Il 28 novembre il Comitato d’inchiesta per le indagini sull’uso di Pegasus e di spyware di sorveglianza equivalenti (PEGA – Pegasus and equivalent surveillance spyware) ha pubblicato la bozza della relazione sulle presunte violazioni del diritto comunitario in merito all’utilizzo di dispositivi di sorveglianza da parte di alcuni Stati membri. Questa prima versione del report, che fa seguito a quella divulgata l’8 novembre, fornisce una panoramica dei vari Paesi dell’Unione in cui sarebbe stato condotto un uso illecito di software di spionaggio.
Spyware, gli Stati e la “licenza di violare”: la Ue (finalmente) accende il faro su Pegasus
Le indagini sulle presunte violazioni del diritto dell’Unione
Il Comitato PEGA è stato istituito il 10 marzo scorso ed è composto da 38 membri, con l’obbiettivo di esaminare le leggi nazionali esistenti che regolano la sorveglianza su tali strumenti e se questi siano stati utilizzati per scopi politici.
Il Parlamento europeo ha quindi indagato sulle presunte violazioni del diritto dell’Unione e sull’utilizzo della sorveglianza intrusiva da parte degli Stati membri per violare i diritti e le libertà sanciti dalla Carta dei Diritti Fondamentali dell’Unione. Ha altresì valutato il livello di rischio derivante da tali comportamenti per i valori sanciti dall’articolo 2 del TUE, quali democrazia, stato di diritto e rispetto dei diritti umani.
È stato inoltre analizzato il quadro giuridico in cui gli Stati membri avrebbero acquisito e utilizzato gli spyware e se tale uso abbia avuto un impatto negativo sui processi democratici nei singoli Stati relativi alle elezioni a livello locale, nazionale ed europeo.
Secondo quanto emerso dalle indagini, l’impiego di tali prodotti avrebbe comportato lo spionaggio illegale di giornalisti, politici, funzionari delle forze dell’ordine, diplomatici, avvocati, uomini d’affari ed esponenti della società civile o altri attori in paesi terzi.
Il report finale di inchiesta, che dovrà essere adottato entro un anno con le relative modifiche, ma la cui data di scadenza potrà essere ulteriormente estesa, ha un duplice obbiettivo: il primo riguarda l’uso o l’abuso di Pegasus e di altri spyware equivalenti da parte degli Stati membri dell’UE, mentre il secondo concerne i paesi terzi e l’eventuale impatto del loro uso di spyware sui diritti fondamentali garantiti dal diritto dell’UE.
Caso Pegasus, ma anche l’Italia pecca di trojan di Stato: a rischio i diritti di tutti
I Governi coinvolti
Secondo quanto riportato nella bozza del report, in risposta allo scandalo relativo all’utilizzo degli spyware, la Commissione europea avrebbe richiesto delucidazioni ai Governi di Polonia, Ungheria, Spagna e Grecia, a cui, per ora, non avrebbero fatto seguito ulteriori azioni.
Spagna
Tra i Paesi coinvolti figurerebbe quindi la Spagna, la quale era già stata inserita da Citizen Lab nella lista degli Stati a cui la società israeliana NSO Group avrebbe venduto lo spyware Pegasus. Madrid avrebbe usato il software per sorvegliare diversi esponenti del movimento indipendentista catalano. Lo stesso dispositivo sarebbe stato, altresì, impiegato per spiare gli apparecchi di più di 200 personalità del Paese, tra cui il Primo Ministro Pedro Sánchez e il Ministro della Difesa Margarita Robles. Si sospetta che in questa operazione fossero coinvolte le autorità marocchine per via delle tensioni scaturite tra il Governo spagnolo e Rabat, a seguito del permesso concesso al leader indipendentista saharawi Brahim Ghali di essere ricoverato in un ospedale di Madrid.
