Nella foto: Carles Puigdemont, parlamentare Ue ed ex-presidente della Catalogna. Fonte:EP
In pochi casi al Parlamento europeo sono state istituite commissioni d’inchiesta come quella messa in piedi lo scorso aprile. Il suo obiettivo sarà “indagare sull’uso di Pegasus e altri spyware”. Pegasus è il nome del software spia prodotto dall’azienda israeliana Nso e venduto ai governi per fare indagini contro la criminalità e il terrorismo, come ribadisce sempre la stessa società. Il software è utilizzato anche da molti Paesi dell’Unione, ufficialmente per questo scopo. Ma il ritrovamento di Pegasus negli smartphone di giornalisti, politici e funzionari di alcuni Stati europei, emerso grazie a un’inchiesta giornalistica transnazionale chiamata Pegasus Project e a sviluppi successivi, ha generato scandalo e preoccupazione.
Fatta eccezione per l’estrema destra, la commissione d’inchiesta sembra poter contare sul sostegno di tutti i gruppi parlamentari. Lo stesso non si può dire degli Stati membri, come denunciato da tutti i parlamentari europei, componenti della stessa commissione, sentiti da Guerre di Rete per questo articolo. Sophie In ’T Veld, eurodeputata del gruppo liberale centrista Renew Europe, crede che “nessuno Stato collaborerà alle indagini”.
“Il problema – spiega in’ T Veld a Guerre di Rete – ha una forte dimensione nazionale, che prescinde da qualsiasi colore politico”.
Sono chiamati spyware i software malevoli in grado di prendere il controllo di un dispositivo. In molti casi è necessario che l’utente clicchi su un apposito link perché il programma venga scaricato. Ma in altri l’installazione sfrutta vulnerabilità definite zero click che permettono di compromettere lo smartphone, o il pc, senza un ruolo attivo della vittima. Tutto avviene in modo automatico e silenzioso. È il caso di molti iPhone infettati con Pegasus, lo spyware prodotto dall’azienda israeliana Nso, definito dal Garante europeo della protezione dei dati personale un “game changer” nel panorama degli strumenti di intercettazione. Le aziende produttrici assicurano di vendere questi strumenti ai governi solo per fare indagini contro criminalità e terrorismo. Come poi gli Stati utilizzino questi strumenti resta un punto interrogativo. Nel tempo diversi gruppi di ricercatori hanno trovato le loro tracce o la loro presenza in un numero crescente di dispositivi di attivisti, giornalisti e dissidenti.
Spyware, un problema a lungo ignorato
Le prime inchieste che hanno dato notizia di un possibile utilizzo dello spyware Pegasus all’interno dei confini dell’Unione risalgono al 2018 in Polonia, anche se già all’epoca il tema non era nuovo. Nel 2012 dei ricercatori del Citizen Lab, laboratorio sulla sorveglianza dell’università di Toronto, avevano trovato sugli smartphone di alcuni attivisti del Bahrein tracce di un software spia, e nel loro report lo avevano attribuito a una società anglotedesca, Gamma International UK Ltd, che produceva la suite FinFisher, venduta ai governi. Da allora, ripetuti report tecnici e inchieste giornalistiche hanno mostrato come questi software finissero con facilità nelle mani di regimi che non li usavano solo per fare indagini autorizzate. Sotto la lente dei report dei “cacciatori di spyware” era finita anche un’azienda italiana, Hacking Team, per anni leader del settore. Il successivo leak di documenti e informazioni riservate sulla compagnia, avvenuto nel 2015 a seguito di un attacco informatico, aveva diffuso anche la presunta lista (i documenti diffusi non sono mai stati confermati né smentiti dall’azienda) di alcuni suoi clienti: tra gli altri, Paesi come Kazakistan, Azerbaigian, Sudan e Arabia Saudita.
