The Pegasus Files: How NSO Spyware Reached 50,000 Phones
Il ventisette aprile 2018, l'aeroporto internazionale di Dubai.
Una donna di 51 anni di nome Hanan Elatr è detenuta dalle autorità degli Emirati Arabi Uniti. È una cosiddetta di volo - un supervisore senior di una grande compagnia aerea internazionale.
I suoi dispositivi sono stati presi in custodia ufficiale e i suoi telefoni sono posti su una scrivania, da qualche parte fuori dalla sua vista, in possesso del personale di sicurezza degli Emirati Arabi Uniti.
Alle 10:14 del mattino, un funzionario degli Emirati Arabi Uniti non identificato prende uno dei suoi telefoni Android. L'ufficio apre il browser Chrome. L'ufficio scrive un URL nella barra degli indirizzi - scorrendo i tasti piccoli, facendo due errori di digitazione lungo il percorso, quindi premendo "go".
L'indirizzo è un link di infezione Pegasus, costruito specificamente per l'account NSO Group del governo degli Emirati Arabi Uniti, ed esiste per un solo scopo: installare silenziosamente software di sorveglianza sul telefono di un bersaglio.
Nel corso dei prossimi quarant'anni, il telefono invia venti sette rapporti di stato sul server dell'operatore degli Emirati Arabi Uniti, aggiornando i progressi dell'installazione dello spyware.
Il processo di compromesso totale richiede settanta due secondi.
Hanan Elatr non sa nulla di tutto ciò che sta accadendo, è in una stanza separata, interrogata sul suo marito.
Non scoprirà cosa è stato fatto al suo telefono per altri tre anni.
Sei mesi dopo, il 2 ottobre 2018, il marito di Hanan Elatr entra nel consolato saudita ad Istanbul per recuperare i documenti necessari per il suo prossimo matrimonio.
Non esce mai.
Una squadra di quindici agenti sauditi, molti strettamente collegati al principe ereditario Mohammed bin Salman, è volato a Istanbul in due jet privati quella mattina, lo strangolavano all'interno del consolato, lo smembrano, gli smaltono i resti in un modo che non è mai stato recuperato pubblicamente.
Il governo turco, che ha segreta segnalazione del consolato saudita, cattura l'audio dell'omicidio.
Questo caso non riguarda l'assassinio stesso, ma è stato documentato altrove.
Questo dossier riguarda ciò che è stato fatto nei mesi precedenti il suo ingresso al consolato, un software sviluppato da una piccola società israeliana, le persone che lo hanno costruito, i governi che l'hanno comprato e il meccanismo istituzionale che, più di sette anni dopo, non ha ancora prodotto la piena responsabilità di ciò per cui è stato utilizzato.
Il software si chiama Pegasus.
La società si chiama NSO Group.
Questo è il fascicolo del caso.
NSO Group è stata fondata nel 2010 da tre israeliani: Niv Karmi, Shalev Hulio, Omri Lavie, il nome della società è stato costruito dalle loro iniziali.
Tutti e tre erano ex-alunni delle Forze di Difesa israeliane. Karmi aveva servito sia nel servizio di intelligence militare che nel Mossad. Hulio ha servito come maggiore nell'unità di ricerca e salvataggio delle IDF. Il lignaggio istituzionale che contava di più è stato attraverso l'unità 8200 - l'unità di intelligence di segnali di elite delle IDF, spesso descritta come la principale agenzia di intelligence tecnica al mondo.
L'unità 8200 è l'analogia israeliana dell'agenzia di sicurezza nazionale degli Stati Uniti. I suoi ex-alunni - che si stima siano diverse decine di migliaia di veterani entro il 2026 - hanno fondato una frazione sostanziale dell'industria israeliana della sicurezza informatica. Il team di ricerca e sviluppo del gruppo NSO è stato descritto, in molte fonti, come composto quasi interamente da ex personale dell'unità 8200. Il programma di formazione più elitario dell'unità 8200, chiamato ARAM, accetta solo una manciata di recluti e li addestra nella programmazione avanzata delle armi informatiche.
La storia della pubblica origine dei fondatori, raccontata principalmente da Hulio in numerose interviste, è la seguente.
