Spyware, il Parlamento UE preme per maggiori strumenti contro gli abusi

In seguito al report di una commissione appositamente nominata del Parlamento Europeo, l’organo stesso ha deciso di portare all’attenzione della Commissione e del Consiglio dell’UE il problema della diffusione degli spyware. In particolare, sotto la lente della commissione c’è lo spyware “Pegasus”, proprietà della società israeliana di cyber-armi NSO Group. Secondo il Parlamento, la democrazia stessa sarebbe in gioco. Vediamo allora cos’è uno spyware (e, in particolare, Pegasus) e in che maniera questo minaccia le nostre democrazie, quale scenario ci mostra la relazione della commissione del Parlamento UE e cosa esattamente il Parlamento chiede a Commissione e Consiglio con la Raccomandazione del 15 giugno 2023 (2023/2500(RSP)).

Cosa sono gli spyware e perché interessano al legislatore?

Gli spyware sono dei malware che vengono scaricati, spesso inconsapevolmente, su un dispositivo elettronico. Dallo scaricamento essi rimangono attivi, senza segnalazioni, e registrano tutto quello che accade sul dispositivo, consentendo ad un esterno (di solito, la casa produttrice) di accedere ai dati registrati.

È chiaro che un utilizzo del genere comporta una grave invasione della privacy, e che quindi sia necessariamente da eseguirsi sotto strettissima sorveglianza e una normativa altrettanto stringente. Ad oggi, tuttavia, non esiste una disciplina organica né a livello italiano, né a livello europeo, o tantomeno a livello globale. In Italia, il decreto “Intercettazioni” (D.Lgs. 216/2017) e la legge “Spazzacorrotti” (l. 3/2019) regolano l’utilizzo degli spyware da parte dello Stato per, appunto, necessità di intercettazione. In particolare, gli spyware vengono ammessi per reati comuni, con limitazioni rispetto ai luoghi e ai tempi, per reati di criminalità organizzata e terrorismo e per alcuni reati contro la PA, senza limitazioni. Non esiste invece un intervento legislativo sull’uso privato di questi mezzi, nemmeno per renderli illegali.

Quando poi si parla dello spyware Pegasus, la questione si fa ancora più preoccupante, perché il software, individuato nel 2016, risulta essere straordinariamente sofisticato. Infatti, oltre a prevedere numerose modalità di installazione nel dispositivo (tra cui il click su un link o l’utilizzo delle app Foto, Apple Music e iMessage) alcune di queste modalità non necessitano di alcuna interazione da parte dell’utente, rendendo così Pegasus ancora più invisibile. Una volta infettato il dispositivo, poi, Pegasus permette a chi lo controlla di agire all’interno del telefono, e può registrare messaggi, telefonate ed ogni tipo di comunicazione, arrivando ad attivare la videocamera e il microfono del dispositivo.

Il funzionamento e gli utilizzi illeciti di Pegasus sono stati portati alla luce nel 2017 da un’inchiesta condotta dalla non-profit Organized Crime and Corruption Reporting Project (OCCRP), in collaborazione con altre organizzazioni e una rete di giornalisti internazionali. Il Project Pegasus, come è stato battezzato, ha portato alla luce un enorme numero di individui messi sotto sorveglianza da NSO Group tramite spyware, e si occupa ad oggi di individuare e diffondere le storie degli attaccati, che sono principalmente giornalisti, politici, diplomatici e attivisti in tutto il mondo. Il gruppo NSO ha negato alcuni dati dell’inchiesta e ha affermato di non poter rivelare l’identità dei propri clienti, ma di non essere in ogni caso responsabile dell’uso dei dati da parte degli stessi (dati a cui comunque il gruppo non avrebbe accesso) una volta che il software è stato venduto. Ovviamente, questo specifico utilizzo mette in pericolo l’informazione e l’opposizione politica, ponendo così a rischio il sistema democratico di informazione e partecipazione alla vita politica.

**Il report sull’uso di Pegasus e di spyware di sorveglianza equivalenti**

Quando, nel 2021, i report del Pegasus Project hanno iniziato a svelare l’utilizzo dello spyware da parte di diversi governi dell’UE contro giornalisti, politici e funzionari, il Parlamento europeo ha istituito una commissione d’inchiesta sull’uso di Pegasus e di spyware di sorveglianza equivalenti (commissione PEGA, ufficialmente istituita il 10 marzo 2022). Il risultato del lavoro, una relazione della Commissione denominata Relazione – A9-0189/2023, è stato presentato il 22 maggio 2023.

