WhatsApp è di nuovo al centro di una guerra silenziosa contro lo spyware, e stavolta riemerge un nome che fa rabbrividire chiunque si occupi di sicurezza digitale: Pegasus. La piattaforma di messaggistica accusa NSO Group di aver dato il via a una nuova ondata di attacchi mirati, violando per giunta un ordine del tribunale che avrebbe dovuto chiudere la partita una volta per tutte. E così la disputa, che va avanti ormai da quasi 7 anni, si riaccende con toni ancora più duri.
La storia tra Meta e la società israeliana è probabilmente uno dei capitoli più importanti nella vicenda della sorveglianza commerciale. Da un lato c’è WhatsApp che cerca da tempo di evitare che la propria infrastruttura venga sfruttata come canale per diffondere spyware sofisticati. Dall’altro c’è chi sviluppa Pegasus, una delle piattaforme di intercettazione più avanzate mai apparse sul mercato. Tutto è cominciato nel 2019, quando un attacco approfittò di una falla nella gestione delle chiamate di WhatsApp per colpire circa 1.400 utenti. Da lì la faccenda è diventata internazionale: nel 2021 il Dipartimento del Commercio statunitense ha inserito NSO Group nella Entity List, mentre a ottobre 2025 un tribunale federale ha imposto all’azienda un divieto permanente di prendere di mira WhatsApp e chi lo utilizza.
WhatsApp accusa NSO Group di aver ignorato l’ordine del giudice
Il punto è proprio questo. Secondo Meta, NSO avrebbe avviato una nuova operazione di sorveglianza usando tecniche di spear phishing contro alcuni utenti della piattaforma. Solo che quella misura giudiziaria vietava esplicitamente alla società di usare WhatsApp o i suoi servizi per condurre attività di questo tipo. Il giudice aveva motivato la decisione parlando di rischio di danni irreparabili per la piattaforma e per chi la usa ogni giorno.
Per Meta, insomma, non si tratta del solito incidente di sicurezza. La società sostiene che l’ordine della corte sia stato calpestato, e per questo ha chiesto ai giudici di valutare un procedimento formale ad hoc per chi non rispetta le disposizioni. Stavolta la nuova campagna individuata funzionava in modo diverso dai celebri attacchi zero-click del passato. Gli aggressori avrebbero usato collegamenti fraudolenti pensati per attirare bersagli precisi verso siti esterni controllati dagli operatori. Meta aggiunge che NSO avrebbe creato account e gruppi dentro la piattaforma per coordinare il tutto e testare l’infrastruttura. La pubblicazione degli indicatori di compromissione, intanto, permette ai ricercatori di sicurezza e ai responsabili SOC aziendali di controllare nei log eventuali connessioni sospette, anche su altri canali come email, SMS o app di messaggistica diverse.
Pegasus, lo spyware che ha riscritto le regole della sorveglianza
Il nome di NSO Group resta legato soprattutto a Pegasus, capace di compromettere smartphone Android e iPhone sfruttando vulnerabilità del sistema operativo o delle app installate, spesso proprio falle zero-day di WhatsApp. Le capacità attribuite al software sono impressionanti. Una volta entrato nel dispositivo, l’operatore può leggere messaggi, email, foto, documenti, contatti e cronologia delle chiamate. In diversi casi documentati Pegasus ha avuto accesso pure a fotocamera, microfono e GPS, trasformando lo smartphone in un sistema di controllo continuo.
La fama del software arriva soprattutto dagli exploit zero-click: a differenza del phishing classico, qui l’infezione avviene senza che la vittima debba toccare nulla. In passato bastavano una chiamata persa o un messaggio costruito ad arte per far partire la catena di compromissione. Roba tecnicamente complessa, perché sfrutta vulnerabilità ancora sconosciute o non corrette. Servono investimenti enormi per costruire strumenti del genere, ed è il motivo per cui questo mercato è rimasto per anni nelle mani di poche aziende, che vendono queste tecnologie a governi e agenzie di intelligence. Con tutti i rischi del caso, quando finiscono nelle mani sbagliate.
NSO Group ha sempre sostenuto di fornire Pegasus ai governi solo per contrastare terrorismo e criminalità organizzata. Ma numerose indagini indipendenti raccontano un’altra storia. Le analisi tecniche di Citizen Lab, Amnesty International e altre organizzazioni hanno collegato il software a campagne che coinvolgevano giornalisti, avvocati, attivisti per i diritti umani, diplomatici e oppositori politici in vari Paesi. Conclusioni che hanno alimentato una pressione internazionale sempre più forte. E il problema, dicono i ricercatori, non riguarda solo NSO: tocca l’intero settore degli spyware commerciali, una zona grigia tra indagini legittime e abusi veri e propri. WhatsApp, dal canto suo, ha allargato la collaborazione con ricercatori indipendenti e organizzazioni per i diritti digitali, tra cui la Spyware Accountability Initiative, un progetto nato per sostenere ricerca, analisi forense e assistenza alle vittime di sorveglianza illegittima.