"Hanno incastrato Cristian con una telefonata"

L'appello di Maurizio Provvisionato: "Dobbiamo riportare a casa mio fratello"

Cristian Provvisionato

L'esperto: "Cybersicurezza business oscuro"

di STEFANIA MAURIZIUn intrigo internazionale. E un caso che potrebbe rivelarsi un nuovo scandalo italiano della cyber sicurezza, dopo l'affare Hacking Team , che un anno fa fece finire il nostro paese sui giornali di tutto il mondo. Forse è per questo che non se ne parla? Per non riaprire la pagina dello spregiudicato business italiano in questo settore, proprio in un periodo in cui la nomina di Marco Carrai a cyber zar ha innescato uno scontro politico ? Da undici mesi un cittadino italiano, Cristian Provvisionato, è prigioniero in Mauritania, trattenuto dal governo di questo stato africano di 3 milioni e mezzo di anime, che ha cercato di acquistare software per la sorveglianza, tipo quello della Hacking Team , da una strana coppia di aziende: la Wolf Intelligence con sede a Monaco, in Germania, e la Vigilar Group di Milano.In che intrigo sia finito Provvisionato, ad oggi, non è chiaro. La sua è una storia avvolta nella nebbia della guerra. Una guerra che ormai non si combatte più solo con eserciti e kalashnikov, ma con computer, cyber mercenari e armi invisibili: le cyber weapons, software micidiali che permettono a governi, servizi segreti e forze di polizia di entrare in computer e telefoni per localizzare, spiare e perfino piazzare prove false a carico di chiunque vogliano incastrare.Tutto ha inizio il 14 agosto 2015, come racconta a Repubblica il fratello Maurizio Provvisionato: quel giorno Cristian è al mare in Liguria, ma una telefonata lo raggiunge in piena vacanza. A chiamarlo è Davide Castro, che con il padre Francesco, gestisce l'azienda milanese Vigilar Group che si occupa di security. Cristian ha un contratto a tempo determinato con la Vigilar, e poiché ha bisogno di lavorare, ha dato la propria disponibilità a farlo anche ad agosto. "Castro gli dice che si è creata un'urgenza: hanno una loro persona in Mauritania, che però deve rientrare per urgenti motivi familiari", ci dice Maurizio, spiegandoci che a suo fratello viene assicurato che il lavoro da fare nella capitale mauritana, Nouakchott, è un semplice meeting con il governo locale per presentare un'azienda che vende prodotti di cyber sicurezza: la Wolf Intelligence, con cui Davide Castro ha rapporti di affari.Cristian Provvisionato non ha alcuna esperienza nel settore informatico: lui e il fratello sono contractor che si occupano di sicurezza fisica e Cristian ha iniziato a lavorare per la Vigilar facendo servizi di scorta non armata, investigazioni, security per i grandi eventi, insomma quanto di più lontano dal mondo cyber. Ma anche da questo punto di vista, "Castro lo rassicura, dicendogli che la sua figura è solo di presenza, in quanto è richiesto un europeo, perché [quelli della] Wolf sono indiani e, per quanto bravi, un europeo dà lustro", ci racconta il fratello. E' cosa nota che i paesi non europei interessati a queste cyber armi cerchino proprio la tecnologia occidentale, percepita come la più avanzata. Cristian Provvisionato ha appena il tempo di rientrare a Milano dal mare e di partire per Nouakchot. "La sera del 16 agosto - ricorda ancora Maurizio - mi scrive su Whatsapp e mi dice: sono arrivato, è venuto a prendermi questo Leonida Reitano, era accompagnato da uomini del governo. O così si suppone, perché il meeting era con il governo mauritano".Leonida Reitano è la persona che Cristian doveva sostituire in Mauritania con urgenza e sui suoi profili social Reitano si definisce un giornalista investigativo specializzato in Osint (Open Source Intelligence), ovvero nella ricerca di tutte quelle informazioni che si possono ricavare dalle fonti aperte, cioè pubbliche: articoli di giornali e siti web, trasmissioni radio e tv, libri, pubblicazioni specialistiche. A che titolo il giornalista si trovasse in Mauritania per conto di un'azienda privata di security come la Vigilar Group, in affari con una società di cyber intelligence come la Wolf, non è chiaro, né, interpellato da Repubblica, Reitano lo spiega con esattezza: "Io mi trovavo in Mauritania