Nella riunione pre-natalizia della commissione d’inchiesta del Parlamento Europeo sull’abuso dei trojan da parte degli stati nazionali sono emerse le attività di dispiegamento di queste tecnologie dentro e fuori dai confini europei.
Il solco tracciato tra le dichiarazioni pubbliche da parte dell’Europa e la realtà dei fatti è molto profondo.
Spyware, gli Stati e la “licenza di violare”: la Ue (finalmente) accende il faro su Pegasus
La denuncia di Privacy International
Ha affermato Ilia Siatitsa, responsabile legale di Privacy International (PI), «siamo preoccupati che le vostre pratiche sembrino minare le stesse regole e valori fondamentali che vi siete impegnati a promuovere e che sostenete a parole. Nello specifico, siamo seriamente preoccupati per le attività svolte dalla Commissione europea, e in particolare dall’European Border and Coast Guard Agency Frontex, dall’European Union Agency for Law Enforcement, e quelli che fanno loro formazione cioè CEPOL e l’European External Action Service.
L’Europa, secondo PI si vanta di supportare sia all’interno che all’esterno dei propri confini il rispetto dei diritti umani e della dignità, i principi di libertà, democrazia, uguaglianza e stato di diritto come valori comuni a tutti i Paesi dell’Unione Europea. In realtà negli ultimi tempi l’EU ha usato la propria posizione privilegiata di più grande donatore al mondo di aiuti allo sviluppo, come sostenitore strumentale alla democrazia alla pace nonché come potenza globale per arginare le grandi aziende di tecnologia, anche “per espandere le capacità di sorveglianza dei paesi vicini e lontani”.
Snocciola dati concreti: “il Fondo fiduciario dell’UE per l’Africa, un programma di finanziamento che utilizza il denaro degli aiuti dell’UE per il controllo della migrazione, ha fornito al governo del Niger apparecchiature di sorveglianza che includono un simulatore di torre per telefoni cellulari utilizzato per intercettare le comunicazioni”, poi “in Serbia, le autorità di sicurezza hanno cercato di utilizzare i fondi dell’UE per acquistare strumenti utilizzati per raccogliere dati personali da Facebook, come password degli utenti, cronologia di navigazione, contenuti, contatti, posizioni, cronologia, e-mail, aggirando l’autenticazione a due fattori, cioè la misura di sicurezza chiave su cui fanno affidamento attivisti, giornalisti e altri in tutto il mondo”.
Privacy International si fa forte della recente pronuncia del Mediatore Europeo che ha concordato con il reclamo, presentato da PI, nei confronti della Commissione europea per non aver adottato misure necessarie a garantire la protezione dei diritti umani nei trasferimenti di tecnologie di sorveglianza in Gabon. Il Mediatore europeo, indagando sui progetti in Africa, ha raccolto prove molto dettagliate e ha concluso che la Commissione non era in grado di «dimostrare che le misure in vigore garantissero un approccio coerente e strutturato per la valutazione dell’impatto sui diritti umani». Altre denunce sono state presentate per ciò che riguarda Frontex e l’European External Action Service.
All’Europa però non si contesta solo questa ipocrisia di vantarsi a parole di sostenere i diritti umani e poi fare l’esatto contrario fuori dai propri confini, ma che queste tecnologie siano usate attivamente anche contro i cittadini e le imprese europee, non solo nei confini dei paesi in cui sono venduti, ma, a causa la loro portata globale, anche potenzialmente a casa propria.
L’Europa non vuole fermare l’uso e il traffico di spyware
Il principale problema sembra essere non solo l’incapacità delle istituzioni europee di fermare l’uso e il traffico degli spyware in casa propria e altrui, ma la totale mancanza di volontà di farlo. Quando si tratta di belle dichiarazioni di principio a favore dei diritti umani tutti i politici e i funzionari europei sono sempre in prima fila, quando poi si tratta di mettere in atto quei principi a livello dell’Unione, a livello nazionale, o quando riguardano interessi delle nazioni all’esterno dell’Europa, tutto diventa più opaco e complesso, anzi sembra non esserci neppure la necessità perché l’uso di spyware, sarebbe lecito e anche solo verificarne l’uso fuori dalle competenze dell’Unione.
Sullo spionaggio basato su tecnologie informatiche le istituzioni europee hanno volutamente trascurato il tema per anni e il Parlamento è stato forzato a prendere in considerazione il tema solo a partire dal 2018 quando una inchiesta aveva tracciato il possibile utilizzo dello spyware Pegasus in Polonia. Questo però significa che per un lunghissimo tempo non si sia voluto affrontare il tema se già nel 2015 era scoppiato lo scandalo della società italiana HackingTeam e nel 2012 altre inchieste avevano preso in considerazione lo spionaggio informatico di società europee ai danni di attivisti internazionali. Né si può considerare che neppure al tempo il tema fosse una novità se, per fare un esempio, in Italia nel convegno e-privacy del Progetto Winston Smith si era trattato ampiamente del tema almeno a partire almeno dal 2005 e lo stesso Parlamento Europeo aveva adottato una risoluzione dopo lo scandalo del caso Echelon nel 2001.
Nel luglio 2021 poi, dopo una ricerca giornalistica, condotta con il supporto di Amnesty International, ha verificato l’uso, ampio e indiscriminato, di Pegasus per intercettare giornalisti, politici, avvocati e persino giudici, la ministra della Difesa, María Margarita Robles Fernández, e addirittura il premier spagnolo Sanchez.
