P9_TA(2023)0244

Indagine sull'uso di Pegasus e di spyware di sorveglianza equivalenti (raccomandazione)

Raccomandazione del Parlamento europeo del 15 giugno 2023 destinata al Consiglio e alla Commissione in seguito all'esame delle denunce di infrazione e di cattiva amministrazione nell'applicazione del diritto dell'Unione in relazione all'uso di Pegasus e di spyware di sorveglianza equivalenti (2023/2500(RSP))

(C/2024/494)

Il Parlamento europeo,

—	visto il trattato sull'Unione europea (TUE), in particolare gli articoli 2, 4, 6 e 21,

—	visti gli articoli 16, 223, 225 e 226 del trattato sul funzionamento dell'Unione europea (TFUE),

—	vista la Carta dei diritti fondamentali dell'Unione europea («Carta»), in particolare gli articoli 7, 8, 11, 17, 21, 41, 42 e 47,

—

vista la direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (1) («direttiva e-privacy»),

—

visto il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (2),

—

vista la direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (3),

—	vista la direttiva 2013/40/UE del Parlamento europeo e del Consiglio, del 12 agosto 2013, relativa agli attacchi contro i sistemi di informazione e che sostituisce la decisione quadro 2005/222/GAI del Consiglio (4) («direttiva sulla criminalità informatica»),

—

visto il regolamento (UE) 2021/821 del Parlamento europeo e del Consiglio, del 20 maggio 2021, che istituisce un regime dell'Unione di controllo delle esportazioni, dell'intermediazione, dell'assistenza tecnica, del transito e del trasferimento di prodotti a duplice uso (5) («regolamento sui prodotti a duplice uso»),

—	vista la decisione (PESC) 2019/797 del Consiglio, del 17 maggio 2019, concernente misure restrittive contro gli attacchi informatici che minacciano l'Unione o i suoi Stati membri (6), quale modificata dalla decisione (PESC) 2021/796 del Consiglio del 17 maggio 2021 (7),

—	visto l'atto relativo all'elezione dei membri del Parlamento europeo a suffragio universale diretto (8),

—	vista la decisione 95/167/CE, Euratom, CECA del Parlamento europeo, del Consiglio e della Commissione, del 6 marzo 1995, relativa alle modalità per l'esercizio del diritto d'inchiesta del Parlamento europeo (9),

—

vista la decisione (UE) 2022/480 del Parlamento europeo del 10 marzo 2022 sulla costituzione, le attribuzioni, la composizione numerica e la durata del mandato della commissione d'inchiesta incaricata di esaminare l'uso di Pegasus e di spyware di sorveglianza equivalenti, nonché sulla definizione dell'oggetto dell'inchiesta (10),

—

vista la direttiva (UE) 2018/843 del Parlamento europeo e del Consiglio, del 30 maggio 2018, che modifica la direttiva (UE) 2015/849 relativa alla prevenzione dell'uso del sistema finanziario a fini di riciclaggio o finanziamento del terrorismo e che modifica le direttive 2009/138/CE e 2013/36/UE (11) («direttiva antiriciclaggio»),

—	vista la proposta di regolamento del Parlamento europeo e del Consiglio, del 16 settembre 2022, che istituisce un quadro comune per i servizi di media nell'ambito del mercato interno (legge europea per la libertà dei media) e modifica la direttiva 2010/13/UE (COM(2022)0457),

—	visto l'articolo 12 della Dichiarazione universale dei diritti dell'uomo,

—

vista la sentenza della Corte di giustizia dell'Unione europea (CGUE) nella causa C-37/20 (12) sulla direttiva antiriciclaggio secondo cui la disposizione ai sensi della quale le informazioni sulla titolarità effettiva delle società costituite nel territorio degli Stati membri sono accessibili in ogni caso al pubblico è dichiarata invalida,

—	visto l'articolo 17 del Patto internazionale relativo ai diritti civili e politici,

—	visti la Carta delle Nazioni Unite e i principi guida delle Nazioni Unite su imprese e diritti umani (13),

—	vista la dichiarazione dell'Alto Commissario delle Nazioni Unite per i diritti umani, Michelle Bachelet, del 19 luglio 2022, sull'uso di spyware per sorvegliare giornalisti e difensori dei diritti umani,

—	visto il commento del commissario per i diritti dell'uomo del Consiglio d'Europa, Dunja Mijatovic, del 27 gennaio 2023, su spyware altamente invasivi che minacciano il contenuto essenziale dei diritti umani (14),

—	viste le osservazioni preliminari del garante europeo della protezione dei dati (GEPD), del 15 febbraio 2022, sui moderni software spia (15),

—	visti la convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali, in particolare gli articoli 8, 10, 13, 14 e 17, e i relativi protocolli,

—

vista la valutazione, realizzata da Europol nel 2021, della minaccia rappresentata dalla criminalità organizzata e dalle forme gravi di criminalità (SOCTA) intitolata «Un'influenza corruttiva: l'infiltrazione e il pregiudizio dell'economia e della società europee ad opera della criminalità organizzata»,

—

visti la relazione del 2017 dell'Agenzia dell'Unione europea per i diritti fondamentali (FRA) intitolata «Sorveglianza da parte dei servizi di intelligence: garanzie dei diritti fondamentali e mezzi di ricorso nell'UE» e gli aggiornamenti presentati il 28 febbraio 2023 alla commissione d'inchiesta incaricata di esaminare l'uso di Pegasus e di spyware di sorveglianza equivalenti (PEGA),

—

viste la sua risoluzione del 12 marzo 2014 sul programma di sorveglianza dell'Agenzia per la sicurezza nazionale degli Stati Uniti, sugli organi di sorveglianza in diversi Stati membri e sul loro impatto sui diritti fondamentali dei cittadini dell'UE, e sulla cooperazione transatlantica nel campo della giustizia e degli affari interni (16), e in particolare le raccomandazioni ivi contenute sul rafforzamento della sicurezza informatica nelle istituzioni, organi e agenzie dell'UE,

—	visto il parere 24/2022 del GEPD, dell'11 novembre 2022, sulla legge europea per la libertà dei media,

—	visto il glossario su software maligni e spyware elaborato dall'Agenzia dell'Unione europea per la cibersicurezza (ENISA),

—	vista la decisione della Mediatrice europea sulle modalità di valutazione da parte della Commissione europea dell'impatto sui diritti umani prima di fornire sostegno ai paesi africani per lo sviluppo di capacità di sorveglianza (caso 1904/2021/MHZ),

—

vista la dichiarazione rilasciata il 2 febbraio 2023 da Irene Kahn, relatrice speciale delle Nazioni Unite per la libertà di opinione e di espressione, e da Fernand de Varennes, relatore speciale delle Nazioni Unite sulle questioni relative alle minoranze, nella quale chiedono un'indagine su un presunto programma di sorveglianza di dirigenti catalani (17),

—

visti la relazione della Commissione europea per la democrazia attraverso il diritto (Commissione di Venezia) sul controllo democratico sui servizi di sicurezza (18) e il suo parere intitolato «Polonia — Parere relativo alla legge del 15 gennaio 2016 che modifica la legge sulla polizia e alcune altre leggi» (19),

—	vista la relazione della commissione d'inchiesta incaricata di esaminare l'uso di Pegasus e di spyware di sorveglianza equivalenti (A9-0189/2023),

—	visto l'articolo 208, paragrafo 12, del suo regolamento,

considerando che, grazie agli sforzi di CitizenLab e Amnesty Tech e di numerosi giornalisti d'inchiesta, è stato rivelato che enti pubblici di diversi paesi, sia Stati membri dell'UE che paesi terzi, hanno utilizzato Pegasus e spyware di sorveglianza equivalenti contro giornalisti, politici, funzionari delle autorità di contrasto, diplomatici, avvocati, imprenditori, attori della società civile e altri soggetti, a fini politici e persino criminali; che tali pratiche sono estremamente allarmanti e dimostrano il rischio di abuso delle tecnologie di sorveglianza per minare i diritti umani fondamentali, la democrazia e i processi elettorali;

B.	considerando che il termine «spyware», ogniqualvolta citato nella relazione, indica «Pegasus e spyware di sorveglianza equivalenti» quali definiti nella decisione del Parlamento che istituisce la commissione PEGA;

considerando che è stato osservato che attori statali hanno deliberatamente utilizzato spyware in maniera ingannevole, facendo ricorso a un software spia in grado di camuffarsi da programma, file o contenuto legittimo («cavallo di Troia»), ad esempio messaggi falsi provenienti da istituzioni pubbliche; che in alcuni casi le autorità pubbliche hanno utilizzato operatori telefonici per trasmettere contenuti malevoli al dispositivo della persona presa di mira; che gli spyware possono essere impiegati sfruttando vulnerabilità «zero-day» senza l'interazione del bersaglio con il contenuto infetto, e che possono rimuovere tutte le tracce della loro presenza dopo essere stati disinstallati e rendere anonimo il collegamento tra operatori remoti e server;

D.	considerando che agli esordi delle comunicazioni mobili l'ascolto indiscreto si effettuava mediante l'intercettazione di chiamate e, successivamente, di messaggi di testo in formato semplice;

considerando che la comparsa di applicazioni di comunicazione mobile criptata ha fatto emergere l'industria degli spyware, che sfrutta le vulnerabilità esistenti nei sistemi operativi degli smartphone per installare software che importano spyware nel telefono, anche mediante infezioni «zero click» che si verificano all'insaputa dell'utilizzatore e senza alcun intervento da parte sua, consentendo l'estrazione dei dati prima del criptaggio; che gli spyware «zero click», in ragione della loro stessa progettazione, rendono estremamente difficile un controllo efficace e significativo del loro utilizzo;

