Queste cose accadono sempre di lunedì. Il prossimo, il calendario segna 10 maggio 2025. Quel giorno si terrà a Strasburgo al Parlamento Europeo la conferenza stampa promossa dall’europarlamentare Sandro Ruotolo del Partito Democratico, con Francesco Cancellato, direttore di Fanpage.it e Luca Casarini fondatore di Mediterranea Saving Humans, insieme alle forze politiche italiane di opposizione sul caso dello spionaggio illegale attraverso lo spyware di Paragon. Ruotolo porterà il caso alla Commissione Libertà Civili del Parlamento Europeo, mentre tutte le forze di opposizione insorgono dopo che la rottura del contratto per l’uso dello spyware da parte degli israeliani sembra mostrare un coinvolgimento delle autorità italiane.
Luca Zorloni su wired : Gli spyware, tanto per spiegarlo a quelli che pensano che “chi non ha nulla da nascondere, non deve preoccuparsi”, sono una perquisizione costante e senza limiti. Un software come Graphite intercetta le conversazioni su tutte le app di messaggistica; accede agli album di foto, video e audio; memorizza la posizione Gps del dispositivo; può attivare in autonomia il microfono per registrare. Sono strumenti costosi, che i governi non accendono per spiare indiscriminatamente e scoprire cosa zia Pinuccia sta pensando di regalare al marito, ma il fatto che Meta abbia denunciato violazioni condotte con Graphite ai danni di una novantina tra giornalisti e attivisti in Europa (di cui sette in Italia) la dice lunga su quelli che le autorità considerano i soggetti “target”.
Che subito dopo l’esplosione del caso nel nostro Paese, sia stata la stessa azienda a strappare il contratto, accusando le autorità nazionali di aver violato le regole di ingaggio dello spyware, usandolo contro operatori dell’informazione e del terzo settore, la dice ancora più lunga su quanto la difesa d’ufficio del governo, affidata a una noticina di circostanza, non stia in piede. La presidente del Consiglio, Giorgia Meloni, non solo deve assicurare la disponibilità del suo esecutivo a rispondere al Comitato parlamentare per la sicurezza delle informazioni della Repubblica, il Copasir, che sovrintende il controllo dei servizi (ci mancherebbe altro!), ma deve riferire d’urgenza alle Camere e altrettanto d’urgenza convocare una conferenza stampa, rispondere alle domande dei giornalisti (a cominciare dalla lista di Cancellato), sgomberare il campo da ogni ombra.
Così, più o meno, sul web e sulla carta stampa, ma al vecchio cronista puzza sempre tutto di bruciato e vede il marcio inogniddove. Meglio allora indagare chiedendo lumi a persona beninformata del settore:
Nihil sub sole novum (nulla di nuovo sotto il sole) Quanto alla domanda, ovviamente la verità non sarà una sola e la sapranno solo i decisori di turno, ma due cose sono ragionevoli:
1) Meta ha interesse a tutelare i suoi clienti e i suoi bilanci. I suoi clienti non siamo noi intercettati o intercettabili, ma gli inserzionisti e le società che pagano Zuck per usare i nostri dati. Se Meta Whatsapp perde utilizzatori che scelgono metodi più sicuri, Zuck perde soldi, tanti, e il suo modello di business non è diversificato come quello di altri big players.
2) Paragon / Graphite.Barak fonda azienda (una delle tante in Israele) che poi viene rilevata da un fondo equity USA. Perchè abbiano fatto ‘disclosure’ (divulgazione) può avere tante spiegazioni, ma lo scoop nasce dal “Guardian” che lancia la notizia sul direttore.di “Fanpage”, e qualcuno può ben avere valutato, nel board della nuova proprietà, che fosse funzionale ai proprj interessi mostrarsi etici e ‘disdettare’ il contratto.
Ovviamente è solo una delle ipotesi, e non è detto che sia l’unica. Un’azienda USA (almeno oggi, le cose stanno cambiando velocemente) ha molti più controlli e regole di comportamento etico di una startup israeliana fondata da politici e agenti delle unità operative di intelligence militare. Possono aver sentito odori non piacevoli in arrivo e aver messo jn atto la sospensione del contratto italiano in un ‘ottica di ‘compliance’ etica e soprattutto di plausible ‘deniability’, che è sempre la regola d’oro per tutti.
