Morpheus, lo spyware analizzato dai ricercatori dell’associazione Osservatorio Nessuno e collegato a una società italiana attiva nel settore della sorveglianza digitale, è l’esempio più recente di quanto, negli ultimi anni, il confine tra sicurezza nazionale e sorveglianza invasiva si sia fatto sempre più sottile.
Il malware si presenta come un’applicazione innocua ma, una volta installato, consente un controllo completo del dispositivo. Questo tipo di tecnologia non è nuovo, ma la sua evoluzione dimostra un salto di qualità: maggiore stealth, capacità di eludere i controlli di sicurezza e infrastrutture di comando sempre più sofisticate.
Indice degli argomenti
L’area grigia delle tecnologie di sorveglianza
Le recenti indagini su spyware Android e aziende coinvolte nello sviluppo di strumenti di intercettazione digitale riportano al centro del dibattito un tema tanto delicato quanto urgente: l’area grigia in cui operano i fornitori di tecnologie di sorveglianza.
Un caso emblematico riguarda la scoperta di nuove campagne malware basate su applicazioni Android apparentemente legittime, ma in realtà progettate per attività di spionaggio. Queste app, distribuite come strumenti di controllo parentale o sicurezza, celano funzionalità intrusive: raccolta di messaggi, accesso a microfono e fotocamera, tracciamento della posizione.
In alcuni casi, come evidenziato da recenti analisi di sicurezza, tali strumenti sono riconducibili a società che operano nel settore della “lawful interception”, cioè tecnologie teoricamente destinate alle forze dell’ordine.
Nel caso specifico di Morpheus emergono elementi particolarmente rilevanti anche sul piano operativo e di “operational security”, che distinguono questa campagna da altri spyware più sofisticati.
I dettagli dello spyware Morpheus
L’operazione si basa infatti su un modello “low-cost”, privo di exploit zero-day, ma fortemente orientato al social engineering: l’infezione dello spyware Morpheus avviene tramite SMS che simulano comunicazioni del proprio operatore telefonico e inducono l’utente a installare manualmente una falsa app di aggiornamento.
Una scelta che riduce i costi ma aumenta il rischio di esposizione, evidenziando una possibile debolezza di OPSEC (Operations Security) rispetto agli operatori più avanzati.
Inoltre, l’infrastruttura individuata presenta indicatori relativamente tracciabili (domini e indirizzi IP specifici), segno di una compartimentazione non particolarmente sofisticata.
L’uso di nomi di pacchetto Android generici (es. “com.android.core”) e l’abuso delle funzionalità di accessibilità rappresentano tecniche note, già osservate in altre campagne, suggerendo un riutilizzo di TTP consolidati piuttosto che capacità innovative.
Infine, il coinvolgimento di elementi esterni come il blocco della connettività dati da parte dell’operatore introduce un ulteriore livello operativo complesso, ma anche un potenziale punto di fallimento o tracciabilità dell’intera operazione
I precedenti abusi delle tecnologie di sorveglianza
In passato, sono stati documentati abusi delle tecnologie di sorveglianza da parte di stati e gruppi criminali.
Il caso NSO Group lo dimostra: Amnesty International ha rivelato che lo spyware Pegasus è stato usato contro giornalisti, attivisti e difensori dei diritti umani. Il «Pegasus Project» ha individuato oltre 50.000 numeri potenziali bersagli, inclusi leader politici. Amnesty denuncia violazioni sistematiche e chiede una moratoria globale sulla vendita di questi strumenti finché non saranno regolati da norme sui diritti umani.
Un problema tecnico, ma anche politico e normativo
Il problema centrale non è solo tecnico, ma politico e normativo. Le aziende che sviluppano questi strumenti operano spesso in una zona opaca, dove la distinzione tra uso legittimo e abuso è difficile da tracciare.
Formalmente, queste tecnologie vengono vendute a governi, forze di polizia e agenzie di intelligence per finalità investigative. Tuttavia, la storia recente dimostra che il controllo sull’utilizzo effettivo è spesso insufficiente.
Le evidenze disponibili mostrano con chiarezza chi sono i principali clienti: governi nazionali, agenzie di intelligence, forze di polizia e, in alcuni casi, anche grandi aziende private. Il mercato di questi operatori non sia limita a un perimetro nazionale, ma gli stessi operano su scala globale con una clientela ampia e spesso opaca.
Il contesto economico aiuta a comprendere la portata del fenomeno: secondo diverse analisi di mercato, il mercato globale delle tecnologie di sorveglianza e lawful interception ha superato i 12 miliardi di dollari nel 2024, con previsioni di crescita fino a oltre 25 miliardi entro il 2030. Si tratta quindi di un’industria strategica, con tassi di crescita annuali stimati tra il 8% e il 12%.
