Un software creato dall’azienda tecnologica israeliana NSO è stato usato illegalmente da parte di diversi governi autoritari per scopi che nulla hanno a che vedere con la sicurezza nazionale, violando esplicitamente gli ormai inesistenti valori democratici. Pegasus: l’annientamento della democrazia Claudio Palazzi
IL CASO Pegasus: l’annientamento della democrazia
Ideato per il controllo e il monitoraggio di terroristi e soggetti potenzialmente pericolosi per la collettività, il software Pegasus, in realtà, è stato sfruttato per spiare migliaia di giornalisti, attivisti per i diritti umani, avvocati, magistrati, uomini d’affari, ma anche politici. Tanto per fare due nomi, sono finiti nel mirino anche Emmanuel Macron e Charles Michel, rispettivamente il Presidente della Repubblica Francese e il Presidente del Consiglio Europeo. La notizia giunge da diverse organizzazioni giornalistiche mondiali, tra le quali il Washington Post (che ha avviato l’inchiesta), riunitesi poi in un consorzio chiamato ‘Pegasus project’. Pegasus: l’annientamento della democrazia
Tra i vari governi che avrebbero utilizzato il programma, venduto dalla NSO Group, sotto il controllo del ministero della Difesa israeliano, ci sarebbe quello dell’Ungheria di Viktor Orban, l’unico dell’UE coinvolto, manco a dirlo. Gli altri governi accusati sono quelli di Azerbaigian, Bahrain, Kazakistan, Messico, Marocco (che avrebbe ‘infettato’ il cellulare del Presidente Macron, in funzione anti-algerina), Ruanda, India, Arabia Saudita ed Emirati Arabi Uniti. Tutti governi comunque non proprio famosi per essere assidui portatori di valori democratici. Gli ultimi due, addirittura, avrebbero impiegato il sistema per monitorare le conversazioni dei colleghi di Jamal Khashoggi, giornalista del Washington Post assassinato tre anni fa, si sospetta, proprio su mandato della monarchia saudita. Dall’indagine emerge che, in totale, sarebbero quasi 50.000 i numeri telefonici messi sotto controllo. Intanto il governo israeliano ha creato una task force composta da rappresentanti del ministero della Difesa, del ministero della Giustizia, del ministero degli Esteri e dell’intelligence militare, per gestire la situazione. Certamente, questo non è il primo caso di cyber spionaggio ma, se si guarda ai numeri, alle persone coinvolte e, soprattutto, all’efficacia del software in questione, possiamo dire che siamo di fronte ad un ‘attacco’ senza precedenti. Pegasus: l’annientamento della democrazia
COME FUNZIONA PEGASUS Pegasus: l’annientamento della democrazia
Pegasus, nello specifico, è uno ‘spyware‘, una categoria di software che punta a raccogliere informazioni contenute nel device di un utente. In poche parole, uno spyware ‘entra’ nell’apparecchio attraverso un’interazione dell’utente, che potrebbe cliccare su un link ricevuto via email, WhatsApp, social o sms. Spesso si tratta di messaggi sospetti. Nel caso di Pegasus, si può ipotizzare che le ‘esche’ siano state confezionate in maniera convincente, tenendo conto degli interessi degli utenti presi di mira.
Uno spyware evoluto è in grado di attaccare ogni sezione di un dispositivo. Telefonate, email, post, messaggi inviati con app criptate come WhatsApp. Lo spyware è persino in grado di localizzare l’apparecchio. Dal cellulare vengono sottratti contatti, password, documenti, compresi foto e video. I programmi più moderni sono in grado di attivare anche microfoni e telecamere, senza mostrare segnali o modificarne il funzionamento. Pegasus, in sintesi, dopo aver ‘colpito’ un telefonino, consente di controllare ogni tipo di informazione.
