I primi giorni di febbraio il Washington Post e la televisione pubblica tedesca Zweites Deutsches Fernsehen (Zdf) hanno pubblicato un’inchiesta su quella che in molti hanno già definito come una delle più grandi storie di spionaggio del secolo scorso. Documenti riservati visionati dai giornalisti delle due testate hanno dimostrato che per quasi cinquant’anni la Cia (Central Intelligence Agency) statunitense e il suo omologo tedesco Bundesnachrichtendienst (Bnd) hanno controllato la principale società produttrice di apparecchi per la crittografia del mondo, la Crypto AG, spiando in questo modo le comunicazioni riservate di almeno 120 Paesi, oltre a organizzazioni come l’Onu.
Il rapporto decennale tra le due agenzie di intelligence e la società svizzera Crypto AG è trattato in maniera approfondita in un documento interno di 96 pagine della Cia risalente al 2004 e in uno pubblicato dalla Bnd quattro anni dopo. In entrambi si riconosce il successo oltre ogni aspettativa dell’operazione Rubicon, che avrebbe permesso a Stati Uniti, Germania Ovest – dal 1990 Repubblica Federale di Germania – e ad alcuni selezionatissimi partner di leggere con facilità il 40% dei cablogrammi riservati inviati tra gli anni Settanta e l’inizio del Duemila in tutto il Pianeta. Una percentuale enorme se si pensa che la Crypto AG comunque non aveva tra i suoi clienti nessun Paese appartenente al Patto di Varsavia guidato dall’Unione Sovietica, la Cina, i membri dell’accordo di intelligence tra Stati anglofoni detto Five Eyes Alliance – Gran Bretagna, Canada, Nuova Zelanda, Australia, oltre agli stessi Stati Uniti – e la Francia. Dai report è anche emerso che Svizzera, Svezia e Israele erano consapevoli dell’esistenza dell’operazione e hanno ricevuto in diverse occasioni notizie decriptate da parte dei servizi statunitensi o tedeschi.
Per capire come sia stato possibile convincere la più importante società produttrice di macchine per la crittografia della Guerra Fredda a vendere apparecchi truccati per facilitarne la decodifica bisogna tornare alla Rivoluzione russa del 1917. L’ingegnere e inventore di origine azera Boris Hagelin fu sorpreso dalla presa del potere dei Bolscevichi a San Pietroburgo mentre si trovava all’estero. Dopo aver deciso di non rientrare in Russia in piena guerra civile, si stabilì in Svezia, trovando lavoro in una piccola società che produceva macchinari per la crittografia fondata da Arvid Gerhard Damm. Due anni dopo Hagelin era già il Direttore generale della compagnia, con l’incarico da parte del governo svedese di sviluppare un apparecchio simile alla tedesca Enigma – un sistema così complesso da spingere il matematico britannico Alan Turing e il suo team a inventare il primo computer per decifrarla all’inizio della seconda guerra mondiale.
Alla morte di Damm, nel 1927, Hagelin acquistò la AB Cryptograph, la ribattezzò AB Cryptoteknik e ne trasferì la produzione negli Stati Uniti. Tredici anni dopo anche l’inventore si trasferì nel Paese, dopo l’invasione della Norvegia da parte della Germania nazista. La seconda guerra mondiale fu il punto di svolta nella vita di Hagelin e anche della futura operazione Rubicon. Durante il conflitto le forze armate statunitensi acquistarono 140mila esemplari del suo M-209, un apparecchio senza la complessità della macchina Enigma e decifrabile in poche ore, ma di dimensioni ridotte e perfetto per le rapide comunicazioni tattiche tra squadre militari. Alla fine della guerra la Kripto aveva guadagnato 8,6 milioni di dollari dell’epoca e il governo di Washington la fedeltà senza condizioni di Hagelin.