con un incarico ottenuto con le stesse modalità del Provvisionato - ci risponde via email - si trattava di un incarico vago e ricevuto con un preavviso di un giorno per partire. Io mi sono fidato, esattamente come il Provvisionato, di Davide Castro e sono partito", scrive, aggiungendo di non avere alcun rapporto stabile con la Vigilar e di averli conosciuti nell'ambito di un proprio corso sulle investigazioni online: "Avendo apprezzato il mio training, mi hanno coinvolto successivamente in iniziative formative rivolte a soggetti aziendali e in un paio di casi mi hanno commissionato attività investigative online. Ma si tratta di casi sporadici (3-4 consulenze in due anni)", conclude.Provvisionato e Reitano rimangono insieme per due giorni, poi secondo la ricostruzione di Maurizio Provvisionato, Cristian ricambia la cortesia di accompagnare Leonida Reitano all'aeroporto, visto che doveva ripartire. E lì, secondo quanto scrive Cristian via Whatsapp, la scena è anomala: Reitano, che aveva appena ricevuto indietro il suo passaporto trattenuto dalle autorità mauritane, sarebbe stato accompagnato all'aereo da uomini del governo, come chi viene scortato alla partenza, senza troppi complimenti. Nella sua email al nostro giornale, Reitano contesta questa ricostruzione, senza peraltro fornire la sua versione dei fatti, ma annunciando che lo farà nelle sedi competenti. Partito Reitano, Cristian Provvisionato rimane in attesa del tecnico della Wolf Intelligence che deve presentare alle autorità mauritane: Manish Kumar. Ma più si avvicina il giorno della scadenza del suo biglietto aereo per rientrare in Italia, più Provvisionato capisce che qualcosa non va: "Una decina di giorni dopo che è lì, i Castro se ne escono fuori che il meeting è saltato e che non si farà più".Da allora Cristian Provvisionato è trattenuto in Mauritania: è detenuto in una caserma delle forze antiterrorismo del Paese, un trattamento di favore, come riconosce la famiglia con un pizzico di gratitudine alle autorità mauritane, considerando che, se fosse chiuso in una galera africana, forse non sarebbe ancora vivo, anche perché Cristian è diabetico e durante i primi tre mesi di detenzione – quelli in cui era saltato ogni contatto con i familiari - ha perso trenta chili. Da undici mesi, la famiglia di Cristian è alla ricerca disperata di aiuto da parte delle istituzioni italiane per riportarlo a casa, prima che le sue condizioni fisiche possano deteriorare irreversibilmente.Formalmente, il governo di Nouakchott lo trattiene in stato di arresto per "una sua presunta partecipazione a una associazione finalizzata alla truffa ai danni dello Stato nel settore della sicurezza", recita una scheda della Farnesina che ricostruisce il caso. Alla famiglia, però, l'ambasciatrice mauritana a Roma, Mariem Aouffa, avrebbe detto altro, come ci rivela il fratello Maurizio: "Io e mia madre abbiamo avuto due incontri con l'ambasciatrice, e in quei due incontri ha sempre parlato di attentato alla sicurezza nazionale, e non di truffa".Una cosa è certa: le tecnologie per la sorveglianza come quelle che la Wolf Intelligence si vanta di commercializzare sul suo sito (e come anche il trojan Rcs della Hacking Team) sono molto delicate e non permettono solo di spiare e tracciare chiunque - dai sospetti terroristi ai dissidenti politici - ma possono contenere soluzioni tecnologiche che consentono all'azienda che le vende di spiare sul cliente che le acquista, come conferma a Repubblica il guru della sicurezza informatica, l'americano Bruce Schneier. "Certo che possono contenerle - ci dice Schneier - e questa possibilità sussiste per ogni singolo software che usiamo: dal programma Word di Microsoft fino a Google Chrome, da una app del telefono fino a Rcs. E se non ci si fida dell'azienda da cui il software proviene, allora non va usato". Wolf Intelligence ha mai concluso l'affare con il governo mauritano e consegnato la sua tecnologia al governo di Nouakchot? E se sì, è possibile che i mauritani abbiano fiutato qualche irregolarità nelle tecnologie consegnate?Repubblica ha contattato il quartier generale della Wolf Intelligence a Monaco, in Germania, dopo ripetuti tentativi anche