Lo scorso anno il Parlamento Europeo ha acquisito varie rivelazioni riguardanti l’uso dello spyware Pegasus da parte di diversi governi dell’UE contro giornalisti, politici, funzionari e altre personalità pubbliche; è stata quindi istituita una commissione d’inchiesta per indagare sull’uso di Pegasus e di spyware di sorveglianza equivalenti (PEGA). La situazione è ulteriormente peggiorata negli ultimi mesi, coinvolgendo gli stessi euro-deputati. Secondo quanto riporta Politico, negli smartphone dei membri della Sottocommissione per la sicurezza e la difesa (Sede), che afferisce alla Commissione per gli affari esteri (Afet) del Parlamento europeo, sono state rinvenute tracce di spyware. Lo stesso 21 febbraio una mail invitava i membri del PE a fare controllare i propri dispositivi mobili. La vice portavoce del Parlamento europeo, Delphine Colard, ha spiegato in una nota: “Tracce trovate in due dispositivi hanno indotto alla richiesta via e-mail di effettuare una scrupolosa verifica sugli smartphone. Nel contesto geopolitico attuale e data la natura dei dossier seguiti dalla Sottocommissione per la sicurezza e la difesa, un’attenzione particolare è dedicata ai dispositivi dei membri di questa sottocommissione e del personale che ne supporta il lavoro”.
L’uso illecito di software spia non è un fatto nuovo, nel 2022 lo spyware Pegasus aveva infettato i telefoni di alcuni politici europei, soprattutto indipendentisti catalani ma anche alcuni politici greci spiati dal software Predator. La stessa presidente dell’Aula, Roberta Metsola, ha subito un tentativo di hacking telefonico tramite spyware. L’anno scorso, pochi istanti dopo che gli eurodeputati avevano approvato una risoluzione che etichettava la Russia come Stato sponsor del terrorismo, un attacco più ampio e sofisticato ha messo fuori uso il sito web del Parlamento. Una commissione d’inchiesta dell’Europarlamento ha indagato una serie di violazioni in vari Paesi membri, è risultato che quattro governi hanno usato software spia per scopi politici senza motivi legati ad esigenze di sicurezza.
Secondo la relazione sul panorama delle minacce nel 2022 elaborato dall’Agenzia dell’Unione europea per la sicurezza informatica (ENISA), le principali tipologie di minaccia sono nove. Ransomware: gli hacker prendono il controllo dei dati di qualcuno e richiedono un riscatto per ripristinare l’accesso. Malware: software che danneggia un sistema. Minacce di ingegneria sociale: sfruttare l’errore umano per ottenere l’accesso a informazioni o servizi. Minacce ai dati: prendere di mira le fonti di dati per ottenere accesso e divulgazione non autorizzati. Minacce alla disponibilità – negazione di servizio: attacchi che impediscono agli utenti di accedere a dati o servizi. Minacce alla disponibilità – Minacce Internet: minacce alla disponibilità di Internet. Disinformazione: disinformazione – diffusione di informazioni fuorvianti. Attacchi alla catena di approvvigionamento: prendono di mira la relazione tra organizzazioni e fornitori (H3).
Nella Raccomandazione del 15 giugno 2023 il Parlamento europeo ha delineato le riforme necessarie per frenare l’abuso di spyware e porre fine immediatamente alle pratiche illecite: il ricorso a un software di sorveglianza dovrebbe essere consentito solo negli Stati membri in cui le accuse di abuso sono state oggetto di indagini approfondite, la normativa nazionale è in linea con le raccomandazioni della Commissione di Venezia e la giurisprudenza della Corte di giustizia dell’UE e le norme sul controllo delle esportazioni sono applicate correttamente. Necessarie norme UE sull’uso di spyware da parte delle autorità di contrasto che circoscrivano questa misura solo in casi eccezionali, per uno scopo predefinito e per un periodo di tempo limitato e salvaguardando i dati protetti dal segreto professionale tra avvocato e cliente o quelli che riguardano politici, medici o mezzi d’informazione, a meno che non vi siano prove del coinvolgimento in attività criminali. Introduzione dell’obbligo per le autorità di informare le persone prese di mira da tali software, ma anche chi non è stato direttamente sorvegliato ma i cui dati sono stati consultati nell’ambito della sorveglianza di qualcun altro. Obbligo alla supervisione indipendente al termine di una sorveglianza e introduzione di una definizione giuridica comune che stabilisca quando è possibile invocare la sicurezza nazionale come giustificazione per l’uso di tali software. Creazione di un laboratorio dell’UE per le tecnologie per contribuire a far emergere i casi di sorveglianza illecita: un istituto di ricerca indipendente, incaricato di indagare sulla sorveglianza e fornire supporto tecnologico in ambiti come il controllo dei dispositivi e la ricerca forense. In particolare, è stato raccomandato a Ungheria e Polonia (ora con un nuovo governo sicuramente di indole diversa dal precedente) di rispettare le sentenze della Corte europea dei diritti dell’uomo e di ripristinare l’indipendenza della magistratura e gli organi di controllo e quindi subordinare l’uso di spyware a un’autorizzazione indipendente e specifica da parte dell’autorità giudiziaria. Grecia e Cipro dovrebbero inoltre abrogare le licenze di esportazione di spyware che sono in contrasto con la normativa europea.
Sempre restando sul tema, la plenaria del Parlamento europeo ha approvato il Media Freedom Act, la legge Ue sulla libertà e la trasparenza dei media, con 448 voti a favore, 102 contrari e 75 astensioni. Gli eurodeputati prevedono l’obbligo per i Paesi Ue di garantire la pluralità dei media e proteggerne l’indipendenza da interferenze governative, politiche, economiche o private. L’uso di software spia può essere giustificato “Solo come misura di ‘ultima istanza’, da valutarsi caso per caso, e se disposto da un’autorità giudiziaria indipendente per indagare su un reato grave, come il terrorismo o la tratta di esseri umani“. Nelle nuove regole approvate dall’aula gli eurodeputati chiedono di obbligare tutti i media, compresi quelli che sono microimprese, a pubblicare informazioni sul loro assetto proprietario e riferire sui fondi che ricevono attraverso la pubblicità statale o il sostegno pubblico, sia che si tratti di fondi provenienti da Paesi dell’Ue che da Paesi terzi. Per evitare che i mezzi di comunicazione diventino dipendenti dalla pubblicità statale, il Parlamento propone infine che non si possa destinare a un media, una piattaforma online o un motore di ricerca più del 15% del bilancio disponibile complessivo nazionale per la pubblicità statale.
©Futuro Europa® Riproduzione autorizzata citando la fonte. Le immagini utilizzate sono tratte da Internet e valutate di pubblico dominio: per segnalarne l’eventuale uso improprio scrivere alla Redazione
Sii il primo a commentare su "Cybersicurezza e spyware, nuove norme UE"