Skip to content Skip to footer

Come l’Europa non sta reagendo all’abuso di spyware

Roberta Metsola

Immagine in evidenza: Roberta Metsola, presidente del Parlamento Ue, in un video che ha pubblicato su X, quando venne prese di mira da uno spyware

C’è stato Pegasus project, poi Predator files. Le inchieste giornalistiche transnazionali che documentano la sorveglianza illegale su giornalisti, politici, dissidenti e attivisti sono sotto gli occhi di tutta l’Unione Europea. Eppure, a distanza di quasi due anni dalla nascita della commissione Pega – la commissione d’inchiesta istituita dal Parlamento Ue per “indagare sull’uso di Pegasus e altri spyware”, uno sforzo politico non indifferente per gli standard di Strasburgo – poco sembra essere cambiato.

Le ultime rivelazioni in ordine cronologico sono quelle dell’inchiesta transnazionale nota come Predator Files e coordinata da European Investigative Collaborations (EIC.network) che, basandosi su centinaia di documenti riservati ottenuti da Mediapart e Der Spiegel – analizzati con l’aiuto del Security Lab di Amnesty International – ha documentato come alcune aziende europee abbiano fornito lo spyware Predator, prodotto dal gruppo francese-israeliano Intellexa, a stati autoritari. Della Intellexa Alliance ha parlato ampiamente anche il quotidiano Domani, partner italiano del progetto d’inchiesta.

Predator e i Predator files

Il software Predator è uno spyware venduto ai governi da un insieme di società informatiche raccolte sotto l’ombrello di Intellexa, e controllate da una holding con sede in Irlanda. Il software permette di ottenere l’accesso completo degli smartphone della vittima, incluso microfono, videocamere, messaggi testuali, app.
Intellexa è stata fondata da Tal Dilian, ex ufficiale dell’esercito israeliano, ed è una delle aziende più attive nella fiorente industria degli spyware. Ha uffici a Cipro, in Grecia, in Irlanda, in Ungheria, nella Repubblica Ceca e in Francia, nonché in Macedonia del Nord e negli Emirati.
Lo scorso ottobre è uscita l’inchiesta internazionale “Predator Files” che ha fatto luce su un insieme di aziende interconnesse (che il progetto ha ribattezzato “Alleanza Intellexa”) e sul loro spyware Predator. L’indagine ha evidenziato come 25 Paesi avrebbero acquistato i prodotti di Intellexa. Tra questi anche Stati europei come Austria, Germania e Svizzera.

Scrive il Security Lab di Amnesty International: “Dal 2018 l’alleanza ha utilizzato diversi nomi di marketing per descrivere i suoi prodotti spyware per dispositivi mobili, tra cui “Green Arrow” per l’agente spyware per Android e “Red Arrow” per l’agente spyware per iOS. Più recentemente, Intellexa ha commercializzato il suo sistema di spyware con i nomi di “Predator” e “Helios”, tra gli altri. Nel presente rapporto, ci riferiamo a questo prodotto complessivo di spyware per smartphone come Predator, in quanto riteniamo che tutti questi nomi di prodotti si riferiscano allo stesso insieme di tecnologie spyware in gran parte correlate, originariamente sviluppate dall’azienda nord-macedone Cytrox, che in seguito è entrata a far parte dell’alleanza di Intellexa”.

I governi europei maggiormente coinvolti nello scandalo Predator sono quello francese e greco: da una parte c’è l’entourage di Emmanuel Macron, accusato di aver aiutato un’alleanza di società informatiche a vendere Predator; dall’altra c’è un sms inviato a undici persone influenti nel panorama politico greco e non solo. Il link che appariva sul messaggio, una volta aperto dalla vittima, infettava il telefono con Predator in pochi minuti. Secondo Mediapart, il numero di telefono di Grigoris Dimitriadis, segretario generale del premier Mitsotakis nonché suo nipote, sarebbe stato usato per inviare questi messaggi, ma l’interessato ha negato qualsiasi coinvolgimento.

Le ripercussioni in Grecia

“Ad oggi sappiamo che molti ministri attualmente in carica, il capo politico Nikos Androulakis, giornalisti, direttori di giornali, imprenditori sono stati target del software; e che alcuni di loro erano allo stesso tempo intercettati legalmente dai servizi di intelligence greci”, commenta a Guerre di Rete la giornalista greca Eliza Triantafillou, della testata Inside Story, una piccola realtà di giornalismo investigativo che per prima ha iniziato a seguire la pista spyware in Grecia (di cui abbiamo scritto un anno fa in newsletter). Non c’è prova che sia stato proprio Dimitriadis a inviare quel link. Tuttavia i Predator Files hanno aggiunto un ulteriore tassello al Watergate greco, essendo stata proprio la Grecia l’epicentro delle prime rivelazioni sull’uso di Predator contro cittadini europei, in particolare politici e giornalisti.