Quando, nel 2021, i report del Pegasus Project hanno iniziato a svelare l’utilizzo dello spyware da parte di diversi governi dell’UE contro giornalisti, politici e funzionari, il Parlamento europeo ha istituito una commissione d’inchiesta sull’uso di Pegasus e di spyware di sorveglianza equivalenti (commissione PEGA, ufficialmente istituita il 10 marzo 2022). Il risultato del lavoro, una relazione della Commissione denominata Relazione – A9-0189/2023, è stato presentato il 22 maggio 2023.

L’indagine è stata resa difficoltosa dalla riluttanza dei governi degli Stati membri a fornire informazioni utili, sia sull’acquisizione e sull’uso di spyware, sia sulla legislazione in merito, invocando la sicurezza nazionale, che al momento è competenza dei singoli Stati. Inoltre, i rivenditori e i paesi che rilasciano licenze di esportazione non condividono informazioni sui loro clienti. Nonostante ciò, la commissione ritiene di poter trarre alcune conclusioni:

Si può senz’altro presumere che le autorità di tutti gli Stati membri utilizzino in un modo o nell’altro gli spyware, talvolta legittimamente, talvolta no;

Dalle informazioni fornite da NSO Group, Pegasus è stato venduto ad almeno 14 paesi dell’UE, prima della risoluzione del contratto con due di essi. Non si sa con certezza quali siano i paesi ad aver risolto il contratto, ma si presume che si tratti di Polonia e Ungheria;

Oltre a essere clienti dei rivenditori di spyware, gli Stati membri rivestono anche altri ruoli nel commercio di spyware, come ospitare rivenditori, fornire servizi finanziari e bancari, offrire la cittadinanza e la residenza agli operatori del settore;

In molti Stati membri, i servizi di intelligence e gli usi degli spyware sono regolamentati. Tuttavia, ci sono preoccupazioni nei confronti di alcuni paesi a causa di quadri di intelligence permissivi, controlli inefficaci, pratiche di controllo poco rigorose e ingerenze politiche;

Gli spyware non sono utilizzati solo dalle agenzie di intelligence, ma anche dalle autorità di contrasto, a seconda delle legislazioni nazionali in merito. Vi sono serie preoccupazioni circa l’ammissibilità in tribunale di tali materiali come prove;

L’abuso di spyware rappresenta una minaccia per la democrazia e i diritti fondamentali, ma l’UE non ha ancora preso provvedimenti in merito.

Inoltre, il report dettaglia la situazione dell’utilizzo di spyware in Polonia, Ungheria, Grecia, Cipro, Spagna, e meno nel dettaglio, tutti gli altri Stati membri, evidenziando persone prese a bersaglio dallo spyware e quadri legislativi ove disponibili. In particolare in Polonia, Ungheria, Grecia e Spagna viene evidenziato un utilizzo di Pegasus senza adeguati limiti imposti all’azione statale, senza un adeguato controllo e soprattutto prendendo di mira soggetti che suggeriscono un intento prettamente anti-democratico, con sospetti nei confronti di Cipro. Vengono anche riportati dei tentativi di intrusione ai danni di alcuni membri delle istituzioni dell’Unione Europea.

Infine si evidenzia, a livello globale, che almeno 75 paesi hanno acquistato e/o utilizzato spyware, tra cui regimi repressivi, e, almeno per El Salvador, Messico, Thailandia, Marocco, India, Ruanda, Arabia Saudita, Bahrain, Giordania, Kazakistan, Togo, Emirati Arabi Uniti, Israele e Azerbaigian, è stata dimostrata l’esistenza di attacchi ad attivisti, giornalisti e difensori dei diritti umani. In particolare, il report evidenzia che “con una licenza per circa 100.000 numeri di telefono, il Marocco può essere considerato uno dei maggiori clienti di NSO per quanto riguarda lo spyware Pegasus”.

La risoluzione del Parlamento Europeo

Sulla base del report della commissione, il Parlamento europeo ha approvato una risoluzione non legislativa, la (2023/2500(RSP)) del 15 giugno 2023 con 411 voti a favore, 97 contrari e 37 astensioni.