F.	considerando che la conoscenza delle vulnerabilità nei sistemi software è scambiata direttamente tra le parti o agevolata da intermediari; che in tale commercio sono coinvolti anche attori non statali e organizzazioni criminali;

G.	considerando che l'acquisizione, il commercio e l'accumulo di vulnerabilità «zero-day» compromettono in maniera sostanziale l'integrità e la sicurezza delle comunicazioni dei cittadini dell'UE e la loro cibersicurezza;

considerando che la sorveglianza mediante spyware dovrebbe rimanere l'eccezione e richiedere sempre un'autorizzazione giudiziaria preventiva efficace, vincolante e significativa da parte di un'autorità giudiziaria imparziale e indipendente, che deve garantire che la misura sia necessaria e proporzionata e rigorosamente limitata ai casi che riguardano la sicurezza nazionale, il terrorismo e reati gravi; che le tecniche di sorveglianza possono essere utilizzate impropriamente in ambienti privi di un efficace bilanciamento dei poteri;

considerando che qualsiasi sorveglianza con spyware deve essere verificata da un'autorità di controllo indipendente ex post, la quale deve garantire che l'eventuale sorveglianza autorizzata sia effettuata nel rispetto dei diritti fondamentali e delle condizioni stabilite dalla CGUE, dalla Corte europea dei diritti dell'uomo (CEDU) e dalla Commissione di Venezia; che tale autorità di controllo ex post dovrebbe immediatamente ordinare la sospensione della sorveglianza qualora questa risultasse incompatibile con le condizioni e i diritti summenzionati;

considerando che la sorveglianza con spyware che non soddisfa i requisiti stabiliti dal diritto dell'Unione e dalla giurisprudenza della CGUE e della Corte europea dei diritti dell'uomo è contraria ai valori sanciti dall'articolo 2 TUE e ai diritti fondamentali sanciti dalla Carta, in particolare agli articoli 7, 8, 11, 17, 21 e 47, che riconoscono diritti, libertà e principi specifici quali il rispetto della vita privata e familiare, la protezione dei dati personali, la libertà di espressione e di informazione, il diritto di proprietà, il diritto alla non discriminazione, nonché il diritto a un ricorso effettivo e a un giudice imparziale e il diritto alla presunzione di innocenza;

considerando che i diritti delle persone prese di mira sono sanciti dalla Carta e dalle convenzioni internazionali, in particolare il diritto alla vita privata e il diritto a un processo equo, nonché dalle norme dell'Unione sui diritti degli indiziati e degli imputati; che tali diritti sono stati confermati dalla giurisprudenza della CGUE e della Corte europea dei diritti dell'uomo;

considerando che l'impatto della sorveglianza mirata sulle donne può essere particolarmente grave, in quanto le autorità possono utilizzare il maggiore controllo sociale cui sono soggette le donne per sfruttare i dati privati e intimi estratti mediante spyware come arma per campagne di diffamazione;

considerando che dalle testimonianze delle persone prese di mira emerge chiaramente che i mezzi di ricorso e i diritti civili, pur esistendo su carta, diventano per lo più nulli di fronte all'ostruzionismo degli organi governativi, all'assenza o mancata applicazione del diritto delle persone prese di mira di essere informate e agli ostacoli amministrativi che queste devono superare per dimostrare di essere oggetto di sorveglianza; che, anche nei sistemi dotati di procedure rapide e aperte, la natura dello spyware rende molto difficile dimostrare chi sia l'autore dell'attacco e la natura e la portata di quest'ultimo;

considerando che i tribunali non hanno accettato le prove forensi di esperti indipendenti, ma solo le prove basate sull'esame delle autorità, dei servizi di sicurezza o delle autorità di contrasto che sarebbero all'origine di un attacco; che ciò lascia le persone prese di mira in balia di una situazione paradossale, senza alcuna possibilità percorribile di dimostrare l'infezione da spyware;

considerando che il governo polacco ha indebolito ed eliminato le garanzie istituzionali e giuridiche, comprese adeguate procedure di vigilanza e controllo, lasciando di fatto le persone prese di mira senza alcun mezzo di ricorso effettivo; che lo spyware di sorveglianza Pegasus è stato impiegato illegalmente a fini politici per spiare giornalisti, politici dell'opposizione, avvocati, pubblici ministeri e attori della società civile;

considerando che il governo ungherese ha indebolito ed eliminato le garanzie istituzionali e giuridiche, comprese adeguate procedure di vigilanza e controllo, lasciando di fatto le persone prese di mira senza alcun mezzo di ricorso effettivo; che lo spyware di sorveglianza Pegasus è stato impiegato illegalmente a fini politici per spiare giornalisti, politici dell'opposizione, avvocati, pubblici ministeri e attori della società civile;

considerando che è stato ufficialmente confermato che un deputato al Parlamento europeo della Grecia e un giornalista greco sono stati intercettati dal servizio nazionale di intelligence greco (EYP) e sorvegliati con lo spyware Predator; che un ex dipendente greco-americano di Meta è stato contemporaneamente intercettato dall'EYP e sorvegliato con lo spyware Predator, il cui utilizzo è illegale ai sensi del diritto greco; che, secondo quanto riportato dai media, deputati dell'opposizione e del partito al governo, attivisti politici e giornalisti sarebbero stati sorvegliati con lo spyware Predator e/o mediante intercettazioni convenzionali da parte dell'EYP; che, sebbene il governo greco neghi di aver acquistato o utilizzato Predator, è assai probabile che Predator sia stato impiegato da o per conto di persone molto vicine al gabinetto del primo ministro; che il governo greco ha ammesso di aver concesso licenze di esportazione a Intellexa per la vendita dello spyware Predator a governi repressivi, come il Madagascar e il Sudan; che il governo ha reagito allo scandalo con modifiche legislative che riducono ulteriormente il diritto delle persone interessate di essere informate una volta conclusa la sorveglianza e ostacolano ulteriormente il lavoro delle autorità indipendenti;

considerando che le rivelazioni hanno permesso di identificare due categorie di persone prese di mira da spyware in Spagna; che nella prima rientrano il primo ministro e il ministro della Difesa, il ministro degli Interni e altri alti funzionari; che la seconda categoria riguarda ciò che l'organizzazione Citizen Lab definisce «CatalanGate» e comprende 65 persone prese di mira, tra cui esponenti politici del governo regionale della Catalogna, membri del movimento favorevole all'indipendenza della Catalogna, deputati al Parlamento europeo, avvocati, accademici e attori della società civile; che nel maggio 2022 le autorità spagnole hanno ammesso di aver sorvegliato 18 persone con un'autorizzazione giudiziaria, benché finora non abbiano reso noto alcun mandato né altre informazioni, e che, dovendo rendere conto dell'uso di spyware di sorveglianza in Spagna, hanno invocato la sicurezza nazionale; che anche altre 47 persone sarebbero state prese di mira, ma non avrebbero ricevuto alcuna informazione se non quelle provenienti da Citizen Lab;

S.	considerando che a Cipro non è stata confermata alcuna presunta infezione da spyware; che Cipro è un importante polo europeo di esportazione per l'industria della sorveglianza e un paese interessante per le imprese che vendono tecnologie di sorveglianza;

considerando che vi sono forti indizi del fatto che i governi del Marocco e del Ruanda, tra gli altri, avrebbero sorvegliato cittadini di altro profilo dell'Unione mediante l'uso di spyware, tra cui il Presidente francese, il primo ministro, il ministro della Difesa e il ministro degli Interni spagnoli, l'allora primo ministro belga, l'ex Presidente della Commissione e l'ex primo ministro italiano, nonché Carine Kanimba, la figlia di Paul Rusesabagina;

considerando che è lecito presumere che tutti gli Stati membri abbiano acquistato o utilizzato uno o più sistemi di spionaggio; che, sebbene la maggior parte dei governi nell'Unione europea si astenga dall'uso illegittimo di spyware, il rischio di abusi è estremamente plausibile in assenza di un solido quadro giuridico che includa garanzie e controlli e alla luce delle difficoltà tecniche nel rilevare e tracciare le infezioni;

considerando che la maggior parte dei governi e dei parlamenti degli Stati membri non ha fornito al Parlamento europeo informazioni significative sui quadri normativi nazionali che disciplinano l'uso di spyware al di là di quanto già pubblicamente noto, nonostante l'obbligo di farlo previsto all'articolo 3, paragrafo 4, della decisione del Parlamento europeo, del Consiglio e della Commissione, del 6 marzo 1995, relativa alle modalità per l'esercizio del diritto d'inchiesta del Parlamento europeo; che è difficile valutare l'applicazione della legislazione dell'Unione e le garanzie, il controllo e i mezzi di ricorso, il che impedisce un'adeguata tutela dei diritti fondamentali dei cittadini;

W.	considerando che l'articolo 4, paragrafo 3, TUE recita: «[i]n virtù del principio di leale cooperazione, l'Unione e gli Stati membri si rispettano e si assistono reciprocamente nell'adempimento dei compiti derivanti dai trattati»;

X.	considerando che varie personalità dell'industria degli spyware hanno ottenuto la cittadinanza maltese, il che agevola le loro operazioni dall'Unione e al suo interno;

considerando che molti sviluppatori e venditori di spyware sono o erano registrati in uno o più Stati membri; che tra questi figurano, ad esempio, il gruppo NSO con presenza societaria in Lussemburgo, a Cipro, nei Paesi Bassi e in Bulgaria, la società madre di Intellexa, Thalestris Limited, in Irlanda, in Grecia, in Svizzera e a Cipro, DSIRF in Austria, QuaDream a Cipro, Amesys e Nexa Technologies in Francia, Tykelab e RCS Lab in Italia, e FinFisher (che ha cessato l'attività) in Germania;

considerando che l'Unione europea non partecipa all'intesa di Wassenaar per il controllo delle esportazioni di armi convenzionali e di beni e tecnologie a duplice uso; che tutti gli Stati membri partecipano all'intesa di Wassenaar, ad eccezione di Cipro, che ha tuttavia presentato molto tempo fa una richiesta di adesione; che Cipro è vincolata dal regolamento sui prodotti a duplice uso;