Il settore degli spyware in Italia
In Italia, il settore non è marginale. Negli ultimi anni, diversi ricercatori hanno portato alla luce pubblicamente numerosi produttori italiani di spyware. Tra questi figurano aziende come CY4GATE, eSurv, GR Sistemi, Movia, Negg, Raxir e RCS Lab, a cui si è aggiunta più di recente anche SIO, ampliando il quadro delle realtà nazionali coinvolte nello sviluppo di tecnologie di sorveglianza digitale.
Il caso più noto resta quello di Hacking Team, società milanese finita sotto i riflettori nel 2015 dopo una massiccia violazione dei dati che rivelò la vendita di spyware a regimi autoritari. Da allora, il settore si è evoluto, ma non ha perso la sua ambiguità strutturale.
Più recentemente, il dibattito si è riacceso attorno ad aziende come Paragon, coinvolta indirettamente in indagini su attacchi spyware. Secondo alcune ricostruzioni, la società non avrebbe collaborato pienamente con le autorità italiane impegnate a fare luce su operazioni di sorveglianza.
Le difficoltà nell’esercitare un controllo efficace
Questo episodio evidenzia un ulteriore elemento critico: la difficoltà per gli stessi Stati di esercitare un controllo efficace su aziende che operano spesso su scala globale, con clienti distribuiti in diversi Paesi.
A livello globale, il numero di aziende attive nello sviluppo di spyware e tecnologie di sorveglianza è in costante aumento: secondo report di organizzazioni come Citizen Lab e Privacy International, si contano oltre 80 vendor commerciali specializzati in spyware governativo, distribuiti in almeno 40 Paesi. Parallelamente, sono stati documentati casi di utilizzo di spyware in più di 70 nazioni, spesso anche al di fuori di contesti strettamente legati alla sicurezza nazionale.
Il modello operativo di queste aziende è relativamente standardizzato. Sviluppano piattaforme software capaci di infiltrarsi nei dispositivi target, spesso sfruttando vulnerabilità sconosciute (zero-day) o tecniche di ingegneria sociale. Offrono poi infrastrutture di gestione dei dati raccolti e servizi di supporto ai clienti. In molti casi, il rapporto con i clienti è coperto da accordi di riservatezza e giustificato da esigenze di sicurezza nazionale.
Il valore economico di queste tecnologie è elevatissimo anche a livello unitario: secondo analisi pubbliche su casi come Pegasus, una singola licenza spyware può costare fino a 100.000 dollari per target, con contratti complessivi che raggiungono facilmente decine di milioni di dollari per singolo cliente governativo. Questo crea forti incentivi economici per espandere il mercato, anche in contesti regolatori deboli.
Spyware e sorveglianza globale
Tuttavia, il vero nodo è proprio qui: chi controlla che questi strumenti vengano utilizzati esclusivamente per finalità legittime? E cosa accade quando finiscono nelle mani sbagliate o vengono impiegati oltre i limiti previsti dalla legge?
Le implicazioni per le democrazie sono profonde. Lo spyware consente forme di sorveglianza estremamente invasive, spesso invisibili per l’utente. Può essere utilizzato per monitorare giornalisti, attivisti, oppositori politici. In assenza di controlli rigorosi e trasparenti, il rischio è quello di un uso distorto che mina diritti fondamentali come la privacy e la libertà di espressione.
Non è un rischio teorico: indagini giornalistiche internazionali (es. Pegasus Project) hanno documentato migliaia di potenziali target, inclusi oltre 600 politici, 180 giornalisti e numerosi attivisti per i diritti umani coinvolti in operazioni di sorveglianza. Questi numeri mostrano come la tecnologia possa facilmente uscire dal perimetro della sicurezza per entrare in quello del controllo politico.
Inoltre, la proliferazione di queste tecnologie crea un mercato parallelo sempre più competitivo e meno regolamentato. Nuovi attori entrano nel settore, spesso con standard etici e di compliance inferiori. Il risultato è un ecosistema in cui la tecnologia corre più veloce delle norme, lasciando ampi spazi di manovra a pratiche opache.
Il rischio è quello di una deriva silenziosa
Il punto non è negare l’utilità di strumenti investigativi avanzati, che in molti casi sono essenziali per contrastare criminalità organizzata e terrorismo. Il problema è garantire che il loro utilizzo sia sottoposto a controlli stringenti, audit indipendenti e meccanismi di accountability chiari.
Senza questi elementi, il rischio è quello di una deriva silenziosa: una progressiva normalizzazione della sorveglianza digitale, in cui strumenti nati per proteggere diventano potenziali strumenti di abuso.
Ed è proprio in questa zona grigia, alimentata da interessi economici miliardari e da un ecosistema globale poco regolato, che si gioca una partita cruciale per il futuro delle democrazie digitali.
