La recente condanna inflitta alla società israeliana NSO Group, costretta a pagare circa 168 milioni di dollari a WhatsApp, rappresenta un momento cruciale nel panorama della sicurezza informatica e della tutela della privacy. La decisione di una giuria federale statunitense arriva dopo che la NSO Group è stata riconosciuta colpevole di aver violato le leggi americane sfruttando una vulnerabilità zero-day nella funzione di chiamata vocale di WhatsApp (CVE-2019-3568, con un punteggio CVSS di 9.8) per installare il potente spyware Pegasus su dispositivi di oltre 1400 utenti in tutto il mondo.

La vicenda giudiziaria e il funzionamento dell’attacco

La vicenda ha avuto inizio nel 2019, quando WhatsApp, di proprietà di Meta, ha intentato una causa contro NSO Group accusandola di aver utilizzato Pegasus contro giornalisti, attivisti per i diritti umani e dissidenti politici. I documenti processuali hanno rivelato che le vittime più numerose risiedono in Messico, India, Bahrain, Marocco e Pakistan, ma l’attacco ha coinvolto persone in 51 paesi diversi. La modalità di attacco era particolarmente insidiosa: bastava ricevere una chiamata su WhatsApp per essere infettati, senza nemmeno dover rispondere.

Responsabilità dirette e risarcimenti

Il tribunale ha sottolineato come Pegasus sia stato inviato tramite i server di WhatsApp negli Stati Uniti in almeno 43 occasioni nel maggio 2019. Questo passaggio ha permesso di attribuire la responsabilità diretta a NSO anche sul territorio americano, rafforzando la posizione di WhatsApp e aprendo la strada a un risarcimento sia punitivo che compensatorio. WhatsApp ha infatti ricevuto 167 milioni di dollari come danno punitivo e oltre 400 mila dollari per i costi sostenuti dagli ingegneri nel bloccare i vettori di attacco.

Reazioni e impatto sul settore

Questo verdetto è stato salutato come una vittoria storica da promotori della privacy e diritti umani, che da anni denunciano l’uso illecito di Pegasus contro membri della società civile. NSO Group si è difesa sostenendo che la propria tecnologia è destinata a combattere crimini gravi e terrorismo, ma il giudice ha evidenziato che la società non può sottrarsi alle responsabilità sulle azioni dei propri clienti.

Meta (ex Facebook) ha dichiarato che questa sentenza è un segnale forte per l’intera industria dello spyware, rappresentando un deterrente contro abusi futuri. Il prossimo passo sarà ottenere un ordine del tribunale per impedire a NSO di colpire ancora WhatsApp, mentre una parte dei risarcimenti sarà donata a organizzazioni impegnate nella difesa dei diritti digitali.