AA.	considerando che il regime di esportazione israeliano (20) si applica in linea di principio a tutti i cittadini israeliani, anche quando operano dall'UE; che Israele non partecipa all'intesa di Wassenaar, pur dichiarando di applicarne le norme;

AB.	considerando che l'esportazione di spyware dall'Unione verso paesi terzi è disciplinata dal regolamento sui prodotti a duplice uso, riveduto nel 2021; che la Commissione ha pubblicato la sua prima relazione sull'attuazione del regolamento nel settembre 2022 (21);

AC.

considerando che alcuni produttori di spyware che esportano verso paesi terzi si stabiliscono nell'Unione per acquisire rispettabilità pur vendendo spyware a regimi repressivi; che sono in corso esportazioni dall'Unione verso regimi repressivi o attori non statali, in violazione della normativa UE in materia di esportazioni;

AD.

considerando che Amesys e Nexa Technologies sono attualmente oggetto di un procedimento giudiziario in Francia per aver esportato tecnologie di sorveglianza in Libia, Egitto e Arabia Saudita; che le società Intellexa con sede in Grecia avrebbero esportato i loro prodotti in Bangladesh, Sudan, Madagascar e in almeno un paese arabo; che il software di FinFisher è utilizzato da decine di paesi di tutto il mondo, tra cui Angola, Bahrein, Bangladesh, Egitto, Etiopia, Gabon, Giordania, Kazakhstan, Myanmar/Birmania, Oman, Qatar, Arabia Saudita, Turchia e dai servizi di intelligence del Marocco, che sono stati accusati da Amnesty International e Forbidden Stories di aver utilizzato lo spyware Pegasus contro giornalisti, difensori dei diritti umani, attori della società civile e politici; che è ignoto se siano state concesse licenze per l'esportazione di spyware in tutti questi paesi; che ex dirigenti di FinFisher sono stati accusati dalla procura di Monaco di Baviera di esportare tecnologie di sorveglianza in Turchia senza una licenza di esportazione;

AE.

considerando che il numero di partecipanti alle fiere di armi e le capacità di ISSWorld di commercializzare spyware dimostrano la prevalenza di fornitori di spyware e di prodotti e servizi correlati di paesi terzi, un numero significativo dei quali ha sede in Israele (ad esempio, il gruppo NSO, Wintego, Quadream e Cellebrite), e mettono in luce importanti produttori in India (ClearTrail), nel Regno Unito (BAe Systems e Black Cube) e negli Emirati arabi uniti (DarkMatter), mentre la United States Entity List statunitense che inserisce nella lista nera i produttori di spyware con sede in Israele (gruppo NSO e Candiru), in Russia (Positive Technologies) e Singapore (Computer Security Initiative Consultancy PTE LTD.) pone ulteriormente l'accento sulle diverse origini dei produttori di spyware; che alla fiera partecipa anche tutta una serie di autorità pubbliche europee, tra cui le forze di polizia locali;

AF.	considerando che l'articolo 4, paragrafo 2, TUE stabilisce che la sicurezza nazionale resta di esclusiva competenza di ciascuno Stato membro;

AG.

considerando invece che secondo la CGUE (causa C-623/17) «sebbene spetti agli Stati membri definire gli interessi essenziali della propria sicurezza e decidere le misure idonee a garantire la loro sicurezza interna ed esterna, la mera circostanza che una misura nazionale sia stata adottata a fini di salvaguardia della sicurezza nazionale non può comportare l'inapplicabilità del diritto dell'Unione e dispensare gli Stati membri dal necessario rispetto di tale diritto»;

AH.

considerando che la CGUE ha statuito (causa C-203/15) che «l'articolo 15, paragrafo 1, della direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche), come modificata dalla direttiva 2009/136/CE del Parlamento europeo e del Consiglio, del 25 novembre 2009, letto alla luce degli articoli 7, 8 e 11 nonché dell'articolo 52, paragrafo 1, della Carta, deve essere interpretato nel senso che esso osta ad una normativa nazionale la quale preveda, per finalità di lotta contro la criminalità, una conservazione generalizzata e indifferenziata dell'insieme dei dati relativi al traffico e dei dati relativi all'ubicazione di tutti gli abbonati e utenti iscritti riguardante tutti i mezzi di comunicazione elettronica»;

AI.

considerando che la CGUE ha statuito (causa C-203/15) che «l'articolo 15, paragrafo 1, della direttiva 2002/58/CE, come modificata dalla direttiva 2009/136/CE, letto alla luce degli articoli 7, 8 e 11 nonché dell'articolo 52, paragrafo 1, della Carta, deve essere interpretato nel senso che esso osta ad una normativa nazionale, la quale disciplini la protezione e la sicurezza dei dati relativi al traffico e dei dati relativi all'ubicazione, e segnatamente l'accesso delle autorità nazionali competenti ai dati conservati, senza limitare, nell'ambito della lotta contro la criminalità, tale accesso alle sole finalità di lotta contro la criminalità grave, senza sottoporre detto accesso ad un controllo preventivo da parte di un giudice o di un'autorità amministrativa indipendente, e senza esigere che i dati di cui trattasi siano conservati nel territorio dell'Unione»;

AJ.

considerando che la giurisprudenza della Corte europea dei diritti dell'uomo chiarisce che tutte le forme di sorveglianza devono avvenire in conformità della legge, perseguire uno scopo legittimo ed essere necessarie e proporzionate; che, inoltre, il quadro normativo deve fornire garanzie precise, efficaci e complete in merito al mandato, all'esecuzione e alle eventuali possibilità di ricorso contro le misure di sorveglianza, che devono essere soggette a un controllo giurisdizionale adeguato e a una vigilanza efficace (22);

AK.

considerando che la convenzione del Consiglio d'Europa sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale (convenzione 108), recentemente aggiornata come convenzione 108+, si applica al trattamento dei dati personali per finalità di sicurezza (nazionale) dello Stato, compresa la difesa; che tutti gli Stati membri dell'UE sono firmatari di tale convenzione;

AL.

considerando che aspetti importanti dell'uso di spyware di sorveglianza a fini di prevenzione, indagine, accertamento o perseguimento di reati ed esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse, rientrano nell'ambito del diritto dell'UE;

AM.

considerando che la Carta stabilisce le condizioni per le limitazioni all'esercizio dei diritti fondamentali e richiede che tali limitazioni siano previste dalla legge, che rispettino il contenuto essenziale dei diritti e delle libertà in questione, che siano soggette al principio di proporzionalità e che siano imposte solo laddove siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall'Unione o all'esigenza di proteggere i diritti e le libertà altrui; che, nell'uso di spyware, il livello di interferenza con il diritto alla vita privata può essere talmente grave che l'individuo ne è di fatto privato, e che l'uso non può essere considerato proporzionato, indipendentemente dal fatto che la misura possa essere ritenuta necessaria per conseguire gli obiettivi legittimi di uno Stato democratico;

AN.

considerando che la direttiva e-privacy stabilisce che gli Stati membri devono garantire la riservatezza delle comunicazioni; che l'impiego di strumenti di sorveglianza costituisce una restrizione del diritto alla protezione delle apparecchiature terminali previsto dalla direttiva e-privacy; che tali restrizioni farebbero rientrare le leggi nazionali in materia di spyware nell'ambito di applicazione della direttiva e-privacy analogamente alle leggi nazionali in materia di conservazione dei dati; che l'impiego frequente di tecnologia spyware invasiva non sarebbe compatibile con l'ordinamento giuridico dell'Unione;

AO.

considerando che, a norma del diritto internazionale, uno Stato ha solo il diritto di indagare su potenziali reati nell'ambito della sua giurisdizione e deve ricorrere all'assistenza di altri Stati nel caso in cui le indagini debbano essere effettuate in altri Stati, a meno che non vi sia una base per condurre indagini in altre giurisdizioni in virtù di un accordo internazionale o, nel caso degli Stati membri, del diritto dell'Unione;

AP.

considerando che l'infezione di un dispositivo con spyware e la successiva raccolta di dati avvengono attraverso i server di fornitori di servizi mobili; che il roaming gratuito all'interno dell'Unione ha fatto sì che le persone a volte abbiano contratti di telefonia mobile in Stati membri diversi da quello in cui risiedono e che attualmente non esiste alcuna base giuridica nel diritto dell'Unione per la raccolta di dati in un altro Stato membro attraverso l'uso di spyware;

AQ.

considerando che David Kaye, ex relatore speciale delle Nazioni Unite sulla promozione e la protezione del diritto alla libertà di espressione (23), e Irene Khan, attuale relatrice speciale delle Nazioni Unite sulla promozione e la protezione del diritto alla libertà di espressione (24), hanno chiesto una moratoria immediata sull'uso, sul trasferimento e sulla vendita di strumenti di sorveglianza fino a quando non siano messe in atto rigorose salvaguardie dei diritti umani per regolamentare le pratiche e garantire che i governi e gli attori non statali utilizzino tali strumenti in modo legittimo;

AR.

considerando che vi sono casi in cui le società di spyware, in particolare Intellexa, non hanno venduto solo la tecnologia di intercettazione ed estrazione stessa ma anche l'intero servizio, denominato anche «pirateria informatica come servizio» o «intelligence informatica attiva», offrendo un pacchetto di metodi di tecnologia di sorveglianza e intercettazione, la formazione del personale e il sostegno tecnico, operativo e metodologico; che tale servizio potrebbe consentire all'impresa di controllare l'intera operazione di sorveglianza e di aggregare i dati di sorveglianza; che tale pratica è quasi impossibile per le autorità competenti in materia di vigilanza e controllo; che ciò rende difficile il rispetto dei principi di proporzionalità, necessità, legittimità, legalità e adeguatezza; che tale servizio non è consentito dall'agenzia israeliana per le esportazioni nel settore della difesa (DECA); che Cipro è stata utilizzata per aggirare le limitazioni esistenti previste dal diritto israeliano al fine di fornire servizi di pirateria informatica;

