Crypto AG, il capolavoro della CIA e dei servizi segreti tedeschi

Crypto AG ha venduto per 50 anni la tecnologia per cifrare le comunicazioni a mezzo mondo, Italia inclusa. Ma era segretamente controllata dalla CIA.

speciale Crypto AG, il capolavoro della CIA e dei servizi segreti tedeschi
Articolo a cura di

Dagli anni '50 al 2018 la Crypto AG ha fornito la tecnologia per cifrare le conversazioni ai Governi di mezzo mondo. Nell'immediato dopo guerra l'azienda, facendosi forza della sua nazionalità svizzera, era riuscita a posizionarsi come un fornitore affidabile in un mondo ancora spaccato in fazioni.
Ben presto Crypto AG si è costruita una solida reputazione, raggiungendo 120 Governi con i suoi prodotti, peccato che il suo scopo non fosse solo il profitto, ma anche la raccolta di informazioni, per una spy story degna del miglior film di James Bond.

Fare soldi rubando le informazioni di nemici e alleati

La tecnologia per cifrare le conversazioni della Cypto AG era usata dai servizi segreti e dai funzionari di Paesi come l'Iran e la Libia. Erano usati dalla segreteria dello Stato del Vaticano, ma anche dalle principali potenze della NATO, inclusa l'Italia. Quello che nessuno sapeva è che la Crypto AG era in realtà controllata segretamente dalla CIA e dalla BND, i servizi segreti della Germania Ovest. Per anni 120 governi hanno usato strumenti per cifrare le comunicazioni appositamente creati per poter essere facilmente aggirati dall'America, che ha usato questa posizione privilegiata a suo vantaggio in alcuni dei momenti più critici della sua storia.
Se questa vicenda è emersa lo si deve al Washington Post, che ha avuto accesso ad un dossier di 96 pagine della CIA sulla storia dell'Operazione Rubicone, come è stata soprannominata dagli americani. Una storia che avrebbe dovuto essere declassificata solo in parte, ma le cose sono andate diversamente.
I legami tra il Governo americano e l'azienda hanno radici nella Seconda Guerra Mondiale, quando il futuro fondatore della Crypto AG, Boris Hagelin, scappa negli Stati Uniti nel 1940. Hagelin era di origini russe, ma viveva ormai da anni in Svezia per sfuggire ai sovietici. Dovette scappare ancora una volta quando furono i nazisti a penetrare in Scandinavia.

Hagelin all'epoca era già un inventore ed era riuscito a creare una macchina per la cifratura delle comunicazioni estremamente portatile, la C-209. Divenne presto di ordinanza in ogni reggimento dell'Esercito americano. Non il meglio che si potesse fare, specie considerando che l'Asse usava già da tempo il sistema Enigma.
Eppure faceva il suo dovere: sebbene le comunicazioni potessero essere decifrate in poche ore, la C-209 veniva utilizzata esclusivamente per le comunicazioni lampo sul campo, rendendo di fatto inutile tentare anche soltanto di decifrare il messaggio.

Dopo la Guerra, racconta il Washington Post, Hagelin torna in Europa forte di una piccola fortuna accumulata grazie al suo servizio per gli Stati Uniti d'America.
Fondata la Crypto AG, realizza poco dopo una macchina per la cifratura estremamente più robusta della C-209. È qui che nasce l'interesse degli americani per l'azienda, vista inizialmente come una possibile minaccia.
Gli USA, sfruttando l'amicizia di Hagelin con il padre della crittografia William Friedman, riescono allora a convincere la Crypto AG a vendere le sue macchine esclusivamente agli Stati alleati, tagliando i ponti con i governi ostili. Come sappiamo ora, l'accordo prese ben presto un'altra piega.

Nel 1960 la CIA inizia a riempire di soldi l'azienda di Hagelin, ma questa volta la preghiera è quella di iniziare a vendere la tecnologia per la cifratura a tutti i Governi, inclusi quelli che non avevano aderito al patto atlantico. Poco dopo entrarono nella partita anche i tedeschi, e la lista dei clienti della Crypto AG cresceva di anno in anno. Così nasce quella che la CIA, sicuramente non peccando di modestia, descrive come «l'operazione di spionaggio del secolo». «I governi pagavano dei bei soldi agli Stati Uniti e alla Germania dell'Ovest per far sì che le loro conversazioni più segrete venissero lette da almeno due paesi stranieri», si legge nel dossier della CIA. Secondo il Washington Post già a partire dal 1970 la CIA e l'NSA controllavano direttamente ogni aspetto della Crypto AG, ormai diventata un'azienda fantoccio a tutti gli effetti.Il subentro della National Security AgencyIl passo decisivo arriva quando la Crypto AG, per far fronte al progresso tecnologico, è costretta ad inserire componenti elettronici all'interno delle sue macchine. L'azienda è costretta ad affidarsi alla NSA per realizzare i circuiti.
L'agenzia li progetta in modo tale che il messaggio trasmesso sia solo all'apparenza una comunicazione di lettere e numeri in ordine casuale, contenendo in realtà al suo interno una ripetizione utile per individuare il pattern di cifratura rapidamente. In assenza di una vera e propria backdoor, l'NSA era comunque costretta ad intercettare manualmente ogni comunicazione. Era facilitata esclusivamente la fase di decifrazione. La prima macchina elettronica della Crypto AG è la H-460 del 1967.