Alla fine degli anni 2000, Hulio e Lavie hanno fondato una società chiamata CommuniTake, che forniva soluzioni di risoluzione dei problemi telefonici remoti per gli operatori cellulari - software che consenteva ai tecnici di supporto di accedere e gestire da remoto i telefoni dei clienti per diagnosticare i problemi.
Intorno al 2009, Hulio ha detto in interviste successive che un'agenzia di intelligence europea non identificata li ha contattati. L'agenzia aveva un problema. L'encrittografia stava rendendo impossibile leggere le comunicazioni da bersagli che erano legalmente autorizzati a sorvegliare. L'agenzia era interessata alla tecnologia di accesso remoto di CommuniTake. Potrebbe essere riutilizzata?
Hulio e Lavie hanno riconosciuto l'opportunità, hanno portato Niv Karmi per il suo background nel Mossad e nel servizio segreti militare, nel 2010 hanno fondato NSO Group, il prodotto che hanno sviluppato ha dato il nome di Pegasus.
La struttura dei prezzi di Pegasus, documentata attraverso i documenti presentati in tribunale nei contenziosi successivi, era approssimativamente la seguente: cinquecentomila dollari in tasse di configurazione. Seicentocinquantamila dollari per dieci dispositivi bersaglio simultanei per iOS, prezzi simili per Android. livelli di targeting illimitati fino a circa quaranta milioni di dollari per lo sviluppo governativo a tutto lo spettro.
Questi prezzi hanno messo Pegasus entro la portata istituzionale di qualsiasi servizio di intelligence nazionale, spiegando perché la base di clienti era esclusivamente governativa.
La posizione dichiarata della società, ripetuta in quasi ogni risposta stampa, era che Pegasus era venduto solo a clienti governativi sottoposti a controllo per l'uso nella lotta al terrorismo e al crimine grave.
Il comportamento effettivo dei clienti, documentato da ricercatori indipendenti nel corso del decennio successivo, era diverso.
A partire da circa il 2016, un gruppo di ricerca dell'Università di Toronto chiamato Citizen Lab ha iniziato a documentare singoli casi di distribuzione di Pegasus.Il principale investigatore era un ricercatore di nome Bill Marczak.La sua metodologia era forense: quando attivisti, giornalisti o dissidenti segnalavano anomali comportamenti telefonici, Marczak eseguiva analisi tecniche dei loro dispositivi, cercando indicatori di presenza di Pegasus.
I risultati di caso per caso, accumulati nel corso di cinque anni, hanno stabilito un modello.
Il governo messicano era stato uno dei primi clienti del gruppo NSO, firmando un contratto di venti milioni di dollari nel 2012.Citizen Lab ha identificato successivamente le operazioni di Pegasus contro giornalisti d'investigazione messicani che avevano riferito sulla corruzione del governo, tra cui i giornalisti che lavoravano sulla scomparsa di quarantatre studenti ad Iguala nel 2014.
L'uso documentato contro le attiviste per i diritti delle donne, tra cui Loujain al-Hathloul, che è stata rapita nel 2018 e tornata in Arabia Saudita per l'arresto e la tortura.
Bahrain: Pegasus è stato schierato contro giornalisti, attivisti per i diritti umani e dissidenti, in violazione di qualsiasi ragionevole definizione di terrorismo o di crimine grave.
L'Arabia Saudita è l'utente più prolifico, i casi si estendono negli anni.
Entro l'estate 2018, Citizen Lab aveva documentato compromessi nei circoli immediati di Khashoggi.
Omar Abdulaziz, blogger saudita dissidente che vive in esilio in Canada, era il principale collaboratore di Khashoggi sui progetti dell'opposizione saudita.I due uomini avevano usato WhatsApp per discutere dei piani per contrastare la propaganda dei social media dello stato saudita.Il telefono di Abdulaziz era stato infettato da Pegasus nell'estate del 2018.L'infezione è stata attribuita da Citizen Lab, con grande fiducia, a un operatore legato al governo e ai servizi di sicurezza sauditi.
Il rapporto del Citizen Lab su Abdulaziz è stato pubblicato il primo ottobre 2018.
