Skip to content Skip to footer

Spyware fuori controllo in Ue

The Left - Pega

Immagine in evidenza da TheLeft.Eu

Lo spyware non è solo una tecnologia. È uno strumento di una cassetta degli attrezzi più ampia, quella dell’autoritarismo. È una grave minaccia per la democrazia perché non viene utilizzata contro un cittadino qualsiasi, ed è anche per questo che molte persone pensano “Non mi riguarda” […]. Riguarda proprio i custodi della nostra democrazia, che mettono il potere davanti alle sue responsabilità, le persone che agiscono una supervisione, i giornalisti, gli avvocati, le Ong, i ricercatori, i politici di opposizione”. 

Così ha esordito la relatrice della commissione PEGA Sophie in ‘T Veld lo scorso 14 giugno, il giorno prima del voto che ha portato all’adozione di raccomandazioni importanti sull’utilizzo di spyware in Europa. Dopo un anno e mezzo, il lavoro della commissione a Strasburgo si è concluso. Il Parlamento l’aveva istituita nell’aprile 2022 in risposta a Pegasus Project, l’inchiesta giornalistica transnazionale guidata da Forbidden Stories, un consorzio di giornalisti che, insieme al Security Lab di Amnesty International, aveva pubblicato nell’estate 2021 una serie di scoop sulla presenza di questo spyware sui telefoni di giornalisti e politici europei.

Il nome della commissione (di cui avevamo già scritto in questo articolo) deriva dallo spyware commercializzato dall’azienda israeliana NSO e venduto a vari Governi, un software che una volta inoculato in uno smartphone o computer può carpire informazioni e dati sulle attività dell’utente, e che proprio l’inchiesta transnazionale ha dimostrato essere stato utilizzato per spiare giornalisti, attivisti politici e per i diritti umani, finanche politici e avvocati. Dopo un anno e mezzo la commissione PEGA, con a capo il gruppo Verdi/EFA, ha scoperto come numerosi Paesi europei hanno effettivamente avuto, o hanno tuttora, accesso a queste tecnologie, in vari casi “utilizzate illegalmente per scopi politici per spiare giornalisti, politici d’opposizione, avvocati, magistrati e altri protagonisti della società civile”.

Le raccomandazioni della commissione di indagine

Le raccomandazioni, approvate in larga maggioranza dal Parlamento ma non vincolanti per gli Stati membri, rappresentano un dato di continuità rispetto a quanto denunciato da giornalisti e attivisti minacciati dall’abuso di spyware da parte di Governi. Tramite queste precise indicazioni la commissione PEGA ha innanzitutto rivolto alcune richieste al governo polacco, ungherese e greco, i più coinvolti dallo scandalo Pegasus (e Predator, un altro spyware prodotto da una diversa società) e che stanno vivendo da tempo un’involuzione democratica. In particolare ha chiesto di intraprendere alcune misure per definire concretamente l’abuso di spyware nel Paese e per stendere una legislazione che possa salvaguardare i diritti dei cittadini dei tre Stati membri. La commissione PEGA invita poi anche la Spagna ad indagare a fondo sui presunti casi di sorveglianza, compresi quelli avvenuti per mano dell’agenzia spagnola di intelligence. Per quanto riguarda le esportazioni di spyware tra Stati membri e aziende israeliane poi, le raccomandazioni guardano a Cipro. Allo stato metà europeo e metà turco la commissione chiede di controllare che le proprie licenze di esportazione siano appropriate, o altrimenti revocate in caso di minaccia ai diritti umani di cittadini, giornalisti, attivisti europei.

Il processo legislativo europeo in materia non sarà breve, anche se i parlamentari chiedono agli Stati membri fin da ora di indagare qualsiasi caso di presunto abuso coinvolgendo anche Europol e di impegnarsi esplicitamente all’abrogazione di tutte le licenze di esportazione di questa tecnologia di sorveglianza non pienamente conformi al regolamento europeo Dual use (uso duale, si riferisce a tecnologie che possono avere utilizzi sia civili che militari). La scadenza è il 31 dicembre 2023, anche se la commissione potrà valutare già entro il mese precedente lo stato dell’arte a seguito delle raccomandazioni. 

