Il paradosso della sicurezza digitale moderna è che le stesse tecnologie nate per difendere la società si stanno trasformando nel suo nemico più insidioso. Gli spyware governativi come Pegasus di NSO Group o Graphite di Paragon erano stati concepiti, almeno ufficialmente, come strumenti di precisione per colpire terroristi e criminali organizzati. La retorica era impeccabile: “sorveglianza mirata”, “interventi legittimi”, “uso responsabile”. La realtà, invece, è quella di una macchina di controllo fuori controllo, capace di insinuarsi nella vita privata di chiunque con la stessa facilità con cui si invia un messaggio su WhatsApp.
Il mito del bersaglio selettivo è crollato quando ricercatori indipendenti, da The Citizen Lab all’Electronic Frontier Foundation, hanno iniziato a tracciare le impronte digitali di questi software. Tra le vittime non ci sono cellule terroristiche, ma giornalisti, attivisti, avvocati, persino consulenti politici. Nomi e Paesi si ripetono come un mantra inquietante: Marocco, Emirati Arabi, Arabia Saudita. Tutti uniti da un filo invisibile di malware governativo che ascolta, registra e analizza ogni gesto digitale.
La struttura commerciale di queste piattaforme è parte del problema. I governi non acquistano licenze “per caso”: comprano pacchetti di sorveglianza con soglie flessibili, spesso senza limiti. Più persone si possono tracciare, più il contratto diventa redditizio. Il business model della sorveglianza globale è tanto semplice quanto perverso. Non esiste un incentivo a ridurre l’uso dello spyware, anzi. Il guadagno cresce con l’espansione del controllo.
La facilità d’impiego di questi strumenti alimenta l’abuso sistemico. Basta inserire un numero di telefono e l’infezione parte in background, invisibile, silenziosa, quasi elegante nella sua brutalità. Non serve alcuna competenza tecnica. L’operatore, protetto dall’anonimato istituzionale, si trasforma in un demiurgo digitale che decide chi merita privacy e chi no. Eva Galperin della EFF lo ha riassunto in modo lapidario: “Quando spiare diventa così facile, i governi smettono di chiedersi se dovrebbero farlo”.
La cultura dell’impunità è il cemento di questo ecosistema. Nessuna legge internazionale regola realmente l’uso dello spyware. Nessuna autorità obbliga i governi a dichiarare chi viene monitorato. Il risultato è un buco nero giuridico in cui la sicurezza nazionale diventa la scusa perfetta per la sorveglianza politica. Gli abusi emergono solo quando una vittima scopre di essere stata spiata e trova il coraggio di denunciare, spesso pagando un prezzo altissimo.
Qualcosa, però, inizia a muoversi. Le prime crepe nell’edificio della sorveglianza appaiono nelle reazioni tardive ma significative di alcuni Paesi. Gli Stati Uniti, il Regno Unito e la Francia hanno imposto sanzioni contro aziende e dirigenti legati a spyware, mentre la Grecia e la Polonia si sono viste costrette ad avviare inchieste interne dopo scandali di intercettazioni politiche. Paragon, sotto pressione, ha rotto i legami con il governo italiano in seguito a sospetti di uso improprio. NSO Group, nel frattempo, proclama di aver tagliato fuori dieci clienti “abusivi”, senza però rivelarne l’identità.
Tutto questo avviene mentre il mercato continua a crescere. Nonostante la cattiva pubblicità, la sorveglianza commerciale resta un affare miliardario. I governi di mezzo mondo, democratici e autoritari, non resistono al fascino di una tecnologia che promette onniscienza digitale e controllo assoluto. La domanda resta alta, alimentata dalla stessa logica che ha reso internet un terreno fertile per la manipolazione dei dati: l’illusione che più informazione equivalga a più sicurezza.
Ma la verità è l’opposto. La proliferazione degli spyware governativi rappresenta una minaccia diretta alla democrazia, alla libertà di stampa e all’integrità elettorale. Ogni clic, ogni messaggio, ogni conversazione privata intercettata da uno Stato senza giustificazione trasforma la cittadinanza in un esperimento di sorveglianza permanente. Non esiste più distinzione tra criminale e cittadino comune, tra dissidente e semplice critico del potere. Tutti possono essere un “target”.
Il problema non è solo tecnologico ma etico, politico e culturale. L’assenza di accountability ha reso i governi gli attori più pericolosi del cyberspazio, capaci di violare la privacy dei propri cittadini con una leggerezza che nessuna azienda privata potrebbe permettersi. Le leggi sulla protezione dei dati, concepite per limitare Google o Meta, si rivelano impotenti contro un malware di Stato. È come mettere una serratura su una porta già sfondata.
Il paradosso ultimo è che la stessa trasparenza digitale che dovrebbe rafforzare le democrazie le sta lentamente erodendo. Lo spyware non è più un’arma eccezionale di giustizia ma un meccanismo di controllo senza confini, dove la sicurezza diventa una scusa per cancellare la libertà. Il suo linguaggio tecnico e asettico — “targeting”, “intercept”, “payload” — serve solo a mascherare la natura profondamente politica di uno strumento nato per spiare, punire e intimidire.
Nel mondo iperconnesso del 2025, il confine tra protezione e persecuzione si misura in una stringa di codice e se la privacy è davvero il nuovo lusso, allora il vero prezzo lo stiamo già pagando tutti, in silenzio, dietro uno schermo che non ci appartiene più.