Per circa quattro mesi prima dell'omicidio di Khashoggi, il governo saudita aveva accesso in tempo reale a ogni messaggio WhatsApp scambiato tra lui e il suo collaboratore più vicino.Khashoggi credeva che le sue comunicazioni fossero private.
L'analisi forense del telefono di Hatice Cengiz, condotta nell'ambito della successiva indagine del progetto Pegasus, ha confermato che anche il suo telefono è stato compromesso da Pegasus nei giorni che hanno circondato l'omicidio.
L'analisi forense del telefono di Hanan Elatr, condotta da Bill Marczak e pubblicata dal Washington Post nel dicembre 2021, ha stabilito che l'installazione di settantadue secondi avvenuta all'aeroporto di Dubai sei mesi prima dell'assassinio era stata una installazione governativa degli Emirati Arabi Uniti di Pegasus, installata manualmente durante la sua detenzione.
La risposta del gruppo NSO alle prove del ruolo di Pegasus nel caso Khashoggi è stata coerente.
Nel marzo 2019, il CEO di NSO Group, Shalev Hulio, è apparso nel programma televisivo americano 60 Minutes. L'intervistatore era Lesley Stahl. Hulio l'ha guardata negli occhi. Ha detto che NSO aveva controllato i suoi registri e confermato che la tecnologia NSO non era stata utilizzata su Khashoggi o sui suoi parenti. Ha detto che la società non aveva nulla a che fare con quello che ha chiamato l'orribile omicidio.
Nel luglio 2021, quando è stata pubblicata l'indagine sul progetto Pegasus, Hulio ha ripetuto la negazione.Ha detto alla pubblicazione tecnologica israeliana Calcalist che NSO aveva verificato e che Hanan Elatr non era un bersaglio.Ha detto: non ci sono tracce di Pegasus sul suo telefono perché non era un bersaglio.
Nel dicembre 2021, il Washington Post* ha pubblicato l'analisi forense di Marczak che mostrava che il telefono di Elatr era stato effettivamente preso di mira manualmente da un operatore degli Emirati Arabi Uniti.L'avvocato della NSO Thomas Clare ha risposto che la segnalazione del Post era profondamente difettosa e che i dettagli tecnici non avevano senso dal punto di vista tecnico.Ha affermato che Pegasus è installato solo da remoto e che l'installazione manuale descritta nell'analisi forense era quindi improbabile.
L'analisi di Marczak ha documentato la sequenza specifica di caratteri digitati, l'URL costruito per l'istanza Pegasus del cliente degli Emirati Arabi Uniti, gli errori di digitazione che l'operatore degli Emirati Arabi Uniti aveva fatto sulla tastiera del telefono e i venti sette rapporti di stato che il telefono aveva inviato al server durante l'installazione.
Il modello di negazione nel fascicolo del caso Khashoggi è stato dimostrato, nel registro documentare, di essere in contrasto con le prove forensi.
Nel 2020, un elenco di circa cinquanta mila numeri telefonici è stato divulgato a una organizzazione non profit di giornalismo con sede a Parigi chiamata Forbidden Stories e a Amnesty International.
Si ritiene che l'elenco sia una lista di bersagli selezionati dai clienti governativi del gruppo NSO. Si estendeva su almeno cinquanta paesi. risale a circa il 2016.
Il Proibed Stories, fondato dal giornalista Laurent Richard, si è storicamente concentrato sul proseguire il lavoro dei giornalisti assassinati.Il Daphne Project, dopo l'assassinio della giornalista maltese Daphne Caruana Galizia nel 2017.Il Cartel Project, dopo gli omicidi legati ai cartelli della droga messicanici.Il modello era lo stesso: continuare il lavoro che gli attori organizzati avevano cercato di mettere a tacere.
Questa indagine divenne il Progetto Pegasus.
Forbidden Stories ha invitato altri sedici organizzazioni di stampa ad unirsi. *The Washington Post.* *The Guardian.* *Le Monde* e *Radio France.* *Die Zeit* e *Süddeutsche Zeitung*. FRONTLINE PBS. *Haaretz*. indonesi, messicani, ungheresi, belgi, siriani e altri media regionali.
La pubblicazione dei report del progetto Pegasus è iniziata il 18 luglio 2021.
