Un tribunale della California ha condannato la società israeliana NSO Group a pagare oltre 167 milioni di dollari di danni a Meta per aver sfruttato una vulnerabilità di WhatsApp al fine di installare lo spyware Pegasus e permettere ai suoi clienti governativi di intercettare comunicazioni private. Si tratta di una delle decisioni più severe mai emesse contro un produttore di spyware e potrebbe rappresentare una svolta nella lotta globale contro la sorveglianza illegale.

Il caso risale al maggio 2019, quando gli ingegneri di WhatsApp scoprirono una pericolosa vulnerabilità “zero-click” e “zero-day”: bastava una chiamata a uno smartphone acceso (anche senza rispondere) per installare Pegasus senza alcuna azione da parte dell’utente. Il malware, una delle creazioni più sofisticate di NSO Group, consente l’accesso completo al dispositivo, ovvero messaggi, email, contatti, posizione GPS, microfono e fotocamera.

Il bug fu corretto in pochi giorni, ma il danno era fatto: circa 1.400 utenti WhatsApp, tra cui giornalisti, attivisti e diplomatici, erano stati spiati. Meta decise allora di reagire in modo deciso, portando NSO Group in tribunale nell’ottobre dello stesso anno. La causa si è protratta per anni tra appelli, istanze di immunità e tentativi di sottrarsi al processo, ma nel 2024 la giustizia ha infine dato ragione alla multinazionale americana.

La giuria, composta da otto membri, ha impiegato meno di due giorni per stabilire l’entità del risarcimento. Secondo Meta, la somma corrisponde a quasi tre volte il budget annuale per la ricerca e sviluppo della NSO. In un gesto di trasparenza e pressione pubblica, Meta ha pubblicato online le deposizioni dei dirigenti NSO, promettendo di caricare anche i verbali ufficiali del tribunale appena disponibili per permettere a giornalisti e ricercatori di studiare nel dettaglio la vicenda.

NSO Meta

Crediti: Shutterstock

In una dichiarazione a The Register, Meta ha sottolineato che, sebbene la vulnerabilità del sistema di chiamata di WhatsApp sia stata risolta nel 2019, Pegasus continua a rappresentare una minaccia attiva. Il software ha infatti molti altri metodi per infettare i dispositivi sfruttando browser, sistemi operativi e app di messaggistica. Durante il processo, NSO è stata costretta ad ammettere di investire decine di milioni di dollari ogni anno nello sviluppo di nuove tecniche di installazione del malware e di essere ancora in grado di compromettere dispositivi iOS e Android.

Meta, che ha ringraziato in particolare Citizen Lab (centro di ricerca canadese attivo nel monitoraggio della sorveglianza digitale) per l’aiuto nell’indagine, ha anche promesso di devolvere l’intero importo del risarcimento a organizzazioni che difendono i diritti digitali.

Nel corso della causa, NSO ha tentato numerose strategie difensive. Dopo aver inizialmente ignorato il procedimento sostenendo che Meta non avesse notificato correttamente gli atti, ha accusato Facebook di ipocrisia, affermando che dirigenti del gruppo avrebbero persino cercato di acquistare i suoi strumenti di sorveglianza per fini propri. Ha inoltre sostenuto di non poter essere citata in giudizio negli Stati Uniti, poiché vendeva i propri prodotti esclusivamente a governi.

In risposta alla condanna, NSO ha dichiarato che prenderà in considerazione un nuovo ricorso e ha difeso il proprio operato, sostenendo che la sua tecnologia “gioca un ruolo critico nella prevenzione di crimini gravi e atti terroristici” e viene impiegata “responsabilmente da agenzie governative autorizzate.” Tuttavia, la società ha lamentato che queste circostanze non siano state prese in considerazione dalla giuria.

Il caso rappresenta una pietra miliare nella regolamentazione dell’uso di spyware e nella responsabilizzazione delle aziende che lo sviluppano. Insieme alla causa parallela intentata da Apple contro NSO nel 2021, in cui il gruppo di Cupertino definiva NSO “mercenari amorali del XXI secolo”, la decisione della giuria californiana segna un momento decisivo nella difesa dei diritti digitali e della privacy globale.

(Immagine in apertura: Shutterstock)