la strategia

Spyware nel mercato UE, lo scenario nel report della Commissione PEGA: cosa emerge dai casi più emblematici

Il Parlamento europeo nelle scorse settimane ha presentato una proposta di moratoria sull’uso degli spyware da parte dei Governi degli Stati membri: dalla relazione del Comitato d’inchiesta PEGA – Pegasus and equivalent surveillance spyware emergono casi di Stati e aziende, oltre a consigli per far fronte alla situazione

Pubblicato il 21 Nov 2022

Davide Agnello

Analyst, Hermes Bay

Marco Vettore

Analyst Hermes Bay S.r.l.

spy software

L’8 novembre 2022, il Parlamento Europeo ha presentato una proposta di moratoria sull’impiego degli spyware da parte dei Governi degli Stati Membri. Il documento finale, redatto dalla deputata olandese Sophie in ‘t Veld, è stato pubblicato dal Comitato d’inchiesta per le indagini sull’uso di Pegasus e di spyware di sorveglianza equivalenti (PEGA – Pegasus and equivalent surveillance spyware), istituito il 10 marzo del 2022 per investigare sul presunto spionaggio illegale condotto in alcuni Paesi dell’UE.

La bozza di relazione presentata è il risultato di mesi di ricerche e viaggi in Polonia, Cipro e Grecia, con una visita in Ungheria prevista nel prossimo futuro. Il documento sarà discusso dagli eurodeputati che fanno parte della commissione speciale PEGA, che avrà termine nel marzo 2023 salvo proroghe. Data la sensibilità dell’argomento, si prevede che la relazione sarà sottoposta a numerosi emendamenti.

Spyware, gli Stati e la “licenza di violare”: la Ue (finalmente) accende il faro su Pegasus

Cosa dice il rapporto del Comitato d’inchiesta PEGA

In base a quanto emerso dall’indagine, il mercato europeo sarebbe un luogo attrattivo per il commercio di tecnologie e servizi di sorveglianza soprattutto sulla base delle denunce mosse dai redattori dell’indagine circa l’indisponibilità da parte dei Paesi dell’UE di condividere informazioni in merito all’utilizzo di queste tecnologie.

Il mercato ufficiale

Il mercato interno dell’UE offrirebbe altresì libertà di circolazione e regimi fiscali nazionali vantaggiosi. Le norme sugli appalti possono essere eluse in riferimento alla sicurezza nazionale e i Governi possono utilizzare intermediari al fine di rendere gli acquisti difficili da individuare e dimostrare. L’UE ha norme severe in materia di esportazione, ma queste possono essere aggirate dal momento che gli Stati Membri attuerebbero una normativa nazionale indulgente per ottenere un vantaggio competitivo.

Anche l’applicazione da parte della Commissione europea, prosegue il rapporto, sarebbe debole e superficiale. Per esempio, ogni volta che il regime delle licenze di esportazione è stato inasprito in Israele, diverse aziende hanno spostato i loro dipartimenti delle vendite in Europa, in particolare a Cipro. Il report pone l’accento sul fatto che molte imprese vendano le loro tecnologie anche a Stati autoritari, come il caso dell’israeliana Cellebrite la quale, malgrado nel 2021 avesse dichiarato di aver interrotto i rapporti con la Russia, avrebbe continuato a intrattenere rapporti commerciali con Mosca. Di recente, infatti, il Comitato Investigativo russo del Territorio di Krasnodar e quello della Regione di Samara hanno tenuto delle dimostrazioni sull’uso dell’Universal Forensics Extraction Device (UFED), prodotto di punta dell’azienda.

Il mercato nero

Oltre ai canali ufficiali, sarebbe presente anche un mercato nero per la vendita di questi prodotti, come ha rivelato il quotidiano ellenico “Documentonews.gr” in un articolo ad agosto. Sulla base delle indagini condotte nel dark web, sono emersi dei file i quali mostrano che il primo luglio Intellexa, l’azienda produttrice dello spyware Predator, avrebbe presentato il nuovo software Nova dal valore di almeno 8 milioni di euro che sarebbe stato venduto sul mercato nero per 50 milioni di dollari. Nova sarebbe in grado di infettare una serie di dispositivi con sistema operativo Android, tra cui Samsung, Xiaomi, Oppo, Huawei e Honor, nonché gli apparecchi che utilizzano il software iOS.

