“Il Garante per la protezione dei dati personali rivolge un avvertimento a tutti coloro che dovessero utilizzare lo spyware ‘Graphite’, della società israeliana Paragon Solutions Ltd, o sistemi analoghi, o dovessero utilizzare le informazioni raccolte tramite questi software.
Tali attività, svolte al di fuori degli usi consentiti dalla legge, violano il Codice privacy e possono comportare l’applicazione di una sanzione amministrativa fino a 20 milioni di euro o al 4% del fatturato.”
Indice degli argomenti
Dalla finzione alla realtà: il pericolo degli spyware come Graphite
L’idea di una spia invisibile, capace di intrufolarsi in ogni conversazione, rubare informazioni segrete e violare la privacy dei potenti e degli ignari cittadini, ha sempre affascinato il cinema e la letteratura. Dai gadget tecnologici di James Bond agli hacker che nei thriller informatici si insinuano nei dispositivi dei protagonisti, la fantasia ha spesso anticipato la realtà. Nell’era tecnologica, tuttavia, da tempo la minaccia alla riservatezza non è più relegata alla fiction.
Strumenti di sorveglianza avanzati come Graphite, sviluppato dalla Paragon Solutions, e il più noto Pegasus, creato dalla NSO Group, sono da anni una realtà concreta, capace di trasformare qualsiasi smartphone in una cimice digitale, una Mata Hari tascabile. La differenza rispetto alle spie del passato è che questi software non hanno bisogno di rocambolesche missioni segrete: basta un clic, spesso nemmeno quello, e il dispositivo della vittima viene compromesso senza che questa se ne accorga.
Armi di sorveglianza, un problema globale
L’avvertimento lanciato dal Garante della privacy in Italia su Graphite evidenzia un problema globale: il rischio che queste tecnologie siano utilizzate al di fuori dei confini legali, trasformandosi da strumenti per la sicurezza nazionale in vere e proprie armi di sorveglianza nei confronti, oggi, di talune categorie e domani, potenzialmente, di massa.
Le aziende che sviluppano tali sistemi sostengono di venderli solo a governi per scopi di sicurezza, ma numerosi casi hanno dimostrato come spesso finiscano nelle mani sbagliate, con conseguenze devastanti per le libertà individuali.
I casi più eclatanti di abuso
Uno degli episodi più eclatanti è quello legato all’omicidio del giornalista saudita Jamal Khashoggi nel 2018. Un’indagine condotta da Citizen Lab ha rivelato che Pegasus era stato usato per monitorare i suoi contatti e spostamenti prima che venisse brutalmente assassinato nel consolato saudita di Istanbul.
In Spagna, invece, è emerso lo scandalo noto come Catalangate, in cui Pegasus è stato utilizzato per sorvegliare segretamente oltre sessanta esponenti del movimento indipendentista catalano. Il caso ha suscitato forti polemiche, con il governo spagnolo costretto a difendersi da accuse di abuso di potere e violazione dei diritti umani.
Anche l’Ungheria è finita sotto i riflettori con l’accusa di aver utilizzato lo spyware per monitorare giornalisti investigativi e oppositori politici, sollevando preoccupazioni sul deterioramento dello stato di diritto nel Paese.
Diritto alla segretezza delle comunicazioni: il faro della Costituzione
Ma anche l’Italia sembra non essere del tutto immune da questo fenomeno. Sebbene non siano ancora emersi scandali eclatanti legati all’uso di Graphite o Pegasus, il Garante per la privacy ha ritenuto necessario intervenire preventivamente, mettendo in guardia non solo le istituzioni ma anche le aziende e i privati cittadini.
Il rischio è che questi strumenti possano essere utilizzati al di fuori delle indagini giudiziarie e delle finalità di sicurezza nazionale, magari da agenzie investigative private o aziende senza scrupoli, violando il diritto alla segretezza delle comunicazioni sancito dall’articolo 15 della Costituzione Italiana. Questo articolo stabilisce che la libertà e la segretezza della corrispondenza e di ogni altra forma di comunicazione sono inviolabili e che ogni limitazione deve avvenire solo per atto motivato dell’autorità giudiziaria con le garanzie stabilite dalla legge. Il problema, dunque, non è solo la tecnologia in sé, ma il modo in cui viene utilizzata e, soprattutto, il controllo che le istituzioni devono garantire per impedirne abusi.
Programmi-spia: lo scudo del Gdpr
Anche la normativa europea sulla protezione dei dati personali, il GDPR, offre strumenti chiari per contrastare tali derive, imponendo limiti rigorosi al trattamento dei dati personali. L’articolo 4 del Regolamento Europeo per la protezione dei dati definisce come dato personale qualsiasi informazione che possa identificare una persona, compresi i metadati raccolti dagli spyware. L’articolo 6 stabilisce che il trattamento dei dati, in assenza di consenso, debba essere lecito ossia giustificato da un interesse pubblico o dall’esercizio di pubblici poteri mentre l’articolo 9 impone restrizioni ancora più severe quando si tratta di dati particolari , come quelli relativi alle opinioni politiche, all’origine etnica , alla salute, all’orientamento sessuale.
Il Regolamento, insomma, rappresenta un vero e proprio scudo anche rispetto alla invasività dei programmi-spia, tanto da spingere il Garante Europeo per la protezione dei dati personali a chiedere, fin dal 2022, la messa al bando del sistema Pegasus mentre nel Giugno 2023 una lunghissima Raccomandazione del Parlamento Europeo invitava la Commissione a ” presentare tempestivamente proposte legislative”.
Il problema dell’applicazione e del monitoraggio delle normative esistenti
Se le normative esistono, il problema resta quello dell’applicazione e del monitoraggio. La questione è tutt’altro che semplice. Le autorità, come il Garante italiano, possono emettere sanzioni e avvisi, ma senza un coordinamento internazionale e strumenti efficaci di enforcement, il rischio è che questi software continuino a essere utilizzati impunemente. Le aziende che li sviluppano operano spesso in una zona grigia, nascondendosi dietro accordi di segretezza con governi e agenzie di intelligence, rendendo difficile risalire ai veri responsabili di eventuali abusi.
Protezione dei dati: un problema anche culturale
Per contrastare questa deriva, servirebbero non solo leggi più stringenti ma anche un cambiamento culturale. La consapevolezza dei cittadini sulla protezione dei propri dati è fondamentale: sapere che il proprio smartphone può essere trasformato in un microfono aperto h24 dovrebbe spingere le persone a prestare maggiore attenzione alla sicurezza digitale. I governi, dal canto loro, dovrebbero sorvegliare per garantire che le tecnologie di sorveglianza vengano utilizzate solo nei limiti della legge, evitando che diventino strumenti di oppressione. Il caso Pegasus ha dimostrato che nessuno è al sicuro, neppure capi di stato e giornalisti d’inchiesta. Se oggi la minaccia riguarda figure pubbliche, domani potrebbe toccare a chiunque.
La differenza tra la fantascienza di James Bond e la realtà degli spyware odierni è che il nemico non è più un “cattivo” o un’organizzazione di psicopatici con un piano diabolico per conquistare il mondo.
Il nemico, oggi, è l’assenza di limiti e regolamentazioni chiare sull’uso della sorveglianza digitale. Da una parte, la sicurezza nazionale e il contrasto al crimine richiedono strumenti efficaci; dall’altra, il diritto alla privacy e alla libertà di espressione non possono essere sacrificati in nome di una sorveglianza senza controllo.
