L’avvertimento del Garante italiano su Graphite è un campanello d’allarme. La diffusione incontrollata di
software di sorveglianza minaccia diritti fondamentali nonostante le tutele del GDPR
Intervento di Agostino Ghiglia, componente del Garante per la protezione dei dati personali
(AgendaDigitale, 17 febbraio 2025)
“Il Garante per la protezione dei dati personali rivolge un avvertimento a tutti coloro che dovessero
utilizzare lo spyware ‘Graphite’, della società israeliana Paragon Solutions Ltd, o sistemi analoghi, o
dovessero utilizzare le informazioni raccolte tramite questi software.
Tali attività, svolte al di fuori degli usi consentiti dalla legge, violano il Codice privacy e possono comportare
l’applicazione di una sanzione amministrativa fino a 20 milioni di euro o al 4% del fatturato.”
Dalla finzione alla realtà: il pericolo degli spyware come Graphite
L’idea di una spia invisibile, capace di intrufolarsi in ogni conversazione, rubare informazioni segrete e
violare la privacy dei potenti e degli ignari cittadini, ha sempre affascinato il cinema e la letteratura. Dai
gadget tecnologici di James Bond agli hacker che nei thriller informatici si insinuano nei dispositivi dei
protagonisti, la fantasia ha spesso anticipato la realtà. Nell’era tecnologica, tuttavia, da tempo la minaccia
alla riservatezza non è più relegata alla fiction.
Strumenti di sorveglianza avanzati come Graphite, sviluppato dalla Paragon Solutions, e il più noto Pegasus,
creato dalla NSO Group, sono da anni una realtà concreta, capace di trasformare qualsiasi smartphone in
una cimice digitale, una Mata Hari tascabile. La differenza rispetto alle spie del passato è che questi
software non hanno bisogno di rocambolesche missioni segrete: basta un clic, spesso nemmeno quello, e il
dispositivo della vittima viene compromesso senza che questa se ne accorga.
Armi di sorveglianza, un problema globale
L’avvertimento lanciato dal Garante della privacy in Italia su Graphite evidenzia un problema globale: il
rischio che queste tecnologie siano utilizzate al di fuori dei confini legali, trasformandosi da strumenti per la
sicurezza nazionale in vere e proprie armi di sorveglianza nei confronti, oggi, di talune categorie e domani,
potenzialmente, di massa.
Le aziende che sviluppano tali sistemi sostengono di venderli solo a governi per scopi di sicurezza, ma
numerosi casi hanno dimostrato come spesso finiscano nelle mani sbagliate, con conseguenze devastanti
per le libertà individuali.
I casi più eclatanti di abuso
Uno degli episodi più eclatanti è quello legato all’omicidio del giornalista saudita Jamal Khashoggi nel 2018.
Un’indagine condotta da Citizen Lab ha rivelato che Pegasus era stato usato per monitorare i suoi contatti e
spostamenti prima che venisse brutalmente assassinato nel consolato saudita di Istanbul.
In Spagna, invece, è emerso lo scandalo noto come Catalangate, in cui Pegasus è stato utilizzato per
sorvegliare segretamente oltre sessanta esponenti del movimento indipendentista catalano. Il caso ha
suscitato forti polemiche, con il governo spagnolo costretto a difendersi da accuse di abuso di potere e
violazione dei diritti umani.
Anche l’Ungheria è finita sotto i riflettori con l’accusa di aver utilizzato lo spyware per monitorare giornalisti
investigativi e oppositori politici, sollevando preoccupazioni sul deterioramento dello stato di diritto nel
Paese.
Diritto alla segretezza delle comunicazioni: il faro della Costituzione
Ma anche l’Italia sembra non essere del tutto immune da questo fenomeno. Sebbene non siano ancora
emersi scandali eclatanti legati all’uso di Graphite o Pegasus, il Garante per la privacy ha ritenuto
necessario intervenire preventivamente, mettendo in guardia non solo le istituzioni ma anche le aziende e i
privati cittadini.
Il rischio è che questi strumenti possano essere utilizzati al di fuori delle indagini giudiziarie e delle finalità
di sicurezza nazionale, magari da agenzie investigative private o aziende senza scrupoli, violando il diritto
alla segretezza delle comunicazioni sancito dall’articolo 15 della Costituzione Italiana. Questo articolo
stabilisce che la libertà e la segretezza della corrispondenza e di ogni altra forma di comunicazione sono
inviolabili e che ogni limitazione deve avvenire solo per atto motivato dell’autorità giudiziaria con le
garanzie stabilite dalla legge. Il problema, dunque, non è solo la tecnologia in sé, ma il modo in cui viene
utilizzata e, soprattutto, il controllo che le istituzioni devono garantire per impedirne abusi.