Le scoperte erano specifiche.La lista trapelata comprendeva almeno centotto giornalisti di venti paesi, che lavoravano per i media tra cui Agence France-Presse, Al Jazeera, Associated Press, CNN, *The Economist*, *Le Monde*, *The New York Times*, Reuters, *The Wall Street Journal*, e Voice of America.Almeno dieci governi sembravano aver presentato nomi alla lista di destinazione.Arabia Saudita.UAE. Bahrain.Maroko.Messico.Ungheria.India.Rwanda.Azerbaijan.Kazakhstan.
Tra gli obiettivi c'erano difensori dei diritti umani, avvocati, politici dell'opposizione, dirigenti di affari, diplomatici, dirigenti sindacali e diversi capi di Stato. Il numero di telefono del presidente francese Emmanuel Macron era nella lista.
L'analisi forense di sessanta sette dei telefoni bersaglio ha rilevato trentasei con tracce di attività di Pegasus. ventitré infezioni confermate. quattordici tentativi di infezione.
Tra i bersagli nominati figura Khadija Ismayilova, un giornalista d'investigazione azerbaijanino premiato. Szabolcs Panyi, un giornalista d'investigazione ungherese il cui telefono è stato compromesso per sette mesi nel 2019. Siddarth Varadarajan, fondatore del sito di notizie indiano The Wire. Omar Radi, un giornalista d'investigazione marocchino successivamente imprigionato. Anand Teltumbde, un difensore dei diritti umani indiano successivamente imprigionato. Edwy Plenel, fondatore del canale d'investigazione francese Mediapart. Hatice Cengiz. Hanan Elatr. Loujain al-Hathloul. La principessa Latifa, figlia del sovrano di Dubai.
Circa quarant'indiani erano presenti nella lista, suggerendo che il governo indiano utilizzi Pegasus nonostante le negazioni ufficiali.
Il presidente francese Emmanuel Macron.
Il presidente della Francia era inserito in un elenco di numeri telefonici che un cliente NSO non identificato aveva selezionato per la sorveglianza.
La risposta istituzionale è stata sostanziale.
Nel novembre 2021, l'amministrazione Biden ha inserito NSO Group nell'elenco delle entità del Dipartimento del Commercio degli Stati Uniti, limitando severamente l'accesso di NSO alla tecnologia degli Stati Uniti e alle relazioni commerciali degli Stati Uniti.La designazione è stata ampiamente interpretata come una determinazione della sicurezza nazionale - il governo degli Stati Uniti aveva concluso che le attività del NSO Group erano contrarie agli interessi della politica estera degli Stati Uniti.
Il Parlamento europeo ha istituito una commissione di indagine sul Pegasus e gli analogi di spionaggio per indagare sull'uso della tecnologia di sorveglianza commerciale da parte degli Stati membri dell'UE.Il rapporto finale della commissione, nel 2023, ha documentato le operazioni di Pegasus da parte di governi ungheresi, polacchi, spagnoli e di altri governi dell'UE contro politici e giornalisti dell'opposizione.
Il Ministero della Difesa di Israele ha rafforzato le restrizioni all'esportazione, riducendo l'elenco dei paesi a cui le società di sorveglianza israeliane potevano vendere da cento due a trentasei.
L'agenzia di intelligence della Spagna, CNI, ha visto la dimissione del suo direttore, Paz Esteban, dopo lo scandalo di Catalangate, in cui decine di leader dell'indipendenza catalana erano stati presi di mira con Pegasus.
Il Messico ha avviato indagini e processi contro ex funzionari che avevano acquistato Pegasus.
La più conseguente singola azione legale è stata presentata da WhatsApp.
Nel maggio 2019, WhatsApp aveva identificato una vulnerabilità nella sua applicazione che NSO aveva sfruttato per consegnare Pegasus a oltre quattordicicento utenti di WhatsApp in tutto il mondo - tra cui giornalisti, attivisti per i diritti umani e dissidenti politici.
Il caso ha durato cinque anni.