telefonici e via posta elettronica per raggiungere Manish Kumar - il tecnico della Wolf che Cristian aspettava in Mauritania - abbiamo ricevuto una risposta via email (dall'account manish@wolfintelligence.com) che non fornisce alcuna spiegazione dell'accaduto, ma mostra che chi scrive conosce un inglese molto approssimativo: un'anomalia, considerato che Kumar dovrebbe essere un professionista indiano con competenze informatiche. Le visure che abbiamo effettuato alla Camera di Commercio tedesca mostrano che la Wolf è stata creata solo il 29 gennaio 2015, Manish Kumar ne è l'unico azionista e la nazionalità di Kumar è solo indicata come “cittadino straniero”, registrato presso un indirizzo degli Emirati Arabi. Consultando i dati di registrazione del sito web della Wolf Intelligence, però, la società sembra esistere fin dal luglio 2014 con una serie di indirizzi fisici a Londra, New York e Svizzera. Gennaio 2015 risulta essere anche la data di creazione di una società di cyber intelligence di Davide Castro della Vigilar di Milano: dalle visure alla Camera di Commercio di Barcellona, risulta che l'azienda si chiama V-Monitoring Intelligence Enforcement Division SL (V-Mind), ma ha avuto vita breve, visto che è finita in liquidazione ad aprile 2016.Wolf Intelligence e Vigilar non sono le uniche società a cui il governo mauritano si è rivolto per acquistare tecnologia per la sorveglianza. Le email interne della società milanese Hacking Team, pubblicate da WikiLeaks e consultabili da chiunque sul sito dell'organizzazione di Julian Assange, dimostrano che il 21 ottobre 2014 c'è stato un primo contatto tra la Hacking Team e il consigliere del presidente della Repubblica mauritana, Ahmed Bah dit Hmedia, interessato ad acquistare il trojan della Hacking. Ahmed Bah è, a detta della famiglia di Cristian Provvisionato, la prima autorità della Mauritania che ha fatto visita a Cristian quando ormai lui aveva capito che c'erano dei problemi. La corrispondenza email tra Ahmed Bah e la Hacking Team dimostra che la società milanese ha chiesto al governo mauritano di chiudere l'affare entro il 2014. Perché tanta fretta? Probabilmente perché a gennaio 2015 sarebbe cambiato tutto: la nuova legislazione europea, introdotta alla fine del 2014, ha reso le tecnologie per la sorveglianza, come il trojan della Hacking, dei beni dual-use, ovvero beni per uso sia civile che militare, imponendo alle aziende che le commercializzano una serie di licenze governative che ne controllano l'esportazione.L'affare tra la Hacking Team e la Mauritania, però, non va in porto: l'11 dicembre 2014, Ahmed Bah dit Hmedia scrive alla Hacking ( qui la mail in inglese): "La vostra offerta è troppo costosa". Contattata da Repubblica per chiedere se abbia mai lavorato con la Vigilar Group e la V-Mind dei Castro e se Manish Kumar e la sua Wolf Intelligence abbiano mai lavorato come distributori della tecnologia Hacking Team in Mauritania, la società milanese ha dichiarato di non conoscere né Vigilar né V-Mind, mentre di Wolf Intelligence, Hacking Team ha precisato di sapere "solo che è presente sul mercato (partecipazione alle fiere di settore, pubblicità, ecc), Wolf afferma di proporre un prodotto simile a quello di Hacking, ma non c'è mai stata alcuna collaborazione tra le due società".Le email interne pubblicate da WikiLeaks dimostrano che Hacking Team, in realtà, sa qualcosa di più della Wolf Intelligence che non il fatto della sua mera esistenza sul mercato: la corrispondenza dimostra ripetuti contatti tra Manish Kumar e la Hacking Team, ma il 20 febbraio 2015, dopo un incontro con Manish Kumar e un suo collega della Wolf Intelligence, il boss della Hacking, Davide Vincenzetti, scrive ( qui la mail ): "La mia conclusione è che siano (rimasti) dei totali ciarlatani e che i loro metodi siano assolutamente fuori da ogni business standard". Dunque storia chiusa? Non proprio. A questa email di Vincenzetti che chiama Manish Kumar e il suo collega della Wolf dei "totali ciarlatani", risponde il colonnello Riccardo Russi ( qui la mail ), uno dei contatti più preziosi della Hacking Team all'interno dei servizi segreti italiani, come dimostrano le mail della società. "Dubito