Le richieste della commissione PEGA, unite ai fatti emersi attraverso le inchieste giornalistiche degli ultimi anni e alle raccomandazioni avanzate da Irene Khan, UN Special Rapporteur per la promozione e la protezione della libertà di espressione (e dall’ex David Kaye), vanno in un’unica direzione: quella di una possibile moratoria che metta un freno all’utilizzo, al trasferimento e alla vendita di spyware in Europa.

Controllo coordinato e trasparente da parte dell’Ue

Vista la dimensione transnazionale, secondo la commissione PEGA l’utilizzo di spyware nel continente dovrebbe essere normato a livello comunitario, contemplando alcuni aspetti fondamentali. 

Il primo riguarda l’autorizzazione richiesta per l’utilizzo della tecnologia, in capo all’autorità giudiziaria e per indagini relative a reati gravi. Autorizzazione ex ante, vincolante e significativa, che dimostri la necessità e la proporzionalità della misura, “solo in casi eccezionali e specifici al fine di proteggere la sicurezza nazionale”.

Le richieste della commissione sono poi molto precise dal punto di vista strettamente tecnico. Non si dovrebbero spiare soprattutto alcune categorie di persone quali politici, medici, giornalisti, e di conseguenza dovrebbe essere rispettato il segreto professionale di loro competenza.

Se effettuato, il targeting con spyware dovrebbe durare solo per un tempo definito, altrimenti, data la natura dello spyware, potrebbe essere effettivamente possibile operare una sorveglianza retroattiva, da scongiurare facendo sì che un’ulteriore autorizzazione da parte dell’autorità giudiziaria sia obbligatoria. La persona target dello spyware poi, dovrebbe essere avvisata dalle autorità competenti di quanto successo al termine del periodo di sorveglianza: a questa andrebbero fornite la data e la durata del controllo, i dati ottenuti e da quali soggetti sono stati raccolti, la presenza di un marcatore che identifica l’operatore che ha effettuato la sorveglianza, così come le modalità pratiche ed effettive per ricorrere in sede amministrativa o giudiziaria in caso di abuso (anche per quanto riguarda eventuali analisi forensi).

Come emerso dalle inchieste giornalistiche del progetto Pegasus, spesso questi strumenti captano informazioni e dati anche di persone intorno al target primario, e che non sono in alcun modo tutelate nella loro privacy. Per questo la PEGA raccomanda alle autorità giudiziarie di informare le persone terze coinvolte della violazione avvenuta e, esattamente come per i soggetti indagati, cancellarne i dati raccolti ma non utilizzati a fini investigativi.

Grande spazio nelle raccomandazioni è riservato alla trasparenza delle operazioni che coinvolgono l’uso di spyware da parte delle autorità giudiziarie: la commissione richiede sia pubblicato il numero delle richieste di sorveglianza approvate, ma anche il tipo e lo scopo dell’indagine, così da poter effettuare dei controlli nel caso in cui le forze dell’ordine abbiano abusato della tecnologia. Informazioni, dice la commissione PEGA, che sarebbero poi da condividere con la Commissione europea al fine di facilitare una comparazione tra Stati membri sull’uso di spyware.

Punto cruciale affrontato dal gruppo di lavoro è quello relativo al controllo ex post sulle operazioni di polizia effettuate attraverso spyware. Così come per altri mezzi tecnologici, dovrebbero infatti essere garantiti alla magistratura mezzi e poteri necessari per effettuare una ricostruzione a ritroso delle modalità con cui è stato utilizzato lo spyware sul soggetto indagato, così da poterne accertare la legittimità effettiva. Un controllo che secondo la commissione PEGA potrebbe essere svolto anche dal Parlamento degli Stati membri, al di là della “definizione o delimitazione del concetto di sicurezza nazionale”. 

Avanguardista la posizione della commissione sulle possibili minacce future che tecnologie complesse e intrusive come gli spyware possono metterci davanti. Come per tutte le altre tecnologie, per esempio i deepfake o il riconoscimento biometrico, anche questa potrebbe infatti essere utilizzata per falsificare o manipolare la realtà e portare dunque a conseguenze disastrose per il soggetto indagato. Secondo la commissione andrebbero quindi definite modalità chiare attraverso le quali prove di questo tipo sono considerate ammissibili o meno in un’aula di tribunale.
Per ultimo, la commissione auspica che gli Stati membri dell’Unione europea collaborino tra loro non solamente per eseguire le indagini. Sarebbe importante che i Governi notificassero reciprocamente casi di sorveglianza di cittadini o residenti di un altro Stato membro, così da ampliare il controllo sull’operato delle autorità giudiziarie. 