Il gruppo NSO ha tentato molteplici difese. Immunità sovrana straniera, sulla base del fatto che NSO dovrebbe essere trattato come un agente di un governo straniero. Il Tribunale distrettuale lo ha respinto nel 2020. Il Nono Circuito ha affermato. La Corte Suprema degli Stati Uniti ha rifiutato di ascoltare l'appello di NSO nel gennaio 2023. Restrizioni di diritto straniero alla scoperta, sulla base del fatto che la legge israeliana impedisce a NSO di produrre codice sorgente. La giudice Phyllis Hamilton ha stabilito nel novembre 2023 che le richieste di diritto straniero non giustificano gli obblighi di scoperta di NSO. Giurisdizione personale. Registri pubblicati nel novembre 2024 hanno rivelato che NSO ha utilizzato tecnologia statunitense, compresa l'infrastruttura AWS, per consegnare carichi utili di Pegasus. Il tribunale ha concluso che NSO era soggetto alla giurisdizione statunitense.
Il 20 dicembre 2024, il giudice Hamilton ha emesso una sentenza sommaria che ha dichiarato che NSO Group è responsabile di tutte le rivendicazioni, la prima decisione del tribunale statunitense che stabilisce la responsabilità di NSO Group per il comportamento correlato a Pegasus.
Il 6 maggio 2025 la giuria ha assegnato a WhatsApp quattrocentovant'anni di danni e centovant'anni di danni punitivi.
In totale: circa centovantottasei milioni di dollari.
In un caso parallelo, Apple aveva presentato una causa contro NSO Group nel novembre 2021. Nel settembre 2024, Apple ha respinto volontariamente il suo caso.Il ragionamento, articolato nei documenti giudiziari: proseguire il contenzioso richiederebbe la divulgazione di dettagli sull'infrastruttura di sicurezza di Apple che potrebbe ostacolare i suoi sforzi per combattere lo spyware.Apple ha sostenuto che il mercato dello spyware commerciale si è espanso sostanzialmente dal 2021, con più concorrenti che entrano nello spazio, e che anche una completa vittoria nel caso Apple non avrebbe avuto l'impatto sistemico che avrebbe avuto tre anni prima.
Il ritiro di Apple è stato ampiamente interpretato come una perdita strategica - e come prova del successo di NSO Group nell'utilizzo della scoperta come arma contro i ricorrenti, i cui contenziosi potrebbero esporre le operazioni di sicurezza interna.
Pegasus è il prodotto di spyware commerciale più documentato, ma non l'unico.
Entro il 2026, l'industria di spyware commerciale comprendeva almeno Predator, sviluppato dal Consorzio Intellexa - una rete multinazionale di società con sede in Grecia, Cipro, Ungheria, Macedonia del Nord e Israele, fondata dall'ex ufficiale di intelligence delle Forze di Stato israeliane Tal Dilian.
Candiru, una società israeliana specializzata in sfruttamento basato su Windows, è stata aggiunta all'U.S. Commerce Entity List insieme al NSO Group nel novembre 2021.
QuaDream, fondata da ex dipendenti di NSO, ha sviluppato REIGN, un prodotto simile a Pegasus.Officiale chiuso nell'aprile 2023 dopo Citizen Lab e Microsoft Threat Intelligence reporting.
Hacking Team, il venditore italiano, è stato violato e scoperto nel luglio 2015 da un hacker anonimo di nome Phineas Fisher.
Gamma Group, i produttori anglo-tedeschi di FinFisher, violati da Phineas Fisher nel 2014, ha presentato domanda di insolvenza nel 2022 in mezzo a un'indagine penale tedesca.
La generazione post-Pegasus di venditori di spyware commerciali ha continuato le sue operazioni, il mercato che NSO Group ha pionierato non è sparito, ma è frammentato in più venditori, più giurisdizioni e strutture aziendali più sofisticate progettate per resistere meglio ai meccanismi di responsabilità.
Nell'ottobre 2025, NSO Group stesso ha confermato che un gruppo di investitori statunitensi guidati dal produttore cinematografico Robert Simonds aveva acquisito un controllo sulla società.Le implicazioni della transizione di proprietà - che indichi una riabilitazione normativa, una transizione completa alle operazioni statunitensi o qualche altro cambiamento strutturale - sono irrisolte a partire da aprile 2026.
Il gruppo NSO continua a vendere Pegasus, e la reazione istituzionale, reale e sostanziale, ha danneggiato la società in modo significativo.
