Laissez-faireL’Unione europea non ha ancora approvato una legge anti-spyware

Burxelles ha scelto di non legiferare in materia di software spia, approvando solo una risoluzione che sta ai singoli Stati applicare. Servirebbe una legge sulla libertà dei media per proteggere i giornalisti

Unsplash

Se l’Unione Europea si è scontrata con Facebook sulla privacy e con X sulla disinformazione, sul tema spyware commerciali ha scelto di non intervenire. Questo ha portato a una proliferazione di aziende in alcuni Paesi come Polonia, Ungheria, Spagna e Grecia dove questi software di spionaggio vengono utilizzati per fini politici e di controllo dell’informazione. 

È successo a Madrid in cui Pegasus, spyware di sorveglianza, sarebbe stato impiegato per vigilare su diversi esponenti del movimento indipendentista catalano nel 2022, il cosiddetto Catalangate. In Grecia novantadue cittadini tra cui politici, ministri e giornalisti hanno ricevuto SMS infetti associati allo spyware Predator: i messaggi contenevano un breve testo e un link a un sito web che assomiglia molto a uno noto di notizie ed erano personalizzati; molti di questi sono stati inviati tramite la piattaforma elettronica dello Stato per la vaccinazione durante la pandemia. È quanto emerge dalla dichiarazione dell’Autorità greca per la protezione dei dati il 27 luglio di quest’anno. 

Una volta installato sul telefono lo spyware Predator, simile a Pegasus, può accedere a password, file, foto, cronologia del browser o contatti; può anche attivare la fotocamera o il microfono e scattare screenshot. La mancanza di regolamentazione dell’UE su chi può usare lo spyware e come, scrive POLITICO nella cover story dell’ultimo numero, significa che anche i ministeri dell’istruzione, le agenzie nazionali delle entrate e le forze dell’ordine, hanno accesso ad alcune delle tecnologie di sorveglianza più invasive disponibili. 

L’industria globale di spyware ha un valore di circa 12 miliardi ma è difficile stimare la quota europea di questa cifra. L’industria dello spyware ha una lunga storia nell’Ue, a cominciare dall’azienda italiana Hacking Team e la tedesca FinFisher che hanno aperto la strada vendendo software progettato per intercettare i dispositivi personali. Ogni suo Paese, secondo i ricercatori, ha almeno un’eccellenza nella produzione di questi dispositivi. Tra questi, anche la bulgara Circles che vende un prodotto che è stato usato per intercettare il cellulare di un giornalista londinese e MOBILedit della Repubblica Ceca, che le forze di sicurezza ucraine hanno usato nella loro guerra contro la Russia. 

Avere una sede nell’UE conferisce diversi vantaggi scrive POLITICO: dà un’impronta di legittimità ai prodotti e il mercato unico consente un facile accesso ai clienti di tutto il blocco. Inoltre, l’assenza di normative comuni consente alle aziende di fare shopping per trovare l’ambiente legale più permissivo. «Nell’UE, le aziende produttrici di spyware approfittano del fatto che la regolamentazione è varia e aprono uffici negli Stati membri in cui i controlli sulle esportazioni sono notoriamente deboli», ha dichiarato Steven Feldstein, esperto del Carnegie Endowment for International Peace di Washington. 

In seguito alla pubblicazione nel 2021 del Progetto Pegasus, un’indagine condotta da un consorzio di testate europee, l’anno successivo il Parlamento europeo ha avviato la commissione d’inchiesta Pega per indagare sugli abusi in tutto il blocco. I legislatori hanno intervistato  l’avvocato capo del Gruppo NSO, Chaim Gelfand, e hanno intrapreso missioni investigative in Israele, Ungheria, Spagna, Grecia e Polonia. Gelfand ha rivelato che la società ha venduto a quattordici governi dell’UE e ne ha sospesi due per uso improprio. 

«Stiamo cercando di fare la cosa giusta e questo è più di altre aziende che lavorano nel settore», ha detto ai membri della commissione nel giugno 2022. Il Parlamento Europeo ha poi approvato una risoluzione per chiedere ai Paesi di rispettare le sentenze della Corte europea dei diritti dell’uomo e ripristinare l’indipendenza della magistratura e gli organi di controllo, che dovrebbero subordinare l’utilizzo di spyware a un’autorizzazione indipendente e specifica da parte dell’autorità giudiziaria, avviare indagini credibili sui casi di abuso e garantire ai propri cittadini di ricorrere per vie legali. 

La Plenaria di Strasburgo autorizza il ricorso ai software di sorveglianza solo negli Stati membri in cui le accuse di abuso sono state oggetto di indagini approfondite, la normativa nazionale sia in linea con il diritto europeo e le norme sul controllo delle esportazioni vengano applicate correttamente. Le autorità dovrebbero ricorrere a Pegasus e agli altri spyware solo in casi eccezionali, per uno scopo predefinito e per un periodo di tempo limitato, garantendo comunque i dati protetti dal segreto professionale e quelli che riguardano politici, medici o mezzi d’informazione, a meno che non vi siano prove del coinvolgimento in attività criminali. Il testo è una risoluzione non legislativa ma una sorta di esortazione ai governi nazionali. 

