privacy e sicurezza

Spyware, gli Stati e la “licenza di violare”: la Ue (finalmente) accende il faro su Pegasus

Secondo Citizen Labs i telefoni di oltre 60 importanti politici, attivisti e giornalisti catalani sono stati intercettati tramite Pegasus, e le intercettazioni dovrebbero essere iniziate nel 2017. Per il Parlamento Europeo e lo European Data Protection Supervisor è ora di vederci chiaro

10 Mag 2022
Elio Franco

Avvocato, Founder presso Franco, Pirro & Partners

NSO, l’azienda israeliana che produce e commercializza Pegasus, uno degli spyware più efficaci sul mercato, è finita nel mirino del Parlamento Europeo e dello European Data Protection Supervisor. Infatti, negli ultimi mesi sono aumentati i casi di spionaggio di diversi politici, anche di primo rilievo, oppositori e indipendentisti ad opera di altri governi.

La presidente del Parlamento UE, Roberta Metsola, ha chiesto che l’utilizzo di Pegasus sia vietato nei confronti di politici, giornalisti e avvocati e che ogni ulteriore interferenza non sarà più tollerata.

Spionaggio di Stato, Ue verso il bando degli spyware? Al via Commissione d’inchiesta

Va inoltre affrontato con urgenza il tema del rapporto fra l’uso degli spyware per garantire la sicurezza nazionale e il bilanciamento con i principi del GDPR.

Molti i temi sul tavolo, dunque, e le domande che attendono risposta.

I casi dell’Ungheria, della Spagna e del Regno Unito

Non più tardi di otto mesi fa, l’Ungheria ha ammesso di aver acquistato una licenza di Pegasus per i propri servizi segreti per spiare e ottenere informazioni da giornalisti e oppositori di Orban, tanto che il Parlamento Europeo ha dato la sua disponibilità a seguire l’indagine avviata dal Garante per la Protezione di Dati Personali ungherese. Le attività investigative, però, si sono bloccate poiché la legge ungherese prevede che ove sia in gioco la sicurezza nazionale, la sorveglianza di cittadini o di masse possa essere disposta semplicemente con l’avvallo del locale ministero della giustizia. Sino ad ora è emerso che sarebbero stati messi sotto controllo solo 37 dispositivi tramite i quali, però, il governo ungherese dovrebbe essere riuscito a spiare oltre 500.000 cittadini.

WEBINAR
25 Maggio 2022 - 14:30
Cybersecurity 360Summit: nuove strategie, nuove minacce e nuove difese!
Sicurezza
Sicurezza dei dati

Poche settimane fa, l’istituto di ricerca canadese Citizen Labs ha confermato che i telefoni di oltre 60 importanti politici, anche membri del Parlamento Europeo, attivisti e giornalisti catalani sono stati intercettati tramite Pegasus, che le intercettazioni dovrebbero essere iniziate nel 2017 e che sono state poste in essere proprio dal governo spagnolo. Dunque, il “Catalangate” dovrebbe far tremare non solo l’esecutivo di Sanchez, che oggi si trova a dover gestire il caso, ma anche il suo predecessore Mariano Rajoy, dato che durante il mandato di costui s’è svolto il referendum per l’indipendenza della Catalogna.

Come se ciò non bastasse, Pegasus è stato utilizzato anche per infettare un dispositivo connesso alla rete del numero 10 di Downing Street, ossia dell’ufficio del Primo Ministro inglese Boris Johnson. Gli analisti di Citizen Lab si sono detti parecchio stupiti della scoperta, anche perché non possono escludere che ci sia stata una importante fuga di dati. A dire dell’istituto di ricerca, dietro l’attacco ci dovrebbero essere gli Emirati Arabi Uniti che, ovviamente, si sono rifiutati di commentare la notizia. Fra gli utenti europei v’è anche la Polonia, lo utilizzerebbe per gli stessi scopi illeciti.

Pegasus nel resto del mondo

A parte l’Ungheria e gli Emirati Arabi, pare alcuni clienti di NSO siano Paesi come l’Azerbaijan, il Bahrein, l’India, il Kazakistan, il Messico, il Marocco, il Ruanda, l’Arabia Saudita e il Togo, stati che, notoriamente, non sono dei veri e propri presidi di democrazia. Basti pensare che secondo Amnesty International, in Messico Pegasus è stato utilizzato per spiare il telefono del giornalista Cecilio Pineda qualche giorno prima del suo assassinio, mentre in Azerbaijan e in India lo spyware è tutt’ora utilizzato per tenere sotto controllo chi lavora per i media indipendenti dai rispettivi governi.