Fragment Zero ha seguito un principio nei casi degli ultimi mesi.
Il caso Stuxnet, fondamentale per l'arco del canale, ha dimostrato che gli attori statali potevano costruire armi informatiche capaci di distruzione fisica su scala industriale.La dottrina - silenzio, pazienza, capacità asimmetrica esercitata quando il calcolo strategico lo favorisce - è stata dimostrata per la prima volta dagli Stati Uniti e da Israele contro il programma nucleare iraniano tra il 2006 e il 2010.
Il caso Pegasus dimostra il passo successivo.
La tecnologia sviluppata dagli ex studenti dell'unità 8200 - sostanzialmente la stessa capacità istituzionale che ha costruito Stuxnet - è stata prodotta, valutata e venduta a governi clienti che non hanno la capacità tecnica di sviluppare tali strumenti da soli.
Questa è la foresta oscura commerciale.La dottrina di Liu Cixin - rivelazione come pericolo esistenziale, capacità asimmetrica esercitata quando il calcolo strategico la favorisce - non si applica solo agli stati che osservano altri stati.Si applica anche alle entità commerciali che vendono la capacità asimmetrica a chiunque possa permetterla.
Il caso Khashoggi è l'illustrazione più chiara.
Khashoggi non poteva comunicare privatamente con il suo più vicino collaboratore. Credeva di poterlo. Utilizzò applicazioni criptate end-to-end. Utilizzò la migliore pratica di sicurezza operativa. Niente di tutto ciò importava perché il telefono del suo collaboratore era stato compromesso a livello di sistema operativo da un software venduto al governo saudita da una società israeliana fondata da ex-alunni dell'unità 8200.
L'asimetria delle informazioni era completa, il vantaggio strategico era esercitato, le conseguenze si diffondevano indipendentemente dalle decisioni successive di Khashoggi.
Nel linguaggio dei precedenti casi di Fragment Zero: non poteva non rivelare ciò che aveva già rivelato.
La risposta istituzionale - la Lista delle entità commerciali degli Stati Uniti, la sentenza di WhatsApp di cento sessanta otto milioni di dollari, il comitato PEGA dell'UE, le restrizioni all'esportazione del Ministero della Difesa israeliano - è reale. È anche tardi.
I danni a quei bersagli - carcere, esilio, omicidio, divorzio, distruzione professionale, separazione familiare - erano già avvenuti.
Hanan Elatr, che era un supervisore senior di compagnie aeree che volava a livello internazionale, lavorava in un ristorante a basso stipendio nell'area di Washington a partire dal 2023 per riportare.
Il corpo di Khashoggi non è stato recuperato.
Il processo del governo saudita contro undici sauditi accusati di coinvolgimento nell'omicidio ha portato a tre acquisizioni, cinque condanne a morte e tre condanne a prigione nel dicembre 2019. due dei giustificati sono stati alti funzionari di sicurezza sauditi.
Il fascicolo del caso non si chiude.
Il terzo, quarto e quinto casi sono presumibilmente in fase di sviluppo in questo momento - costruiti dai fondatori che imparano dagli errori normativi dell'NSO, strutturano le entità aziendali per resistere meglio ai rifiuti di immunità sovrana, fissano i prezzi dei loro prodotti per eludere le soglie dell'elenco delle entità, trovano clienti in giurisdizioni in cui i regolatori israeliani, statunitensi e europei hanno meno leva.
La capacità che ha costruito Stuxnet è stata stata statale, la capacità che ha costruito Pegasus è stata commerciale, la capacità che costruisce la prossima linea di prodotti sarà qualsiasi l'ambiente normativo del momento renda redditizio.
Nei mesi precedenti all'omicidio, Jamal Khashoggi credeva che le sue comunicazioni fossero private, e il suo governo le leggeva comunque, la tecnologia che le permetteva di farlo era stata costruita da veterani dei servizi segreti di un paese e venduta al governo di un altro paese per circa quarantamila milioni di dollari per ogni distribuzione a pieno spettro.
La tecnologia continua a funzionare, il mercato continua a crescere, il fascicolo non si chiude.
Fragment Zero traccierà il file del caso.
Il file del caso non si chiude, aspetta.
