Cellebrite sul telefono di Boniface Mwangi: anche il Kenya ha il suo caso Paragon

Nel luglio 2025 un telefono Samsung Android sequestrato a Boniface Mwangi torna nelle sue mani con un dettaglio che, da solo, racconta un salto di stato: la protezione con password risulta rimossa. Non è una dimenticanza, non è un reset chiesto dal proprietario, non è un passaggio neutro. In mezzo ci sono giorni di custodia della polizia, un arresto che viene denunciato come arbitrario, perquisizioni tra casa e ufficio, e un contesto politico in cui le piazze keniote esplodono contro uccisioni extragiudiziali e repressione. In quel perimetro, l’analisi tecnica attribuisce con alta confidenza l’uso di tecnologia Cellebrite per l’estrazione di dati dal dispositivo, ricostruendo un’operazione che non si limita a “guardare dentro” a un telefono, ma apre l’accesso a messaggi, file personali, informazioni finanziarie, password e contenuti sensibili in grado di cambiare la vita di un attivista, e con lui quella della sua rete. La storia, però, non è solo la storia di un tool. È la storia di come un prodotto forense nato per indagini e acquisizioni digitali possa trasformarsi in un acceleratore di repressione, soprattutto quando viene usato contro figure politiche e sociali che si muovono nel campo dei diritti, delle proteste, della denuncia pubblica. E qui il nome è preciso: Boniface Mwangi, attivista e politico keniota che annuncia l’intenzione di candidarsi alle presidenziali 2027, e che nel frattempo diventa bersaglio di un apparato investigativo che, secondo la ricostruzione, non si ferma al sequestro dei dispositivi ma spinge fino al punto più invasivo: bypassare le difese del telefono senza consenso.

L’arresto del 19 luglio 2025 e il sequestro dei dispositivi

Il 19 luglio 2025 le unità della Direzione Investigazioni Criminali keniota irrompono nella vita di Mwangi con un’operazione che si svolge tra casa e ufficio, e che si allarga fino a un ambiente di co-working frequentato da attivisti a Nairobi. Il sequestro dei dispositivi elettronici diventa parte della scena, ma il passaggio chiave è un altro: Mwangi osserva che la polizia rimuove la protezione password dal suo telefono. È un punto netto, perché l’accesso a un dispositivo moderno non equivale a “vedere una rubrica”: equivale a entrare in una memoria che contiene relazioni, strategie, identità, prove, fonti, e spesso anche strumenti di lavoro quotidiano come app di messaggistica, archivi documentali, note, immagini, geolocalizzazioni, cronologia, credenziali. L’arresto arriva in un momento in cui il Kenya vive una tensione alta, alimentata da proteste che seguono le mobilitazioni del 2024 contro una legge finanziaria controversa e che nel 2025 si intrecciano con accuse sempre più pesanti di violenza statale. Nel racconto dei fatti emergono numeri drammatici: eventi con almeno 60 persone uccise durante le proteste del 2024, feriti gravi, detenzioni arbitrarie e casi di sparizione. Nel 25 giugno 2025 gli scontri portano a 19 dimostranti uccisi. Dentro questo contesto Mwangi partecipa attivamente, diventando una figura che incarna la frattura tra piazza e potere, e che viene agganciata a ipotesi di reato inizialmente durissime, con contestazioni che includono perfino terrorismo e riciclaggio, poi rimodulate.

Quando un dispositivo viene sequestrato in un contesto simile, il dato tecnico non è mai solo tecnico. L’accesso al telefono diventa un atto politico, perché permette di anticipare mosse, mappare connessioni, individuare alleati, leggere conversazioni, estrarre materiale privato utile a intimidire o a costruire narrative accusatorie. In altre parole, il telefono diventa un campo di battaglia come lo è diventato per il caso Paragon in Italia.

Il ritorno del telefono e il segnale più evidente: la password sparita

Il 4 settembre 2025 i dispositivi sequestrati vengono restituiti. E il telefono Samsung mostra un’anomalia che non ammette interpretazioni leggere: si apre senza codice, come se la barriera fosse stata disattivata. Mwangi dichiara di non aver mai fornito la password. Questo dettaglio, da solo, imposta la domanda centrale: come è stato ottenuto l’accesso? La risposta non viene affidata a ipotesi generiche. Arriva da un’analisi forense che cerca artefatti, tracce applicative, timestamp, indicatori coerenti con l’impiego di strumenti di estrazione. Il cuore della ricostruzione è temporale e logistico insieme: l’attività identificata si colloca intorno al 20 e 21 luglio 2025, cioè mentre il dispositivo risulta ancora nella custodia della polizia. Questo legame tra custodia fisica e attività tecnica è decisivo, perché riduce drasticamente l’ambiguità su chi possa aver operato e quando.