Era poi emersa sulla scena la stessa Nso, citata nel 2018 pure da Edward Snowden, l’ex analista dell’Agenzia per la sicurezza nazionale statunitense (Nsa) che ha svelato vari programmi di sorveglianza di massa indiscriminata portati avanti dagli Usa e alcuni suoi alleati. Durante un collegamento video con una conferenza in corso a Tel Aviv, Snowden aveva sostenuto che il software dell’impresa israeliana sarebbe stato sfruttato dal governo saudita per monitorare i movimenti di Jamal Khashoggi, il giornalista ucciso nel 2018. Nso ha sempre negato qualsiasi coinvolgimento nella vicenda, anche indiretto.
Secondo un report del Citizen Lab, tra le vittime dello spyware ci sarebbe stato però Omar Abdulaziz, un dissidente saudita in stretto contatto con Khashoggi. E secondo una delle inchieste successive nate dal Pegasus Project, lo spyware sarebbe stato inviato sul telefono della moglie di Khashoggi, Hanan Etral, sei mesi prima del suo assassinio. Mentre un’analisi forense suggerisce che quello della fidanzata del giornalista, Hatice Cengiz, sarebbe stato violato pochi giorni dopo l’omicidio (di questa vicenda e di altre si parla anche nell’approfondimento di Guerre di Rete Spyware Ltd.).
Ma per la politica europea l’argomento è diventato pressante solo dopo il luglio 2021, quando la già citata Pegasus Project, un’inchiesta condotta da 17 testate giornalistiche, coordinate da Forbidden Stories e con il contributo tecnico di Amnesty International, ha condotto delle analisi forensi su decine di smartphone per individuare tracce del software prodotto da Pegasus. Le analisi hanno descritto il ritrovamento delle tracce forensi lasciate dalle infezioni sui dispositivi di avvocati, giornalisti, politici, e giudici, anche in Europa (qui una lista delle vittime accertate ad aprile): dalla Polonia (dove, tra gli altri, sono stati presi di mira un avvocato e un pubblico ministero) all’Ungheria, per arrivare a decine di attivisti del movimento indipendentista catalano. E poi c’è stato il caso del premier spagnolo Sanchez e della ministra spagnola della Difesa, María Margarita Robles Fernández (anche se in questo caso sembra che il mandante sia un altro Stato).
Questa volta, più che in passato, è emerso con evidenza non solo che tra le vittime c’erano dei cittadini europei, ma pure che tra i responsabili c’erano degli Stati europei, e non dei regimi illiberali. Uno scandalo senza precedenti nel perimetro della democratica Unione e che nelle ultime settimane ha coinvolto persino i vertici delle istituzioni Ue. Le ultime notizie dicono che anche Didier Reynders, l’attuale commissario europeo per la giustizia, insieme ad altri funzionari della Commissione, nel 2021 sarebbe finito nel mirino di uno spyware e di un tipo di attacco usato in passato da Nso, ha scritto Reuters, seppur ancora non sappiamo se la tentata intrusione sia andata a buon fine o meno, e chi abbia usato lo spyware. Nso ha dichiarato che l’attacco descritto da Reuters non poteva avvenire con i suoi strumenti e la stessa Reuters cita anche un’altra azienda israeliana con capacità simili.
La Commissione Ue condanna a parole, ma nei fatti non indaga
In questo contesto, è significativo analizzare la posizione adottata dalla Commissione Ue, composta dai delegati indicati dai governi dei Paesi membri. Quando sono state rese note le prime informazioni, la presidente Ursula von der Leyen ha usato l’espressione “completamente inaccettabile”.
A settembre 2021 Reynders aveva detto che la Commissione “condanna ogni accesso illegale ai sistemi e qualsiasi raccolta o intercettazione illegale delle comunicazioni (…). È un crimine contro l’Unione europea nel suo insieme”. Tuttavia, ad aprile 2022, l’organo esecutivo europeo ha fatto sapere che non indagherà sugli Stati membri che hanno utilizzato Pegasus per spiare politici, giornalisti e attivisti, giustificando la scelta così: si tratta di una faccenda che riguarda le autorità nazionali, la Commissione Ue non può occuparsi di questioni di sicurezza nazionale e le vittime dovrebbero cercare giustizia nei tribunali dei propri Paesi.