AS.

considerando che gli Stati membri devono conformarsi alla direttiva 2014/24/UE e alla direttiva 2009/81/CE sugli appalti pubblici e della difesa, rispettivamente; che devono giustificare adeguatamente eventuali deroghe a norma dell'articolo 346, paragrafo 1, lettera b), TFUE, in quanto la direttiva 2009/81/CE tiene esplicitamente conto delle caratteristiche sensibili degli appalti nel settore della difesa, e rispettare l'accordo dell'OMC sugli appalti pubblici, quale modificato il 30 marzo 2012 (25), se parti di tale accordo;

AT.

considerando che il GEPD ha sottolineato che gli Stati membri devono rispettare la Convenzione europea dei diritti dell'uomo e la giurisprudenza della CEDU, che stabilisce limiti alle attività di sorveglianza per la sicurezza nazionale; che, quando utilizzata per finalità di contrasto, la sorveglianza deve inoltre conformarsi al diritto dell'UE e in particolare alla Carta e alle direttive dell'UE, come la direttiva e-privacy e la direttiva sulla protezione dei dati nelle attività di polizia e giudiziarie;

AU.	considerando che è stato riferito che i grandi istituti finanziari hanno cercato di incoraggiare i produttori di spyware ad astenersi dall'applicare norme adeguate in materia di diritti umani e dovere di diligenza e a continuare a vendere spyware ai regimi repressivi;

AV.

considerando che nel programma Orizzonte 2020 Israele si colloca al terzo posto tra i paesi associati per la partecipazione complessiva al programma; che l'accordo Orizzonte Europa con Israele dispone di un bilancio complessivo di 95,5 miliardi di EUR (26) per il periodo 2021-27; che alcuni fondi sono stati messi a disposizione delle imprese militari e di sicurezza israeliane attraverso tali programmi europei, (27);

AW.

considerando che il principale strumento legislativo per le politiche di sviluppo dell'Unione è il regolamento (UE) 2021/947 (28) («regolamento Europa globale») e che i fondi dell'Unione possono essere erogati attraverso i tipi di finanziamento previsti dal regolamento finanziario; che l'assistenza può essere sospesa in caso di degrado della democrazia, dei diritti umani o dello Stato di diritto nei paesi terzi;

sottolinea l'innegabile importanza della tutela della vita privata, del diritto alla dignità e al rispetto della vita privata e della vita familiare, alla libertà di espressione e di informazione, alla libertà di riunione e di associazione e del diritto a un processo equo in un mondo sempre più digitale in cui sempre più attività si svolgono online;

è fermamente convinto che le violazioni di tali diritti e libertà fondamentali siano centrali per il di rispetto dei principi giuridici comuni sanciti dai trattati e da altre fonti, e osserva che la democrazia stessa è in gioco, in quanto l'uso di spyware su politici, società civile e giornalisti ha un effetto dissuasivo e incide gravemente sul diritto di riunione pacifica, sulla libertà di espressione e sulla partecipazione pubblica;

condanna fermamente l'uso di spyware da parte dei governi o di membri delle autorità governative o delle istituzioni statali degli Stati membri al fine di monitorare, ricattare, intimidire, manipolare e screditare i membri dell'opposizione, i critici e la società civile, eliminare il controllo democratico e la libera stampa, manipolare le elezioni e pregiudicare lo Stato di diritto prendendo di mira giudici, procuratori e avvocati a fini politici;

sottolinea che tale uso illegittimo di spyware da parte dei governi nazionali e dei paesi terzi incide direttamente e indirettamente sulle istituzioni dell'Unione e sul processo decisionale, compromettendo in tal modo l'integrità della democrazia dell'Unione europea;

prende atto con grave preoccupazione della fondamentale inadeguatezza dell'attuale struttura di governance dell'Unione a rispondere agli attacchi contro la democrazia, i diritti fondamentali e lo Stato di diritto provenienti dall'interno dell'Unione e della mancanza di azione da parte di molti Stati membri; osserva che, quando tali valori sono minacciati in uno Stato membro, l'intera Unione è messa a rischio;

sottolinea che le norme digitali che disciplinano gli sviluppi tecnologici nell'Unione devono rispettare i diritti fondamentali;

è fermamente convinto che l'esportazione di spyware dall'Unione verso dittature e regimi repressivi con scarsi risultati in materia di diritti umani, dove tali strumenti sono utilizzati contro attivisti per i diritti umani, giornalisti e critici del governo, costituisca una grave violazione dei diritti fondamentali sanciti dalla Carta e una grave violazione delle norme dell'Unione in materia di esportazioni;

esprime inoltre preoccupazione per l'uso illegittimo e il commercio illecito di spyware da parte degli Stati membri, attività che, considerate congiuntamente, trasformano l'Unione in una destinazione per l'industria degli spyware;

esprime preoccupazione per il fatto che i paesi terzi utilizzino spyware per prendere di mira personalità di alto profilo, difensori dei diritti umani e giornalisti nell'Unione;

10.

è altrettanto preoccupato per l'apparente reticenza a indagare sull'abuso degli spyware sia nei casi in cui l'indagato è un organo governativo di uno Stato membro sia di un paese terzo; prende atto dei progressi molto lenti e della mancanza di trasparenza nelle indagini giudiziarie sull'abuso degli spyware contro leader di governo e ministri degli Stati membri dell'UE e la Commissione e contro membri della società civile, giornalisti od oppositori politici;

11.

osserva che il quadro normativo di alcuni Stati membri non fornisce garanzie precise, efficaci e globali in merito al mandato e all'esecuzione delle misure di sorveglianza e ai potenziali meccanismi di ricorso contro le stesse; osserva che tali misure devono perseguire uno scopo legittimo ed essere necessarie e proporzionate;

12.

deplora l'incapacità dei governi degli Stati membri, del Consiglio e della Commissione di cooperare pienamente all'inchiesta e condividere tutte le informazioni pertinenti e significative per consentire alla commissione d'inchiesta di svolgere le sue funzioni quali indicate nel mandato; riconosce che alcune di queste informazioni possono essere soggette a rigorosi obblighi giuridici di segretezza e riservatezza; ritiene che la risposta collettiva del Consiglio sia del tutto inadeguata e contraria al principio di leale cooperazione di cui all'articolo 4, paragrafo 3, TUE;

13.

conclude che né gli Stati membri, né il Consiglio, né la Commissione hanno mostrato il minimo interesse a massimizzare gli sforzi per svolgere un'indagine completa sull'abuso degli spyware, proteggendo in tal modo consapevolmente i governi dell'Unione che violano i diritti umani all'interno e all'esterno dell'Unione;

14.

conclude che in Polonia si sono verificate importanti violazioni e cattiva amministrazione nell'attuazione del diritto dell'Unione;

15.

invita la Polonia a:

a)	esortare il procuratore generale ad avviare indagini sull'abuso di spyware;

ripristinare urgentemente garanzie istituzionali e giuridiche sufficienti, compresi controlli ex ante ed ex post efficaci e vincolanti e meccanismi di vigilanza indipendenti, compresa una verifica giurisdizionale delle attività di sorveglianza; sottolinea che, nel contesto di un efficace controllo ex ante, la richiesta di sorveglianza operativa rivolta a un tribunale, così come l'ordine del tribunale che autorizza tale sorveglianza, dovrebbero contenere una chiara motivazione e indicazione dei mezzi tecnici da utilizzare per la sorveglianza e che, nel contesto di un efficace controllo ex post, dovrebbe essere stabilito l'obbligo di informare la persona sottoposta a sorveglianza del fatto, della durata e della portata della sorveglianza operativa e delle modalità di trattamento dei dati con essa ottenuti;

c)	introdurre una legislazione coerente che tuteli i cittadini, indipendentemente dal fatto che la sorveglianza operativa sia effettuata dal pubblico ministero, dai servizi segreti o da qualsiasi altro organismo statale;

d)	conformarsi alla sentenza del Tribunale costituzionale sulla legge di polizia del 1990;

e)	conformarsi al parere della commissione di Venezia sulla legge di polizia del 2016;

rispettare le varie sentenze della CEDU, come la sentenza della causa Roman Zakharov c. Russia del 2015, che sottolinea la necessità di rigorosi criteri di sorveglianza, autorizzazione e supervisione giudiziarie adeguate, distruzione immediata dei dati irrilevanti, controllo giurisdizionale sulle procedure d'urgenza e l'obbligo di notifica alle persone prese di mira, nonché la sentenza nella causa Klass e altri c. Germania del 1978, che sottolinea che la sorveglianza deve essere sufficientemente importante per esigere una tale invasione della riservatezza;

g)	rispettare tutte le sentenze della CGUE e della CEDU relative all'indipendenza della magistratura e alla supremazia del diritto dell'UE;

h)	revocare l'articolo 168 bis della legge riscritta che modifica il codice di procedura penale del 2016;

ripristinare la piena indipendenza della magistratura e rispettare i poteri statutari di tutti gli organi di vigilanza pertinenti, quali il difensore civico, il presidente dell'ufficio per la protezione dei dati personali e l'Istituto supremo di controllo, per garantire che tutti gli organi di vigilanza ottengano la piena cooperazione e l'accesso alle informazioni e forniscano informazioni complete a tutte le persone prese di mira;

