Durante le ultime elezioni Sophie in ‘t Veld, ex europarlamentare che nella scorsa legislatura è stata un punto di riferimento tra chi voleva mettere la museruola agli spyware in Europa, non è riuscita a riottenere un seggio. Correva con Volt, che fa parte del gruppo parlamentare dei Verdi. Gli spyware sono strumenti di sorveglianza che possono essere installati di nascosto su uno smartphone e utilizzati per scandagliare messaggi, foto oppure ascoltare il microfono da remoto.
In ‘t Veld è stata la relatrice della Commissione d’inchiesta PEGA, incaricata di occuparsi degli abusi degli spyware nei Paesi europei e di redigere una serie di raccomandazioni – non recepite in alcun modo dall’Unione europea – per i Paesi membri. Nonostante questo, alcuni esponenti del Partito Popolare Europeo (PPE) hanno ritenuto che il lavoro svolto fosse sufficiente e hanno fatto sapere di non pensare a una nuova Commissione con il prossimo europarlamento.
Secondo Politico, già in precedenza un esponente del PPE avrebbe fatto pressioni per evitare che la Commissione PEGA andasse in Spagna per fare chiarezza sull’abuso dello spyware Pegasus da parte del governo contro gli indipendentisti catalani.
Accedi alla community di lettori MyIrpi
Il successo dei Popolari quindi non fa ben sperare per il futuro della lotta agli a spyware in Ue. A livello di Paesi membri non va meglio: dall’inizio del 2024 alcuni governi hanno intrapreso una serie di attività cosmetiche per dimostrare di voler affrontare il tema della sorveglianza e dell’abuso degli spyware.
È però la sostanza che manca, anche nella sua componente più semplice. La Commissione europea, l’Italia, i Paesi Bassi e la Germania stanno fallendo in quello che dovrebbe essere un primo passo fondamentale per comprendere meglio l’ampiezza dell’abuso di queste tecnologie, cioè la trasparenza. Da tempo hanno infatti smesso (o quasi) di rispondere in maniera esaustiva alle richieste dei giornalisti su produzione ed esportazione delle tecnologie di sorveglianza.
Buone intenzioni
In occasione del terzo Vertice per la Democrazia tenutosi a Seoul a marzo 2024, Finlandia, Germania e Polonia hanno aderito a un impegno internazionale per contrastare la proliferazione e l’uso improprio di spyware, in quanto rappresentano una minaccia per la sicurezza nazionale e per gli interessi di politica estera. Questa dichiarazione raccoglie anche le firme di Australia, Canada, Costa Rica, Danimarca, Francia, Irlanda, Giappone, Nuova Zelanda, Norvegia, Repubblica di Corea, Svezia, Svizzera, Regno Unito e Stati Uniti.
In precedenza, a febbraio 2024, in occasione di un evento organizzato da Regno Unito e Francia, 27 Paesi tra cui l’Italia hanno avviato il Pall Mall Process, un processo che dovrebbe stabilire alcune linee guida per evitare usi irresponsabili degli spyware e permetterne un controllo adeguato.
Linee guida, processi, commissioni sono sempre azioni preliminari. Mostrano solo l’intenzione di contrastare la diffusione degli spyware. Tuttavia quasi ogni Paese membro li adotta e ha aziende che li producono o li rivendono. Così sembra che i risultati di questi tavoli siano più il frutto di operazioni di lobbismo più che di vere decisioni politiche. Anche perché poi anche quando la Commissione PEGA ha prodotto le sue indicazioni sono rimaste lettera morta.
Le azioni di questi Paesi europei potrebbero a prima vista sembrare segnali positivi ma sono pur sempre tardivi. Dal 2021 l’Europa è infatti costantemente flagellata da scandali legati al tema della sorveglianza.
Cattive azioni
Lo spyware Pegasus dell’azienda israeliana NSO è stato utilizzato contro almeno 63 persone in Catalogna, inclusi membri del Parlamento europeo, presidenti catalani, legislatori, giuristi e membri di organizzazioni della società civile. In alcuni casi anche i familiari di queste persone sarebbero stati spiati.
In Ungheria i device di almeno dieci avvocati, un politico dell’opposizione e almeno cinque giornalisti sono stati infettati con Pegasus. C’è un’indagine in corso e secondo le stime diffuse dal ministro della Giustizia della Polonia, tra il 2017 e il 2022, 578 persone sarebbero state sorvegliate.
Le inchieste di IrpiMedia: Redazione sorveglianze
La filiera della sorveglianza è un tema caro a IrpiMedia. Con la nostra Redazione sorveglianze, che firma questo editoriale, ci siamo occupati delle tecnologie italiane esportate in Messico, delle aziende italiane che hanno l’ambizione di sfidare competitor mondiali come NSO e di come un mercato nazionale saturo spinga le aziende a vendere all’estero.
Ma abbiamo anche indagato le azioni legislative europee e la loro difficile applicazione: come nel caso dei tentativi della Commissione Ue di minare la crittografia alla base delle app di comunicazione che usiamo tutti i giorni, o delle leggi sull’export intra-europeo di tecnologie di sorveglianza che sono un buco nero e di quali difficoltà ci siano a indagare gli export illegali.
Non ci sono però solamente gli spyware, IrpiMedia ha infatti ampliato lo sguardo verso altre tecnologie da tenere monitorate: dai servizi che permettono di localizzare un numero di telefono da remoto fino alle piattaforme che sfruttano l’AI per creare finti profili social per monitorare una persona online.
