Le autorità russe hanno usato tecnologia di Cellebrite per entrare nel telefono di un oppositore politico mentre era in custodia, nonostante la società avesse annunciato mesi prima il taglio dei rapporti con le agenzie governative di Mosca. Il caso riguarda Andrey Pivovarov, dissidente per i diritti umani ed ex direttore del gruppo di opposizione Open Russia, e rimette al centro una domanda scomoda per l’industria della sicurezza digitale: quanto controllo conserva davvero un fornitore sui propri strumenti quando sono già nelle mani dei clienti?
La ricostruzione tecnica arriva da The Citizen Lab, il gruppo di ricerca sui diritti digitali dell’Università di Toronto, che ha individuato prove forensi dell’uso di Cellebrite UFED sull’iPhone 12 di Pivovarov. Secondo i ricercatori, l’accesso al dispositivo sarebbe avvenuto nel giugno 2021, dopo che le autorità russe lo avevano fermato e avevano sequestrato il suo telefono e un MacBook nel mese precedente.
Il punto critico è la sequenza temporale. Tre mesi prima, nel marzo 2021, Cellebrite aveva comunicato l’interruzione immediata delle vendite alle agenzie governative russe. Sul proprio sito, l’azienda afferma che, una volta recisi i rapporti con il governo di Vladimir Putin, era in grado di impedire ai dispositivi di funzionare o di ricevere aggiornamenti software. Nel caso Pivovarov, però, quello stop non sembra avere impedito l’utilizzo operativo della tecnologia.
Cellebrite, società israeliana con una seconda sede in Virginia, vende a governi di diversi Paesi dispositivi hardware progettati per sbloccare e analizzare telefoni collegati fisicamente agli strumenti dell’azienda. Il suo prodotto UFED è pensato per l’estrazione di dati da smartphone, un’attività che in contesti investigativi può essere presentata come forense, ma che nei casi di abuso diventa una leva potente contro oppositori, attivisti e giornalisti. Negli anni, ricerche precedenti hanno documentato usi controversi della tecnologia dell’azienda a Hong Kong, in Kenya e in Giordania.
Nel fascicolo giudiziario condiviso da Pivovarov con i ricercatori, il Criminalist Expert Center del governo russo descrive l’uso di Cellebrite UFED per accedere al telefono ed estrarre dati, inclusi messaggi da WhatsApp e Telegram. Le autorità avrebbero anche cercato nel dispositivo termini politici e nomi di figure dell’opposizione, tra cui persone indicate dai ricercatori come bersagli di presunte campagne di hacking governative russe.
La posizione di Cellebrite, affidata a una comunicazione del chief marketing officer David Gee, è che la società abbia interrotto tutte le vendite e i servizi alla Federazione Russa nel marzo 2021, chiudendo le licenze esistenti e avviando la cessazione dei contratti legali. Gee ha definito ogni eventuale uso di hardware Cellebrite legacy in Russia dopo quella data come completamente non autorizzato. La società non ha però risposto a domande specifiche sul caso e sulle misure effettivamente adottate per disattivare strumenti già distribuiti.
È proprio qui che emerge il nodo industriale. L’avvocato israeliano per i diritti umani Eitay Mack, da tempo critico verso i produttori di tecnologie di sorveglianza, sostiene che fermare le vendite o revocare una licenza software non basta a impedire l’abuso da parte di un ex cliente. Mack osserva anche che Cellebrite non chiarisce se chieda ai clienti di smantellare gli strumenti di hacking già venduti, una lacuna che rende meno netto il significato pratico degli annunci di disimpegno.
Il ricercatore senior del Citizen Lab John Scott-Railton propone una risposta tecnica più stringente: disabilitazione remota degli strumenti dopo segnalazioni credibili di abuso e watermark crittografici firmati su tutti i dispositivi acquisiti. Tradotto in termini operativi, un fornitore dovrebbe poter bloccare i propri tool quando vengono usati impropriamente e lasciare una traccia verificabile che colleghi ogni estrazione dati allo specifico dispositivo impiegato.
Pivovarov è stato poi condannato a quattro anni di carcere ed è stato liberato nell’agosto 2024 nell’ambito di uno scambio di prigionieri tra Russia e Paesi occidentali che ha incluso anche il reporter Evan Gershkovich. Per le imprese che vendono tecnologie dual use ai governi, la vicenda mostra il limite delle policy dichiarate quando non sono accompagnate da controlli tecnici, auditabili e reversibili lungo l’intero ciclo di vita del prodotto.