Sorveglianza: dopo Pegasus e Predator, l’UE corre (lentamente) ai ripari
Mentre la Commissione d’inchiesta dell’Europarlamento chiama a rapporto i vari stati dove le tecnologie della sorveglianza sono state commercializzate sfuggendo ai divieti, resta forte l’accento sulla società civile e sulla sicurezza digitale. Intervista a Lorenzo Bagnoli di IrpiMedia
I nuovi scenari tecnologici comportano sfide inedite su cui interrogarsi, si veda il caso Pegasus con decine di giornalisti, attivisti e difensori dei diritti umani sottoposti a sorveglianza e intercettazioni, e le risposte a livello europeo non sono mancate, dalla commissione d’inchiesta dell’Europarlamento alle modifiche del regolamento sull’esportazione delle tecnologie a doppio uso civile e militare. La stessa autorità europea per la protezione dei dati (EDPS) è stata inequivocabile in una sua analisi pubblicata il 15 febbraio 2022: non si tratta soltanto del diritto alla riservatezza e della violazione della privacy, sono in gioco anche le libertà fondamentali, nonché la democrazia e lo stato di diritto. Per questo, aveva ricordato l’autorità, va ripensato “l’intero sistema di salvaguardia dei nostri diritti e libertà fondamentali, perché sono messi in pericolo da questi strumenti”. Tra le misure suggerite dall’EDPS, appunto, alcune modifiche al regolamento sull’export, in modo da “condizionare al rispetto dei diritti fondamentali e della privacy l’esportazione delle tecnologie adatte alla sorveglianza digitale”.
Ora che diversi mesi sono passati da quelle dichiarazioni allarmate, ora che i regolamenti e i report sono stati pubblicati, restano molti dubbi sulle effettive garanzie e tutele, mentre sembra continuare a prosperare il mercato intra-europeo della sorveglianza, che un’inchiesta di IrpiMedia definisce “un buco nero”.
Ne parliamo con Lorenzo Bagnoli, che di IrpiMedia è senior reporter ed editor. Qual è il focus della vostra ricerca?
Sul tema dell’industria globale della sorveglianza, uno dei nostri obiettivi è capire come funziona la relazione tra paesi produttori e importatori di tecnologie di sorveglianza e analizzare i flussi di denaro, per cercare chi finanzia questo mondo.
IrpiMedia è una testata indipendente e non profit di giornalismo investigativo transnazionale che si occupa di crimine organizzato, corruzione, ambiente, migrazioni e giustizia. Come è entrato il capitolo “sorveglianza” nella vostra attività investigativa?
È un tema d’interesse da sempre, per me anche da freelance prima della fondazione di IrpiMedia. È un tema epocale sul quale in passato è mancato l’approccio collaborativo che invece contraddistingue il nostro lavoro. La nostra serie #Sorveglianze nasce invece dalla collaborazione con Privacy International, organizzazione britannica che si occupa di fare advocacy sul tema, con la quale cerchiamo di identificare i filoni più interessanti.
Cercando una definizione di “sistema di sorveglianza”, a che cosa bisogna pensare?
Il sistema di sorveglianza di massa è un’infrastruttura politica e tecnologica che uno stato mette in piedi allo scopo ideale di costruire una società più sicura attraverso l’impiego di strumenti tecnologici. Nei fatti, gli strumenti tecnologici impiegati sono talmente invasivi da ledere in alcuni casi i diritti digitali, soprattutto tra le fasce più povere della popolazione. Chi produce tecnologie che alimentano i sistemi di sorveglianza ha il potere di influenzare le decisioni di uno stato nazionale.
L’allarme è stato lanciato anche a livello di Unione Europea, soprattutto per alcuni paesi tipo Ungheria, Polonia e Cipro.
Dobbiamo dire grazie all’Europarlamento e alla commissione d’inchiesta istituita a marzo 2022. Rispetto al passato, ci sono gruppi parlamentari che hanno maggiore consapevolezza di come la sorveglianza di massa possa colpire arbitrariamente minoranze e opposizioni. Però non penso che ci sia consenso nei consessi europei per considerare “allarmante” la diffusione di queste tecnologie. La presenza di Cipro tra i paesi problematici secondo il monitoraggio del PEGA Committee non stupisce più di tanto, per motivi storici e geografici.
Per questo a un certo punto anche IrpiMedia si occupa di Cipro.
Il nostro interesse per Cipro è stato solo in funzione della vendita di Predator e del ruolo che il Paese ha svolto come broker per la tecnologia israeliana in Grecia. In generale, a livello di attenzione pubblica, sicuramente dal 2019 i riflettori sono stati puntati con particolare interesse su Cipro dopo che lo stesso fondatore di Intellexa—l’azienda coinvolta nello scandalo in Grecia—aveva mostrato in un’intervista un proprio furgoncino venduto da un’azienda del gruppo pieno di tecnologie di sorveglianza.
Da allora sono emersi gli affari che passano per Cipro aggirando i divieti.