Per In ‘T Veld si tratta di una posizione “scandalosa” e parla di un Watergate europeo: “Anche se l’intrusione nello smartphone del commissario per la giustizia non fosse andata a buon fine – prosegue In ‘T Veld – rimane il fatto che un governo ha provato a influenzare il processo democratico all’interno delle istituzioni Ue, spiandole. Che la Commissione si rifiuti di investigare è inaccettabile e dovrebbe avere serie conseguenze politiche”.
“Questi spyware dovrebbero essere usati solo per motivi di sicurezza nazionale – commenta a Guerre di Rete anche Jeroen Lenaers, europarlamentare del Partito popolare europeo – quindi o la Commissione accetta che qualche Stato membro consideri Reynders un rischio per la propria sicurezza nazionale o ha il dovere di investigare, perché abbiamo a che fare con una violazione dello stato di diritto, a livello europeo ma non solo. Nessuno può convincermi che circa 200 giornalisti ungheresi fossero tutti pericolosi a tal punto da essere presi di mira con uno spyware estremamente intrusivo e che invece andrebbe usato in circostanze molto precise”.
Parlamento Ue vs Stati
Lenaers presiede la commissione d’inchiesta del Parlamento Ue che nei prossimi undici mesi tenterà di fare chiarezza sull’uso di Pegasus e spyware similari in Europa: l’obiettivo è fornire delle raccomandazioni che possano essere implementate per far sì che ciò che è accaduto non si ripeta. A Guerre di Rete, Lenaers non nasconde le difficoltà: “C’è un aspetto tecnico dovuto al fatto che le aziende produttrici di spyware non saranno mai del tutto trasparenti sul loro funzionamento, ma la principale difficoltà è un’altra: dover avere a che fare con gli Stati membri. Paesi che utilizzano questi software spia, dichiarando di farlo per motivi di sicurezza nazionale. Sfruttando questo argomento, sostengono che è una materia di competenza dei governi nazionali, su cui le istituzioni europee non possono interferire”.
A sottolineare di più la presunta invasione di campo è l’estrema destra, ma basta guardare i governi dei Paesi coinvolti nello scandalo per capire che la questione tocca corde sensibili per tutti gli orientamenti politici. Certo, ci sono l’Ungheria e la Polonia, guidate dalla destra. Ma il caso più controverso è quello della Spagna, dove le rivelazioni su Pegasus stanno causando anche una crisi democratica interna. Qui i servizi di intelligence sono stati accusati di aver infettato 63 politici indipendentisti catalani con Pegasus, e altri quattro con Candiru (spyware sviluppato da un’altra azienda di Tel Aviv).
Il tutto tra il 2017 e il 2020, cioè sia quando il presidente del governo era Mariano Rajoy (del Partito popolare, di centro-destra) sia quando l’ufficio era passato nelle mani di Pedro Sanchez, segretario del Partito socialista operaio spagnolo. Paradossalmente, quest’ultimo è stato a sua volta bersaglio di Pegasus insieme alla ministra della difesa Margarita Robles. Attacchi che il ministero della presidenza ha definito “illegali ed esterni”. Se la matrice delle intrusioni ai danni di Sanchez e Robles è dunque ancora ignota, più chiare sembrano essere le responsabilità delle autorità spagnole nella sorveglianza dei politici catalani pro indipendenza. Una sorveglianza che sarebbe stata fatta – sostiene ora il governo – nel pieno rispetto della legge. Ma la spiegazione non convince affatto i catalani, che chiedono massima trasparenza su quanto avvenuto. Intanto la vicenda ha aumentato la tensione fra Barcellona e Madrid in quello che ormai è definito come il Catalangate.