Una volta tornato in Svezia, Hagelin creò un sistema molto più complesso e difficile da decifrare dell’M-209, chiamato CX-52. Il timore di vederlo cadere nelle mani sbagliate spinse la Cia a cercare un accordo con il proprietario di Crypto AG. Fu così che nel 1951 Hagelin accettò di trasferire la sua impresa in Svizzera e di vendere i prodotti migliori solo ai Paesi selezionati da Washington, ricevendo in cambio 700mila dollari. Nel 1960 il primo accordo verbale fu formalizzato con un altro versamento di 855mila dollari, un onorario annuale di 70mila e altri 10mila da usare per assicurarsi i contratti con il maggior numero di governi. Sette anni dopo Crypto AG mise in vendita l’H-460, progettato direttamente dalla National Security Agency (Nsa) in modo che i messaggi fossero decifrabili in pochi secondi e non ore. Il macchinario fu prodotto in due versioni: una riservata agli alleati più fidati e l’altra per il resto del mondo.
Nello stesso anno Hagelin fu contattato dai servizi segreti francesi e tedeschi, con l’offerta di comprare la Crypto AG per evitare cambi di proprietà potenzialmente pericolosi dopo la sua morte. L’uomo non si limitò a rifiutare, ma riferì tutto alla Cia, spingendola ad accelerare il progetto di rilevare la società. L’occasione si presentò quando la Germania Ovest decise di fare un’altra proposta a Hagelin due anni dopo, coinvolgendo gli Stati Uniti. Dopo gli incontri preliminari e il diktat per cui “la Francia doveva essere tagliata fuori”, l’allora direttore della Cia Richard Helms diede il nullaosta e l’accordo fu raggiunto nel 1970: le due parti comprarono la Crypto AG versando 5,75 milioni di dollari a testa e affidandosi allo studio di avvocati Marxer and Partner e alle leggi del Liechtenstein per cancellare le tracce che potessero ricondurre a loro.
Il passo successivo fu la nomina dei nuovi dirigenti della Crypto AG – ribattezzata in codice “Minerva” – assicurandosi che solo uno fosse a conoscenza dei reali proprietari dell’impresa. L’operazione Thesaurus, poi diventata Rubicon, fece triplicare gli incassi dell’impresa in cinque anni, arrivando nel 1975 a 19 milioni di dollari. Per gestire un volume di affari e di ordini simile, Washington e Bonn (allora capitale della Germania Ovest) decisero di coinvolgere nella produzione degli apparecchi i colossi elettronici Motorola e Siemens in cambio del 5% dei profitti.
Ma il successo a livello di informazioni ottenute fu in grado di eclissare quello economico di Rubicon. Durante la crisi degli ostaggi dell’ambasciata statunitense di Teheran nel 1979, il presidente Carter era informato ogni giorno sui messaggi riservati dell’ayatollah Khomeini, dato che possedevano apparecchiature prodotte dalla Crypto AG tanto l’Iran quanto l’Algeria, che si era offerta di mediare durante la crisi. Secondo l’allora direttore dell’Nsa Bobby Inman, gli Stati Uniti erano in grado in quei giorni di intercettare e decifrare l’85% della corrispondenza tra Algeri e Teheran. Un copione simile si replicò durante la guerra delle Falklands/Malvinas del 1982, quando la Cia fornì alla Gran Bretagna diversi messaggi inviati dalla giunta dei Colonnelli alle truppe argentine. Nonostante alcuni sospetti, la lista dei clienti della Crypto AG continuò a crescere: all’inizio degli anni Ottanta i suoi principali contratti arrivavano da Arabia Saudita, Iran, Italia, Indonesia, Iraq, Libia, Giordania e Corea del Sud, molti dei quali erano stretti alleati degli Stati Uniti.