Almeno dal 2015, dall’epoca del leak di HackingTeam, è chiaro che esiste un problema nel funzionamento del sistema delle licenze di tecnologie di sorveglianza come gli spyware. Nel caso di Cipro e del caso Predator, il problema è l’impiego della tecnologia specifica e del produttore NSO. NSO deve sottostare all’autorizzazione per l’export concessa dalla Defense Exports Control Agency (DECA) del ministero della Difesa israeliano, ma se la tecnologia viene esportata da un’azienda che fa capo a NSO ma registrata in un paese come Cipro allora si può creare un buco nella rete di controllo. Cipro può applicare un controllo più blando agli export e, dal momento che l’export tra paesi dell’Unione Europea è regolamentato meno severamente, a quel punto il sistema della rivendita intra-europea è il problema. Inoltre Cipro è un paese di frontiera, che riesce a utilizzare la propria posizione per fare da ponte tra UE e Mediterraneo orientale.
Lo scorso gennaio, la Commissione d’inchiesta ha prodotto una raccomandazione in cui condanna ogni esportazione di tali tecnologie verso paesi dove si violino i diritti umani e, constatando come alcuni abusi siano stati commessi da parte di Cipro, si rivolge al governo perché fornisca un elenco preciso di tutti i permessi di esportazione, revocando quelli non appropriati, e perché collabori con l’Europol su presunti casi di utilizzo di spyware contro giornalisti, avvocati e membri della società civile. Ma Cipro non è un caso isolato, e la Commissione ribadisce come anche in altri stati membri vi sia la “presenza di una fiorente industria dello spyware che trae vantaggio dalla buona reputazione, dal mercato unico e dalla libertà di movimento nell’UE, permettendo a stati quali Cipro e Bulgaria di diventare centri di smistamento di spyware verso regimi non democratici in tutto il mondo”. La realtà quindi è nota. Le soluzioni sono soltanto normative o ci sarebbero altri strumenti?
È necessario mettere in piedi una strategia di potenziamento della sicurezza informatica dei dispositivi digitali, fornendo sia supporto economico alle aziende produttrici di dispositivi sia includendo nuovi obblighi, come ad esempio estendere gli aggiornamenti di sicurezza anche a quei dispositivi più vecchi che altrimenti rimarrebbero vulnerabili.
Inoltre si potrebbe prevedere una semplificazione per l’accesso all’analisi dei dispositivi, in modo da raccogliere informazioni di telemetria utili per verificare le infezioni. Fino ad ora questa attività è stata a carico quasi esclusivo delle organizzazioni della società civile, pensiamo a strumenti come quello sviluppato da Amnesty Tech che sono utilissimi perché permettono anche a chi ha conoscenze informatiche non necessariamente elevate di poter fare un’analisi preliminare di un dispositivo e poter capire se c’è una qualche traccia di infezione.
L’attività normativa rimane però comunque un punto importante: anche solamente pensare di creare una lista pubblica di aziende che vendono tecnologie di sorveglianza potrebbe essere un passo avanti. In questo momento giornalisti e associazioni stanno cercando di comporre un puzzle di cui non si conoscono dimensioni e numero di pezzi: si brancola nel buio nell’attesa di scoprire il nome dell’ennesima nuova azienda.
C’è qualcosa che potrebbe fare l’opinione pubblica a livello europeo?
Se pensiamo al comportamento di alcuni Paesi membri durante l’inchiesta della Commissione PEGA sull’impiego di spyware come Pegasus, ci accorgiamo di come alcuni non abbiano voluto cooperare e rispondere alle richieste della Commissione. In alcuni casi addirittura si è quasi arrivati a mettere i bastoni tra le ruote: dalla Spagna con il caso legato alla Catalogna fino alla Grecia. L’opinione pubblica potrebbe fare pressione per far sì che alle prossime elezioni europee del 2024 gli europarlamentari siano molto più consapevoli dei rischi di queste tecnologie e abbiano un approccio molto più incisivo, partendo anche dai risultati del report e delle raccomandazioni della Commissione PEGA. Inoltre l’opinione pubblica potrebbe anche chiedere una maggiore trasparenza ai propri governi riguardo i dati sulle esportazioni di queste tecnologie: la Commissione Europea raccoglie i dati sull’export ma pubblica solamente dati aggregati senza chiarire nel dettaglio le attività di ogni singolo stato membro. Gli stati, a loro volta, si barricano dietro questa finzione di trasparenza per negare l’accesso a qualsiasi dato.
Il progetto DJAS è co-finanziato da Open Society Institute in cooperazione con OSIFE/Open Society Foundations. La responsabilità dei contenuti di questa pubblicazione è esclusivamente di Osservatorio Balcani e Caucaso Transeuropa.
Questo progetto ha ricevuto finanziamenti dal programma di ricerca e innovazione Horizon 2020 dell’Unione europea in virtù della convenzione di sovvenzione Marie Skłodowska-Curie n. 765140.