A ottobre la Commissione ha rivelato a POLITICO che sta preparando una guida per i governi dell’UE su come utilizzare i software spia in modo coerente con le leggi sulla protezione dei dati e sulla sicurezza nazionale dell’UE, ma l’adozione sarà responsabilità dei governi nazionali, che finora si sono dimostrati riluttanti ad adottare misure che limiterebbero il loro accesso alla tecnologia di sorveglianza. Conosciuto come ISS World, il più grande evento dell’industria europea dello spyware si svolge ogni anno in un edificio alla periferia di Praga scrive POLITICO. 

«Il più grande raduno al mondo di analisti regionali delle forze dell’ordine, dell’intelligence e della sicurezza interna» viene chiamato “il ballo degli intercettatori”. I partecipanti all’esterno indossano il badge girato per nascondere le loro affiliazioni ma all’interno i padiglioni sono pieni di gente. Quest’anno in giugno, i rappresentanti delle forze di polizia e di sicurezza di Austria, Germania, Kosovo, Russia, Svezia, Ucraina e altri novantasei Paesi sono arrivati in abiti casual, con i blocchi degli appunti in mano. Le brochure degli anni precedenti, visionate da POLITICO, mostrano che hanno partecipato delegazioni governative di tutti i Paesi dell’UE, ad eccezione del Lussemburgo. Nel 2013, tra i partecipanti c’erano i rappresentanti delle ambasciate europee di Togo, Afghanistan, Algeria, Marocco, Russia e Yemen. 

Ad attendere i potenziali clienti c’erano centoquindici espositori desiderosi di dimostrare che i loro prodotti potevano fare la differenza tra il perdere o evitare un attacco terroristico. Tra le aziende in mostra c’erano Candiru, Feedback Italia e Rayzone Group, oltre alla britannica BAE Systems e alla francese Airbus, tra i maggiori produttori militari in Europa. L’attrazione principale era però il gruppo israeliano NSO, il cui prodotto di punta è proprio Pegasus, utilizzato anche contro politici dell’opposizione in Ungheria e Polonia, impiegato dal Marocco per colpire funzionari del governo francese, tra cui il presidente Emmanuel Macron utilizzato per spiare il capo di Amazon Jeff Bezos per otto mesi ed è stato installato sul telefono della moglie di Jamal Khashoggi, il giornalista ucciso e smembrato all’ambasciata saudita di Istanbul. 

«A settembre, gli organismi per i diritti digitali Citizen Lab e Access Now hanno rivelato che Galina Timchenko, giornalista russa con sede in Lettonia e fondatrice dell’organo di informazione indipendente Meduza, era stata infettata da Pegasus mentre incontrava russi dissidenti a Berlino. Le prove indicano sempre più la Lettonia come probabile responsabile dell’attacco», ha dichiarato Access Now a POLITICO. Stéphane Duguin, direttore del CyberPeace Institute ed ex funzionario dell’Europol, ha affermato che, poiché i governi non sono riusciti a finanziare una tecnologia indipendente per monitorare le comunicazioni dei criminali, i dipartimenti di polizia si sono rivolti a società private per trovare soluzioni. «Se domani le forze dell’ordine non avranno la capacità di acquistare auto o di avere persone per le strade, cosa faranno? Appalteranno la sorveglianza fisica dei criminali a società private – ha detto Dugulin -. È questo il punto di partenza». 

Una prossima legge dell’UE sulla libertà dei media potrebbe rendere più difficile per le forze dell’ordine nazionali l’uso di spyware contro i giornalisti. Ma la Commissione ha evitato altre mosse più incisive per limitare l’uso o l’abuso di spyware da parte di vari livelli di governo. Una legge del 2021 per limitare l’esportazione di tecnologie come i software spia ha avuto finora uno scarso impatto. 

Il rapporto della commissione parlamentare che indaga su Pegasus ha affermato che vi sono “ampie prove” che l’adozione della legge è “debole e frammentaria”, con alcuni Paesi che la ignorano deliberatamente, scrive POLITICO. «Non c’è alcuna supervisione e le poche regole esistenti non vengono affatto applicate dalla Commissione», ha dichiarato Sophie in ’t Veld, leader di Pega. La sicurezza nazionale resta di competenza dei singoli Paesi così come le decisioni in materia di spyware. 

Entra nel club, sostieni Linkiesta!

X

Linkiesta senza pubblicità, 25 euro/anno invece di 60 euro.

Iscriviti a Linkiesta Club