In Grecia, il primo ministro di Nea Demokratia, il partito liberal-conservatore al governo, avrebbe autorizzato la sorveglianza di quasi un centinaio di cittadini tramite lo spyware Predator, commercializzato dall’azienda Intellexa, un conglomerato con sede in Grecia e guidato da Tal Dilian, ex membro dell’intelligence israeliana. Predator sarebbe stato usato dai servizi segreti greci (Eyp) allo scopo di raccogliere informazioni per compilare dossier su avversari, uomini di potere e persino membri del suo stesso governo.
Gli Stati Uniti hanno iscritto Dilian nella lista degli “Specially Designated Nationals”, che ha l’effetto di bloccare i beni di quella persona e vietare a cittadini statunitensi di farci affari.
Inoltre, tracce di tentativi di infezioni di spyware sono state trovate persino sui dispositivi di due membri del Parlamento europeo che siedono nella sottocommissione per la Sicurezza e la difesa e di un membro dello staff. In un caso è stato confermato l’utilizzo dello spyware Pegasus.
Il ruolo dell’Europa nell’export
La minaccia degli spyware non viene però solo dall’esterno. Diverse aziende europee esportano infatti in tutto il mondo. Da alcuni anni i report annuali della Commissione europea sull’export di beni a duplice uso hanno iniziato a includere valori aggregati proprio riguardo le tecnologie di sorveglianza come gli spyware e altri sistemi per le attività di intercettazione e monitoraggio.
I dati raccolti mostrano che il numero di licenze per l’esportazione concesse tra il 2019 e il 2021 è quasi triplicato ed è tornato ad aumentare anche il numero di esportazioni di strumenti usati per gestire e utilizzare software di intrusione, tecnologie alla base del funzionamento degli spyware.
L’apparente trasparenza della Commissione europea si ferma però lì a questi dati aggregati. A una richiesta di accesso agli atti di IrpiMedia riguardo le statistiche fornite dall’Italia, la Commissione ha negato l’accesso dopo essersi consultata con il ministero degli Affari esteri italiano che si è opposto alla divulgazione in quanto pregiudicherebbe la tutela dell’interesse pubblico, degli interessi commerciali degli esportatori e poiché avrebbe «un impatto negativo significativo sulle relazioni internazionali con (almeno) i Paesi terzi interessati».
Motivazioni simili sono state adottate anche dai Paesi Bassi e dalla Germania nei confronti di analoghe richieste di accesso agli atti inviate da IrpiMedia.
«Considerando l’importanza delle relazioni internazionali e bilaterali e l’interesse pubblico alla divulgazione, ritengo che la prima abbia un peso maggiore in considerazione di quanto sopra esposto», si legge nella risposta inviata dal ministero degli Affari esteri dei Paesi Bassi.
Secondo l’Ufficio federale dell’economia e del controllo delle esportazioni tedesco, «per un efficace controllo europeo delle esportazioni, soprattutto in un settore di notevole rilevanza per la sicurezza, è essenziale garantire un elevato livello di riservatezza nelle discussioni», e per questo i dati forniti alla Commissione non possono essere divulgati pubblicamente. I questionari, infatti, sarebbero stati classificati come “sensibili” dall’Unione europea.
Come rivela il modello censurato consegnato dalla Commissione a IrpiMedia, i dati statistici riguarderebbero però unicamente il numero, la tipologia e il valore dei prodotti e non i nomi delle aziende coinvolte o l’identità degli utilizzatori finali.
Prima ancora di pensare di poter produrre linee guida che ne contrastino la proliferazione, la Commissione e i vari Stati membri dovrebbero garantire la possibilità di comprendere in pieno la portata del problema degli spyware, riconoscendo che il mercato della sorveglianza globale esiste anche perché le aziende europee vi contribuiscono in maniera rilevante.
Basti pensare che secondo il report di Meta, tecnologie per il monitoraggio dei profili social sviluppate da Cy4gate e RCS sarebbero state usate per monitorare giornalisti, attivisti e dissidenti in Azerbaigian, Kazakistan e Mongolia. Nonostante ciò, richieste di commento alla direzione Unità per le autorizzazioni dei materiali di armamento (Uama) non hanno ricevuto risposta mentre richieste di accesso agli atti all’Agenzia delle dogane sono state rifiutate.
Il primo passo per avere un confronto serio sul tema degli spyware sarebbe quindi quello di garantire una trasparenza sostanziale su questo mercato, tanto più invisibile se si considera la natura immateriale dei prodotti che lo caratterizzano.
Se è vero che lo spostamento di armamenti può trovare un suo controbilanciamento nel controllo della società civile – si pensi ai numerosi scioperi dei portuali che si sono rifiutati di caricare armamenti diretti verso specifici Paesi sulle navi a Genova, Cagliari e altrove – evidentemente tale controllo diventa pressoché impossibile quando si parla di spyware: tecnologie non solo invisibili ma persino rimovibili da un dispositivo senza alcuna contezza da parte della vittima, il cui smartphone può benissimo venire completamente bonificato una volta operata la sorveglianza desiderata. Sia essa nell’ambito di un’indagine giudiziaria o, come spesso è accaduto, nelle more dell’attività di gruppi criminali o regimi illiberali.
A questo servono le statistiche che ricercatori e giornalisti chiedono furiosamente da tempo e che vengono puntualmente negate. Eppure proprio ricercatori e giornalisti troppo spesso sono stati le prime vittime. Non solo del mercato, ma anche dei Paesi che lo foraggiano sotto il peso di lobbismo e interessi particolari.
Le inchieste e gli eventi di IrpiMedia sono anche su WhatsApp. Clicca qui per iscriverti e restare sempre aggiornat*. Ricordati di scegliere “Iscriviti” e di attivare le notifiche.