Fra i servizi inclusi ci sarebbero una garanzia di dodici mesi, la manutenzione, gli aggiornamenti, il tracciamento del bersaglio sui social network e l’assistenza tecnica 24 ore su 24 per tutta la settimana. Questi documenti sono apparsi per la prima volta sul sito web russo di criminalità informatica xss.is da un utente denominato “oDmC3oJrrSuZLhp” il quale, secondo la rivista greca online, potrebbe essere un ex-membro di Intellexa. Fra gli acquirenti si evidenziano anche alcuni Governi europei e cittadini.

Quest’inchiesta è nata dopo le denunce presentate dal giornalista investigativo Thanasis Koukakis e dal leader del PASOK (Movimento Socialista Panellenico) Nikos Androulakis i quali hanno accusato il Governo di aver infettato i loro dispositivi. Anche l’ex Ministro delle Infrastrutture e dei Trasporti e deputato di Syriza (Coalizione della Sinistra Radicale – Alleanza Progressista) Christos Spirtzis ha presentato una querela riguardo a presunti tentativi di intrusione nel suo cellulare. In seguito a questi esposti, Panagiotis Kontoleon, Capo del Servizio nazionale per l’informazione (EYP), ha rassegnato le sue dimissioni il 5 agosto. I molteplici casi denunciati di utilizzo improprio di spyware da parte dei Governi europei dimostrano, a detta del Parlamento Europeo, l’urgenza di una regolamentazione nel merito ad opera delle istituzioni dell’Unione. Tale esigenza si scontra, tuttavia, con il frequente ricorso da parte degli Stati Membri a motivazioni inerenti alla sicurezza nazionale per giustificare la propria competenza esclusiva in materia di sorveglianza. Ciò limiterebbe il margine d’azione delle istituzioni europee nonché gli strumenti a disposizione di esse.

I suggerimenti del Comitato PEGA

I limiti dell’approccio adottato fino ad ora sono messi in luce nel rapporto del Comitato PEGA. Il comitato stesso, nonostante l’interesse dimostrato nei riguardi della questione, non dispone di alcun potere probatorio, né di accesso a informazioni classificate. Al tempo stesso, viene posto in evidenza il problema della scarsa volontà di collaborazione dimostrata dagli altri organi dell’Unione. La Commissione, ad esempio, si sarebbe limitata all’invio di lettere di richiesta di chiarimenti ai Governi di Polonia, Ungheria, Spagna e Grecia, e avrebbe optato per una posizione che riservi la competenza della questione alle autorità nazionali. Similmente, il Consiglio dell’Unione e il Consiglio Europeo avrebbero dimostrato scarso interesse per la questione, venendo accusati, nel report del PEGA, di atteggiamento non collaborativo.

Il ruolo di Europol

Europol è individuata come strumento potenzialmente utile nel contrasto all’uso improprio degli spyware, sebbene essa non disponga di poteri operativi autonomi e per agire necessiti del consenso e della cooperazione degli Stati Membri. Una norma introdotta di recente, il Regolamento 2022/991, rappresenta un tentativo di ampliarne il margine di manovra, attribuendo all’agenzia il potere di avviare indagini; potere che Europol si sarebbe tuttavia dimostrata restia nell’utilizzare, al fine di non compromettere le buone relazioni con gli Stati Membri. Nel rapporto si evidenzia la necessità di un potenziamento dell’autonomia operativa di Europol e del ruolo attribuito ad essa nell’ambito delle operazioni di polizia inerenti all’uso di tecnologie di sorveglianza.

Le priorità

Alla luce dell’esiguità degli strumenti a disposizione delle istituzioni dell’Unione, il rapporto del Parlamento propone dunque una serie di misure prioritarie, con lo scopo di limitare gli abusi nel ricorso a tecnologie spyware e in prospettiva di una più completa regolamentazione futura del settore.

