o dei finanziamenti di SUPSI alle aziende partner".

Partiamo dagli attori in gioco. C'è un'azienda chiamata "InTheCyber". L'azienda è luganese, il suo fondatore si chiama Paolo Lezzi e si occupa di consulenza nell'ambito della cybersicurezza. C'è poi un'altra azienda, la milanese "Hacking Team": questa in realtà appartiene al passato, quando è stata coinvolta in un lucroso business, quello della vendita di software destinati alla sorveglianza informatica. "Hacking Team" nel 2015 affonda, vittima lei stessa di un attacco hacker. Il gruppo allora viene ripreso qualche anno dopo - siamo nel 2019 - da "InTheCyber", il gruppo luganese. Gli viene affibiato un altro nome, "Memento Labs": sotto la nuova dirigenza, quella di Lezzi, si cerca - almeno a parole - di allontanarsi dalla nomea non troppo positiva del passato. Quello che però è certo è che "Memento Labs" ha continuato a partecipare alle grandi fiere dedicate alle tecnologie di sorveglianza: un nome su tutti, la ISS World di Dubai, frequentata da tutti coloro che hanno qualche interesse, pulito o meno pulito che sia, verso questa tecnologia.

Il collegamento con la SUPSI e la Svizzera è proprio "InTheCyber", che collabora ormai da anni a stretto contatto con la SUPSI. Assieme hanno sviluppato un paio di prodotti informatici, presentati tra l'altro alla fiera di Dubai sotto il cappello della "Memento Labs", la filiale milanese. E questi sono prodotti sviluppati grazie a soldi giunti da Berna, più precisamente da Innosuisse, l'agenzia per la promozione dell'innovazione, quindi un imprimatur federale. Senza contare che due dipendenti di "InTheCyber" avrebbero svolto il ruolo di relatori a una conferenza sulla sicurezza informatica organizzata di recente dal Dipartimento federale degli affari esteri nel Sud-est asiatico. A dimostrazione che l'azienda gode di un certo appoggio ufficiale.

L'origine della notizia è la "Neue Zürcher Zeitung", che ha acceso i riflettori sulle attività definite "delicate" di "Memento Labs". Il rischio che vede il giornalista Lukas Mäder, cosa già avvenuta nel caso di Pegasus, è che le forze di opposizione in certi Paesi - in Medio Oriente ad esempio, dove questi strumenti sono stati pubblicizzati largamente - possano essere spiate attraverso software di "Memento Labs". L'azienda, ribadiamo, appartiene a "InTheCyber", che coopera con la SUPSI, una vicinanza che è eccessiva, secondo Mäder, soprattutto con il Servizio informatica forense, guidato da Alessandro Trivilini. Trivilini e "InTheCyber" sono gli assi portanti - fra l'altro - dell'alleanza SOScyber, con cui si vuole dare una mano alle piccole e medie imprese, vittime sul territorio di attacchi informatici, il tutto sotto il patrocinio del Cantone. Per il giornalista della NZZ una scuola professionale federale dovrebbe chiarire con quali partner ha a che fare, se sono coinvolti nel commercio di software che finiscono nelle mani di Stati pronti a farne un uso abusivo, come già successo in passato.

Va detto che non c'è nulla di illegale in questi spyware, nei software destinati alla sorveglianza. Sono usati anche in Svizzera dalle polizie, così come in tanti altri Paesi ad opera delle autorità inquirenti. Il problema è che si tratta di uno strumento che si presta ad abusi soprattutto in certi Paesi, dove i diritti dell'uomo non sono in cima alle priorità dei leader politici.