«Gli spyware non sono solo una tecnologia. Sono uno strumento in una cassetta degli attrezzi più ampia, quella dei regimi autoritari». Parole decise quelle di Sophie in ‘t Veld, relatrice della commissione parlamentare incaricata di esaminare l’uso di Pegasus e di altri software di spionaggio nell’Unione europea. Dopo oltre un anno di ricerche e missioni in diversi Paesi, la commissione Pega ha formulato una serie di raccomandazioni per regolare rigorosamente il commercio e l’uso di questi software, basandosi sulle conclusioni di una corposa relazione, che ne illustra l’utilizzo nell’Ue.
Cinque i Paesi in cui sono stati riscontrati i problemi maggiori: Polonia, Ungheria, Grecia, Cipro e Spagna. Situazioni differenti per obiettivi e modalità dello spionaggio, ma accomunate da casi di utilizzo indebito dei software di sorveglianza. In Ungheria e Polonia, dove sono finiti sotto controllo editori, giornalisti e membri della società civile, i rispettivi governi hanno smantellato i meccanismi di controllo e manca l’indipendenza della magistratura necessaria per prevenire eventuali abusi.
La risoluzione, approvata dall’Eurocamera con quattrocentoundici voti a favore, novantasette contrari e trentasette astensioni, chiede ai due Paesi di rispettare le sentenze della Corte europea dei diritti dell’uomo e ripristinare l’indipendenza della magistratura e gli organi di controllo: da tempo ambiti di scontro tra Bruxelles e i governi di Budapest e Varsavia. Che dovrebbero pure subordinare l’utilizzo di spyware a un’autorizzazione indipendente e specifica da parte dell’autorità giudiziaria, avviare indagini credibili sui casi di abuso e garantire ai propri cittadini la possibilità di ricorrere per vie legali.
La mancanza di «garanzie istituzionali e giuridiche» è stata contestata anche alla Grecia, dove le pratiche di spionaggio hanno toccato le alte sfere della politica. Nel luglio 2002 il leader del partito socialista ellenico (Pasok) Nikos Androulakis ha denunciato di essere stato intercettato per mesi dai servizi segreti: lo scandalo ha portato all’apertura di una commissione d’inchiesta parlamentare, alle dimissioni del direttore dell’intelligence Panagiotis Kontoleon e di Grigoris Dimitriadis, segretario generale (e nipote) del primo ministro Kyriakos Mītsotakīs. Tra le vittime dello spionaggio anche giornalisti investigativi e persino di Meta, cittadina statunitense con nazionalità greca.
Al governo di Atene viene inoltre chiesto di abrogare le licenze di esportazione di spyware che sono in contrasto con la normativa dell’Ue, così come dovrebbe fare Cipro, che «sembra collaborare molto strettamente con Israele nel settore delle tecnologie di sorveglianza» ed è considerato dalla relazione della Commissione un polo di esportazione per spyware, visto che risulta «piuttosto indulgente nel fornire licenze di esportazione» alle società del settore. Per la Spagna, non è chiaro chi abbia autorizzato l’utilizzo di spyware in quarantasette casi registrati dalla commissione d’indagine: diversi i bersagli, diversi i motivi che hanno condotto allo spionaggio e diversi gli autori.
Le vicende più note riguardano il governo di Madrid, vittima e presunto mandante di spionaggio in due differenti circostanze. La prima riguarda i telefoni cellulari del presidente del governo Pedro Sánchez, della ministra della Difesa Margarita Robles e del ministro degli Interni Fernando Grande-Marlaska, infettati da Pegasus probabilmente a opera del Marocco.
L’altra è il cosiddetto Catalangate, la maxi-operazione di sorveglianza ai danni di figure politiche e membri della società civile del movimento indipendentista catalano, tra cui l’attuale presidente della Generalitat de Catalunya, Pere Aragonès, e quella del parlamento catalano Laura Borràs (entrambi spiati prima di assumere le rispettive cariche).
Poco da segnalare, invece, per quanto riguarda l’Italia. Non non sono state riscontrate acquisizioni di spyware da parte delle autorità italiane e l’unico nome di rilievo menzionato è quello dell’ex presidente del Consiglio Romano Prodi, il cui numero di telefono figurava in un elenco di possibili obiettivi: probabilmente, ipotizza la relazione, perché ex inviato speciale delle Nazioni Unite per il Sahel e quindi «interessante» per il Marocco.
Tuttavia, le società di spyware Tykelab e Rcs Lab hanno scelto l’Italia come base per le proprie attività e dal 2012 è attiva Hacking Team (che ora si chiama Memento Labs) e che secondo la relazione avrebbe venduto i suoi prodotti a «diversi Paesi autoritari», tra cui il Sudan.
Meglio prevenire
Per prevenire ogni abuso, il Parlamento europeo non vorrebbe vietare tout court i software di sorveglianza, ma autorizzarne il ricorso solo negli Stati membri in cui le accuse di abuso sono state oggetto di indagini approfondite, la normativa nazionale sia in linea con il diritto europeo e le norme sul controllo delle esportazioni vengano applicate correttamente.
Le autorità dovrebbero ricorrere a Pegasus e agli altri spyware solo in casi eccezionali, per uno scopo predefinito e per un periodo di tempo limitato, garantendo comunque i dati protetti dal segreto professionale e quelli che riguardano politici, medici o mezzi d’informazione, a meno che non vi siano prove del coinvolgimento in attività criminali. Fra le richieste figura la trasparenza nell’informare le persone dell’avvenuta sorveglianza, la definizione di un perimetro circoscritto di possibilità in cui un governo possa invocare la sicurezza nazionale come giustificazione, e un laboratorio indipendente europeo incaricato di indagare sulla sorveglianza.
Ma anche un’indagine approfondita sulle licenze di esportazione e un’applicazione più rigorosa delle norme europee sul controllo delle esportazioni: non un dettaglio secondario, visti i forti indizi sul fatto che figure apicali dell’Unione, fra cui alcuni capi di Stato, siano stati spiati dai governi di Marocco e Ruanda. Vittima di sorveglianza telematica tramite Pegasus, del resto, è stato nel novembre 2021 anche il commissario europeo alla Giustizia Didier Reynders, insieme ad alcuni funzionari della Commissione.
Il testo adottato dal Parlamento, comunque, è una risoluzione non legislativa. Si tratta dunque di una sorta di esortazione alla Commissione e ai governi nazionali, destinatari delle raccomandazioni. Toccherà a loro prendere i provvedimenti necessari perché l’Ue possa difendersi: non solo dai tentativi di spionaggio stranieri, ma anche dalle violazioni perpetrate dai suoi stessi Stati membri.