La proposta di una moratoria

Fra queste, la più rilevante consiste nella già menzionata moratoria immediata sull’utilizzo, la vendita, l’acquisto e il trasferimento di tecnologia spyware. Tale moratoria potrà essere oggetto di deroghe su base nazionale, condizionate al rispetto di una serie di requisiti, sui quali vigilerà la Commissione:

  • il pieno impegno da parte delle autorità nazionali nell’avvio di indagini relative ai casi denunciati di abuso di spyware;
  • la garanzia di adesione, da parte degli Stati Membri, ad un framework nazionale in materia di spyware, conforme agli standard delineati dalla Commissione di Venezia (Commissione Europea per la Democrazia attraverso il Diritto), dalla Corte di Giustizia UE e dalla Corte Europea dei Diritti Umani;
  • la piena disponibilità nell’autorizzazione delle proposte d’indagine avanzate da Europol in materia di utilizzo improprio di spyware;
  • la revoca delle autorizzazioni all’esportazione di tecnologie non in linea con la normativa sull’uso duale, sia civile che militare(Regolamento 2021/821).

In merito ai framework sull’utilizzo degli spyware che gli Stati sono invitati a predisporre, il report individua alcuni elementi fondamentali, volti a tutelare i diritti dei cittadini in materia di privacy:

  • una chiara definizione delle autorità delegate all’uso di tali strumenti e dei reati per i quali questo è consentito;
  • trasparenza;
  • vigilanza giuridica ex-ante ed ex-post;
  • corretta gestione dei dati personali;
  • esclusione di categorie professionali specifiche, quali giornalisti, politici, avvocati e medici.

I limiti della sicurezza nazionale

Altro aspetto denunciato dal comitato d’inchiesta sarebbe l’eccessivo utilizzo da parte dei Governi dei 27 dell’ambito di “sicurezza nazionale”, giudicato spesso nebuloso, e del quale si auspica una precisa delimitazione attraverso l’individuazione di una definizione comune a livello comunitario. Il rapporto propone quindi l’assegnazione di ruoli prioritari a Commissione e Parlamento nel contrasto all’abuso di spyware: la prima è invitata ad avviare un’indagine completa e approfondita sull’utilizzo improprio di tali tecnologie all’interno del territorio dell’Unione; mentre al Parlamento viene proposta l’attribuzione di più ampi poteri d’inchiesta, tra cui la facoltà di convocare testimoni, anche sotto giuramento, e di richiedere informazioni entro un termine definito.

Il rafforzamento della normativa

Infine, un ulteriore rimedio suggerito da PEGA consiste in un approccio volto ad assicurare maggior controllo da parte della Commissione Europea sull’implementazione a livello nazionale di norme già esistenti e applicabili all’ambito in esame. Nello specifico, sono individuate le seguenti aree normative: la Direttiva Anti Riciclaggio (AMLD); le leggi in materia di data protection e privacy (GDPR, ePrivacy Regulation); le norme sul procurement e le esportazioni; la Direttiva sul Whistleblowing (Direttiva 2019/1937).

Per quanto riguarda la legislazione sull’export, il comitato propone l’emendamento di due norme specifiche: l’Accordo di Wassenaar e il Regolamento sull’uso duale. In merito al primo, regolante l’esportazione di armi e merci e tecnologie ad uso duale, viene suggerita l’inclusione di linee guida relative ai diritti umani in materia di spyware e la trasformazione in accordo vincolante. Sul secondo si invoca, da un lato, una più rigida vigilanza da parte della Commissione Europea, dall’altro, un maggior controllo delle autorità nazionali sulle merci ad uso duale, attraverso la pubblicazione di rapporti trimestrali e l’istituzione di una Agenzia Europea di Controllo sull’Export.

La collaborazione coi Paesi extra UE

Un altro elemento fondamentale viene individuato nella collaborazione con Paesi extra-UE: in particolare si raccomanda la stipula di accordi con gli Stati Uniti in materia di strategie e standard relativi al settore, inclusa la composizione di whitelist e blacklist dei venditori di spyware.

Ulteriori proposte

Concludono il documento due proposte a lungo termine. La prima concerne l’introduzione di nuova legislazione in materia e la convocazione di una conferenza interistituzionale, promossa dal Parlamento, con l’incarico di individuare le riforme di governance necessarie per potenziare “la capacità dell’Unione di rispondere adeguatamente agli attacchi contro la democrazia e lo stato di diritto provenienti dal suo interno”. La seconda individua gli strumenti a disposizione della Commissione per garantire l’applicazione delle leggi e dei Trattati in caso di inadempienza da parte degli Stati Membri.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • la guida

    IaaS: cos’è e come potenzia il business con il cloud scalabile

    02 Mag 2024

    di Alessandra Talarico

    Condividi

Prossimo

IaaS: cos’è e come potenzia il business con il cloud scalabile

Articolo 1 di 2