WhatsApp vs NSO Group: violata l’ingiunzione del tribunale, spearphishing contro gli utenti nonostante il divieto
@Informatica (Italy e non Italy)
Dopo aver vinto la causa contro NSO Group nel 2025, WhatsApp chiede al tribunale federale di sanzionare la società israeliana per aver continuato ad attaccare i propri utenti con campagne di
WhatsApp vs NSO Group: violata l’ingiunzione del tribunale, spearphishing contro gli utenti nonostante il divieto
WhatsApp ha presentato una richiesta di contempt order al tribunale federale contro NSO Group, accusando la società israeliana di spyware di aver continuato a colpire gli utenti della piattaforma nonostante un’ingiunzione permanente emessa in ottobre che le vietava esplicitamente di farlo. La vicenda riapre il dibattito sul mercato degli spyware commerciali e sull’efficacia degli strumenti legali contro chi li produce.Il Contesto: sette anni di battaglia legale
La storia tra WhatsApp e NSO Group inizia nell’ottobre 2019, quando la piattaforma di Meta ha citato in giudizio la società israeliana per aver sfruttato una vulnerabilità del servizio per installare il suo spyware Pegasus su circa 1.400 dispositivi di attivisti per i diritti umani, giornalisti e dissidenti in tutto il mondo attraverso attacchi zero-click. Bastava che il bersaglio ricevesse una chiamata WhatsApp — anche senza risponderla — per compromettere il dispositivo.Il procedimento giudiziario si è concluso con una vittoria storica per WhatsApp: nel maggio 2026 una giuria ha inizialmente assegnato 167 milioni di dollari di danni punitivi, successivamente ridotti a 4,4 milioni dal giudice federale che presiedeva il caso. A ottobre 2025, lo stesso giudice ha emesso un’ingiunzione permanente che vietava a NSO di utilizzare WhatsApp come vettore d’attacco.
NSO aveva risposto all’ingiunzione dichiarando che avrebbe potuto “mettere a rischio l’intera impresa NSO” e “costringere NSO a chiudere i battenti”, mentre il giudice respingeva le sue richieste di sospensione dell’ordine. La società ha presentato appello a novembre 2025, con un procedimento ancora in corso.
Le nuove violazioni: spearphishing in spregio al tribunale
Nonostante l’ingiunzione, WhatsApp ha rilevato nuova attività malevola attribuita a NSO Group dopo che utenti hanno segnalato comportamenti sospetti. Secondo il blog post pubblicato da Meta l’8 giugno 2026, gli attacchi avrebbero usato tecniche di social engineering per indurre gli utenti a cliccare su link malevoli verso siti web esterni fuori da WhatsApp, una metodologia simile alle campagne di 1-click phishing già in precedenza collegate a NSO.La tecnica rappresenta un’evoluzione rispetto agli attacchi zero-click del 2019: non sfruttando più una vulnerabilità tecnica della piattaforma (impossibile dopo le patch e l’ingiunzione), NSO avrebbe adottato un approccio di spearphishing che richiede l’interazione dell’utente ma aggira il divieto tecnico di sfruttamento diretto dell’app. NSO avrebbe anche creato account e gruppi test su WhatsApp che la piattaforma ha rimosso.
WhatsApp ha condiviso pubblicamente gli indicatori di compromissione associati alle campagne e incoraggia gli utenti a verificare se siano stati bersaglio di metodi di social engineering collegati a NSO su più piattaforme, inclusi SMS ed email.
Le implicazioni: NSO sotto nuova proprietà, stessa operatività
Un elemento di contesto importante: lo scorso anno un gruppo di investitori americani ha acquisito NSO Group con l’ambizione dichiarata di rientrare nel mercato statunitense, da cui la società era stata di fatto esclusa dopo l’inserimento nella Entity List del Dipartimento del Commercio USA nel novembre 2021. L’acquisizione non sembra aver cambiato le pratiche operative della società.Il mercato degli spyware commerciali continua a operare in una zona grigia normativa: i produttori si definiscono fornitori di strumenti legittimi per forze dell’ordine e intelligence, mentre le evidenze mostrano sistematicamente usi contro giornalisti, attivisti e dissidenti politici. Casi come quello di NSO Group dimostrano che anche quando una corte impone restrizioni operative esplicite, la compliance può essere ignorata.
La richiesta di contempt: cosa succede adesso
Con la richiesta di contempt of court, WhatsApp chiede al tribunale di sanzionare NSO per aver violato l’ingiunzione permanente di ottobre. Se il giudice dovesse riconoscere la violazione, NSO potrebbe essere soggetta a sanzioni finanziarie aggiuntive e a misure coercitive più severe, con potenziale impatto sull’appello ancora pendente.Il caso stabilisce un precedente rilevante per l’intero settore dello spyware commerciale: per la prima volta un’azienda tecnologica è riuscita a ottenere non solo una vittoria risarcitoria ma un’ingiunzione permanente di portata operativa contro un vendor di sorveglianza. La risposta del tribunale alla presunta violazione di quell’ingiunzione determinerà se tali strumenti legali abbiano effettiva capacità deterrente.
Indicatori e raccomandazioni
WhatsApp ha pubblicato indicatori di minaccia collegati alle campagne di NSO. Chi ritiene di poter essere un bersaglio ad alto rischio — giornalisti, attivisti, operatori umanitari, funzionari governativi — dovrebbe:
- Verificare i propri dispositivi con strumenti come Mobile Verification Toolkit (MVT) di Amnesty International, che analizza artefatti forensi associati a Pegasus
- Trattare con massima sospetto qualsiasi link ricevuto su WhatsApp che rimandi a siti esterni, soprattutto da contatti non verificati o messaggi non attesi
- Controllare i propri account WhatsApp per rilevare accessi da dispositivi o sessioni non riconosciute
- Monitorare i threat indicators pubblicati da WhatsApp/Meta per verificare la presenza di domini o IP associati alle campagne negli access log dei propri sistemi
Il caso NSO-WhatsApp non è solo una vicenda legale tra due aziende: è uno dei fronti principali della battaglia globale per definire i limiti dell’industria dello spyware commerciale e la responsabilità legale dei suoi protagonisti.