La trasparenza sui prodotti di sorveglianza soppressa dalla Commissione europea

L’11 gennaio 2022, un sottogruppo poco conosciuto della Commissione europea, il Surveillance Technology and Expert Group (Steg), si è riunito presso il Centro Conferenze Albert Borschette a Bruxelles. Dalla sua riattivazione, nel giugno 2021, si erano già tenuti sei incontri. Uno dei punti all’ordine del giorno riguardava lo spyware Pegasus, sviluppato dalla società israeliana Nso Group. Nel luglio 2021, l’inchiesta internazionale Pegasus Project aveva rivelato che almeno 180 giornalisti erano stati selezionati come obiettivi in vari Paesi del mondo. Successivamente allo Steg e a un anno dal Pegasus Project, è sorto anche il Comitato di inchiesta Pega incaricato dal Parlamento europeo di investigare su eventuali abusi commessi nell’utilizzo di Pegasus e spyware analoghi.

Steg analizza le tecnologie di sorveglianza e ha svolto un ruolo attivo nella stesura delle linee guida pubblicate dalla Commissione l’11 ottobre 2024, che mirano a chiarire la gestione delle esportazioni delle tecnologie di cyber-sorveglianza. Queste tecnologie, non esplicitamente regolamentate, vengono valutate caso per caso in base ai rischi potenziali. Tuttavia, l’intero processo sembra svolgersi in totale segretezza, senza trasparenza né supervisione.I documenti che riassumono la riunione di gennaio, ottenuti da IrpiMedia tramite una richiesta di accesso agli atti, risultano completamente oscurati, inclusi i Paesi di origine degli esperti che rappresentano gli Stati membri dell’Ue. Lo spyware Pegasus è stato discusso nuovamente in un incontro del luglio 2022, ma ancora una volta tutte le informazioni sui 15 esperti degli Stati membri e sui due rappresentanti della Direzione Generale per il Commercio della Commissione sono state omesse.

Tuttavia, nei documenti ricevuti da IrpiMedia, soltanto alcune iniziali, probabilmente sfuggite alla censura, rivelano la partecipazione di rappresentanti di Francia, Finlandia, Irlanda, Paesi Bassi, Portogallo, Slovenia e Svezia. La pagina web ufficiale del gruppo non mostra la lista completa di Paesi e nessun dettaglio è disponibile sugli incontri più recenti. Steg è un sottogruppo che vive all’interno di un altro gruppo di esperti, di cui fanno parte i 27 Paesi membri, che si occupa delle esportazioni di tutti i beni a duplice uso, non solo quelli legati alla sorveglianza. Di questo secondo gruppo fanno parte anche Germania, Ungheria, Italia, Polonia e Grecia, ma non è chiaro se prendano parte allo Steg.

Il mercato delle spie

Secondo un recente rapporto dell’Atlantic Council, l’Italia è il terzo polo mondiale per lo sviluppo di spyware. La Germania ha acquistato Pegasus nel 2019, mentre Ungheria e Polonia sono al centro degli scandali europei per l’abuso dello spyware di Nso contro giornalisti e politici. E questo è solo un prodotto di una singola azienda: continuano a emergere nuove rivelazioni su acquisti di altri spyware e il loro utilizzo abusivo. L’ultimo e più clamoroso riguarda Graphite, software sviluppato da un’altra azienda israeliana, la Paragon Solutions, utilizzato per spiare 90 persone nel mondo. Tra i bersagli anche nove italiani, non tutti noti al momento, ma tra i quali compaiono il direttore della testata Fanpage, Francesco Cancellato e il capo missione della ong Mediterranea Saving Humans, Luca Casarini. Un altro scandalo finito sotto lo scrutinio della Commissione Pega nel 2022 ha riguardato invece la Grecia con l’acquisto del software Predator, sviluppato dalla società Intellexa, e utilizzato per spiare politici e giornalisti. 

Insomma, sembra che gli stessi Paesi che sono stati sotto inchiesta per aver acquisito spyware in segreto e preso di mira la società civile, giornalisti e politici, partecipino anche ai processi di regolamentazione di queste tecnologie, come nel caso di Steg. La partecipazione di almeno quei Paesi direttamente coinvolti nell’uso di queste tecnologie dovrebbe essere resa pubblica.

Trasparenza e omissis

L’ostruzionismo della Commissione europea nel concedere l’accesso ai documenti non è un caso isolato, ma sembra rientrare in una più ampia strategia per mantenere lontano dal controllo pubblico le questioni legate alla sorveglianza. Lo spyware è solo uno dei prodotti di cyber-sorveglianza che rientrano nel mandato di Steg. Sia la regolamentazione delle esportazioni dual-use sia i gruppi di esperti incaricati dalla Commissione di redigere le linee guida per l’export fungono da barriere alla trasparenza.

