Negli ultimi dieci giorni tre decisioni slegate tra di loro potrebbero migliorare la sicurezza dei cittadini italiani ed europei nel cyberspace.
Tre fatti slegati tra di loro, ma tutti legati allo spionaggio.
Il primo riguarda lo spionaggio statuale, laddove lo spyware Pegasus venduto ai governi di Ungheria, Polonia, Spagna e forse Francia, è stato probabilmente usato per violare i diritti fondamentali dei cittadini Ue; il secondo riguarda il potenziale spionaggio politico realizzabile con software e tecnologie russe; il terzo riguarda lo spionaggio commerciale delle piattaforme americane che profilano i propri utenti e li guidano a fare scelte che non farebbero di propria iniziativa.
Il 19 aprile si è infatti insediata la commissione d’inchiesta per l’utilizzo illegale del software spia Pegasus prodotto dall’israeliana Nso.
La decisione, presa in marzo dopo la denuncia del suo presunto utilizzo per sorvegliare giornalisti, politici, poliziotti, diplomatici, avvocati, imprenditori, attori della società civile, è diventata urgente di fronte alla rivelazione fatta dal New Yorker della sorveglianza illegale di circa 63 cittadini spagnoli appartenenti ai partiti di sinistra e indipendentisti.
Il Parlamento europeo adesso dovrà indagare sull’uso di Pegasus e altri spyware di sorveglianza per appurare la violazione del diritto dell’Ue e dei nostri diritti fondamentali. Il Comitato dovrebbe presentare una relazione finale entro 12 mesi.
Il 21 aprile è stata pubblicata in Gazzetta Ufficiale ed è già in vigore, la preannunciata circolare con cui il professor Roberto Baldoni, direttore generale dell’Agenzia per la cybersicurezza nazionale, ha ordinato alla Pubblica amministrazione italiana la diversificazione di prodotti e servizi tecnologici per la sicurezza informatica legati alla Russia.
Le PA destinatarie della circolare, oltre 2.000, devono procedere alla diversificazione di prodotti e servizi di sicurezza informatica, compresi applicativi antivirus, antimalware e gli «endpoint detection and response» della società Kaspersky Lab e della società Group-IB e i «firewall» della società Positive Technologies. In tutti i casi viene sottolineato che la diversificazione riguarda anche prodotti e servizi commercializzati venduti indirettamente e tramite accordi quadro e contratti quadro in modalità on-premise o da remoto.
Francia e Germania si sono già mosse in questa direzione, ma ci aspettiamo lo stesso verso fornitori di altri paesi.
Il 23 aprile 2022 è stato raggiunto un accordo politico provvisorio sul «Digital Services Act» (DSA) tra il Consiglio e il Parlamento Europeo.
Si tratta del primo al mondo volto a proteggere lo spazio della nostra vita digitale dalla diffusione di contenuti illegali e per garantire la protezione dei diritti fondamentali degli utenti.
Una volta approvato si applicherà a tutti gli intermediari online che forniscono servizi nell’Ue e il mancato rispetto di queste regole potrà comportare enormi multe per i giganti della tecnologia.
Obiettivo è quello di aumentare la trasparenza e la responsabilità delle BigTech restie a rinunciare a pratiche commerciali scorrette e a investire nella protezione degli utenti anche di fronte a palesi manipolazioni e a catastrofi sociali come l’infodemia, la disinformazione legata alla pandemia da coronavirus.
Il DSA era atteso anche per affrontare questioni complesse come il divieto di annunci mirati, i «dark patterns», l’accesso ai dati degli utenti, gli obblighi per i motori di ricerca online. Ha previsioni specifiche in caso di crisi come la guerra.
Tempi duri per gli spioni in Europa.