Innanzitutto, il Parlamento rileva che l’Unione Europea, intesa come Stati membri e organi, non ha dimostrato “il minimo interesse a massimizzare gli sforzi per svolgere un’indagine completa sull’abuso degli spyware, proteggendo in tal modo consapevolmente i governi dell’Unione che violano i diritti umani all’interno e all’esterno dell’Unione”, deplorando questo comportamento. Rileva poi che i diritti delle persone prese di mira sono sanciti dalla Carta e dalle convenzioni internazionali, dalla giurisprudenza CGUE e CEDU, e, infine, dalle norme dell’UE sui diritti degli indiziati e degli imputati. Gli Stati membri non si possono richiamare alla sicurezza nazionale, poiché il sistema giuridico europeo non permette leggi nazionali che non prevedono adeguati sistemi di controllo e i principi democratici alla base dell’UE stessa.

Nella risoluzione troviamo quindi, principalmente, le seguenti richieste:

Eliminazione delle situazioni di illegalità in Ungheria, Polonia, Grecia, Spagna e Cipro. In particolare, Ungheria e Polonia dovranno ripristinare garanzie istituzionali e giuridiche sufficienti, con controlli e meccanismi di vigilanza indipendenti, oltre a introdurre una legislazione coerente che tuteli i cittadini. La Grecia dovrà abrogare le licenze di esportazione in contrasto con la normativa UE e rispettare l’indipendenza dell’Autorità ellenica per la sicurezza e la riservatezza delle comunicazioni. La Spagna dovrà garantire un’indagine “completa, equa ed efficace” sull’uso dello spyware. Cipro dovrà abrogare tutte le licenze di esportazione non in linea con la normativa;

Migliore applicazione della normativa europea. Essa, secondo il Parlamento, è già pertinente, soprattutto in ambito commerciale e di protezione dei dati. C’è anche un invito ad Europol ad intervenire sulla questione;

Migliore cooperazione internazionale sul tema;

Regolamentazione UE sul commercio e l’uso di spyware. La regolamentazione in questione dovrebbe vertere sul rispetto dei diritti umani, sulla limitazione dell’uso di spyware per intelligence a casi di estrema necessità, sul rispetto dei dati particolarmente protetti, sulla sorveglianza ex ante ed ex post sulle autorizzazioni e su trasparenza e controllo giurisdizionale. Dovrà anche essere limitato l’ambito della sicurezza nazionale;

In attesa del procedimento legislativo, controllo sugli Stati membri.

Per continuare a utilizzare lo spyware, entro il 31 dicembre 2023 essi avrebbero dovuto:

Risolvere tutti i casi di presunto abuso di spyware;

Dimostrare che il quadro che disciplina l’uso di spyware è conforme alle norme UE;

Assumersi l’impegno esplicito di coinvolgere Europol nelle indagini sulle denunce di uso illegittimo di spyware;

Revocare le licenze di esportazione non in linea con il regolamento sui prodotti a duplice uso.

Entro il 30 novembre 2023, la Commissione avrebbe dovuto valutare il rispetto di tali condizioni.

Conclusioni

Appare chiaro dalle due relazioni che abbiamo riportato come gli spyware vengono utilizzati da gran parte degli Stati dell’UE come strumento di investigazione, ma anche come per alcuni governi possano diventare uno strumento di minaccia allo Stato di diritto. L’indirizzo del Parlamento, espresso dal presidente della commissione speciale Jeroen Lenaers, è che “invece di vietare i software spia, dovremmo assicurarci che gli Stati membri dell’UE soddisfino determinati requisiti, come un’effettiva autorizzazione giudiziaria e una supervisione indipendente, e che l’uso dei software spia sia proporzionale e rispetti il diritto dell’UE.” Secondo la relatrice Sophie In’t Veld, “la democrazia è responsabilità. Lo spyware fa parte del kit di strumenti degli autoritari che minano le democrazie, e viene usato contro i custodi della nostra democrazia qui, in Europa, alle nostre porte.” Ora sarà compito del Consiglio e della Commissione esaminare le richieste del Parlamento e riferire, ma è evidente come uno strumento informatico così pericoloso per le istituzioni democratiche non possa non essere preso in considerazione da qualche tipo di normativa sovranazionale.