applicare con urgenza l'assegnazione casuale delle cause ai giudici dei tribunali per ogni domanda presentata, anche nel fine settimana e al di fuori del normale orario di lavoro, al fine di evitare la selezione di «giudici accondiscendenti» da parte dei servizi segreti, e garantire la trasparenza di tale sistema, tra l'altro, mettendo a disposizione del pubblico l'algoritmo con il quale avviene l'assegnazione casuale di una causa a un giudice;

k)	ripristinare il tradizionale sistema di controllo parlamentare in cui il partito di opposizione assume la presidenza della commissione parlamentare di controllo per i servizi speciali (KSS);

l)	chiarire con urgenza la situazione relativa all'uso improprio di spyware in Polonia, in modo da non sollevare alcun dubbio sull'integrità delle prossime elezioni;

attuare e applicare correttamente la direttiva (UE) 2016/680 (direttiva sulla protezione dei dati nelle attività di polizia e giudiziarie) e garantire che l'autorità di protezione dei dati abbia il potere di vigilanza sul trattamento dei dati personali da parte, tra l'altro, di autorità quali l'Ufficio centrale anticorruzione e l'Agenzia per la sicurezza interna;

n)	attuare la direttiva sugli informatori;

o)	astenersi dall'adottare disposizioni contrarie alla Convenzione europea dei diritti dell'uomo (CEDU) nelle nuove leggi sulle comunicazioni elettroniche;

p)	garantire la disponibilità di mezzi di ricorso effettivi per i cittadini della Polonia interessati dall'attuazione di leggi contrarie alla Costituzione polacca e alla CEDU;

q)	invitare Europol ad indagare su tutti i casi di presunto abuso di spyware;

r)	garantire una revisione costituzionale indipendente delle leggi in Polonia;

s)	ripristinare l'indipendenza del ruolo del procuratore generale dal ministro della Giustizia, al fine di garantire che le indagini sulle presunte violazioni dei diritti fondamentali siano libere da considerazioni politiche;

16.

esorta la Commissione a valutare la compatibilità della legge polacca del 2018 sulla protezione dei dati personali trattati a fini di prevenzione della criminalità e lotta alla stessa con la direttiva dell'UE sulla protezione dei dati nelle attività di polizia e giudiziarie e, se necessario, ad avviare una procedura di infrazione;

17.

conclude che in Ungheria si sono verificate importanti violazioni e cattiva amministrazione nell'attuazione del diritto dell'Unione;

18.

invita l'Ungheria a:

rispettare le varie sentenze della CEDU, come la sentenza della causa Roman Zakharov c. Russia del 2015, che sottolinea la necessità di rigorosi criteri di sorveglianza, autorizzazione e supervisione giudiziarie adeguate, distruzione immediata dei dati irrilevanti, controllo giurisdizionale sulle procedure d'urgenza e l'obbligo di notifica alle persone prese di mira, la sentenza nella causa Klass e altri c. Germania del 1978, che sottolinea che la sorveglianza deve essere sufficientemente importante per esigere una tale invasione della riservatezza, e l'obbligo di notifica alle persone soggette alla sorveglianza;

c)	rispettare tutte le sentenze della CGUE e della CEDU relative all'indipendenza della magistratura e alla supremazia del diritto dell'UE;

ripristinare gli organi di vigilanza indipendenti in linea con la sentenza della CEDU nella causa Hüttl c. Ungheria in cui la Corte afferma che l'Autorità nazione per la protezione dei dati e la libertà di informazione (NAIH) non è in grado di esercitare un controllo indipendente sull'uso di spyware poiché i servizi segreti hanno il diritto di negare l'accesso a determinati documenti sulla base della segretezza;

ripristinare la piena indipendenza della magistratura e di tutti gli organi di vigilanza pertinenti, quali il difensore civico e le autorità di protezione dei dati, per garantire che tutti gli organi di vigilanza ottengano la piena cooperazione e l'accesso alle informazioni e forniscano informazioni complete a tutte le persone prese di mira;

f)	reinserire collaboratori indipendenti in ruoli guida degli organi di vigilanza quali la Corte costituzionale, la Corte suprema, la Corte dei conti, la procura, la Banca nazionale ungherese e il comitato elettorale nazionale;

g)	attuare la direttiva sugli informatori;

h)	invitare Europol ad indagare su tutti i casi di presunto abuso di spyware;

i)	astenersi dall'adottare disposizioni contrarie alla CEDU nelle nuove leggi sulle comunicazioni elettroniche;

j)	garantire la disponibilità di mezzi di ricorso effettivi per i cittadini dell'Ungheria interessati dall'attuazione di leggi contrarie alla Costituzione ungherese e alla CEDU;

19.

conclude che in Grecia si sono verificate violazioni e cattiva amministrazione nell'attuazione del diritto dell'Unione;

20.

invita la Grecia a:

a)	ripristinare e potenziare urgentemente le garanzie istituzionali e giuridiche, compresi efficaci controlli ex ante ed ex post e meccanismi di vigilanza indipendenti;

b)	abrogare urgentemente tutte le licenze di esportazione che non siano pienamente in linea con il regolamento sui prodotti a duplice uso e indagare sulle accuse di esportazioni illegali, tra l'altro verso il Sudan;

c)	garantire che le autorità possano indagare liberamente e senza ostacoli su tutte le accuse di utilizzo di spyware;

ritirare con urgenza l'emendamento 826/145 alla legge 2472/1997, che ha abolito la possibilità per l'Autorità ellenica per la sicurezza e la riservatezza delle comunicazioni (ADAE) di notificare ai cittadini la revoca della riservatezza delle comunicazioni; modificare la legge 5002/2022 al fine di ripristinare il diritto delle persone prese di mira di ricevere informazioni immediate, su richiesta, non appena la sorveglianza è stata completata, e correggere altre disposizioni che indeboliscono le garanzie, il controllo e la responsabilità;

ripristinare la piena indipendenza della magistratura e di tutti gli organi di vigilanza pertinenti, quali il difensore civico e le autorità di protezione dei dati, e rispettare pienamente l'indipendenza dell'ADAE per garantire che tutti gli organi di controllo e vigilanza ottengano la piena cooperazione e l'accesso alle informazioni e forniscano informazioni complete a tutte le persone prese di mira;

f)	garantire che l'ADAE possa istituire un archivio elettronico per poter svolgere il suo compito;

g)	chiarire con urgenza la situazione relativa all'uso improprio di spyware in Grecia, in modo da non sollevare alcun dubbio sull'integrità delle prossime elezioni;

h)	annullare la modifica legislativa del 2019 che ha posto il Servizio nazionale di intelligence (EYP) sotto il controllo diretto del primo ministro; istituire garanzie costituzionali e consentire il controllo parlamentare delle sue operazioni, senza il pretesto della riservatezza delle informazioni;

i)	garantire l'indipendenza della dirigenza dell'Autorità nazionale per la trasparenza (EAD);

j)	garantire che la magistratura disponga di tutti i mezzi e il sostegno necessari per svolgere indagini a seguito del presunto abuso di spyware e raccogliere prove concrete di intermediari, società di intermediazione e venditori di spyware collegati alle infezioni da spyware;

k)	invitare Europol a unirsi immediatamente alle indagini;

l)	astenersi dall'ingerenza politica nel lavoro del procuratore capo;

21.

conclude che, nel complesso, il quadro normativo spagnolo è in linea con i requisiti stabiliti dai trattati; sottolinea, tuttavia, che sono necessarie alcune riforme e che l'attuazione nella pratica deve essere pienamente in linea con i diritti fondamentali e garantire la protezione della partecipazione pubblica;

22.

invita pertanto la Spagna a:

condurre un'indagine completa, equa ed efficace, in cui sia fornita piena chiarezza su tutti i presunti casi di uso di spyware, compresi i 47 casi per i quali non è ancora chiaro se le persone interessate siano state oggetto o meno di un provvedimento giudiziario da parte dell'Agenzia nazionale spagnola per l'intelligence (CNI), o se un'altra autorità abbia ricevuto ordini giudiziari per sottoporle legalmente a sorveglianza, nonché sull'uso di spyware contro il primo ministro e membri del governo, e presentare le conclusioni nel modo più ampio possibile, in linea con le leggi applicabili;

b)	fornire alle persone prese di mira un accesso adeguato all'autorizzazione giudiziaria emessa dalla Corte suprema al CNI per sottoporre a sorveglianza 18 persone;

cooperare con i tribunali per garantire che le persone prese di mira con spyware abbiano accesso a mezzi di ricorso legali reali e significativi e che le indagini giudiziarie siano concluse senza indugio in modo imparziale e approfondito, per le quali dovrebbero essere assegnate risorse sufficienti;

d)	avviare la riforma del quadro giuridico del CNI, come annunciato a maggio 2022;

e)	invitare Europol, che potrebbe contribuire con competenze tecniche, a partecipare alle indagini;

23.

conclude che esistono prove della cattiva amministrazione nell'attuazione del regolamento dell'UE sui prodotti a duplice uso a Cipro, il che richiede un controllo accurato;

24.

invita Cipro a:

a)	valutare attentamente tutte le licenze di esportazione rilasciate per gli spyware e, se del caso, ritirarle;

b)	valutare attentamente la spedizione di materiale spyware nel mercato interno dell'UE tra gli Stati membri e mappare le diverse società israeliane o di proprietà di cittadini israeliani, e gestite da questi ultimi, che sono registrate a Cipro e sono coinvolte in tali attività;

c)	pubblicare la relazione dell'investigatore speciale sul caso «Spyware Van», come richiesto dalla commissione durante la sua missione ufficiale a Cipro;

d)	indagare pienamente, con l'assistenza di Europol, su tutte le accuse di uso ed esportazioni illegittimi di spyware, in particolare nei confronti di giornalisti, avvocati, attori della società civile e cittadini ciprioti;

25.