Nel novembre 2022, il Threat Analysis Group (TAG) di Google ha reso noti i risultati delle sue ricerche condotte su Helicona, un framework che sfrutterebbe le vulnerabilità n-day dei browser Chrome, Firefox e Microsoft Defender, e fornirebbe gli strumenti necessari per distribuire un payload su un dispositivo bersaglio. Queste attività sarebbero state ricondotte a Variston IT, un’azienda di Barcellona che si dichiara fornitore di soluzioni di sicurezza personalizzate. Il TAG ha affermato di aver scoperto il framework quando Google ha ricevuto un avviso anonimo nel programma di segnalazione dei bug di Chrome. L’autore della segnalazione ha presentato tre falle, ciascuna con istruzioni e un archivio contenente il codice sorgente.
Di fronte alle spiegazioni richieste dal Comitato PEGA, la Direttrice del Centro Nazionale di Intelligence (CNI), Esperanza Casteleiro, ha illustrato il quadro giuridico in cui operano i servizi segreti ma non ha risposto alle domande sui presunti casi di violazione, adducendo che si tratti di segreti di Stato di cui la legislazione spagnola non consente la rivelazione.
Cipro
Un altro Stato che è stato oggetto di indagini più approfondite è Cipro. Secondo quanto riportato dal Comitato, il Paese rappresenterebbe un importante centro di esportazione europeo per l’industria degli spyware. Le aziende che vi si stabiliscono utilizzerebbero vari stratagemmi per eludere le normative sull’esportazione dei propri dispositivi. Nello specifico, l’hardware fisico del prodotto verrebbe inviato a un Paese destinatario senza l’implementazione del software specifico. Successivamente, il software di attivazione, chiamato anche “chiave di licenza”, verrebbe inviato separatamente tramite una chiavetta USB al Paese di destinazione.
Un altro metodo per aggirare i controlli sarebbe quello di dichiarare che il prodotto è esportato solo per dimostrazione, anche se viene aggiunta una descrizione dettagliata sul suo impiego.
Secondo quanto riportato dal New York Times, il Governo di Nicosia avrebbe facilitato la creazione di Circles, un’azienda fondata nel 2008 da Tal Dilian, ex Generale israeliano appartenente al Direttorato dell’Intelligence Militare e ideatore di Intellexa.
Circles avrebbe utilizzato una tecnica di spionaggio perfezionata da Israele, nota come Sfruttamento del Sistema di Segnalazione 7, che consentirebbe il furto di dati, l’intercettazione, il monitoraggio di messaggi e la localizzazione di dispositivi.
A seguito di uno scandalo che lo ha coinvolto, Dilian si sarebbe trasferito in Grecia e nel 2020 avrebbe fondato Intellexa. Quest’ultima è recentemente finita sotto i riflettori per la presunta campagna di sorveglianza attuata dal Governo ellenico con lo spyware Predator nei confronti di politici dell’opposizione e giornalisti. Secondo Citizen Lab, il software sarebbe stato utilizzato anche in Armenia, Egitto, Indonesia, Madagascar, Oman, Arabia Saudita, Serbia, Colombia, Costa d’Avorio, Vietnam, Filippine e Germania.
Conclusioni
Alla luce della divulgazione di queste notizie, il comitato d’inchiesta ha espresso le sue preoccupazioni riguardo l’utilizzo diffuso degli spyware. Sulla base di quanto riportato nella parte finale della bozza, ad oggi, gli Stati Membri avrebbero condiviso poche informazioni ufficiali riguardo il loro quadro giuridico sull’uso di questi strumenti. Al fine di evitare qualsiasi richiesta di trasparenza e di salvaguardia dei diritti, verrebbe infatti invocato il principio della “sicurezza nazionale”. Allo stesso tempo, i pubblici ministeri declinerebbero le richieste di indagine, sostenendo che le vittime non avrebbero prove sufficienti per avviare un procedimento contro il governo.
Secondo quanto rilevato dal comitato, tutti questi elementi contribuirebbero a formare un sistema concepito per il controllo e l’oppressione, in cui le vittime rimarrebbero indifese e i principi su cui si basano le società democratiche verrebbero disattesi. Inoltre, la commissione PEGA ha affermato che formulerà una serie di raccomandazioni in tal senso. In un momento in cui i valori europei sarebbero in pericolo, conclude il comitato, risulterebbe quanto mai necessario l’avvio di riforme istituzionali e politiche che accordino agli organismi comunitari la capacità di redigere nuove norme e di farle rispettare in maniera efficace anche quando vengono violate dagli Stati membri.
