malware_spyware

Spyware PEGASUS e abusi: il Parlamento Europeo propone nuove regole

1457 0

Giovedì scorso il Parlamento europeo ha approvato una raccomandazione “Indagine sull’uso di Pegasus e di spyware di sorveglianza equivalenti” che contiene nuove regole per frenare l’abuso di software di sorveglianza spyware e chiedendo agli Stati Membri indagini credibili, modifiche legislative e una migliore applicazione delle norme esistenti per contrastare gli abusi..

Ma cosa sono gli Spyware, qual è la disciplina esistente e quali regole vuole imporre il Parlamento europeo?

Cosa sono gli Spyware

Gl Spyware sono un software dannoso che infetta PC e dispositivi mobili e permettono di raccogliere informazioni sugli utenti e dati sulle abitudini di navigazione, l’utilizzo di internet.

Solitamente lo spyware agisce in background raccogliendo informazioni o monitorando le attività degli utenti per aprire la strada ad attività dannose legate ai contenuti e alle modalità d’uso del computer

Memorizza tasti premuti, screenshot, credenziali di autenticazione, indirizzi e-mail personali, dati ricavati da moduli web, informazioni sull’uso di internet e altri dati personali, come i numeri di carta di credito.

Infettano i sistemi proprio come ogni altro malware, per mezzo di trojan, virus, worm, exploit e altri tipi di malware.

Cos’è lo Spyware  Pegasus

Pegasus è uno spyware sviluppato dalla società israeliana di armi informatiche NSO Group che può essere installato di nascosto sui telefoni cellulari che eseguono la maggior parte delle versioni di iOS e Android. Pegasus è in grado di sfruttare le versioni iOS fino alla 14.6 attraverso un exploit zero-click. Originariamente doveva essere usato come strumento per la lotta alla criminalità e per raccogliere informazioni contro potenziali minacce terroristiche, ma è stato utilizzato per organizzazioni apparentemente non criminali.

Nel 2021 fu trovato installato e nascosto sui telefoni di 14 capi di stato, ma il primo caso di infezione da Pegasus risale al 2016, quando non si riuscì a installarsi sull’iPhone di un attivista per i diritti umani. Secondo Amnesty International migliaia di vittime di questo spyware sono state attivisti e giornalisti, come conferma una inchiesta del 2021.

Uso di Pegasus e altri spyware in Europa: il Report 2023 dell’Agenzia europea dei diritti fondamentali

Il Parlamento europeo ha approvato la creazione di una Commissione di inchiesta per indagare sull’uso di Pegasus e di altri spyware di sorveglianza equivalente (PEGA). Il 2 giugno 2023 l’Agenzia dell’Unione europea per i diritti fondamentali ha pubblicato un rapporto dal titolo: ‘Surveillance by intelligence services: fundamental rights safeguards and remedies in the EU’ che aggiorna i dati a disposizione sull’uso del software, datati al 2017.

La relazione del 2017 ha evidenziato che i diritti fondamentali relativi al rispetto della vita privata e familiare (articolo 7), alla protezione dei dati personali (articolo 8) e a un ricorso effettivo e a un giudice imparziale (articolo 47) della Carta dei diritti fondamentali delle L’Unione europea dovrebbero essere protetti istituendo solidi sistemi di controllo e rimedi efficaci aperti alle persone nel contesto della sorveglianza da parte dei servizi di intelligence.

Abuso di Spyware PEGASUS : la relazione 2023 al Parlamento europeo

L’aggiornamento 2023 della Relazione richiesta dalla Commissione di inchiesta sui servizi di intelligence descrive gli sviluppi che hanno avuto luogo dal 2017 e l’evoluzione delle leggi sull’intelligence nell’Unione europea (UE). In particolare, fa riferimento alla istituzione di nuovi organismi di controllo a seguito delle decisioni delle corti costituzionali e l’impatto della riforma europea della protezione dei dati del 2016 sui poteri delle autorità di protezione dei dati nel campo delle attività dei servizi di intelligence: nel 2023, 18 organi di esperti sovrintendono al lavoro dei servizi di intelligence nell’UE-27, rispetto ai 16 nell’UE-28 nel 2017.

Inoltre, il Report fornisce, su richiesta del Parlamento europeo, informazioni aggiornate sui modelli esistenti di meccanismi di vigilanza e rimedi, illustrandoli con esempi provenienti da Stati membri selezionati. Nel 2017 la FRA ha concluso che la protezione del pubblico dalle minacce alla sicurezza nel rispetto dei diritti fondamentali può essere raggiunta attraverso solidi sistemi di controllo e rimedi efficaci aperti ai singoli.