è del parere che anche la situazione in alcuni altri Stati membri sia motivo di preoccupazione, in particolare data la presenza di un'industria di spyware redditizia e in espansione che beneficia della buona reputazione, del mercato unico e della libera circolazione dell'Unione, consentendo ad alcuni Stati membri come Cipro e la Bulgaria di diventare un polo di esportazione per lo spyware verso regimi repressivi in tutto il mondo;

26.

è del parere che l'incapacità o il rifiuto di alcune autorità nazionali di garantire un'adeguata protezione dei cittadini dell'Unione, comprese lacune normative e strumenti giuridici adeguati, dimostri con tutta la chiarezza necessaria che un'azione a livello di Unione è indispensabile per garantire l'osservanza della lettera dei trattati e il rispetto della legislazione dell'Unione, in modo da rispettare il diritto dei cittadini di vivere in un ambiente sicuro dove la dignità umana, la vita privata, i dati personali e la proprietà sono tutelati, come previsto dalla direttiva 2012/29/UE, secondo cui ogni vittima di un crimine ha il diritto di ricevere assistenza e protezione in funzione delle proprie esigenze individuali;

27.

conclude che si sono verificate gravi carenze nell'attuazione del diritto dell'Unione quando la Commissione e il Servizio europeo per l'azione esterna (SEAE) hanno fornito sostegno a paesi terzi, inclusi, ma non solo, dieci paesi nel Sahel, per consentire loro di sviluppare capacità di sorveglianza (29);

28.

ritiene che il commercio e l'uso di spyware debbano essere rigorosamente regolamentati; riconosce, tuttavia, che il processo legislativo può richiedere tempo, mentre gli abusi devono essere immediatamente bloccati; chiede l'adozione di condizioni per l'uso, la vendita, l'acquisizione e il trasferimento legali di spyware; insiste sul fatto che, per continuare a utilizzare lo spyware, gli Stati membri devono soddisfare tutte le seguenti condizioni entro il 31 dicembre 2023:

a)	le autorità incaricate dell'applicazione della legge, le autorità responsabili dell'azione penale e le autorità giudiziarie competenti hanno indagato e risolto senza indugio tutti i casi di presunto abuso di spyware;

b)	è dimostrato che il quadro che disciplina l'uso di spyware è conforme alle norme stabilite dalla Commissione di Venezia e alla pertinente giurisprudenza della CGUE e della CEDU;

c)	hanno assunto l'impegno esplicito di coinvolgere Europol, in conformità degli articoli 4, 5 e 6 del regolamento Europol, nelle indagini sulle denunce di uso illegittimo di spyware; e

d)	sono revocate tutte le licenze di esportazione che non sono pienamente in linea con il regolamento sui prodotti a duplice uso;

29.

ritiene che la Commissione debba valutare il rispetto dei tali condizioni entro il 30 novembre 2023; reputa inoltre che le conclusioni della valutazione debbano essere pubblicate in una relazione pubblica;

30.

sottolinea che la protezione dei diritti fondamentali e della democrazia è essenziale, pur riconoscendo che la lotta alla criminalità grave e al terrorismo e la capacità di agire in tal senso rivestano un'importanza critica per gli Stati membri; sottolinea inoltre che l'uso di spyware da parte degli Stati membri deve essere proporzionato e non deve essere arbitrario e che la sorveglianza deve essere autorizzata solo in circostanze strettamente predeterminate; sottolinea che efficaci meccanismi ex ante volti a garantire il controllo giurisdizionale sono fondamentali per la tutela delle libertà individuali; ribadisce che i diritti individuali non possano essere messi a rischio consentendo un accesso incondizionato alla sorveglianza; sottolinea che è importante anche la capacità della magistratura di effettuare una vigilanza ex post significativa ed efficace nell'ambito delle richieste di sorveglianza per la sicurezza nazionale, per garantire che sia possibile contestare l'uso sproporzionato di spyware da parte dei governi;

31.

sottolinea che l'uso di spyware per le attività di contrasto dovrebbe essere disciplinato direttamente mediante misure basate sul titolo 5, capo 4, TFUE sulla cooperazione giudiziaria in materia penale; sottolinea che la configurazione dello spyware importato nell'UE e altrimenti immesso sul mercato dovrebbe essere disciplinata mediante una misura basata sull'articolo 114 TFUE; osserva che l'uso di spyware a fini di sicurezza nazionale può essere regolamentato solo indirettamente, ad esempio attraverso i diritti fondamentali e le norme in materia di protezione dei dati;

32.

ritiene che, vista la dimensione transnazionale e unionale dell'uso di spyware, sia necessario un controllo coordinato e trasparente a livello dell'UE al fine di garantire non solo la protezione dei cittadini dell'UE ma anche la validità delle prove raccolte mediante spyware nei casi transfrontalieri, nonché che vi sia una chiara necessità di norme comuni dell'UE sulla base del titolo 5, capo 4, TFUE, che disciplinino l'uso di spyware da parte degli organismi degli Stati membri, sulla base delle norme stabilite dalla CGUE, dalla Corte europea dei diritti dell'uomo, dalla Commissione di Venezia e dall'Agenzia per i diritti fondamentali (30); ritiene che tali norme dell'UE dovrebbero riguardare almeno i seguenti elementi:

il previsto uso di spyware dovrebbe essere autorizzato solo in casi eccezionali e specifici al fine di tutelare la sicurezza nazionale ed essere soggetto a un'autorizzazione giudiziaria ex ante efficace, vincolante e significativa da parte di un'autorità giudiziaria imparziale e indipendente o altro organismo di vigilanza democratico e indipendente, che abbia accesso a tutte le informazioni pertinenti e che dimostri la necessità e la proporzionalità della misura prevista;

la sorveglianza tramite spyware dovrebbe durare solo per il tempo strettamente necessario, l'autorizzazione giudiziaria ex ante dovrebbe definire l'ambito e la durata esatti per ciascun dispositivo cui si accede e l'attacco di pirateria informatica può essere prolungato solamente se viene concessa un'ulteriore autorizzazione giudiziaria per un altro periodo di tempo determinato, in considerazione della natura dello spyware e della possibilità di una sorveglianza retroattiva; le autorità degli Stati membri dovrebbero altresì prendere di mira solo dispositivi o account dell'utente finale singoli e astenersi da attacchi di pirateria informatica contro fornitori di servizi Internet e tecnologici onde evitare di colpire gli utenti non presi di mira;

l'autorizzazione per l'uso di spyware può essere concessa unicamente in casi eccezionali nell'ambito di indagini su un elenco limitato e chiuso di reati gravi definiti in modo chiaro e specifico che rappresentano una minaccia reale alla sicurezza nazionale, e lo spyware può essere utilizzato solo nei confronti di persone relativamente alle quali esistono sufficienti indicazioni che abbiano commesso o intendano commettere i suddetti reati gravi;

i dati protetti da privilegi o immunità che riguardano categorie di persone (quali politici, medici, ecc.) o rapporti specificamente protetti (come il segreto professionale tra avvocato e cliente) o norme sulla determinazione e la limitazione della responsabilità penale relative alla libertà di stampa o alla libertà di espressione in altri mezzi di comunicazione non devono essere ottenuti tramite spyware, a meno che non sussistano motivi sufficienti, stabiliti sotto controllo giurisdizionale, che confermino il coinvolgimento in attività criminali o questioni di sicurezza nazionale, che dovrebbero essere oggetto di un quadro comune;

e)	devono essere elaborate norme specifiche per la sorveglianza con tecnologia spyware visto che essa consente un accesso retroattivo illimitato ai messaggi, ai file e ai metadati;

gli Stati membri dovrebbero pubblicare, come minimo, il numero di richieste di sorveglianza approvate e respinte, nonché il tipo e lo scopo dell'indagine, e registrare ciascun caso in modo anonimo in un registro nazionale con un identificativo unico, di modo che si possa svolgere un'indagine in caso di sospetto di abuso;

gli organismi nazionali di controllo dovrebbero riferire agli Stati membri e gli Stati membri dovrebbero successivamente notificare periodicamente tali informazioni alla Commissione; la Commissione dovrebbe avvalersi di tali informazioni nella sua relazione annuale sullo Stato di diritto in modo che sia possibile confrontare l'uso di spyware negli Stati membri;

il diritto di informazione della persona presa di mira: al termine della sorveglianza, le autorità dovrebbero informare la persona del fatto che è stata soggetta all'uso di spyware da parte delle autorità, fornendo informazioni riguardanti la data e la durata della sorveglianza, il mandato emesso per l'operazione di sorveglianza, i dati ottenuti, l'uso che è stato fatto dei dati e gli attori coinvolti, la data della cancellazione dei dati e il diritto di avvalersi di mezzi di ricorso amministrativo e giudiziario dinanzi alle autorità competenti e le relative modalità pratiche; osserva che tale notifica dovrebbe essere trasmessa senza indebito ritardo, a meno che un'autorità giudiziaria indipendente conceda il posticipo della notifica, nel caso in cui la notifica immediata comprometterebbe seriamente lo scopo della sorveglianza;

il diritto di informazione delle persone non prese di mira i cui dati sono stati consultati: dopo la fine del periodo per il quale la sorveglianza era stata autorizzata, le autorità dovrebbero informare le persone il cui diritto alla vita privata è stato oggetto di grave interferenza tramite l'uso di spyware ma che non erano il bersaglio dell'operazione; le autorità dovrebbero informare tale persona del fatto che esse hanno avuto accesso ai suoi dati, fornendo informazioni riguardanti la data e la durata della sorveglianza, il mandato emesso per l'operazione di sorveglianza, i dati ottenuti, l'uso che è stato fatto dei dati e gli attori coinvolti e la data della cancellazione dei dati; osserva che tale notifica dovrebbe essere trasmessa senza indebito ritardo, a meno che un'autorità giudiziaria indipendente conceda il posticipo della notifica, nel caso in cui la notifica immediata comprometterebbe seriamente lo scopo della sorveglianza;