Spyware made in EU

La provenienza dei software è un altro tema cruciale per tutelare i diritti delle persone da eventuali abusi di questa tecnologia. Come emerso dal progetto Pegasus e dalla successiva attività della commissione, molte aziende in questo settore sono israeliane (anche se l’industria è molto fiorente e sempre più Paesi si aggiungono all’elenco). Per evitare interferenze in Paesi europei, la commissione parla di “spyware conformi alla normativa europea”, ammissibili quindi nel mercato interno perché rispettosi di una sorta di “diritto by default”. Questo dovrebbe essere bollino di garanzia per i cittadini europei. I membri della commissione reputano poi estremamente negativo il fatto che le compagnie tecnologiche non si limitino unicamente a vendere spyware, ma anche servizi di supporto tecnico, operativo e metodologico relativi alla tecnologia di sorveglianza (in termini tecnici, hacking as a service).

La creazione di un istituto di ricerca interdisciplinare europeo, EU Tech Lab, potrebbe probabilmente essere un argine in questo senso. In EU Tech Lab la commissione PEGA vede uno spazio di ricerca e sviluppo che comprenda necessariamente anche la tutela dei diritti fondamentali dei cittadini europei, e il lavoro congiunto di esperti, accademici, società civile. Al centro interdisciplinare sarebbe riservato anche il compito di denunciare l’uso illecito di software a fini di sorveglianza illecita, di cui è venuto a conoscenza a seguito di controlli tecnici sugli smartphone in cui sarebbero stati inoculati illecitamente spyware, e analisi forensi sui dispositivi per indagini giudiziarie a tutela dei soggetti colpiti ingiustamente.

“Un approccio di omertà, non cooperazione”

Nell’arco dell’anno e mezzo di esistenza della commissione PEGA sono due gli elementi perlopiù negativi che hanno accompagnato il lavoro svolto dai parlamentari. Hannah Neumann, parlamentare dei Verdi, durante la seduta del 14 giugno dice: “[…] noi, la commissione d’inchiesta PEGA, abbiamo svolto un lavoro negli ultimi 12 mesi. Tuttavia, invece di lavorare con noi, i Governi degli Stati membri l’hanno ignorato o ostacolato. L’approccio è stato di omertà, non di cooperazione”.

Il primo elemento che ha caratterizzato negativamente il processo di trasparenza è senza dubbio la mancanza di una visione corale sul tema da parte degli Stati membri. In una plenaria del marzo 2023 a Strasburgo, il presidente della commissione Jeroen Lenaers (membro del PPE, coalizione di centrodestra) ha riportato lo stato dell’arte fino a quel momento lasciando ben poco spazio a interpretazioni. 

Nonostante la commissione PEGA abbia ottenuto grande supporto da parte di 180 persone tra cui tecnici esperti, membri della comunità accademica, giornalisti e società civile ascoltati in numerose audizioni, Lenaers afferma: “sono frustrato, tuttavia, per il motivo per cui sono qui oggi a rappresentare la commissione PEGA a Strasburgo. Perché, fin dall’istituzione della nostra commissione, ci sono state due parti fondamentali interessate che non hanno adempiuto al dovere di sincera e leale cooperazione, o che si sono rifiutate di agire con decisione di fronte a una grave minaccia. Gli Stati membri e la Commissione”.

