giovedì 05 giugno 2025
giovedì 05 giugno 2025
Il caso Pegasus, il potente spyware sviluppato dalla società israeliana NSO Group, ha spalancato una finestra inquietante sul mondo opaco della sorveglianza digitale. Da strumento nato per combattere terrorismo e crimine organizzato, Pegasus si è rivelato – secondo numerose inchieste giornalistiche internazionali – anche un’arma usata per spiare giornalisti, attivisti e oppositori politici, in violazione dei più elementari diritti costituzionali.
Nel maggio 2025, una giuria federale della California ha condannato NSO Group a pagare oltre 167 milioni di dollari, una parte di essi andrà a Meta Platforms, proprietaria di WhatsApp. La sentenza è stata emessa dopo che NSO è stata ritenuta responsabile di aver violato le leggi statunitensi sul crimine informatico, in particolare il Computer Fraud and Abuse Act, sfruttando una vulnerabilità di WhatsApp per installare Pegasus su circa 1.400 dispositivi tra il 2018 e il 2020.
Ma quanto è davvero protetto oggi il cittadino? I nostri ordinamenti giuridici sono ancora in grado di garantire il bilanciamento tra sicurezza nazionale e libertà fondamentali, in un’epoca in cui il potere tecnologico sembra sfuggire al controllo democratico?
Per fare chiarezza su questi nodi cruciali, ho contattato Andrea Monti, avvocato, giornalista e docente di diritto presso l'Università di Chieti-Pescara e la Sapienza di Roma, tra i massimi esperti italiani in materia, pochi giorni dopo aver completato il suo ultimo libro - in lingua inglese - che sarà disponibile nelle libreria ad ottobre, sul tema di come l’intelligenza artificiale, le neurotecnologie e la biologia stiano smantellando le fondamenta giuridiche della soggettività. Con lui abbiamo analizzato i profili legali, costituzionali e politici del caso Pegasus e le ombre che si proiettano su un futuro sempre più dominato dalla tecnologia e dall’ambiguità del concetto di “sicurezza nazionale”.
Alla luce del caso Pegasus e delle capacità intrusivo-sistemiche del software sviluppato da NSO Group, quali sono i limiti giuridici – se esistono – all’uso di tecnologie di sorveglianza da parte di uno Stato democratico? La Costituzione italiana e il diritto europeo offrono oggi tutele adeguate contro questo tipo di controllo invisibile?
Il caso Pegasus, come quello precedente di Hacking Team, mette in evidenza il coinvolgimento di aziende private nello sviluppo e nell'uso di sistemi di sorveglianza di massa in collaborazione con istituzioni statali. L'uso di queste tecnologie solleva questioni fondamentali sui limiti giuridici, soprattutto quando le società private potrebbero —e possono— nella pratica, superare i confini della sicurezza nazionale che dovrebbero essere presidiati dai parlamenti.
Anche in uno Stato democratico, la sorveglianza è considerata una componente strutturale, necessaria per le operazioni di intelligence e la prevenzione/repressione della criminalità. A differenza di altri regimi, però, questa necessità è, almeno sulla carta, bilanciata da limiti giuridici e dal controllo della magistratura sulle strutture dello Stato che utilizzano strumenti di sorveglianza.
Ripeto, sulla carta la legge prevede limiti alla perquisizione e al sequestro di sistemi informatici richiedendo misure tecniche per preservare i dati originali e impedirne l'alterazione. Mentre l'uso di “captatori informatici” (trojan) per le intercettazioni ambientali è disciplinato da specifiche disposizioni di legge. Inoltre, la legge include anche disposizioni volte a proteggere la privacy dei contenuti intercettati, limitando l'accesso al materiale rilevante per l'indagine. Il giudice mantiene il controllo sulle richieste del pubblico ministero e sulla rilevanza delle prove raccolte.
Nella pratica, tuttavia, non sempre queste garanzie giuridiche sono effettivamente rispettate. Il punto non è la mancanza di leggi, ma la difficoltà —o l’incapacità— di sviluppare le competenze tecniche necessarie per utilizzare le tecnologie dell’informazione in ambito giudiziario. Il risultato pratico è che il ricorso a soggetti privati diventa indispensabile, anche perché possono più facilmente rivestire il ruolo di “capro espiatorio” in caso di problemi.
Inoltre, va considerato l’impatto della chiara scelta compiuta dalla Commissione Europea di imporre l’indebolimento —tecnico o giuridico— della crittografia. La diffusa disponibilità di strumenti di crittografia e anonimizzazione avanzati offerti da società private, consente agli individui di rendere le loro comunicazioni e i loro dati altamente resistenti alla sorveglianza. Ciò crea una tensione tra la necessità dello Stato di indagare sui reati e il diritto dell'individuo a comunicare in modo sicuro. In ambito UE si torna a sostenere che la tecnologia non dovrebbe essere “a prova di Stato” e dovrebbe includere un “accesso legale” per le forze dell'ordine. Tuttavia, criminalizzare lo sviluppo di tali strumenti di sicurezza è problematico, poiché indebolire la crittografia implica indebolire l’intero ecosistema digitale nel quale, volenti o nolenti, siamo costretti ad operare.