una vigilanza ex post efficace, vincolante e indipendente sull'uso di spyware, i cui organismi responsabili devono disporre di tutti i mezzi e i poteri necessari per esercitare una vigilanza significativa ed essere accompagnati da una vigilanza parlamentare basata sulla partecipazione di tutti i partiti con nulla osta di livello adeguato e con pieno accesso alle informazioni sufficienti ad accertare che la sorveglianza sia stata condotta in modo legittimo e proporzionato, e tale vigilanza parlamentare delle informazioni riservate sensibili dovrebbe essere agevolata attraverso le infrastrutture, i processi e i nulla osta di sicurezza necessari; indipendentemente dalla definizione o dalla demarcazione della nozione di sicurezza nazionale, gli organismi nazionali di vigilanza devono essere competenti per l'intero ambito di applicazione della sicurezza nazionale;

k)	i principi fondamentali di un giusto processo e del controllo giurisdizionale devono essere al centro del regime relativo a spyware di sorveglianza;

un mezzo di ricorso significativo per le persone che sono state direttamente e indirettamente prese di mira e le persone che sostengono di aver subito ripercussioni negative dovute alla sorveglianza devono aver accesso a mezzi di ricorso per il tramite di un organismo indipendente; chiede, pertanto, l'introduzione di un obbligo di notifica per le autorità statali, inclusi termini adeguati per la notifica, una volta che è cessata la minaccia per la sicurezza;

i mezzi di ricorso devono essere efficaci tanto in diritto quanto in fatto e devono essere conosciuti e accessibili; sottolinea che tali mezzi di ricorso richiedono un'indagine rapida, approfondita e imparziale da parte di un organismo di vigilanza indipendente e che tale organismo dovrebbe avere accesso, nonché disporre delle competenze e delle capacità tecniche per gestire tutti i dati pertinenti al fine di poter determinare se la valutazione della sicurezza riguardante una persona eseguita dalle autorità è affidabile e proporzionata; nei casi in cui gli abusi siano stati verificati, è opportuno applicare sanzioni adeguate di natura penale o amministrativa, conformemente alla pertinente normativa degli Stati membri;

il miglioramento dell'accesso gratuito da parte delle persone prese di mira alle competenze tecnologiche in questa fase, dal momento che l'aumento della disponibilità e dell'accessibilità economica dei processi tecnologici, quale l'analisi forense, consentirebbe alle persone prese di mira di intentare cause più solide dinanzi ai tribunali e rafforzerebbe la rappresentanza in aula di tali persone attraverso lo sviluppo delle capacità tecnologiche dei rappresentanti legali e della magistratura, onde fornire una migliore consulenza alle persone prese di mira, individuare le violazioni, rafforzare la vigilanza e la responsabilità in relazione all'abuso degli spyware;

il rafforzamento dei diritti della difesa e del diritto a un giusto processo, garantendo che le persone accusate di reati siano autorizzate e in grado di verificare l'accuratezza, l'autenticità, l'affidabilità e persino la legittimità delle prove utilizzate contro di loro e rifiutando pertanto l'applicazione generalizzata delle norme nazionali in materia di segretezza della difesa;

durante la sorveglianza, le autorità dovrebbero cancellare tutti i dati non pertinenti ai fini dell'indagine autorizzata e, al termine della sorveglianza e dell'indagine per le quali è stata concessa l'autorizzazione, le autorità dovrebbero cancellare tutti i dati e gli eventuali documenti connessi, come le note prese durante il periodo in questione, e tale cancellazione deve essere registrata e poter essere verificata;

q)	le informazioni pertinenti ottenute tramite spyware dovrebbero essere accessibili solo alle autorità autorizzate ed esclusivamente ai fini di un'operazione; tale accesso dovrebbe essere limitato a un determinato periodo di tempo, quale specificato nel procedimento giudiziario;

è necessario stabilire norme minime per i diritti delle persone nei procedimenti penali relativamente all'ammissibilità delle prove raccolte con l'ausilio di spyware; occorre contemplare nel diritto processuale penale l'eventualità di disporre di informazioni false o manipolate prodotte a seguito dell'uso di spyware (usurpazione dell'identità);

s)	gli Stati membri devono procedere a una notifica reciproca in caso di sorveglianza di cittadini o residenti di un altro Stato membro o di un numero di telefono cellulare di un operatore di un altro Stato membro;

occorre includere un marcatore nel software di sorveglianza in modo che gli organismi di vigilanza, in caso di sospetto di abuso, siano in grado di identificare in modo inequivocabile il soggetto che lo utilizza; la firma obbligatoria per ciascun utilizzo di spyware dovrebbe consistere in un'etichetta individuale che includa l'autorità autorizzata ad agire, il tipo di spyware utilizzato e il numero del caso anonimizzato;

33.

invita gli Stati membri ad avviare consultazioni pubbliche con i portatori di interessi, garantire la trasparenza del processo legislativo e includere norme e tutele dell'UE al momento di redigere la nuova normativa sull'utilizzo e sulla vendita di spyware;

34.

sottolinea che solo lo spyware che è stato progettato in modo tale da consentire e facilitare la sua funzionalità, in conformità del quadro legislativo di cui al paragrafo 32, può essere immesso sul mercato interno, sviluppato o utilizzato nell'Unione; afferma che tale regolamentazione sull'immissione sul mercato di spyware, che prevede una «progettazione basata sullo Stato di diritto» conformemente all'articolo 114 TFUE, dovrebbe garantire ai cittadini dell'Unione un livello di protezione elevato; ritiene ingiustificabile il fatto che il regolamento sui prodotti a duplice uso tuteli i cittadini di paesi terzi dall'esportazione di spyware dall'UE dal 2021, ma che i cittadini dell'UE non dispongano di una tutela equivalente;

35.

ritiene che solo la tecnologia di intercettazione ed estrazione possa essere venduta da imprese nell'UE e acquistata dagli Stati membri, ma non la «pirateria informatica come servizio», che prevede la fornitura di sostegno tecnico, operativo e metodologico della tecnologia di sorveglianza e consente al fornitore di accedere a una quantità sproporzionata di dati, il che è incompatibile con i principi di proporzionalità, necessità, legittimità, legalità e adeguatezza; invita la Commissione a presentare una proposta legislativa a tale riguardo;

36.

sottolinea che lo spyware può solamente essere immesso sul mercato per l'acquisto e l'uso da parte di autorità pubbliche, incluse in un elenco chiuso, le cui competenze includono indagini su reati o la protezione della sicurezza nazionale per le quali può essere autorizzato l'uso di spyware; ritiene che le agenzie di sicurezza dovrebbero utilizzare spyware solo qualora siano state attuate tutte le raccomandazioni formulate dall'Agenzia per i diritti fondamentali (31);

37.

mette in evidenza l'obbligo di utilizzare una versione di spyware che è progettata in modo tale da ridurre al minimo l'accesso a tutti i dati archiviati su un dispositivo, ma che dovrebbe essere progettata in modo da limitare l'accesso ai dati al minimo strettamente necessario ai fini dell'indagine autorizzata;

38.

conclude che, quando uno Stato membro ha acquistato spyware, l'acquisto deve poter essere verificato da un organismo di audit imparziale e indipendente con nulla osta di livello adeguato;

39.

sottolinea che tutti i soggetti che immettono spyware sul mercato interno dovrebbero rispettare rigorosi obblighi di dovuta diligenza e che le imprese che partecipano a una procedura di appalto pubblico in qualità di fornitori dovrebbero essere sottoposte a un processo di verifica che includa la risposta dell'impresa alle violazioni dei diritti umani commesse con il loro software e dichiari se la tecnologia si basa su dati raccolti nell'ambito di pratiche di sorveglianza antidemocratiche e abusive; sottolinea che le autorità di vigilanza nazionali competenti dovrebbero riferire annualmente alla Commissione in merito alla conformità;

40.

sottolinea che le imprese che offrono tecnologie o servizi di sorveglianza ad attori statali dovrebbero comunicare alle autorità di vigilanza nazionali competenti la natura delle licenze di esportazione;

41.

sottolinea che gli Stati membri dovrebbero stabilire un periodo di incompatibilità che impedisca temporaneamente agli ex dipendenti di organismi o agenzie governativi di lavorare per le società di spyware;

Necessità di circoscrivere il concetto di sicurezza nazionale

42.