Pegasus e Spyware: come fermare l’abuso

Il Parlamento cita alcuni casi di utilizzo illecito di PEGASUS, riscontrando “forti indizi” che i governi di Marocco e Ruanda abbiano spiato cittadini di alto profilo dell’UE, compresi alcuni capi di Stato.

Per questo, chiede un’indagine approfondita sulle licenze di esportazione di spyware, un’applicazione più rigorosa delle norme UE sul controllo delle esportazioni, una strategia congiunta UE-USA per gli spyware, colloqui con Israele e altri paesi terzi sulle norme per la commercializzazione e l’esportazione di spyware e la garanzia che gli aiuti allo sviluppo dell’UE non finanzino l’acquisizione e l’uso di spyware.

Nella Raccomandazione del 15 giugno 2023 il Parlamento europeo ha delineato le riforme necessarie per frenare l’abuso di spyware e porre fine immediatamente alle pratiche illecite:

  • il ricorso a un software di sorveglianza dovrebbe essere consentito solo negli Stati membri in cui le accuse di abuso sono state oggetto di indagini approfondite, la normativa nazionale è in linea con le raccomandazioni della Commissione di Venezia e la giurisprudenza della Corte di giustizia dell’UE e le norme sul controllo delle esportazioni sono applicate correttamente.
  • Necessarie norme UE sull’uso di spyware da parte delle autorità di contrasto che circoscrivano questa misura solo in casi eccezionali, per uno scopo predefinito e per un periodo di tempo limitato e salvaguardando i dati protetti dal segreto professionale tra avvocato e cliente o quelli che riguardano politici, medici o mezzi d’informazione, a meno che non vi siano prove del coinvolgimento in attività criminali.
  • Introduzione dell’obbligo per le autorità di informare le persone prese di mira da tali software, ma anche chi non è stato direttamente sorvegliato ma i cui dati sono stati consultati nell’ambito della sorveglianza di qualcun altro.
  • Obbligo alla supervisione indipendente al termine di una sorveglianza e introduzione di una definizione giuridica comune che stabilisca quando è possibile invocare la sicurezza nazionale come giustificazione per l’uso di tali software.
  • Creazione di un un laboratorio dell’UE per le tecnologie per contribuire a far emergere i casi di sorveglianza illecita: un istituto di ricerca indipendente, incaricato di indagare sulla sorveglianza e fornire supporto tecnologico in ambiti come il controllo dei dispositivi e la ricerca forense.

Raccomandazioni per Ungheria, Polonia, Grecia, Cipro e Spagna

Il parlamento ha poi formulato alcune raccomandazioni per alcuni Paesi europei più esposti al rischio dall’essere colpiti da tali spyware: ad Ungheria e Polonia, ad esempio  di rispettare le sentenze della Corte europea dei diritti dell’uomo e di ripristinare l’indipendenza della magistratura e gli organi di controllo e quindi subordinare l’uso di spyware a un’autorizzazione indipendente e specifica da parte dell’autorità giudiziaria, avviare indagini credibili sui casi di abuso e garantire che i cittadini abbiano accesso a mezzi di ricorso significativi.

Alla Grecia, il Parlamento chiede di ripristinare e potenziare urgentemente le garanzie istituzionali e giuridiche”, abrogare le licenze di esportazione che sono in contrasto con la normativa UE sul controllo delle esportazioni e rispettare l’indipendenza dell’Autorità ellenica per la sicurezza e la riservatezza delle comunicazioni.

A quanto pare Cipro sarebbe diventata un polo di esportazione per spyware; dovrebbe invece abrogare tutte le licenze di esportazione non in linea con la normativa UE. Infine, le autorità spagnole dovrebbero garantire un’indagine “completa, equa ed efficace”, in particolare nei 47 casi in cui non è chiaro chi abbia autorizzato l’uso di spyware, e assicurare alle persone interessate di poter disporre di mezzi di ricorso reali.

Per approfondire sulle iniziative del Parlamento UE:

Antonio Mazzuca

Coordinamento editoriale Portale InSic.it -redattore giuridico Laurea in Giurisprudenza in Diritto europeo (LUISS Guido Carli 2006) e Master in "Gestione integrata di salute e sicurezza nell'evoluzione del mondo del lavoro" INAIL-Sapienza (I° Ed. 2018-19). Formatore certificato in salute e sicurezza sul lavoro dal 2017 per Istituto Informa e RLS per EPC Editore. Esperto in sicurezza sul lavoro e amministratore del Gruppo Linkedin Ambiente&Sicurezza sul Lavoro. Content editor e Social media per InSic.it su Linkedin e X (ex Twitter). Contatti: Linkedin Mail: a.mazzuca@insic.it