Malgrado ciò in Grecia, dove l’utilizzo di spyware è illegale da parte delle forze dell’ordine, lo scandalo Predator non ha apparentemente sortito nessun effetto. “Una storia enorme che sarebbe dovuta essere su tutti i canali televisivi e sui giornali, ma sfortunatamente non è stato così per mesi. In un sondaggio prima delle elezioni di quest’estate è emerso come solo il 5% degli elettori avrebbe preso in considerazione lo scandalo Predator prima di andare al ballottaggio”, continua Triantafillou. 

Anche se passa in sordina però, la sorveglianza ha sempre delle ripercussioni. A partire da “un effetto dissuasivo a lungo termine sui colleghi di tutto il mondo e sulle loro potenziali fonti”, dice la giornalista greca, raccontando a Guerre di Rete come durante la scrittura dell’inchiesta Predator sia stata sorvegliata anche fisicamente, insieme al collega Tasos Telloglou.

La riluttanza della Commissione Europea e lo spionaggio sui suoi rappresentanti

Secondo Triantafillou, “la commissione d’inchiesta Pega e il suo rapporto sono stati estremamente utili e hanno fatto luce su diversi aspetti che il Governo greco sembrava respingere, ma allo stesso tempo notiamo una riluttanza a livello della Commissione Europea ad assumere una posizione chiara nei confronti della Grecia. Così come davanti al fatto che la tecnologia spyware di Intellexa (che produce Predator, ndr) sia stata esportata in Sudan e in altri regimi oppressivi in violazione della regolamentazione dell’UE”. Mesi fa il Governo greco ha ammesso di aver concesso una licenza per l’export in Sudan.

Se Pegasus era approdato sui telefoni di alcuni politici europei, Predator – venduto a vari governi – ha raggiunto vette più alte. Tra i target cui è stato inviato un link per infettare il dispositivo con lo spyware c’è il presidente taiwanese Tsai Ing-Wen, due parlamentari statunitensi (Michael McCaul e John Hoeven), l’ambasciatore tedesco negli Stati Uniti Emily Haber e il deputato francese Pierre Karleskind, oltre a vari accademici e funzionari di diverse istituzioni, secondo l’indagine di Amnesty. “Molti dei link identificati come malevoli e finalizzati a infettare gli obiettivi con Predator”, scrive l’ong, provenivano da un account di X chiamato “@Joseph_Gordon16″. Amnesty ritiene probabile “che abbia agito per conto delle autorità vietnamite o di gruppi di interesse nel Paese”.

“Non abbiamo cliccato sul link e l’abbiamo segnalato immediatamente”, ha dichiarato su X Roberta Metsola, presidente del Parlamento europeo, sottolineando come il suo telefono non sia stato infettato. Il rischio però c’era, anche perchè il link che poteva veicolare lo spyware è stato pubblicato in risposta a un suo post sulla piattaforma X.

Roberta Metsola - Screenshot report Amnesty
Immagine dal report di Amnesty

Sul caso, proprio l’ex relatrice della commissione Pega, Sophie in ‘t Veld è stata netta. Citando un tweet di Ursula Von der Leyen che a fine ottobre incontrava un rappresentante vietnamita e definiva il Paese “un forte partner dell’Unione Europea”, ha affermato di essere incredula poiché anche il Vietnam era nella lista degli Stati coinvolti nel tentativo di sorveglianza sulla presidente Metsola. “Questo sarebbe normalmente uno scandalo, ma non c’è una reazione pubblica, nessuna inchiesta, le domande si scontrano con il silenzio e l’intera questione è finita sotto il tappeto”, si legge nel tweet

Una nuova Pega?

L’europarlamentare in ‘T Veld si è spesa più volte proprio a livello europeo sottolineando come l’immobilismo non sia unicamente di alcuni Stati. Secondo in ‘T Veld l’istituzione di una nuova commissione di inchiesta prima delle elezioni europee di giugno sarebbe auspicabile. Anche la vicepresidente del parlamento Katarina Barley (S&D) ha dichiarato a Euractiv di sostenere una commissione Pega 2 per presentare “una proposta legislativa che stabilisca un chiaro quadro giuridico per quanto riguarda gli spyware”. Dello stesso avviso anche l’eurodeputata verde Saskia Bricmont.

Se però Pegasus e gli spyware sono stati ampiamente indagati in più di un anno di sedute e incontri, forse sarebbe sufficiente applicare le raccomandazioni pubblicate all’inizio dell’estate a valle di tutto il percorso. È di questo parere il già presidente della commissione Pega Jereon Leaners, del PPE, ma anche il presidente del Comitato per le libertà civili (Libe) Juan Fernandez Lopez Aguilar (S&D).