Tracce com.client.appA e attribuzione con alta confidenza a Cellebrite

L’analisi di Citizen Lab individua sul dispositivo segni riconducibili all’uso di tecnologia Cellebrite, azienda israeliana che fornisce strumenti forensi capaci di bypassare password e acquisire dati da dispositivi mobili. Il dettaglio tecnico che regge il caso è la presenza dell’app com.client.appA, associata con alta confidenza a Cellebrite, e considerata coerente con indicatori già emersi in altre analisi. In termini pratici, questo tipo di traccia non è una semplice “app installata”: è un artefatto che segnala un passaggio operativo legato a procedure di estrazione. Il punto, qui, non è una discussione astratta sulla forensica digitale. Il punto è la conseguenza. Uno strumento che consente estrazione completa spalanca l’accesso a messaggi, foto, documenti, allegati, metadati, contenuti di app, informazioni finanziarie e credenziali, cioè a ciò che rende una persona vulnerabile non solo sul piano giudiziario, ma su quello umano, politico e sociale. In un contesto di repressione, la forensica non è più “una prova”: è un’arma di controllo. Questo caso si inserisce in un pattern più ampio di utilizzo degli strumenti Cellebrite da parte di clienti governativi in contesti problematici. Il tema diventa quindi la capacità dell’azienda di prevenire l’abuso, di mettere in atto controlli efficaci, di interrompere rapporti quando emergono violazioni. Qui la ricostruzione è severa: la prevenzione del misuse fallisce, e l’episodio keniota si aggiunge a un dossier già alimentato da casi in altre aree geopolitiche.

Diritti, proporzionalità e il confine tra indagine e ritorsione

Quando un’autorità statale interviene su un diritto fondamentale come la privacy, non basta invocare genericamente la “sicurezza”. Esiste un perimetro giuridico internazionale che pone paletti su necessità e proporzionalità, e che tutela diritti come privacy, libertà di espressione, assemblea pacifica, e protezione contro arresti arbitrari. Nel caso Mwangi, i dettagli descritti fanno emergere una traiettoria che appare più coerente con un’azione retaliatoria contro una voce dissidente che con una misura strettamente necessaria. Il problema è che l’estrazione forense, per sua natura, è invasiva. Non si limita a un frammento. Spesso è un prelievo massivo, che trascina dentro conversazioni private, contatti, immagini, documenti, credenziali e frammenti di vita che non hanno alcuna attinenza con eventuali contestazioni. In un ambiente democratico e garantista, questa invasività viene bilanciata da controlli, garanzie e limiti. In un contesto dove le detenzioni arbitrarie e la repressione delle proteste diventano accuse ricorrenti, il bilanciamento rischia di saltare. E quando salta, la tecnologia smette di essere “neutrale”.

Mwangi tra proteste, accuse e candidatura 2027: perché il telefono conta più del tribunale

Mwangi non è un profilo qualunque. È una figura pubblica, attiva nelle proteste, con un ruolo nel racconto internazionale delle tensioni keniote, e con un orizzonte politico dichiarato verso le elezioni presidenziali 2027. Questo elemento è cruciale perché spiega perché l’accesso al telefono sia così strategico. Un procedimento penale può colpire un individuo. Un’estrazione forense può colpire un ecosistema, perché porta con sé la possibilità di identificare reti, sostenitori, finanziatori, contatti, organizzazioni, e di trasformare la vita digitale in una mappa sociale pronta a essere sfruttata. Il caso assume una dimensione ulteriore quando viene ricordata la detenzione in Tanzania nel maggio 2025, con episodi descritti come sparizione forzata e tortura, mentre Mwangi si trova nel Paese per monitorare processi politici e sostenere figure dell’opposizione. In questa cornice, la pressione non appare locale ma regionale, con un messaggio implicito che viaggia oltre confini: chi osserva, documenta e denuncia può essere colpito anche quando si sposta. In un contesto simile, il telefono è la prima cosa che un apparato repressivo vuole: perché è lì che vive la rete di relazioni e la cronologia di un impegno.

Cellebrite e il problema della “due diligence” che non regge

Cellebrite opera come leader nella forensica mobile, vendendo strumenti a forze dell’ordine e agenzie in tutto il mondo. Proprio per questo, la questione dei controlli interni diventa inevitabile. Non basta dichiarare un commitment ai diritti umani se l’uso sul campo mostra una ricorrenza di casi dove gli strumenti finiscono dentro operazioni che colpiscono attivisti, giornalisti, oppositori. Il nodo è che la tecnologia forense è, per definizione, una tecnologia di accesso. Non è un “sensore” che osserva passivamente. È una chiave che apre. E quando la chiave viene distribuita a soggetti che operano in contesti segnati da violazioni, il rischio diventa strutturale. In questo senso, il caso Mwangi non è un incidente isolato: è un esempio nitido del divario tra policy dichiarate e outcome reali. Qui emerge anche un problema di accountability: se un’azienda non è in grado di impedire che i suoi strumenti vengano utilizzati per bypassare password durante una custodia di polizia legata a un arresto denunciato come arbitrario, allora i meccanismi di prevenzione non sono adeguati. E se episodi analoghi si ripetono in più Paesi, il tema si sposta dal singolo cliente alla strategia commerciale complessiva.

Il valore dell’analisi tecnica e la prosecuzione delle verifiche su altri dispositivi

Il caso non si chiude con un singolo telefono. L’analisi prosegue su altri dispositivi sequestrati, cercando ulteriori indicatori, artefatti e coerenze temporali. È un dettaglio importante perché mostra come la repressione digitale non sia quasi mai monolitica: spesso è un mosaico di acquisizioni, copie, estrazioni e verifiche che coinvolgono più device, più account e più superfici di dati. In questa prospettiva, la traccia com.client.appA diventa un elemento di un metodo, non una curiosità. È il tipo di indicatore che permette di costruire una cronologia, di collegare custodia fisica e attività digitale, e di rendere verificabile ciò che altrimenti resterebbe una denuncia contro una struttura di potere. Ed è proprio la verificabilità, in questi casi, a fare la differenza tra un racconto che può essere archiviato e un dossier che resta aperto.