In un contesto in cui strumenti come Pegasus possono violare la segretezza delle comunicazioni, la privacy e persino l’autonomia individuale, come cambia il bilanciamento tra sicurezza nazionale e diritti fondamentali? La tecnologia ha superato il diritto, o esistono già strumenti giuridici capaci di contenere simili poteri?
Come detto, il diritto costituzionale italiano e il diritto europeo forniscono un quadro di riferimento per limitare l'ingerenza dello Stato. Nonostante questo quadro normativo, le fonti evidenziano problemi significativi posti dalle capacità delle attuali tecnologie di sorveglianza e mettono in dubbio l’approccio prima politico e poi giuridico nell’affrontare la questione.
La questione se la tecnologia abbia superato il diritto è complessa. Le fonti suggeriscono che, mentre la tecnologia evolve rapidamente, il quadro giuridico esistente fornisce principi e strumenti per affrontare questi problemi senza bisogno di emanare nuove norme. Tuttavia, l'efficacia di questi strumenti è spesso ostacolata dalla complessità tecnica, dall'influenza di attori privati e dalla difficoltà del mondo politico di capire che i concetti giuridici tradizionali sono largamente sufficienti per garantire un controllo efficace e la trasparenza di fronte a tecnologie di sorveglianza sempre più potenti e invisibili.
Un aspetto cruciale da considerare è la natura politica del concetto di sicurezza nazionale. Contrariamente a quanto si potrebbe pensare, la sicurezza nazionale non è un concetto giuridico ben definito, ma un costrutto eminentemente politico. Proprio per questo motivo, la sua definizione e la sua estensione possono variare considerevolmente in base all’indirizzo politico dell’esecutivo in carica. Ciò comporta una pericolosa elasticità interpretativa che può portare a giustificare ingerenze anche profonde nei diritti fondamentali, sulla base di esigenze di sicurezza definite in modo opaco e poco verificabile.
L’esperienza italiana durante la pandemia da COVID-19 ha rappresentato un esempio paradigmatico di questa ambiguità. In quel contesto, misure eccezionali sono state giustificate invocando la tutela della salute pubblica come questione di sicurezza nazionale, senza un previo e chiaro inquadramento giuridico. Ciò ha prodotto confusione tra livelli normativi, interferenze tra poteri dello Stato e una temporanea erosione delle garanzie costituzionali, il tutto in assenza di una definizione condivisa e vincolante di cosa debba intendersi per "emergenza di sicurezza nazionale". L’uso della tecnologia per il tracciamento dei contagi e la gestione dei dati sanitari è stato oggetto di controversie non solo sul piano della privacy, ma anche rispetto al principio di proporzionalità e alla trasparenza delle decisioni.
Questo scenario conferma come la sicurezza nazionale, in quanto concetto politico, possa essere strumentalizzata per espandere il perimetro della sorveglianza statale, spesso in assenza di un controllo giurisdizionale adeguato. L’assenza di un vincolo normativo stringente sulla definizione e sui limiti di applicazione del concetto favorisce un uso potenzialmente arbitrario del potere esecutivo, rischiando di compromettere l’equilibrio tra esigenze di sicurezza e tutela dei diritti fondamentali.
Pertanto, se da un lato il quadro normativo esistente è teoricamente idoneo a contenere le derive autoritarie, dall’altro è fondamentale che la giurisdizione mantenga una funzione di presidio effettivo, non solo formale, nei confronti delle decisioni motivate da “ragioni di sicurezza”. È altresì necessario che il dibattito pubblico e parlamentare assuma un ruolo centrale nel definire, discutere e limitare il ricorso a questo concetto, per evitare che esso diventi una zona franca, impermeabile al controllo democratico.
In sintesi, la protezione dei diritti fondamentali nell’era della sorveglianza tecnologica non richiede tanto nuove leggi, quanto una rinnovata consapevolezza istituzionale del carattere politico della sicurezza nazionale, una vigilanza costante da parte degli organi di garanzia, affinché le tecnologie emergenti non diventino strumenti di controllo privo di contrappesi ma soprattutto l’esercizio, da parte delle persone, del proprio ruolo politico di “cani da guardia” del potere. Ed è proprio questo il requisito che, pur fondamentale, manca a livello strutturale, lasciando temi del genere a un ristretto numero di attivisti le cui posizioni non sono sempre e necessariamente condivisibili.
D’altra parte, la rinuncia all’esercizio dei propri diritti significa perderli definitivamente, perché non si possono riprendere dopo che qualcun altro se ne è appropriato.