che [Manish Kumar della Wolf] abbia un prodotto anche solo passabile….", scrive il colonnello, aggiungendo: "Sono assolutamente d'accordo con te David. Ti chiedo però di non chiudere i rapporti in modo definitivo….la sua conoscenza potrebbe sempre servire ad altri scopi….". A quali scopi potevano servire Manish Kumar e la sua Wolf Intelligence e qualcuno li ha usati?di STEFANIA MAURIZIVivono nell'ombra e i loro affari prosperano nel segreto, protetti da governi, servizi di intelligence e forze di polizia. Raramente i cyber mercenari affiorano da questa oscurità, quando accade è solo grazie a scandali come la pubblicazione delle email interne dell'azienda milanese Hacking Team da parte di WikiLeaks, e grazie ad attivisti e ricercatori che ne espongono gli abusi. L'Italiano Claudio Guarnieri è un ricercatore esperto di sicurezza informatica che, invece di andare a ingrossare le fila di chi mette le proprie competenze e il proprio talento al servizio dei cyber mercenari, ha scelto di rivelare come le loro tecnologie siano usate per sorvegliare dissidenti politici, giornalisti, attivisti, in paesi famigerati per le loro violazioni dei diritti umani. Repubblica ha chiesto a Guarnieri di parlarci del mondo oscuro dei cyber mercenari."Cyber mercenari è un termine un po' vago ed inflazionato. Tendo a non utilizzarlo. A livello mediatico è utilizzato per riferirsi a individui e società che offrono servizi e prodotti commerciali a governi, forze di polizia, e forze di intelligence, per effettuare attività di sorveglianza e intrusione informatica in modo semplice ed efficace. In parole povere, sono persone che per mestiere producono e vendono exploits e spyware al migliore offerente"."Alcune aziende sono pubblicamente più esposte di altre, e tra le più conosciute ci sono sicuramente FinFisher SS8 , e molte altre. In aggiunta a queste, ci sono i grandi contractor della Difesa americani, così come una moltitudine di individui indipendenti"."Non ci sono numeri precisi, purtroppo. Si parlava di 5 miliardi di dollari all'anno diverso tempo fa, e se tanto mi da tanto, posso soltanto immaginare quante volte quel numero si sia moltiplicato negli ultimi 3-4 anni"."Difficile a dirsi. Sicuramente esiste un mercato, e sembra sufficientemente lucrativo, per un numero però tutto sommato piccolo di società. Il mercato di 0-days è ancora più oscuro: si sa poco, e quel poco che si sa è molto speculativo. Non saprei dare una cifra"."I conflitti cinetici non saranno mai rimpiazzati dagli attacchi informatici. Si complementano e si sono complementati ormai per lungo tempo. Di sicuro osserveremo un incremento di investimenti e una espansione delle capacità dedicate all'utilizzo dello strumento informatico in ambiente militare, ma sospetto che vedremo i veri effetti - temo principalmente negativi - di questa espansione tra qualche anno, quando le posizioni ai vertici militari verranno assunte da generazioni cresciute su Internet, con una maggiore comprensione e disposizione alla tecnologia, rispetto alla vecchia scuola"."Sfortunatamente non si sa molto a riguardo. Gli sviluppi degli ultimi mesi, che abbiamo letto sui giornali, suggerivano che Hacking Team stesse passando dei mesi difficili. Non penso siano stati in grado di recuperare del tutto, ma sicuramente sono ancora in gioco. Successivamente alla compromissione dell'estate scorsa, hanno fatto apparizioni a fiere di sorveglianza come Milipol ed ISS World, suggerendo che siano perlomeno attivamente alla ricerca di clientela"."L'Italia ha creato un pool di talenti digitali non indifferente. Nonostante la comunità hacking sia relativamente piccola, molto individui provenienti dalla scena hanno ottenuto successi e fama a livello internazionale.

Sia in sicurezza difensiva, che offensiva. L'arretratezza in materia in Italia è più economica ed istituzionale. Infatti Hacking Team non è da sola. In Italia abbiamo un numero sorprendente di società che offrono servizi e prodotti di sorveglianza elettronica, come ad esempio Area, RCS SpA ed IPS SpA. Sfortunatamente, tra tutte le cose in cui siamo arretrati, la produzione ed esportazione di strumenti di sorveglianza non sembra essere una di quelle".