Diana Riba è una delle parlamentari europee catalane prese di mira e ammette che i rapporti con i colleghi spagnoli siano tesi al momento. Durante la prima plenaria della commissione d’inchiesta, Dolors Montserrat, deputata Ue del Partito popolare ed ex ministra della Sanità nel governo Rajoy II, ha accusato gli indipendentisti di giocare il ruolo delle vittime. “Noi non ci siamo auto-definiti vittime, è stato Citizen Lab a dire che lo siamo state”, ribatte Riba precisando che “vittime” collaterali dello spionaggio sono state anche le istituzioni europee. “Nel mio caso, l’attacco è avvenuto dopo la sentenza del tribunale spagnolo che ha condannato 12 leader indipendentisti: un periodo in cui ero in quotidiano contatto con lo staff dell’ex presidente del Parlamento europeo, David Sassoli. Se crediamo che l’Europa sia un posto libero e rispettoso dei diritti umani, dobbiamo creare una cornice legale specifica che regoli l’utilizzo di questi software”.
Tanti spyware, poche regole
Cornice legale che ancora oggi manca, nonostante tutti gli Stati dell’Unione comprino o sviluppino spyware, mettendoli poi a disposizione delle proprie forze di polizia. Pure in Italia sono diventati uno strumento prezioso per le attività investigative. Anche se il loro uso deve avvenire nel rispetto della Carta fondamentale dei diritti umani, della direttiva ePrivacy e della direttiva Law enforcement, a disciplinarlo sono norme di carattere nazionale, spesso lacunose. Per esempio, “nel nostro Paese – spiega a Guerre di Rete l’avvocato Giovanni Battista Gallus – si regola solo l’attivazione remota del microfono, ma non la geolocalizzazione, il keylogging (l’intercettazione e la memorizzazione di qualsiasi input proveniente dalla tastiera, ndr) e la registrazione di filmati tramite videocamera. Inoltre manca qualsiasi trasparenza e qualsiasi efficace controllo sulle aziende produttrici”.
Un aspetto che non sarà oggetto delle indagini della commissione d’inchiesta è la possibilità di usare legalmente Pegasus o prodotti simili per raggiungere obiettivi di interesse generale riconosciuti dall’Unione. Tutti gli europarlamentari che Guerre di Rete ha intervistato concordano sulla necessità di sfruttarli per combattere il terrorismo e la criminalità organizzata.
Il Garante dei dati Ue: “Al bando Pegasus&Co”
Eppure, in un documento pubblicato a febbraio, il Garante europeo per la protezione dei dati personali conclude che il sistematico impiego di Pegasus o di analoghe tecnologie altamente invasive non è compatibile con l’ordinamento giuridico europeo. Il livello di interferenza con il diritto alla privacy – si legge nel report – è così grave che l’individuo ne è di fatto privato. Una misura che non può essere considerata proporzionata e che riguarda non solo il diretto interessato ma tutti i suoi contatti. Inoltre – prosegue il Garante – priva le vittime di altre forme di protezione come la confidenzialità delle comunicazioni con un legale. Infine, il loro utilizzo può intaccare il diritto ad avere un giusto processo, uno dei pilastri dei sistemi legali dell’Unione.
La più efficace opzione per proteggere i nostri diritti fondamentali e le nostre libertà? “Bandire lo sviluppo e l’impiego di qualsiasi spyware con le capacità di Pegasus nell’Unione europea”, conclude il garante, aggiungendo una lista non esaustiva di indicazioni per prevenire gli abusi: promuovere il controllo democratico più che la sorveglianza; implementare un framework legale europeo sulla protezione dei dati; far sì che la revisione dei giudici sia pre che post intercettazione tramite spyware sia effettiva e non una pura formalità; ridurre il rischio che i dati raccolti grazie a pratiche di sorveglianza abusive raggiungano i database Ue; smettere di sfruttare ragioni di sicurezza nazionale per legittimare la sorveglianza politicamente motivata; dare più poteri di controllo alla società civile; affrontare le minacce all’indipendenza dei giudici e alla libertà dei media.