Un tribunale ordina a NSO Group di smettere di utilizzare spyware contro WhatsApp

Un tribunale federale ha ordinato alla società israeliana NSO Group (sviluppatrice dello spyware commerciale Pegasus) di smettere di utilizzare spyware per prendere di mira e attaccare gli utenti di WhatsApp.

Ricordiamo che Pegasus è una piattaforma spyware sviluppata da NSO Group. Pegasus viene venduto come spyware legale e utilizzato per attività di spionaggio e sorveglianza in tutto il mondo. Pegasus (e, tramite esso, i clienti di NSO Group) è in grado di raccogliere messaggi di testo e informazioni sulle app da dispositivi iOS e Android, intercettare chiamate, tracciare posizioni, rubare password e altro ancora.

Nel 2019, i rappresentanti di WhatsApp hanno intentato una causa contro NSO Group, accusando l’azienda di aver favorito e favorito attacchi informatici condotti per conto di vari governi in 20 paesi, tra cui Messico, Emirati Arabi Uniti e Bahrein. La causa chiedeva un risarcimento pecuniario e un’ingiunzione contro tali pratiche.

Questo contenzioso continua ancora oggi. Ad esempio, alla fine del 2024, sono diventati pubblici documenti giudiziari non redatti . Secondo questi documenti, fino ad aprile 2018 circa, NSO Group ha utilizzato un client WhatsApp personalizzato (WhatsApp Installation Server, o WIS) e un exploit proprietario chiamato Heaven per gli attacchi. Questo exploit poteva impersonare il client WhatsApp ufficiali ed è stato utilizzato per installare Pegasus sui dispositivi delle vittime da un server di terze parti controllato da NSO.

Dopo che gli sviluppatori di WhatsApp hanno scoperto il problema e hanno bloccato l’accesso di NSO Group ai dispositivi e ai server infetti con patch rilasciate a settembre e dicembre 2018, l’exploit Heaven ha smesso di funzionare.

Poi, nel febbraio 2019, NSO Group ha creato un nuovo exploit, Eden, per aggirare le nuove misure di sicurezza di WhatsApp. Nel maggio 2019, i funzionari di WhatsApp hanno scoperto che Eden era stato utilizzato dai clienti di NSO Group per attaccare circa 1.400 dispositivi, molti dei quali appartenevano ad avvocati, giornalisti, attivisti per i diritti umani, dissidenti politici, diplomatici e alti funzionari stranieri.

La scorsa settimana, il giudice Phyllis J. Hamilton della Corte distrettuale degli Stati Uniti per il distretto settentrionale della California ha accolto la richiesta di un’ingiunzione permanente presentata dal proprietario di WhatsApp, Meta, contro NSO Group nel 2019.

La decisione del tribunale obbliga NSO Group a cessare definitivamente di prendere di mira gli utenti di WhatsApp, tentando di infettare i loro dispositivi o di intercettare i messaggi di WhatsApp, protetti dalla crittografia end-to-end tramite il protocollo open source Signal. Hamilton ha inoltre ordinato a NSO Group di cancellare tutti i dati precedentemente ottenuti prendendo di mira gli utenti di WhatsApp.

I rappresentanti di NSO Group avevano precedentemente affermato che una simile decisione avrebbe “costretto l’azienda a chiudere” perché Pegasus era il suo prodotto di punta. Tuttavia, Hamilton ha ritenuto che il danno che Pegasus avrebbe causato a Meta superasse tali considerazioni.

“La corte ritiene che qualsiasi azienda che gestisca le informazioni personali degli utenti e investa risorse nella crittografia di tali informazioni subisca accessi non autorizzati, e questo non è solo un danno reputazionale, ma un danno aziendale”, ha affermato Hamilton. “In sostanza, aziende come WhatsApp vendono, tra le altre cose, la privacy delle informazioni, e qualsiasi accesso non autorizzato compromette tale vendita. Le azioni degli imputati vanificano uno degli scopi principali del servizio dei querelanti, che costituisce un danno diretto”.

Il giudice ha inoltre respinto la richiesta di Meta di estendere l’ingiunzione ai governi stranieri che potrebbero utilizzare WhatsApp, osservando che gli Stati sovrani non sono parti in causa. Anche la richiesta di Meta di estendere l’ingiunzione agli attacchi mirati agli utenti di altri prodotti Meta (come Facebook e Instagram) è stata respinta, citando la mancanza di prove di attacchi mirati.

“La sentenza odierna impedisce allo sviluppatore di spyware NSO Group di prendere di mira nuovamente WhatsApp e i nostri utenti in tutto il mondo“, ha dichiarato Will Cathcart, CEO di WhatsApp. “Accogliamo con favore questa decisione, che arriva dopo sei anni di azioni legali per ritenere NSO Group responsabile dei suoi attacchi alla società civile. Crea un precedente importante: prendere di mira un’azienda statunitense comporta gravi conseguenze”.

Hamilton ha inoltre ridotto i danni punitivi assegnati dalla giuria a NSO Group nel maggio 2025. Il verdetto originale della giuria obbligava NSO Group a pagare a WhatsApp 167 milioni di dollari, ma tale cifra è stata ora ridotta a 4 milioni di dollari. Il giudice ha osservato che i criteri precedentemente utilizzati dalla giuria per determinare l’importo della sanzione erano errati.

I rappresentanti del gruppo NSO hanno dichiarato ai media che la società ha accolto con favore la decisione del tribunale di ridurre i danni punitivi del 97%, “rispetto all’importo eccessivo” inizialmente determinato dalla giuria.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Bajram Zeqiri

Bajram Zeqiri è un esperto di cybersecurity, cyber threat intelligence e digital forensics con oltre vent'anni di esperienza, che unisce competenze tecniche, visione strategica creare la resilienza cyber per le PMI. Fondatore di ParagonSec e collaboratore tecnico per Red Hot Cyber, opera nella delivery e progettazione di diversi servizi cyber, SOC, MDR, Incident Response, Security Architecture, Engineering e Operatività. Aiuta le PMI a trasformare la cybersecurity da un costo a leva strategica per le PMI.

Aree di competenza: Cyber threat intelligence, Incident response, Digital forensics, Malware analysis, Security architecture, SOC/MDR operations, OSINT research