Pegasus: uno spyware che sfida la legge.

Osservatorio Legale n. 37 – Luglio 2021

Pegasus – lo spyware che sfida la leggeA luglio, il progetto Pegasus ha rivelato l'impatto senza precedenti sulla sorveglianza dello spyware israeliano, in grado di ascoltare ed estrarre dati dagli smartphone con sistema operativo iOS o Android.

Questa è la conclusione di un'indagine internazionale condotta dalla ONG Forbidden Stories, con il supporto di Amnesty International e del Citizen Lab dell'Università di Toronto, nonché di 17 importanti organi di stampa internazionali, tra cui Le Monde e The Guardian.

Sebbene si sia già parlato di questo software in passato, informazioni recenti permettono di comprendere meglio la portata della sorveglianza resa possibile senza che gli utenti di smartphone ne siano a conoscenza.

Secondo quanto riferito, sono stati selezionati circa 50.000 numeri di telefono bersaglio, di cui un migliaio in Francia, riguardanti attori della società civile, giornalisti e politici.

Tra i 55 paesi elencati come clienti di NSO, che commercializza il software, ci sono Arabia Saudita, Emirati Arabi Uniti, India, Ungheria, Ruanda, Messico e Kazakistan.

NSO dichiara di seguire una rigorosa politica etica e di trattare solo con agenzie di intelligence e forze dell'ordine allo scopo di combattere la criminalità, il terrorismo, il traffico di droga e la pedofilia.

Queste accuse, così come le rassicurazioni fornite dal proprietario del software, sollevano questioni pratiche e legali.

Anche se le garanzie vengono prese a monte della commercializzazione, quali sono i mezzi reali per garantire il rispetto del quadro contrattuale tra NSO e i suoi clienti ufficiali e il suo utilizzo da parte di soggetti non autorizzati e contro "obiettivi" politici o della società civile, ad esempio?

La natura particolarmente invasiva e non rilevabile di questa tecnologia solleva interrogativi sulla regolamentazione delle tecniche di sorveglianza nel contesto internazionale ed europeo.

In Europa, sebbene le forze dell'ordine abbiano specifici poteri investigativi, questi sono strettamente regolamentati dal GDPR e dalle leggi nazionali che recepiscono la direttiva europea "polizia-giustizia" del 27 aprile 2016.

In Francia, si tratta del capitolo XIII della legge sulla protezione dei dati.

Il trattamento dei dati effettuato più specificatamente per la sicurezza dello Stato o la difesa nazionale è escluso dal campo di applicazione della direttiva europea, ma resta soggetto in Francia alla legge sulla protezione dei dati.

L'introduzione clandestina di spyware nei sistemi informatici può essere autorizzata solo in base a specifiche disposizioni di legge.

La materia è regolata dalle leggi n. 2015-912 del 24 luglio 2015 relative all'intelligence e n. 2017-1510 del 30 ottobre 2017, nota come legge SILT.

La CNIL sottolinea inoltre che devono sussistere elementi che rappresentino una minaccia concreta all'integrità fisica, alla vita, alla libertà delle persone o un attentato agli interessi fondamentali della nazione.

Se invece si applicano i principi di legge, la CNIL non ha alcun potere di controllare l'attuazione dei dossier dei servizi segreti.

Nei suoi recenti pareri sul disegno di legge sulla prevenzione degli atti di terrorismo e sull'intelligence (ora votato), ha ribadito la richiesta di poter esercitare i suoi poteri di controllo in modo adeguato alle nuove tecniche investigative.

Ha inoltre chiesto il rafforzamento dei poteri della Commissione per il controllo delle tecniche di intelligence (CNCTR).

Sia la CNIL che il Comitato europeo per la protezione dei dati sottolineano l'importanza di una supervisione efficace nel campo dell'intelligence e della sicurezza dello Stato, in particolare nel contesto di un trattamento sempre più invasivo, abbinato allo sviluppo di tecnologie all'avanguardia che ignorano i confini.

Tali requisiti rientrano tra i criteri citati dal Comitato nelle sue recenti raccomandazioni sulle garanzie essenziali che i paesi terzi devono fornire all'UE in termini di sorveglianza.