Spyware Pegasus, la Ue a un bivio: il caso Ungheria e i paletti del Gdpr
L’Europa avrebbe voluto affrontare con decisione la situazione considerata «totalmente inaccettabile» dalla presidente della Commissione Europea Ursula von der Leyen, ma come troppo spesso accade ai buoni propositi dell’UE, i fatti susseguenti sono stati di tutt’altro segno. La montagna, il topolino, non l’ha neppure partorito. Con il documento dell’aprile 2022 la commissione d’inchiesta registrò che la Commissione Europea della presidente von der Leyen aveva ritrattato i propri obiettivi e aveva chiarito che non aveva nessuna intenzione di indagare sugli Stati membri che usavano tecnologie per spiare politici, giornalisti e altri individui nei propri territori (e potenzialmente all’estero), in quanto “si tratta di qualcosa che spetta alle autorità nazionali” e che la Commissione UE non può occuparsi di questioni di sicurezza nazionale. «[I cittadini europei] dovrebbero cercare giustizia a livello di tribunali nazionali», con buona pace di tutte le dichiarazioni di principio dell’UE.
Una lettura volutamente politica del caso Pegasus
Nel lavarsi le mani della questione la Commissione ha tentato di accreditare una lettura politica della faccenda, godendo del fatto che i principali accusatori in campo europeo provenissero dall’estrema destra, insorti in difesa dell’uso degli spyware da parte dei governi nazionalisti in Ungheria e Polonia. La strategia degli altri paesi europei, quindi, è stata quella di minimizzare l’accaduto sperando che i riflettori sulla questione si spegnessero. A dissolvere il tentativo di minimizzare l’accaduto, grazie al minuzioso lavoro dei giornalisti d’inchiesta è stato però il caso spagnolo.
In Spagna, infatti, l’uso degli spyware è stato ampio e ampiamente bi-partisan, sia da parte di governi di centro-destra che di centro-sinistra, e non solo ai danni dei politici indipendentisti catalani ma anche degli stessi esponenti del governo, in una sorta di riedizione europea del Watergate (che non ha però avuto alcuna ripercussione). Come i governi di Polonia e Ungheria, anche quello spagnolo oggi sostiene che l’attività di spionaggio politico sia perfettamente legale e il passo indietro fatto dalla Commissione Europea certamente non contribuisce a chiarire i limiti dell’uso di queste tecnologie così invasive.
Leggendo con attenzione i documenti e delle trascrizioni delle riunioni della commissione di inchiesta, a dispetto delle speranze di alcuni, il punto quindi è che, anche nella commissione parlamentare sembra prevalere l’opinione che in Europa, governi di ogni colore politico, siano autorizzati (o quantomeno non dissuasi) a usare gli spyware per sorvegliare gli avversari politici, i giornalisti d’inchiesta, gli imprenditori poco allineati, ecc. Alla magistratura locale, non sempre aliena dall’uso degli stessi mezzi in forma altrettanto incontrollata, sarebbe demandato il compito di occuparsi di queste violazioni.
Conclusioni
Il processo di democratizzazione di queste tecnologie di sorveglianza, ormai alla portata di molti, se non di tutti, imporrebbe una reazione netta da parte dell’Europa per la tutela di propri cittadini e di tutti i cittadini del mondo. Questa tutela rimarrà sulla carta perché non è utile alle istituzioni europee. Per lucrare sulle proprie posizioni di intermediazione, è utile alle istituzioni europee la tutela economica della privacy dalle multinazionali americane o la difesa del diritto degli editori locali contro i giganti del Web. La tutela dei cittadini dall’estesa e incontrollata attività di spionaggio, dentro e fuori dai confini nazionali e continentali, indebolirebbe la stessa infrastruttura di sorveglianza interna ed esterna degli stati europei.
Il punto del discorso non sta certamente in questa scoperta. Che i servizi segreti, statali o privati, siano usati in queste attività politiche è senza dubbio una delle aspettative più ragionevoli dei cittadini di qualsiasi regime politico. Come italiani poi è difficile dimenticare che le intercettazioni politiche, prima ancora della presenza degli spyware, e a maggior ragione dopo, sono spesso state usate sia come fonte di ricatto personale che come strumento di orientamento dell’opinione pubblica. Questo non è certamente una novità. Si può esercitare quanta indignazione si vuole contro la cosa, ed è senza dubbio una giusta indignazione, ma cambia poco le cose.
Forse cambierebbe di più usare un po’ di indignazione, ed eventualmente un po’ di giudizio al momento delle scelte nei confronti delle istituzioni europee. Per esempio i cittadini dovrebbero valutare che tutte le iniziative politiche e soprattutto amministrative che pretenderebbero di riportare sotto il tallone statale le vite online dei cittadini sono esposte anche a queste distorsioni. Un giudizio che dovrebbe essere esteso anche alla cosiddetta sovranità digitale che non porterà solo il vantaggio (o il miraggio) di una migliore gestione teorica della privacy dovuta a misure come quella del GDPR, come sembrano magnificare i suoi sostenitori, ma anche che gli stati nazionali saranno ben autorizzati dall’Europa a non garantire alcuna sicurezza dei propri cittadini dalla sorveglianza generalizzata dagli spyware.
In una recente commissione parlamentare italiana sull’evoluzione della rete 5G fu espressa dal presidente dell’Autorità delle garanzie sulle comunicazione l’idea che l’adozione di una o l’altra tecnologia comportasse per i cittadini sostanzialmente la scelta tra essere spiati o dagli americani o dai cinesi. Le recenti azioni delle istituzioni europee sembrano intese piuttosto ad aggiungere nel gruppo degli spioni anche l’Europa, non a garantire che i cittadini europei non siano spiati da nessuno. I nazionalisti duri e puri saranno forse contenti, ma tutti gli altri cosa hanno da gioire nell’avere uno spione più sotto casa?