Il presidente collega le sue dichiarazioni al fatto che, a seguito dell’invio di un questionario agli Stati membri in cui la commissione PEGA chiedeva lumi circa l’utilizzo di spyware, la legislazione che ne disciplinasse l’uso nonché l’autorizzazione ex ante e la supervisione ex post, le risposte fossero arrivate solo da 10 Stati su 27. Nonostante fossero passati circa otto mesi in quel momento, e la commissione PEGA di fatto non chiedesse “la divulgazione di segreti di Stato o la piena trasparenza in materia di sicurezza nazionale”, bensì una serie di domande “semplici, dirette e concrete a cui qualsiasi governo dovrebbe essere in grado di rispondere senza alcun problema”. Tra i Paesi membri che non hanno fornito una risposta c’è anche l’Italia: “da stati membri come l’Olanda, la repubblica Ceca, la Danimarca, l’Italia o Malta non abbiamo ricevuto né informazioni né risposta, ed è assolutamente inaccettabile”.

Interpellato sul punto da Guerre di Rete, il dipartimento per le Politiche europee – sotto la Presidenza del consiglio ministri – non ha fornito risposta.

Bilanciamento tra responsabilità e controllo

Il secondo elemento che ha distinto, anche qui in maniera negativa, il lavoro della commissione PEGA, riguarda la questione “sicurezza nazionale”. Sempre nella stessa plenaria, Lenaers riporta una risposta fornita dalla Commissione europea stessa davanti alle domande che lui e gli altri membri hanno posto all’inizio dei lavori: “non indagheremo. Non lo faremo perché [il fatto in sé riguarda, ndr] le autorità nazionali. La Commissione non può toccare questioni di sicurezza nazionale e le persone dovrebbero cercare di avere giustizia nei rispettivi tribunali nazionali”.

Una sorta di scaricabarile che ha fatto sì che, a cascata, gli stessi Stati membri fossero in qualche modo giustificati a non fornire informazioni sull’utilizzo illegale di spyware nel proprio Paese e nei confronti dei propri cittadini.

Il tema della sicurezza nazionale è stato ampiamente trattato nella relazione conclusiva dei lavori della commissione PEGA, pubblicata il 22 maggio scorso. Nella plenaria del 14 giugno scorso, in cui la relatrice in ‘T Veld ha presentato le raccomandazioni circa l’utilizzo di spyware nel continente, la sicurezza nazionale torna a più riprese negli interventi di molti membri. Nello specifico si parla di come la Corte di giustizia europea abbia chiarito che gli Stati membri devono essere in grado di dimostrare concretamente la compromissione della sicurezza nazionale: non basta quindi, per i Governi, schermarsi dietro a una poco chiara minaccia alla sicurezza interna del Paese. Si è parlato anche della necessità fondamentale di dare una definizione chiara e comune di “sicurezza nazionale”, così come di garantire che negli Stati membri possa essere svolto un controllo terzo e indipendente sul modo in cui questa viene applicata. 

A conclusione del dibattito in plenaria del 14 giugno, la relatrice in ‘T Veld ha rivolto un appello all’Unione europea: “l’Ue deve agire e avere il potere di agire, perché, francamente, affidarsi alle autorità nazionali per far rispettare la legge, quando quelle stesse autorità sono i veri colpevoli, non ha assolutamente senso”.

L’audizione al vicepresidente di NSO

Quando nel giugno dello scorso anno la commissione PEGA ha audito Chaim Galfand, il numero due del gruppo israeliano NSO, sono state due ore di domande incessanti che con il senno di poi rendono chiara la posizione della commissione di indagine. Poche le risposte complete, anche e soprattutto per via del segreto commerciale che tutte le aziende sfoderano come scudo davanti a qualsiasi richiesta di informazione esterna, e in nome della confidenzialità dei rapporti con i propri clienti.

In questo caso non clienti qualunque, ma Governi europei e non solo. Durante la seduta Galfand ha fornito comunque informazioni rispetto alla situazione europea in materia di acquisto di tecnologie di sorveglianza di questo tipo. Pegasus è stato venduto in almeno 14 Paesi europei: oltre a Polonia e Ungheria, in cui è stato appurato l’utilizzo illegale, degli altri Paesi poco si conosce e i Governi rimangono silenti. Finora non ci sono informazioni ufficiali in merito all’utilizzo di questo spyware da parte delle autorità italiane.

Leggi anche: Pegasus, il Parlamento europeo vuole chiarezza. Gli Stati Ue no 
Leggi anche: l’approfondimento di Guerre di Rete Spyware Ltd

Associazione Guerre di Rete
Associazione Cyber Saiyan, P. IVA 14669161003