La Bulgaria ha approvato le esportazioni di sorveglianza verso stati repressivi.

      TL;DRLeaked export licences show Bulgaria approved Circles BG, an NSO Group affiliate, to sell phone-tracking tools and interception systems to intelligence agencies in Azerbaijan, Serbia, the UAE, and at least a dozen other countries between 2018 and 2023. The findings, published by Human Rights Watch, raise questions about the effectiveness of EU dual-use export controls.

      L'autorità bulgara per il controllo delle esportazioni ha autorizzato un'azienda di sorveglianza con sede a Sofia a vendere strumenti di tracciamento telefonico, sistemi di intercettazione e infrastrutture di monitoraggio a agenzie di intelligence in paesi con documentati precedenti di soppressione del dissenso. Le licenze, pubblicate da Human Rights Watch mercoledì, coprono le esportazioni di Circles BG a acquirenti governativi in Azerbaijan, Serbia, Malesia, Messico, Emirati Arabi Uniti e almeno altri dieci paesi tra il 2018 e il 2023.

      Circles è un'affiliata del NSO Group, l'azienda israeliana dietro il software spia Pegasus che è stato utilizzato per colpire giornalisti, politici e difensori dei diritti umani in tutto il mondo. Le licenze trapelate offrono il quadro più chiaro finora su come l'azienda ha utilizzato la sua base bulgara come gateway per esportare tecnologia di sorveglianza a governi che gli osservatori internazionali hanno accusato di utilizzare tali strumenti contro i propri cittadini.

      La connessione Circles-NSO

      Circles è stata acquisita nel 2014 da un'azienda che possiede anche NSO Group, portando entrambe le aziende sotto l'ombrello di Q Cyber Technologies. Nel 2020, il Citizen Lab dell'Università di Toronto ha identificato Circles come operante sistemi di sorveglianza che sfruttavano vulnerabilità nelle reti telecom globali in almeno 25 paesi.

      Il 💜 della tecnologia dell'UE

      Le ultime novità dalla scena tecnologica dell'UE, una storia del nostro saggio fondatore Boris e alcune opere d'arte AI discutibili. È gratuito, ogni settimana, nella tua casella di posta. Iscriviti ora!

      Uno dei co-fondatori di Circles, Tal Dilian, un ex comandante dell'intelligence militare israeliana, è stato sanzionato dagli Stati Uniti nel marzo 2024 per il suo ruolo in Intellexa, un consorzio di sorveglianza separato che ha fondato. Intellexa ha sviluppato il software spia Predator che ha scatenato lo scandalo "Predatorgate" in Grecia nel 2022, e un tribunale greco ha condannato Dilian e altri tre a febbraio 2026, infliggendo a ciascuno otto anni di carcere.

      Le licenze rivelano anche legami commerciali diretti tra Circles e NSO Group stesso. NSO ha acquistato attrezzature per un valore di $119,941 da Circles nell'ottobre 2021, tecnologia che è stata infine trasferita al Comando della Home Front del Ministero della Difesa israeliano.

      NSO Group è stato inserito nella lista delle entità del Dipartimento del Commercio degli Stati Uniti il mese successivo per le accuse che il suo software spia fosse stato utilizzato per colpire la società civile. Circles BG, nonostante la sua affiliazione aziendale con NSO, non appare in alcuna lista nera di sanzioni o controllo delle esportazioni degli Stati Uniti.

      Chi ha comprato cosa

      I documenti di esportazione nominano specifiche agenzie governative e le attrezzature che hanno acquisito. Il Servizio di Intelligence Esterna dell'Azerbaigian ha acquistato un'infrastruttura di server e archiviazione Dell per un valore superiore a $42,000 in una licenza rilasciata a giugno 2022, e ha ottenuto separatamente un sistema di tracciamento dei telefoni cellulari che utilizza torri telefoniche per individuare le posizioni dei dispositivi.

      Quella licenza di tracciamento era valida fino a dicembre 2023, coprendo il periodo in cui l'Azerbaigian ha lanciato la sua offensiva militare per riprendere il Nagorno-Karabakh. Un'indagine congiunta di Amnesty International e Citizen Lab aveva già scoperto a maggio 2023 che il software spia Pegasus era stato utilizzato per colpire figure pubbliche armene nel conflitto.

      Il ministero degli interni della Serbia ha acquistato un dispositivo portatile di sorveglianza e tracciamento della posizione dei telefoni cellulari per $18,254, pochi mesi prima delle elezioni di dicembre 2023 del paese. Amnesty International ha successivamente riportato a dicembre 2024 che le autorità serbe avevano utilizzato software spia e strumenti di estrazione forense contro giornalisti e attivisti della società civile, accuse che il governo serbo ha contestato.

      L'Agenzia di Intelligence dei Segnali degli Emirati Arabi Uniti ha acquistato un sistema di intercettazione vocale noto come VOLE per $10,000 tramite un intermediario locale nel 2018. L'intelligence militare della Malesia ha ottenuto lo stesso sistema tramite Telekom Malaysia Berhad in un pacchetto del valore di oltre $52,000 che includeva installazione e formazione.

      I documenti elencano anche autorità governative in Bahrein, Brasile, Repubblica Dominicana, Ghana, Guatemala, El Salvador, Giordania, Marocco e Panama come utenti finali. Un'esportazione messicana ha coinvolto un sistema di intelligence dei segnali tattici progettato per localizzare e monitorare dispositivi mobili, con l'utente finale elencato come il governo di Michoacán, uno stato a lungo afflitto dalla violenza dei cartelli.

      Il divario nel controllo delle esportazioni dell'UE

      I risultati arrivano mentre Bruxelles si prepara a una nuova revisione del regime di controllo delle esportazioni a duplice uso dell'UE, con la Commissione Europea che dovrebbe presentare una proposta entro l'inizio del 2027. Secondo le attuali norme, le autorità nazionali devono valutare se gli strumenti di sorveglianza informatica potrebbero essere utilizzati per repressione interna o gravi violazioni dei diritti umani prima di approvare le esportazioni.

      “Queste licenze sono una chiara prova che la Bulgaria sta autorizzando esportazioni di tecnologia di sorveglianza in tutto il mondo a polizia, militari e agenzie di intelligence in paesi con lunghe storie di utilizzo di quella stessa tecnologia per reprimere i diritti”, ha affermato Zach Campbell, ricercatore senior sulla sorveglianza di Human Rights Watch. Campbell ha aggiunto che la Commissione Europea non ha fatto nulla per fermare le esportazioni nonostante avesse visibilità su di esse, un'affermazione che questo articolo non ha potuto verificare in modo indipendente.

      Il Ministero degli Affari Esteri bulgaro ha detto a Politico che la documentazione di Circles mostrava che le tecnologie erano destinate alla prevenzione del crimine, alla lotta al terrorismo e alle operazioni umanitarie di ricerca e salvataggio. Il ministero ha affermato di valutare “tutte le circostanze rilevanti” quando esamina le domande.

      Il problema più ampio è strutturale. Molti sistemi di sorveglianza combinano software, strumenti di tracciamento mobile e hardware per lo più commerciale, rendendo difficile determinare dove finisca l'attrezzatura telecom ordinaria e dove inizino gli strumenti di intrusione informatica.

      Circles non ha risposto a molteplici richieste di commento. I risultati non indicano che le esportazioni fossero illegali o che le tecnologie siano state utilizzate in modo illecito, ma insieme a casi come il software spia italiano distribuito tramite aggiornamenti falsi di WhatsApp, sottolineano quanto lontano l'industria della sorveglianza europea abbia superato il quadro normativo progettato per contenerla.