Bloccato in extremis il “diritto” di spiare i giornalisti

Le note pubblicate recentemente da Investigative Europe dimostrano poi come alcuni governi cerchino continuamente di fornire un framework legislativo favorevole all’utilizzo delle tecnologie spyware. In un incontro del Consiglio europeo svoltosi a novembre era infatti emerso come Italia, Francia, Finlandia, Grecia, Cipro, Svezia e Malta stessero spingendo per far sì che fosse resa legittima la possibilità di utilizzare spyware contro i giornalisti (per questioni di non meglio definita sicurezza nazionale) includendo la pratica nello European media freedom act (EMFA). Questa è una nuova norma che, neanche a farlo apposta, regolamenta il panorama dei media europei e dovrebbe proteggere la libertà dei media e dei giornalisti, i cui negoziati sono in corso da 15 mesi e dovevano concludersi in questo periodo. Critiche sulla modifica dell’articolo 4, che sostanzialmente avrebbe configurato un’eccezione di sorveglianza sui giornalisti, sono arrivate sia da politici di sinistra che di destra, e anche da Malta – il Paese in cui il governo è stato accusato di immobilismo sulle indagini per l’omicidio della giornalista Daphne Caruana Galizia nel 2017.

La Federazione europea dei giornalisti (EFJ) e altre organizzazioni giornalistiche avevano duramente condannato la richiesta dei sette governi per la legalizzazione dello spionaggio sui giornalisti, invitando il Parlamento europeo e la Commissione a respingere una richiesta “illiberale e repressiva”. Così, anche grazie a questa attività di pressione, il 15 dicembre il Consiglio dell’UE e il Parlamento europeo hanno raggiunto un accordo provvisorio sulla nuova legge per salvaguardare la libertà dei media, il pluralismo e l’indipendenza editoriale, che non cita più la possibilità di spiare giornalisti sulla base di vaghe necessità di sicurezza nazionale. 

Un mercato che prolifera senza regole

Oltreoceano intanto l’amministrazione Biden ha lanciato un segnale abbastanza concreto, reprimendo la commercializzazione di questi prodotti tecnologici attraverso un ordine esecutivo che impedisce al governo di acquistare spyware commerciali perché rischiosi per la sicurezza nazionale: il ragionamento è opposto a quello che i governi europei invocano proprio per adottare questi strumenti. A luglio poi gli Stati Uniti hanno inserito nella loro Entity List – che vieta ad aziende americane di commerciare con i soggetti nella lista e che già includeva le società di spyware NSO e Candiru – anche le aziende Intellexa e Cytrox, protagoniste dell’inchiesta Predator.

Non stupisce quindi il caso Predator: il modus operandi del legislatore europeo, pressoché assente, ha reso possibile una proliferazione di imprese nel continente che sfruttano soprattutto le maglie larghe delle normative sulle licenze e sull’esportazione di software simili. Nelle raccomandazioni pubblicate lo scorso giugno dalla commissione d’inchiesta PEGA e approvate in larga maggioranza dal Parlamento, seppur non vincolanti, il riferimento alla produzione di spyware “nostrani” era abbastanza chiaro. Produrli in Unione europea significa poter dettare degli standard e delle regole di utilizzo ma, dall’altra parte, comporta anche una serie di benefici alle aziende. 

“L’Europa sta diventando un terreno fertile per gli spyware, facilitando le esportazioni tra Paesi. Anche se sanzionano un’azienda, tagliano una delle teste dell’Idra, e ne spunta un’altra. Finché ci sarà domanda, ci sarà offerta”, ha dichiarato a Politico il direttore del programma sulla sorveglianza di stato di Privacy International Ilia Siatitsa. E vista la quantità di aziende che si lustrano per mostrarsi alla fiera di settore più importante al mondo, che si terrà a giugno a Praga e si chiama ISS World, non è del tutto sbagliato pensare che non siano solo i governi autoritari a far uso di questi strumenti. 

Anzi, la probabilità che ogni Stato membro si sia dotato di spyware è alta anche se non è stato ancora possibile dimostrarlo. Per ora ci dobbiamo far bastare il fatto che il capo di NSO Group, Chaim Gelfand, durante una seduta della commissione PEGA abbia dichiarato di aver venduto lo spyware Pegasus a ben 14 governi europei. Nessun governo ha mai rilasciato dichiarazioni che confutassero le parole di Gelfand.

Per come stanno le cose al momento, potrebbe essere un’altra direttiva quella che garantisce che le aziende tecnologiche non siano più nella posizione di ignorare le implicazioni che software come Predator o Pegasus hanno sulle persone: è la nuova proposta di direttiva relativa alla due diligence delle imprese, che potrebbe aggiungere alla lista delle garanzie in materia di diritti umani che le aziende sono obbligate a rispettare anche quelle legate agli impatti di pratiche di sorveglianza. 

A margine è poi utile sottolineare come la mancanza di una normativa comune che limiti un mercato in enorme espansione è determinata anche da una cieca prospettiva dei governi, che in tempi non sospetti, hanno appaltato ai privati il settore economico che sostiene le attività di investigazione.

Associazione Guerre di Rete
Associazione Cyber Saiyan, P. IVA 14669161003