Il loro obiettivo è proteggere i dati europei da interferenze sproporzionate in caso di trasferimento internazionale.

Considerata la crescente facilità con cui i dati delle comunicazioni possono essere intercettati, sorgono domande più fondamentali sulle misure tecniche da adottare per limitare tali rischi.

Nel comunicato stampa del 9 marzo 2021 sul regolamento "ePrivacy", la Commissione europea sottolinea la necessità di mantenere la riservatezza dei dati durante tutto il processo di comunicazione e la crittografia dei dati.

Nella stessa prospettiva, si pone la questione dell'opportunità di mantenere delle "back door" nei terminali di comunicazione a fini di intelligence, con il rischio di vedere aumentare abusi e appropriazioni indebite di dati fuori da ogni controllo.

E anche

Francia:

La CNIL ha pubblicato la sua posizione in merito all'estensione obbligatoria del "passaporto sanitario" in alcuni luoghi.

Senza rimetterne in discussione il principio, ricorda la necessità di limitarne l'uso in un contesto di comprovata emergenza sanitaria, chiede una valutazione del sistema da parte del Parlamento in autunno e sottolinea gli aspetti etici del problema, che vanno oltre le questioni di protezione dei dati.

Chiede al legislatore di prendere in considerazione "l' rischio di assuefazione e banalizzazione di tali dispositivi che violano la privacy e di un cambiamento, in futuro, e potenzialmente per altre ragioni, verso una società in cui tali controlli sarebbero la norma e non l'eccezione."

Sempre in relazione alla crisi sanitaria, la CNIL ha ribadito i principi da rispettare quando si comunica ai medici l'elenco dei loro pazienti non vaccinati.

Vale la pena sottolineare due sanzioni., imposto dalla CNIL il 22 e 28 luglio contro

• da una parte del Gruppo AG2R La Mondiale per un importo di 1,75 milioni di euro per mancato rispetto degli obblighi del GDPR in materia di conservazione dei dati e delle informazioni degli individui,
• e d'altra parte del Monsanto Company per un importo di 400.000 euro, per non aver informato le persone inserite in un fascicolo di lobbying.

ANSSI e DINSIC pubblicano una guida volta a spiegare in modo pratico e concreto come l'agilità e la sicurezza contribuiscano allo sviluppo sicuro dei progetti e alla gestione del rischio digitale.

La guida offre un supporto progressivo, workshop per workshop, esempi concreti e schede metodologiche.

Europa:

L'autorità lussemburghese per la protezione dei dati ha appena inflitto ad Amazon una multa record di 746 milioni di euro. per mancato rispetto dei principi del GDPR, in particolare per la pubblicità mirata senza il consenso degli interessati.

Questa decisione del 15 luglio fa seguito alla denuncia collettiva avviata dall'associazione per le libertà civili

La Quadrature du Net ha presentato un reclamo alla CNIL in Francia, facendo riferimento all'autorità lussemburghese a causa della sede centrale di Amazon in Lussemburgo. L'azienda ha annunciato che presenterà ricorso contro questa decisione.

L'autorità olandese per la protezione dei dati ha multato TikTok di 750.000 euro, per mancanza di informazioni chiare sul trattamento dei dati.

Le informazioni, disponibili solo in inglese, sono state considerate incomprensibili per i bambini, principali utilizzatori dell'applicazione.

Internazionale:

STATI UNITI: Il National Institute of Standards and Technology (NIST) ha pubblicato una guida per identificare e gestire i pregiudizi nell'intelligenza artificiale: "una proposta per identificare e gestire i pregiudizi nell'intelligenza artificiale".

Zoom ha accettato di pagare 85 milioni di dollari per risolvere una causa negli Stati Uniti.

È stata accusata di condividere i dati dei suoi utenti e di non proteggerli da alcuni attacchi informatici ("zoombombing").

L'azienda si impegna a formare i propri dipendenti sulla protezione dei dati e a rafforzare le misure di sicurezza.

Anna Cristina Lacoste

Partner dello studio legale Olivier Weber Avocat, Anne Christine Lacoste è un avvocato specializzato in diritto dei dati; è stata responsabile delle relazioni internazionali presso il Garante europeo della protezione dei dati e ha lavorato all'attuazione del GDPR nell'Unione europea.