Proprio la volontà di spiare anche gli alleati iniziò a minare l’operazione Rubicon. La Germania era infatti contraria all’idea di spiare altri membri della Nato come Spagna, Italia, Grecia e Turchia. Senza contare la frustrazione sempre più grande di non essere comunque inclusa nel circolo esclusivo delle agenzie anglofone della Five Eyes Alliance. Altri problemi arrivarono anche all’interno della Crypto AG. Nel 1977 un suo dipendente, l’ingegnere Peter Frutiger, fu licenziato dopo che l’Nsa si era accorta di non riuscire più a decriptare i messaggi in arrivo dalla Siria. Frutiger, infatti, si era accorto che c’era qualcosa che non tornava in alcuni modelli e aveva deciso in autonomia di riparare quelli di Damasco. Il licenziamento non fece altro che rafforzare il sospetto che i servizi tedeschi influenzassero l’operato dell’azienda per cui lavorava. L’anno successivo l’ingegnera elettrica Mengia Caflisch, assunta nonostante la Nsa la ritenesse “troppo sveglia per non accorgersi di nulla” e quindi pericolosa, creò un algoritmo più difficile da violare e lo installò su 50 modelli di HC-740. La reazione dei dirigenti fu quella di ritirarli dal mercato e ordinare di continuare a usare il vecchio algoritmo.
Il colpo più duro arrivò però nel 1992, quando l’Iran arrestò il venditore di Crypto AG Hans Buehler. Durante gli otto anni della guerra tra l’Iraq e la Repubblica islamica le agenzie di spionaggio statunitensi avevano violato 19mila comunicazioni iraniane, tra l’80 e il 90% del totale. I sospetti ricaddero su Buehler, ma l’uomo non era a conoscenza di nulla. Nonostante questo, fu imprigionato per nove mesi e liberato solo quando la Crypto AG accettò di pagare a Teheran un milione di dollari di cauzione forniti dal Bnd. Il caso innescato dal racconto della sua esperienza ai giornali svizzeri, soprannominato Hydra da Cia e Bnd, costrinse il direttore della Crypto AG Michael Grupe a rilasciare un’intervista per allontanare i molti dubbi suscitati dall’accaduto. Anche se per la Cia “quanto detto da Grupe fu credibile, e avrebbe potuto salvare il programma”, la Germania decise di chiudere la collaborazione. Il direttore del Bnd di quegli anni, Wolbert Smidt, denunciò in seguito che gli Stati Uniti volevano trattare i Paesi alleati come quelli nemici e vendere a tutti i prodotti “fallati” della Crypto AG. Inoltre il clima da sfiorato scandalo spinse Paesi come Argentina, Italia, Arabia Saudita, Egitto e Indonesia a interrompere i loro contratti, mentre molti dipendenti della Crypto AG lasciarono la compagnia.
Il 9 settembre del 1993 il Bnd decise di vendere la sua quota dell’azienda alla Cia per 17 milioni di dollari. Fu la fine di gran parte delle operazioni di spionaggio, soprattutto per il passaggio delle comunicazioni dal campo della crittografia a quello dei software. Secondo quanto raccolto dal Washington Post, l’uscita di scena dei tedeschi ha anche spinto gli statunitensi ad allargare la loro rete di partecipazioni clandestine in altre due società del settore, al momento ignote. Con il definitivo tramonto della crittografia meccanica la Cia ha deciso di vendere la sede svizzera della Crypto AG nel 2017 e l’intera società nel 2018 a CyOne Security e Crypto International. La prima fornisce macchinari in esclusiva al governo svizzero, mentre la seconda si occupa del mercato estero, anche se Zurigo ha revocato le sue licenze per avviare delle indagini riguardo ai legami passati tra Crypto AG e i servizi tedeschi e statunitensi. L’intera operazione, gestita ancora una volta dallo studio legale Marxer and Partner, dovrebbe aver fruttato alla Cia tra i 50 e i 70 milioni di dollari.
Le rivelazioni sull’operazione Rubicon sono ancora più importanti per contestualizzare lo shock delle cancellerie di molti alleati storici degli Stati Uniti in seguito alle rivelazioni di Edward Snowden nel 2013. Oggi veniamo a sapere che il Datagate non è altro che la naturale evoluzione tecnologica di una prassi in atto da oltre 60 anni. Un modus operandi che sembra allargarsi a tutti i principali attori mondiali e che dimostra ancora una volta come le informazioni e il loro utilizzo siano dalla nascita della tecnologia e dal suo sviluppo il vero campo di scontro delle potenze in lotta per l’egemonia sul Pianeta.