Poi c’è la.partita italiana, che è la parte più jntrigante. Se Meloni dice che “non erano i servizi” e il contratto era con il governo, allora deve essere in grado di dire chi altro lo usa, non può non saperlo nella sua veste. E infatti si nasconde.
Anche l’otto maggio del 2023 era un lunedì qualsiasi. L’orologio di Bruxelles segnava le 19:36 quando gli eurodeputati lanciano, per la prima volta, l’allarme sulla minaccia alla democrazia e chiedono riforme.
Quella sera, la Commissione d’inchiesta del Parlamento europeo per indagare sull’uso di Pegasus e di spyware di sorveglianza equivalenti (PEGA) adotta la sua relazione finale e le raccomandazioni a seguito di un’indagine durata un anno sull’abuso di spyware nell’UE. Gli eurodeputati condannano gli abusi di spyware che mirano a intimidire l’opposizione politica, mettere a tacere i media critici e manipolare le elezioni. Fanno notare che le strutture di governance dell’UE non possono affrontare efficacemente tali attacchi e affermano che sono necessarie delle riforme.
Gli eurodeputati condannano le gravi violazioni del diritto dell’UE in Polonia e Ungheria, dove i rispettivi governi hanno smantellato meccanismi di controllo indipendenti. Per l’Ungheria, gli eurodeputati sostengono che l’uso di spyware è stato “parte di una campagna calcolata e strategica per distruggere la libertà dei media e la libertà di espressione da parte del governo”. In Polonia, l’uso di Pegasus è stato parte di “un sistema per la sorveglianza dell’opposizione e dei critici del governo, progettato per mantenere la maggioranza al potere e il governo”.
Per porre rimedio alla situazione, si chiede a Ungheria e Polonia di conformarsi alle sentenze della Corte europea dei diritti dell’uomo e di ripristinare l’indipendenza giudiziaria e gli organi di controllo. Dovrebbero inoltre garantire un’autorizzazione giudiziaria indipendente e specifica prima dell’impiego di spyware e una revisione giudiziaria successiva, avviare indagini credibili sui casi di abuso e garantire ai cittadini l’accesso a un’adeguata riparazione legale.
Per quanto riguarda la Grecia, gli eurodeputati affermano che l’uso di spyware “non sembra essere parte di una strategia autoritaria integrale, ma piuttosto uno strumento utilizzato su base ad hoc per guadagni politici e finanziari”. Anche se la Grecia ha “un quadro giuridico abbastanza solido in linea di principio”, gli emendamenti legislativi hanno indebolito le garanzie. Di conseguenza, lo spyware è stato utilizzato contro giornalisti, politici e imprenditori ed esportato in paesi con scarsi precedenti in materia di diritti umani.
C’è la richiesta al governo di “ripristinare e rafforzare urgentemente le tutele istituzionali e legali”, di revocare le licenze di esportazione che non sono in linea con la legislazione UE sul controllo delle esportazioni e di rispettare l’indipendenza dell’Autorità ellenica per la sicurezza delle comunicazioni e la privacy (ADAE). Notano inoltre che Cipro ha svolto un ruolo importante come hub di esportazione per lo spyware e dovrebbe revocare tutte le licenze di esportazione rilasciate che non sono in linea con la legislazione UE.
Per quanto riguarda la Spagna, gli eurodeputati hanno scoperto che il paese “ha un sistema giudiziario indipendente con sufficienti garanzie”, ma restano alcuni interrogativi sull’uso dello spyware. Notando che il governo sta già lavorando per risolvere le carenze, gli eurodeputati chiedono alle autorità di garantire indagini “complete, eque ed efficaci”, in particolare nei 47 casi in cui non è chiaro chi abbia autorizzato l’impiego dello spyware, e di assicurarsi che gli obiettivi abbiano reali rimedi legali.
Per fermare immediatamente le pratiche illecite di spyware, i rappresentanti delle varie nazioni ritengono che lo spyware debba essere utilizzato solo negli stati membri in cui le accuse di abuso di spyware sono state indagate a fondo, la legislazione nazionale è in linea con le raccomandazioni della Commissione di Venezia e la giurisprudenza della Corte di giustizia dell’UE e della Corte europea dei diritti dell’uomo, Europol è coinvolta nelle indagini e le licenze di esportazione non in linea con le norme di controllo delle esportazioni sono state abrogate. Entro dicembre 2023, la Commissione dovrebbe valutare se queste condizioni sono state soddisfatte in una relazione pubblica.
