Il disegno di legge irlandese sulla sorveglianza potrebbe legalizzare lo spyware della polizia

L'Irlanda si muove per legalizzare lo spyware commerciale per le forze dell'ordine

L'Irlanda sta portando avanti un nuovo disegno di legge sulle Comunicazioni (Intercettazione e Accesso Legale) che conferirebbe alla polizia l'autorità legale di impiegare spyware commerciale, inclusi strumenti di fornitori controversi come NSO Group. La legislazione proposta è pensata per modernizzare le leggi sulla sorveglianza del paese, estendendo la loro portata alle piattaforme di messaggistica cifrata come Signal e WhatsApp, nonché ai metadati generati da tali comunicazioni.

Il disegno di legge rappresenta una delle espansioni più significative dei poteri di sorveglianza statale nella storia recente dell'Irlanda, e ha attirato aspre critiche da parte dei difensori dei diritti digitali, che avvertono come meccanismi di controllo insufficienti potrebbero trasformare questi strumenti in strumenti di abuso.

Cosa consente effettivamente il disegno di legge

Al di là della menzione clamorosa dello spyware commerciale, la legislazione comprende un insieme più ampio di capacità di sorveglianza che sollevano serie preoccupazioni tra gli esperti di privacy.

Il disegno di legge include disposizioni per l'uso di strumenti forensi e IMSI-catcher, dispositivi che imitano le torri cellulari per intercettare le comunicazioni mobili e identificare i telefoni presenti in una determinata area. Queste tecnologie non sono chirurgiche nella loro applicazione. Gli IMSI-catcher, in particolare, raccolgono dati da ogni dispositivo nel raggio d'azione, non solo da quelli appartenenti ai sospettati.

Lo spyware del tipo prodotto da NSO Group funziona in modo diverso ma è probabilmente ancora più invasivo. Una volta installato su un dispositivo bersaglio, può raccogliere silenziosamente la cronologia della posizione, le fotografie, le cronologie di ricerca, i messaggi privati e le rubriche dei contatti, tutto all'insaputa dell'utente. Il bersaglio non ha alcun segnale che il proprio dispositivo sia stato compromesso.

Il disegno di legge estenderebbe inoltre l'autorità di sorveglianza ai metadati delle piattaforme cifrate. Anche quando il contenuto dei messaggi è protetto dalla cifratura end-to-end, i metadati rivelano chi ha comunicato con chi, quando, con quale frequenza e da quale posizione. Queste sole informazioni possono delineare un quadro dettagliato delle relazioni e degli spostamenti di una persona.

Perché gli esperti di diritti digitali sono preoccupati

L'obiezione centrale delle organizzazioni per i diritti digitali non è che le forze dell'ordine debbano avere accesso zero alle comunicazioni nelle indagini su reati gravi. La preoccupazione riguarda la proporzionalità e il controllo.

Lo spyware commerciale ha una storia documentata di abusi. Indagini condotte da giornalisti e organizzazioni della società civile hanno collegato lo strumento Pegasus di NSO Group alla sorveglianza di giornalisti, difensori dei diritti umani, avvocati e figure dell'opposizione politica in diversi paesi. La tecnologia in sé non distingue tra un sospettato e un attivista della società civile. Tale distinzione dipende interamente dal quadro giuridico e dai sistemi di supervisione che ne disciplinano l'uso.

L'Irlanda, in quanto Stato membro dell'UE, è soggetta al diritto europeo sui diritti umani, che richiede che le misure di sorveglianza siano necessarie, proporzionate e soggette a un significativo controllo giudiziario. I critici sostengono che il disegno di legge nella sua forma attuale non fornisce garanzie sufficienti per soddisfare tale standard. Se il controllo è debole o l'autorizzazione giudiziaria viene trattata come una formalità, si apre la porta a una deriva che prende di mira persone che non rappresentano alcuna minaccia criminale.

L'inclusione degli IMSI-catcher aggiunge un ulteriore livello di preoccupazione. La loro natura indiscriminata significa che qualsiasi individuo presente a una protesta, a una riunione o a un'assemblea pubblica potrebbe avere il proprio dispositivo catturato in una rete a strascico, indipendentemente da qualsiasi sospetto di illecito.

Cosa significa per te

Per la maggior parte delle persone in Irlanda, l'impatto pratico immediato di questo disegno di legge potrebbe sembrare astratto. Lo spyware della polizia viene tipicamente impiegato in indagini mirate, non applicato alla popolazione generale. Ma i rischi sono reali e si estendono al di là dei sospettati.

I giornalisti che comunicano con le fonti, gli attivisti che si organizzano attorno a questioni politiche sensibili, gli avvocati che gestiscono questioni riservate dei clienti e chiunque il cui lavoro o le cui convinzioni possano metterli in contrasto con gli interessi dello Stato hanno ragioni concrete per prestare attenzione. La storia degli abusi di sorveglianza nei paesi democratici dimostra che gli strumenti autorizzati per le indagini su reati gravi migrano frequentemente verso un uso più ampio nel tempo.

Le app di messaggistica cifrata rimangono uno strumento importante per la privacy, ma l'obiettivo esplicito del disegno di legge di aggirare la cifratura ne evidenzia i limiti quando il dispositivo endpoint stesso è compromesso. Lo spyware a livello di dispositivo aggira completamente la cifratura leggendo i dati prima che vengano inviati o dopo che vengono ricevuti.

Comprendere quali dati si generano, chi può accedervi e a quali condizioni legali è sempre più importante per chiunque tenga alla propria privacy.

Punti chiave per i lettori:

• Verificare regolarmente le autorizzazioni e le impostazioni di accesso ai dati sui propri dispositivi
• Tenere presente che i metadati delle app cifrate possono essere tanto rivelatori quanto il contenuto dei messaggi
• Seguire l'iter di questo disegno di legge nel processo legislativo irlandese, poiché i periodi di consultazione pubblica offrono un'opportunità di partecipazione civica
• Sostenere le organizzazioni per i diritti digitali che esaminano la legislazione sulla sorveglianza e si battono per robusti meccanismi di controllo
• Considerare quali dati i propri dispositivi generano e conservano, poiché lo spyware prende di mira il dispositivo, non solo il canale di comunicazione

Il disegno di legge irlandese è ancora in fase di esame, il che significa che c'è tempo affinché la società civile, gli esperti legali e il pubblico spingano per garanzie più solide. Il modo in cui questa legislazione sarà in definitiva modellata avrà conseguenze durature per i diritti alla privacy in Irlanda e potrebbe stabilire un precedente seguito con attenzione in tutta Europa.