Attacco di Spyware WhatsApp – NSO Group Multato di 168 Milioni di Dollari

In una decisione storica, una giuria federale statunitense in California ha ordinato martedì alla società israeliana di spyware NSO Group di pagare quasi 168 milioni di dollari in danni punitivi a Meta Platforms Inc., la società madre di WhatsApp.

Oltre a questo, la società dovrà anche pagare 444.719 dollari in danni compensativi a Meta per i significativi sforzi che i suoi ingegneri di WhatsApp hanno fatto per bloccare i vettori di attacco.

Questa sentenza deriva dall’uso da parte di NSO Group dello spyware Pegasus per hackerare circa 1.400 utenti di WhatsApp in due settimane tra aprile e maggio 2019. Questa decisione stabilisce un importante precedente per ritenere i sviluppatori di spyware responsabili delle attività di sorveglianza non autorizzate.

“Oggi il verdetto nel caso di WhatsApp è un importante passo avanti per la privacy e la sicurezza come la prima vittoria contro lo sviluppo e l’uso di spyware illegali che minacciano la sicurezza e la privacy di tutti,” ha dichiarato Meta in una nota dopo l’annuncio della sentenza.

“Oggi, la decisione della giuria di costringere NSO, un noto mercante di spyware straniero, a pagare danni è un deterrente critico per questa industria maligna contro i loro atti illegali mirati alle aziende americane e alla privacy e sicurezza delle persone che serviamo.”

Contesto del Caso

La causa, avviata da WhatsApp il 29 ottobre 2019, presso il Tribunale Distrettuale per il Distretto Settentrionale della California, accusava NSO Group di sfruttare una vulnerabilità nella funzione di videochiamata di WhatsApp per installare lo spyware Pegasus sui dispositivi degli utenti senza il loro consenso. I bersagli includevano attivisti per i diritti umani, giornalisti, diplomatici e sostenitori della società civile.

Secondo i documenti del tribunale (PDF), lo spyware Pegasus di NSO è stato installato tramite una chiamata WhatsApp che non richiedeva nemmeno che il destinatario rispondesse. Una volta effettuata la chiamata, il codice malevolo si sarebbe attivato, concedendo accesso a un’ampia gamma di dati personali, comprese chiamate telefoniche, email, messaggi privati crittografati, immagini, geolocalizzazione e altri dati sensibili — tutto senza la conoscenza dell’utente.

Nel dicembre 2024, il giudice distrettuale statunitense Phyllis Hamilton ha dichiarato NSO Group colpevole di violare il Computer Fraud and Abuse Act (CFAA) e il California Comprehensive Computer Data Access and Fraud Act (CDAFA). Ha anche stabilito che le azioni di NSO hanno violato i termini di servizio di WhatsApp accedendo ai suoi server senza autorizzazione per distribuire spyware.

Risposta di NSO Group

Dopo la sua sconfitta in tribunale, NSO Group ha dichiarato che intende fare appello alla decisione, sostenendo che il suo software Pegasus è destinato all’uso da parte di governi autorizzati per combattere il crimine e le operazioni anti-terrorismo in tutto il mondo.

“Esamineremo attentamente i dettagli del verdetto e perseguiremo rimedi legali appropriati, inclusi ulteriori procedimenti e un appello,” ha aggiunto Lainer, affermando che la società “rimane pienamente impegnata nella sua missione di sviluppare tecnologie che proteggano la sicurezza pubblica” mentre opera nel rispetto delle leggi.

Nel frattempo, Meta ha deciso di donare a organizzazioni per i diritti digitali che lavorano per difendere le persone contro tali attacchi in tutto il mondo.

“Il nostro prossimo passo è ottenere un’ordinanza del tribunale per impedire a NSO di prendere di mira WhatsApp di nuovo,” ha concluso la società.