Programmi-spia: lo scudo del Gdpr
Anche la normativa europea sulla protezione dei dati personali, il GDPR, offre strumenti chiari per
contrastare tali derive, imponendo limiti rigorosi al trattamento dei dati personali. L’articolo 4 del
Regolamento Europeo per la protezione dei dati definisce come dato personale qualsiasi informazione che
possa identificare una persona, compresi i metadati raccolti dagli spyware. L’articolo 6 stabilisce che il
trattamento dei dati, in assenza di consenso, debba essere lecito ossia giustificato da un interesse pubblico
o dall’esercizio di pubblici poteri mentre l’articolo 9 impone restrizioni ancora più severe quando si tratta di
dati particolari , come quelli relativi alle opinioni politiche, all’origine etnica , alla salute, all’orientamento
sessuale.
Il Regolamento, insomma, rappresenta un vero e proprio scudo anche rispetto alla invasività dei
programmi-spia, tanto da spingere il Garante Europeo per la protezione dei dati personali a chiedere, fin
dal 2022, la messa al bando del sistema Pegasus mentre nel Giugno 2023 una lunghissima
Raccomandazione del Parlamento Europeo invitava la Commissione a ” presentare tempestivamente
proposte legislative”.
Il problema dell’applicazione e del monitoraggio delle normative esistenti
Se le normative esistono, il problema resta quello dell’applicazione e del monitoraggio. La questione è
tutt’altro che semplice. Le autorità, come il Garante italiano, possono emettere sanzioni e avvisi, ma senza
un coordinamento internazionale e strumenti efficaci di enforcement, il rischio è che questi software
continuino a essere utilizzati impunemente. Le aziende che li sviluppano operano spesso in una zona grigia,
nascondendosi dietro accordi di segretezza con governi e agenzie di intelligence, rendendo difficile risalire
ai veri responsabili di eventuali abusi.
Protezione dei dati: un problema anche culturale
Per contrastare questa deriva, servirebbero non solo leggi più stringenti ma anche un cambiamento
culturale. La consapevolezza dei cittadini sulla protezione dei propri dati è fondamentale: sapere che il
proprio smartphone può essere trasformato in un microfono aperto h24 dovrebbe spingere le persone a
prestare maggiore attenzione alla sicurezza digitale. I governi, dal canto loro, dovrebbero sorvegliare per
garantire che le tecnologie di sorveglianza vengano utilizzate solo nei limiti della legge, evitando che
diventino strumenti di oppressione. Il caso Pegasus ha dimostrato che nessuno è al sicuro, neppure capi di
stato e giornalisti d’inchiesta. Se oggi la minaccia riguarda figure pubbliche, domani potrebbe toccare a
chiunque.
La differenza tra la fantascienza di James Bond e la realtà degli spyware odierni è che il nemico non è più un
“cattivo” o un’organizzazione di psicopatici con un piano diabolico per conquistare il mondo.
Il nemico, oggi, è l’assenza di limiti e regolamentazioni chiare sull’uso della sorveglianza digitale. Da una
parte, la sicurezza nazionale e il contrasto al crimine richiedono strumenti efficaci; dall’altra, il diritto alla
privacy e alla libertà di espressione non possono essere sacrificati in nome di una sorveglianza senza
controllo.
Roma, 17 febbraio 2025
Provvedimento del 13 febbraio 2025 [10103690] – Garante Privacy
TUTTO CIÒ PREMESSO IL GARANTE:
ai sensi dell’art. 58, par. 2, lett. a), del Regolamento e 154, comma 1 del Codice, rivolge un avvertimento a
tutti coloro che dovessero utilizzare il sopra indicato software spia denominato “Graphite”, prodotto dalla
società israeliana Paragon Solutions ltd, o sistemi di analoga specie o dovessero utilizzare le informazioni
con essi raccolte, che tali attività verosimilmente violano l’art. 122 del Codice e che tale violazione, in base
al successivo art. 166, comporta l’applicazione di una sanzione amministrativa pecuniaria fino a €
20.000.000.
Ai sensi dell’articolo 78 del Regolamento e degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il
presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso
depositato nei termini indicati nel citato art. 10.
Roma, 13 febbraio 2025
COMUNICATO STAMPA – Paragon, Garante privacy: no all’utilizzo dei… – Garante Privacy
COMUNICATO STAMPA – Paragon, Garante privacy: no all’utilizzo dei software spia fuori dalle regole
Il Garante per la protezione dei dati personali rivolge un avvertimento a tutti coloro che dovessero
utilizzare lo spyware “Graphite”, della società israeliana Paragon Solutions ltd, o sistemi analoghi, o
dovessero utilizzare le informazioni raccolte tramite questi software. Tali attività, svolte al di fuori degli usi
consentiti dalla legge, violano il Codice privacy e possono comportare l’applicazione di una sanzione
amministrativa fino a 20 milioni di euro o al 4% del fatturato.
L’Autorità – a seguito di notizie di stampa e delle segnalazioni di alcuni cittadini preoccupati del possibile
indiscriminato utilizzo degli spyware – ribadisce che le intercettazioni di comunicazioni elettroniche che non
rientrano nelle finalità di sicurezza della Repubblica e di prevenzione, indagine, accertamento e
perseguimento di reati, devono rispettare la normativa in materia di protezione dei dati personali.
Il Garante si riserva ogni ulteriore attività volta all’individuazione degli autori delle condotte messe in atto
tramite gli spyware in violazione delle norme sulla privacy.
Roma, 14 febbraio 2025