La regolamentazione impedisce infatti una reportistica dettagliata sulle esportazioni di beni dual-use da parte di ciascun paese, come dimostrato dall’ultimo rapporto della Commissione Ue, in cui i dati relativi agli strumenti di cyber-sorveglianza vengono forniti solo in forma aggregata. Nel frattempo, l’influenza politico-economica degli Stati membri attraverso i loro esperti rimane opaca, oscurando le decisioni che portano alla formulazione di tali linee guida.

Il regolamento sulle esportazioni richiede la presentazione di un rapporto al Parlamento europeo con il numero di licenze concesse per l’esportazione di beni dual-use legati alla sorveglianza. Per compilare questo rapporto, è stato inviato un questionario agli Stati membri che sembra includere solo dati aggregati per categoria e valore, senza dettagli sui Paesi di destinazione o sulle aziende licenziatarie. Ma persino queste informazioni aggregate vengono censurate. In una precedente richiesta di accesso agli atti presentata da IrpiMedia, le risposte fornite dall’Italia sono state interamente oscurate dalla Commissione Europea, dopo una consultazione con il ministero degli Affari esteri italiano, citando rischi per l’interesse pubblico, gli interessi commerciali degli esportatori e potenziali impatti negativi significativi sulle relazioni internazionali con i Paesi terzi coinvolti.

Privacy International ha recentemente evidenziato come «le esenzioni alle leggi sulla libertà di informazione (Foi) vengano ampiamente utilizzate dalle autorità pubbliche per impedire la divulgazione di informazioni e documenti riguardanti i dettagli sugli acquisti, l’impiego, l’uso e la valutazione dei trasferimenti di armi e altre attrezzature e capacità tecnologiche verso altri Paesi. Tali esenzioni sono difficili e onerose da contestare».

Il verbale della riunione di luglio 2022 evidenzia anche richieste fatte dalla Commissione agli esperti del gruppo riguardo la gestione di determinate tecnologie. Tuttavia, le informazioni chiave sono state oscurate.

«La Commissione Europea (Com) ha osservato che [OMISSIS] vengono utilizzate per scopi di cyber-sorveglianza e vengono impiegate […] senza il consenso o la consapevolezza del proprietario del dispositivo, e ha sottolineato che le disposizioni del Regolamento devono essere interpretate alla luce del loro obiettivo di rafforzare la capacità dell’Ue di prevenire l’uso di strumenti informatici per violazioni dei diritti umani».

Gli esempi inclusi nelle nuove linee guida menzionano dispositivi di localizzazione utilizzati dalle forze dell’ordine e dalle agenzie di intelligence, come dispositivi Gps o sistemi che sfruttano dati dell’industria pubblicitaria per individuare un sospettato. Tuttavia, non è chiaro se questi siano stati i prodotti discussi nelle riunioni di Steg, poiché le analisi degli esperti rimangono completamente oscurate.

Una recente analisi del Sipri – istituto svedese che monitora il mercato delle armi e dei beni dual-use – osserva che i servizi di hacking delle reti telefoniche per localizzare dispositivi potrebbero anch’essi rientrare nelle tecnologie soggette a controllo delle esportazioni. IrpiMedia ha già scritto di questa tecnologia, offerta anche da aziende italiane come RCS e GWSim, i cui prodotti tracciano segretamente persone in tutto il mondo su vasta scala, sfruttando abusivamente le reti telefoniche, non adeguatamente regolamentate e protette da eventuali abusi.

Discussioni come quella dello Steg non dovrebbero avvenire a porte chiuse. È necessaria maggiore trasparenza per garantire che non si abusi delle esenzioni generalizzate per enti legati alla sicurezza e questioni di sicurezza nazionale in violazione degli standard sui diritti umani. Più in generale, la Commissione europea e gli Stati membri dell’Ue dovrebbero rendere disponibili informazioni disaggregate e identificabili sulle licenze approvate, le richieste di licenza respinte, le esportazioni effettive, l’utente finale autorizzato e l’uso finale autorizzato, al fine di garantire che le tecnologie di sorveglianza non vengano utilizzate in segreto ed escluse dal controllo pubblico.

Intanto, durante l’audizione di conferma al Parlamento europeo del 5 novembre 2024, il nuovo commissario Ue per gli Affari interni e la migrazione, Magnus Brunner, è stato interrogato due volte sullo spyware, ma ha evitato di rispondere, ignorando le domande. Questo suggerisce che la nuova Commissione europea segua la stessa linea della precedente: soffocare il pubblico scrutinio sulle tecnologie di sorveglianza, mentre i loro abusi continuano ad aumentare.

Le inchieste e gli eventi di IrpiMedia sono anche su WhatsApp. Clicca qui per iscriverti e restare sempre aggiornat*. Ricordati di scegliere “Iscriviti” e di attivare le notifiche.