LA TUTELA DELLA PRIVACY Pegasus: l’annientamento della democrazia
La privacy, almeno in ambito europeo e seppur con qualche lacuna, è già ‘protetta’ dal GDPR, il Regolamento generale sulla protezione dei dati dell’Unione Europea. Ma come si è arrivati al GDPR? Innanzitutto, c’è da fare una piccola precisazione: privacy e protezione del dato personale, in realtà, non hanno proprio lo stesso significato. Uno comprende l’altro. Parliamo di privacy e di riservatezza, infatti, per intendere la tutela della sfera privata nella sua accezione più generale mentre la protezione del dato riguarda tutte le informazioni su una persona, entrando quindi nello specifico. Tutto sommato, però, il ‘diritto alla privacy’ riesce a comprendere il tutto. Pegasus: l’annientamento della democrazia
Quando il concetto di privacy arriva in Europa, non si parla ancora di dato personale. Siamo nell’Europa post-bellica, gli Stati totalitari sono ancora una cosa fresca e, chiaramente, si sente ancora la necessità di difendere la ‘sola’ sfera privata dallo Stato. Vengono emanate 2 norme fondamentali che riguardano la sfera privata: l’articolo 8 della CEDU e l’articolo 2 della nostra Costituzione. Passano quasi 30 anni dalla CEDU e nel 1978, nella Germania Federale, il Land dell’Assia emana la prima legge nazionale per la protezione dei dati personali. Poi, nel 1981, il Consiglio d’Europa adotta la Convenzione 108 , il più grande documento a livello europeo per la protezione dei dati personali che oggi si applica ai paesi terzi. Perché proprio nel 1981? Perché comincia a diffondersi l’informatica di massa. La Convenzione 108 dà anche una definizione di che cos’è un dato personale: un dato relativo ad una persona fisica identificata o identificabile. Ed è un concetto legato al diritto alla libertà. Una libertà che va protetta da un controllo esterno. La convenzione 108 poi parla anche di trattamenti con elaborazione automatizzata e del diritto delle persone di conoscere i trattamenti fatti sui loro dati e da quali soggetti. Una novità assoluta nello sviluppo di questo diritto. Pegasus: l’annientamento della democrazia
Nel 1992 il processo di integrazione del mercato unico europeo arriva al culmine con il Trattato di Maastricht, la creazione dell’ Unione Europea, la nascita dell’area Schengen ma nasce un problema: quello di avere una normativa quadro a livello europeo sulla protezione dei dati personali perché anche i dati devono poter circolare liberamente. La CE (Comunità Europea) adotta la Direttiva 46 del 1995. La scelta di emanare una direttiva non è casuale. All’epoca la protezione dei dati era agli inizi. Non era possibile adottare una norma uniforme e vincolante per tutti gli Stati. Ecco perché si è preferito emanare una direttiva, la quale indica gli obiettivi ma lascia spazio ai legislatori nazionali. È il motivo per cui in Italia si è adottato il Codice Privacy nel 2004 e, prima ancora, nel 1996, è stato istituito il Garante per la protezione dei dati personali, un’autorità amministrativa indipendente che ha il compito di assicurare la tutela dei diritti e delle libertà fondamentali ed il rispetto della dignità nel trattamento dei dati personali. Tornando al GDPR, nel 2007 gli Stati firmano il Trattato di Lisbona che, tra le altre cose, dà valore giuridico alla Carta di Nizza del 2001, ovvero la Carta dei diritti fondamentali dell’Unione Europea. All’articolo 8 la Carta di Nizza inserisce nuovi diritti e fra questi anche quello alla protezione dei dati personali. È su questo che il GDPR trova il suo ancoraggio giuridico e, nel 2016, si arriva finalmente alla stesura del testo: un regolamento che vale per tutti gli Stati dell’UE e che diventa direttamente applicabile il 25 maggio 2018.
L’URGENZA DI NORME GLOBALI SUGLI SPYWARE
Se, come abbiamo visto, in ambito europeo esiste una pressocchè solida tutela del diritto alla privacy e alla protezione dei dati, non esiste invece, in nessuna parte del globo, una regolamentazione che riguardi proprio gli spyware come Pegasus. Le licenze di software simili, infatti, sono spesso oggetto di acquisizione da parte di soggetti che fungono da intermediari che cercano di eludere i controlli delle società produttrici, come la NSO Group, e trasferire le licenze ad attori non autorizzati. Questo, tuttavia, chiarisce solo in parte come e perché tra i fruitori della tecnologia vi siano anche gruppi criminali e governi autoritari che lo sfruttano per spiare oppositori politici o giornalisti. Il problema risiede proprio nell’assenza di una governance internazionale volta a limitare gli abusi nell’utilizzo di simili software, ormai diffusi su scala globale, ma che, allo stesso tempo, ne consenta l’impiego a fini investigativi. Pegasus: l’annientamento della democrazia
Spyware così avanzati, infatti, rappresentano sicuramente nuove risorse nella lotta al terrorismo e alla proliferazione di minacce per la vita dei cittadini, garantendo un ampio controllo su individui che possono costituire un pericolo per la società civile. L’utilizzo di questi strumenti da parte di Governi autoritari, però, costituisce una limitazione delle libertà individuali e dei diritti umani, mettendo in pericolo la stessa società civile. Certamente il settore necessita di regolamentazioni che, per esempio, obblighino i creatori di spyware a registrare le informazioni sui propri clienti e comunicare le modalità e i fini di utilizzo di tali strumenti. Infatti, pur ipotizzandone una limitazione o una messa al bando, sarebbe quasi impossibile contrastare la commercializzazione di questa tecnologia. Al contrario, è lecito aspettarsi un aumento della circolazione di tali software in un mercato in cui molteplici attori potrebbero fiutare delle opportunità di guadagno. Per questo motivo, appare evidente la necessita di emanare norme internazionali che definiscano il perimetro di applicazione degli spyware e stabiliscono sanzioni per quei governi che ne facciano un uso non consentito dagli eventuali regolamenti concordati. Anche e soprattutto le aziende produttrici, dal canto loro, devono iniziare a farsi carico di questo problema.
Il caso di Pegasus è significativo in quanto rappresenta una palese violazione di libertà proprie delle società democratiche, le più attente al tema della privacy e dei diritti che ne conseguono. Eppure, sono proprio gli stessi Stati democratici che non sono ancora stati in grado di regolamentarne l’impiego e bisogna farlo al più presto, perché potrebbe essere già tardi.