La posizione ambigua di NSO

Come s’è accennato, NSO ha sempre sostenuto di aver venduto Pegasus solo agli Stati e solo per garantire la loro sicurezza nazionale, ma mai per consentire loro di reprimere la libertà di opinione e quella di espressione, né per controllare i propri cittadini.

Le dichiarazioni di NSO, però, sono smentite per tabulas: basti pensare che la società s’è rifiutata di vendere lo spyware all’Ucraina per evitare di compromettere i rapporti con la Russia.

Tra l’altro, uno dei fondatori di NSO, raggiunto dal The New Yorker, ha paragonato la propria società a un qualsiasi produttore d’armi, con la differenza che quest’ultimo settore è disciplinato dalla Convenzione di Ginevra, mentre quello degli spyware per i cyberattacchi è ancora un territorio grigio, non normato a livello internazionale.

Ad ogni modo, NSO nega di avere la possibilità di accedere ai dati raccolti con Pegasus, dichiarazione che lascia quantomeno perplessi. Invero, la società israeliana installa ai propri clienti due rack che contengono la parte “server” dello spyware: uno esegue il software, l’altro memorizza i dati raccolti. Ovviamente, per poter erogare l’assistenza tecnica necessaria, NSO può accedere da remoto al sistema e, secondo un suo ex dipendente, sarebbe proprio questo tipo di collegamento che le consentirebbe di accedere ai dati raccolti da tutti i rack di Pegasus installati nel mondo. Il fondatore di NSO, nell’accennata intervista al The New Yorker, ha negato recisamente che NSO possa accedere ai sistemi senza il consenso dei propri clienti e, addirittura, di essersi riservata contrattualmente la possibilità di disattivare a distanza i sistemi ove, nel corso di un’indagine sulla presunta violazione dei diritti umani, il cliente non le fornisca il log dei dispositivi posti sotto controllo.

L’EDPS e il Parlamento Europeo vogliono vederci chiaro

I recenti fatti di cronaca hanno spinto l’European Data Protection Supervisor e il Parlamento Europeo a volerci vedere chiaro. Il primo, in un comunicato stampa del 15 febbraio scorso, ha chiarito che l’uso di Pegasus i diritti fondamentali di ogni cittadino europeo. Secondo il Garante Europeo, infatti, l’uso di Pegasus porta a un livello di intrusività mai visto prima, che minaccia l’essenza del diritto alla privacy, visto che lo spyware può interferire con gli aspetti più intimi della vita quotidiana di ognuno di noi, tanto da sollecitare la costituzione di una commissione di inchiesta che indaghi quanto prima sull’incresciosa e preoccupante vicenda.

Il Parlamento Europeo ha accolto l’appello del Garante e lo scorso 19 aprile ha istituito la compulsata commissione, con l’obiettivo di fermare quelle violazioni alla libertà personale e all’immunità parlamentare che “molti Paesi si stanno prendendo la licenza di violare”, così come ha sostenuto dal belga Philippe Lamberts (Verdi) riferendosi a Polonia e Ungheria.

Gli spyware di stato e il bilanciamento con il GDPR

Quel che però si tende a non affrontare è il rapporto fra l’uso degli spyware al fine di garantire la sicurezza nazionale e il bilanciamento con i principi del GDPR. È scontato che, ovviamente, l’uso di questi strumenti di spionaggio, ove il trattamento dei dati personali sia necessario e proporzionato per la protezione di una nazione, dovrebbe essere ammesso, ma per delineare la sottile linea rossa che separa tale finalità dallo spionaggio di massa deve intervenire il legislatore europeo, di modo da uniformare le regole almeno a livello europeo.

Infine, ci si augura che nel medio-lungo periodo si possa limitare anche la dipendenza da spyware stranieri per i propri servizi di intelligence, magari sviluppandoli internamente, onde evitare che importanti segreti di stato possano finire nelle mani sbagliate.

La strada è ancora lunga, complessa e tortuosa, ma, forse, quanto emerso dal lavoro di Citizen Lab e di Amnesty International può essere l’occasione per intraprenderla e percorrerla una volta per tutte.

WHITEPAPER
Canale ICT: 5 misure di successo automatizzare il business
Sicurezza
Software
@RIPRODUZIONE RISERVATA

Articolo 1 di 4