L'unico tassello mancante è che né la Cina né la Russia furono mai clienti della Crypto AG, di fatto rendendo l'Operazione Rubicone imperfetta. «Odoravano entrambe qualcosa», scrive il quotidiano. Non mancarono ad ogni modo gli scenari dove la capacità di spiare le conversazioni degli avversari fu cruciale per gli americani. Il Washington Post racconta che, siccome tutti questi governi usavano la tecnologia dell'azienda elvetica, gli USA riuscirono a spiare gli ufficiali iraniani nel bel mezzo della crisi degli ostaggi, gli argentini durante la guerra delle Falklands (a beneficio del Governo amico della Thatcher), e i libici poco dopo la strage di Berlino del 1986.
Almeno fino agli anni 80, il 40% delle comunicazioni riservate veniva cifrato usando tecnologie proprietarie della Crypto AG. Che è un altro modo per scrivere "il 40% delle comunicazioni riservate, in realtà, non erano affatto riservate". Quantomeno per gli americani e per i tedeschi.
L'elemento che vale la pena di sottolineare ancora una volta è che tutto questo succedeva mentre la Crypto AG fatturava ogni anno decine di milioni di dollari che venivano poi equamente divisi tra CIA e servizi segreti tedeschi. Il Washington Post racconta che i tedeschi ad un certo punto avrebbero addirittura iniziato a considerare la Crypto AG come un importante fonte di finanziamenti per le loro operazioni segrete, al punto che la CIA dovette intervenire spesso per ricordare loro che l'Operazione Rubicone era un'iniziativa di spionaggio e non una macchina per fare soldi.

Tutti i prodotti della Crypto AG, precisa il Washington Post, venivano realizzati anche in una versione sicura e priva dell'exploit. Questa veniva usata dagli americani e dai Governi alleati. Ad ogni modo, è certo che l'America usò la sua posizione all'interno dell'azienda per spiare anche Paesi amici, come l'Italia, la Grecia, la Spagna e la Turchia. Proprio l'Italia nel 1981 figurava nella lista dei clienti più importanti dell'azienda controllata dalla CIA, in compagnia di Arabia Saudita, Iran, Indonesia, Iraq, Libia, Giordania e Corea del Sud.
La decisione degli americani di raggirare anche i governi amici portò la Germania alla decisione di ritirarsi dall'accordo, per paura che i rapporto con gli alleati potessero venire compromessi nel caso in cui l'affare diventasse pubblico. La Germania ha venduto le sue quote della Crypto AG nel 1998, mentre la CIA avrebbe continuato a controllare l'azienda addirittura fino al 2018, anno in cui questa è stata ceduta a due altre compagnie.

Ma gli svizzeri sapevano?

La CIA e la BND volevano condurre le loro operazioni in modo tale che i dipendenti dell'azienda facessero la loro parte senza avere sospetti di qualsiasi tipo. Proprio per questa ragione, è difficile ricostruire le responsabilità delle parti coinvolte.
"Noi della Crypto International non abbiamo mai avuto nessun accordo con la CIA o la BND, se quello che mi state dicendo è vero, allora mi sento tradito, la mia famiglia si sente tradita, e immagino che ci saranno molti dipendenti e molti clienti che si sentiranno traditi a loro volta".

C'era anche chi aveva intuito che ci potesse essere qualcosa di sbagliato, come Mengia Caflisch, una ex dipendente della Crypto AG che al Washington Post ha rivelato di aver sempre considerato gli algoritmi dell'azienda molto sospetti. La Caflish avrebbe tentato di inserire nelle macchine un algoritmo di sua invenzione che avrebbe rischiato di rendere le comunicazioni virtualmente indecifrabili. Fu scoperta e l'algoritmo venne sostituito con la versione originale.

Negli ultimi giorni il Governo svizzero ha aperto un'indagine per verificare il ruolo delle agenzie americane e tedesche e una possibile connivenza tra i funzionari elvetici e l'operazione Rubicone. Inoltre la Crypto International, l'azienda che attualmente possiede il brand e parte degli asset della compagnia originale, si è vista revocare la licenza per esportare i suoi prodotti.
Il Washington Post sostiene che dai documenti della CIA sia assolutamente chiaro che i funzionari abbiano saputo per decenni dell'esistenza dell'operazione Rubicone.
"Quello che mi avvilisce è che pensi di aver fatto un buon lavoro, di aver creato qualcosa di sicuro, e poi realizzi di aver dedicato la tua intera vita lavorativa a truffare i tuoi clienti", ha raccontato Juerg Spoerdnli, un ingegnere elettronico che ha lavorato per 16 anni alla Crypto AG.

Attualmente i prodotti della Crypto AG vengono ancora usati da almeno una dozzina di Paesi in tutto il mondo, sebbene la Crypto AG sia stata liquidata due anni fa, e tutti i suoi asset rilevati dalla CyOne Security e dalla Crypto International. Entrambe le aziende sostengono che non ci sia mai stato nessun legame tra loro e la CIA.