Gli eurodeputati vogliono norme UE sull’uso di spyware da parte delle forze dell’ordine, che dovrebbero essere autorizzate solo in casi eccezionali per uno scopo predefinito e per un periodo di tempo limitato. Sostengono che i dati che rientrano nel segreto professionale tra avvocato e cliente o che appartengono a politici, medici o media dovrebbero essere protetti dalla sorveglianza, a meno che non vi siano prove di attività criminali. Gli eurodeputati propongono anche notifiche obbligatorie per le persone prese di mira e per le persone non prese di mira i cui dati sono stati consultati come parte della sorveglianza di qualcun altro, una supervisione indipendente dopo che è accaduto, rimedi legali significativi per le persone prese di mira e standard per l’ammissibilità delle prove raccolte tramite spyware.
Si chiede inoltre una definizione giuridica comune dell’uso della sicurezza nazionale come motivo di sorveglianza, al fine di impedire tentativi di giustificare abusi manifesti.
Per aiutare a scoprire la sorveglianza illecita, i legislatori europei propongono la creazione di un EU Tech Lab, un istituto di ricerca indipendente con poteri di indagine sulla sorveglianza, fornitura di supporto legale e tecnologico, incluso lo screening dei dispositivi, ed esecuzione di ricerche forensi. Vogliono anche nuove leggi per regolamentare la scoperta, la condivisione, la risoluzione e lo sfruttamento delle vulnerabilità.
Per quanto riguarda i paesi terzi e gli strumenti di politica estera dell’UE, i deputati vorrebbero vedere un’indagine approfondita sulle licenze di esportazione di spyware, un’applicazione più rigorosa delle norme dell’UE in materia di controllo delle esportazioni, una strategia congiunta UE-USA contro lo spyware, colloqui con Israele e altri paesi terzi per stabilire norme sulla commercializzazione e l’esportazione di spyware e garantire che gli aiuti allo sviluppo dell’UE non sostengano l’acquisizione e l’uso di spyware.
Dopo il voto, il presidente della commissione Jeroen Lenaers (PPE, NL) ha affermato: “La nostra inchiesta ha chiarito che lo spyware è stato utilizzato per violare i diritti fondamentali e mettere a repentaglio la democrazia in diversi stati membri dell’UE, con Polonia e Ungheria come casi più evidenti. L’uso dello spyware deve sempre essere proporzionato e autorizzato da una magistratura indipendente, cosa che purtroppo non avviene in alcune parti d’Europa. È necessario un controllo più rigoroso a livello UE per garantire che l’uso dello spyware sia l’eccezione, per indagare su crimini gravi e non la norma. Perché riconosciamo che può, se utilizzato in modo controllato, essere uno strumento importante per combattere crimini come il terrorismo. La nostra commissione ha formulato un’ampia gamma di proposte per regolamentare l’uso dello spyware, rispettando al contempo le competenze di sicurezza nazionale. Ora la Commissione e gli stati membri dovrebbero fare la loro parte e trasporre le nostre raccomandazioni in una legislazione concreta per proteggere i diritti dei cittadini”.
La relatrice Sophie In ‘t Veld (Renew, NL) ha aggiunto: “Oggi, la commissione d’inchiesta conclude i suoi lavori. Ciò non significa che il lavoro di questo Parlamento sia finito. Nessuna vittima di abuso di spyware ha ottenuto giustizia. Nessun governo è stato realmente ritenuto responsabile. Gli stati membri e la Commissione europea non dovrebbero dormire sonni tranquilli, perché ho intenzione di continuare a occuparmi di questo caso finché non verrà fatta giustizia. L’uso incontrollato di spyware commerciali senza un’adeguata supervisione giudiziaria rappresenta una minaccia per la democrazia europea, finché non ci sarà responsabilità. Gli strumenti digitali ci hanno dato potere in vari modi, ma hanno reso i governi molto più potenti. Dobbiamo colmare questa lacuna”.
In conclusione Sandro Ruotolo:
La democrazia sicuramente è più debole con questi leader, è un fatto obiettivo, è la crisi dello Stato di diritto in Europa, più forte è la libertà di stampa, più forte è la democrazia, meno forte è la libertà di stampa e meno forte è la democrazia. Devi mettere insieme l’idea autoritaria, è la democratura, prendila così come formula, la democratura. E la democratura vuol dire un sistema di controllo e quindi anche illegale. Altro che resilienza noi dobbiamo fare la resistenza.