è preoccupato per i casi in cui si invoca in modo ingiustificato la «sicurezza nazionale» per giustificare la diffusione e l'uso di spyware e assicurare la completa segretezza e assenza di responsabilità; accoglie con favore la dichiarazione della Commissione, in linea con la giurisprudenza della CGUE (32), secondo cui un semplice riferimento alla sicurezza nazionale non può essere interpretato come una deroga illimitata rispetto all'applicazione delle norme dell'UE e dovrebbe richiedere una chiara giustificazione, e invita la Commissione ad assicurare un seguito a tale dichiarazione ove vi siano indicazioni di abuso; ritiene che, in una società democratica trasparente che rispetti lo Stato di diritto, tali limitazioni in nome della sicurezza nazionale costituiranno l'eccezione piuttosto che la regola;

43.

ritiene che alla nozione di sicurezza nazionale si debba attribuire un ambito più ristretto rispetto alla sicurezza interna, che ha un ambito di applicazione più ampio e include la prevenzione dei rischi per i cittadini e, in particolare, l'applicazione del diritto penale;

44.

deplora le difficoltà che nascono dalla mancanza di una definizione giuridica comune di sicurezza nazionale, che stabilisca i criteri per determinare quale regime giuridico si possa applicare in materia di sicurezza nazionale, come pure dall'assenza di una chiara demarcazione dell'ambito in cui si può applicare tale regime speciale;

45.

ritiene che l'uso di spyware costituisca una limitazione dei diritti fondamentali; ritiene altresì che, se un concetto è utilizzato in un contesto giuridico che comporta il trasferimento di diritti e l'imposizione di obblighi (e, in particolare, limitazioni dei diritti fondamentali delle persone), tale concetto debba essere chiaro e prevedibile per tutte le persone interessate; ricorda che la Carta prevede che qualsiasi limitazione dei diritti fondamentali in conformità dell'articolo 52, paragrafo 1, deve essere stabilita dalla legge; ritiene, pertanto, che sia necessario definire chiaramente il concetto di «sicurezza nazionale»; sottolinea che, indipendentemente dalla sua precisa demarcazione, l'ambito della sicurezza nazionale deve essere soggetto a una vigilanza indipendente, vincolante ed efficace nella sua interezza;

46.

sottolinea che, qualora le autorità invochino motivi di sicurezza nazionale quale giustificazione per l'uso di spyware, esse dovrebbero, oltre che sottostare al quadro di cui al paragrafo 29, dimostrare la conformità al diritto dell'UE, compresa l'adesione ai principi di proporzionalità, necessità, legittimità, legalità e adeguatezza; sottolinea che suddetta giustificazione dovrebbe essere facilmente accessibile e messa a disposizione di un organismo nazionale di controllo a fini di valutazione;

47.

ribadisce, in tale contesto, che tutti gli Stati membri hanno firmato la convenzione 108 +, che stabilisce norme e obblighi per la protezione delle persone rispetto al trattamento di dati di carattere personale, anche per finalità di sicurezza nazionale; sottolinea che la convenzione 108 + costituisce un quadro europeo vincolante in materia di trattamento dei dati da parte dei servizi di intelligence e di sicurezza; esorta tutti gli Stati membri a ratificare senza indugio la convenzione, attuare sin da ora le sue norme nella legislazione nazionale e ad agire di conseguenza per quanto riguarda la sicurezza nazionale;

48.

sottolinea che le eccezioni e le restrizioni a un numero limitato di disposizioni della convenzione sono consentite unicamente se conformi agli obblighi di cui all'articolo 11 della convenzione, il che significa che, nell'attuazione della convenzione 108 +, ciascuna specifica eccezione e restrizione deve essere prevista dalla legge, deve rispettare il contenuto essenziale dei diritti e delle libertà fondamentali e deve dimostrare che «costituisce una misura necessaria e proporzionata in una società democratica» per una delle finalità legittime di cui all'articolo 11 (33), nonché che tali eccezioni e restrizioni non devono interferire con «un controllo e una vigilanza indipendenti ed efficaci previsti dalla legislazione nazionale della rispettiva Parte»;

49.

osserva altresì che la convenzione 108 + sottolinea che la vigilanza «è dotata di poteri di indagine e intervento»; ritiene che un controllo e una vigilanza efficaci implichino poteri tanto più vincolanti quanto maggiore è l'impatto sui diritti fondamentali, in particolare nelle fasi di accesso, analisi e archiviazione del trattamento dei dati personali;

50.

ritiene che la mancanza di poteri vincolanti degli organismi di vigilanza nell'ambito della sicurezza nazionale sia incompatibile con il criterio stabilito dalla convenzione 108 +, secondo cui ciò «costituisce una misura necessaria e proporzionata in una società democratica»;

51.

sottolinea che la convenzione 108 + prevede un numero molto limitato di eccezioni per quanto riguarda l'articolo 15 ma che non consente tali eccezioni, in particolare per quanto riguarda il paragrafo 2 [obblighi di sensibilizzazione], il paragrafo 3 [consultazione sulle misure legislative e amministrative], il paragrafo 4 [richieste e denunce da parte di persone fisiche], il paragrafo 5 [indipendenza e imparzialità], il paragrafo 6 [risorse necessarie per l'efficace svolgimento delle funzioni], il paragrafo 7 [relazioni periodiche], il paragrafo 8 [riservatezza], il paragrafo 9 [possibilità di ricorso] e il paragrafo 10 [nessun potere per quanto riguarda gli organismi nell'esercizio delle loro funzioni giurisdizionali];

Migliore attuazione e applicazione della normativa in vigore

52.

sottolinea le lacune nei quadri giuridici nazionali e la necessità di una migliore applicazione della legislazione dell'Unione in vigore per risolvere tali lacune; evidenzia che la seguente legislazione dell'Unione è pertinente ma che, troppo spesso, è attuata e/o applicata in modo inadeguato: la direttiva antiriciclaggio, la direttiva sulla protezione dei dati nelle attività di polizia e giudiziarie, le norme in materia di appalti, il regolamento sui prodotti a duplice uso, la giurisprudenza (sentenze riguardanti la sorveglianza e la sicurezza nazionale) e la direttiva sulla protezione degli informatori; invita la Commissione a investigare sulle lacune nell'attuazione e nell'applicazione e a riferire al riguardo, nonché a presentare una tabella di marcia per correggere tali lacune al più tardi entro il 1o agosto 2023;

53.

ritiene che l'attuazione adeguata e l'applicazione rigorosa del quadro giuridico dell'Unione in materia di protezione dei dati, in particolare la direttiva sulla protezione dei dati nelle attività di polizia e giudiziarie, il regolamento generale sulla protezione dei dati e la direttiva relativa alla vita privata e alle comunicazioni elettroniche, siano essenziali; considera parimenti importante la piena attuazione delle pertinenti sentenze della CGUE, che è tuttora assente in alcuni Stati membri; ricorda che la Commissione ha un ruolo centrale nel far rispettare il diritto dell'UE e garantire la sua applicazione uniforme in tutta l'Unione e dovrebbe avvalersi di tutti gli strumenti disponibili, comprese le procedure di infrazione, nei casi di persistente inosservanza;

54.

chiede che l'intesa di Wassenaar diventi un accordo vincolante per tutti i suoi partecipanti, allo scopo di trasformarla in un trattato internazionale;

55.

invita Cipro e Israele a diventare Stati partecipanti all'intesa di Wassenaar; ricorda agli Stati membri che è necessario compiere ogni sforzo per permettere a Cipro e Israele di aderire all'intesa di Wassenaar;

56.

sottolinea che l'intesa di Wassenaar dovrebbe includere un quadro per i diritti umani che comprenda la concessione di licenze per le tecnologie spyware e valuti ed esamini la conformità delle imprese che producono tecnologie spyware, e che i partecipanti dovrebbero vietare l'acquisto di tecnologie di sorveglianza da parte di Stati che non partecipano all'intesa;

57.

sottolinea che, alla luce delle rivelazioni riguardanti lo spyware, la Commissione e gli Stati membri dovrebbero condurre un'indagine approfondita sulle licenze di esportazione concesse per l'uso di spyware in conformità del regolamento sui prodotti a duplice uso e che la Commissione dovrebbe informare il Parlamento in merito all'esito di tale valutazione;

58.

sottolinea la necessità di tracciabilità e responsabilità nelle esportazioni di spyware e ricorda che le società dell'UE dovrebbero essere in grado di esportare unicamente spyware che dimostrino caratteristiche di tracciabilità adeguate, onde garantire che l'attribuzione della responsabilità sia sempre possibile;

59.

sottolinea che la Commissione deve verificare regolarmente e applicare correttamente il regolamento rifuso sui prodotti a duplice uso per evitare il cosiddetto «regime shopping» (vale a dire la ricerca del regime di esportazione più favorevole) in tutta l'Unione, come avviene attualmente in Bulgaria e a Cipro, e che la Commissione dovrebbe disporre di risorse adeguate per tale compito;

60.

invita la Commissione a garantire capacità di personale sufficiente per le unità responsabili della vigilanza e dell'applicazione del regolamento sui prodotti a duplice uso;

61.

chiede che si modifichi il regolamento sui prodotti a duplice uso al fine di chiarire, all'articolo 15, che le licenze di esportazione per i prodotti a duplice uso non devono essere concesse quando i prodotti sono o possono essere destinati a essere utilizzati nella repressione interna e/o nella commissione di gravi violazioni dei diritti umani e del diritto umanitario internazionale; chiede la piena attuazione delle verifiche in materia di diritti umani e di dovuta diligenza nella procedura di rilascio delle licenze e ulteriori miglioramenti, quali il diritto di ricorso per gli individui vittime di violazioni dei diritti umani e la trasparenza nella comunicazione in materia di dovuta diligenza;

62.

chiede che si modifichi il regolamento sui prodotti a duplice uso al fine di garantire che sia vietato il transito nei casi in cui i prodotti sono o possono essere destinati a essere utilizzati nella repressione interna e/o nella commissione di gravi violazioni dei diritti umani e del diritto umanitario internazionale;

63.

sottolinea che, in una futura modifica del regolamento sui prodotti a duplice uso, si dovrebbe prevedere che le autorità nazionali designate come responsabili dell'approvazione e del rifiuto della concessione di licenze di esportazione per prodotti a duplice uso presentino relazioni dettagliate contenenti informazioni sui prodotti a duplice uso in questione, vale a dire: il numero delle licenze richieste; il nome del paese esportatore; una descrizione dell'impresa esportatrice, indicando se tale impresa è una filiale; una descrizione dell'utilizzatore finale e della destinazione; il valore della licenza di esportazione; e il motivo per il quale la licenza di esportazione è stata approvata o rifiutata; sottolinea che tali relazioni dovrebbero essere pubblicate con cadenza trimestrale; chiede che venga istituita un'apposita commissione parlamentare permanente avente accesso alle informazioni classificate dalla Commissione, ai fini del controllo parlamentare;

64.

sottolinea che, in una futura modifica del regolamento sui prodotti a duplice uso, si deve abolire l'esenzione dall'obbligo di fornire informazioni alla Commissione per motivi di riservatezza commerciale, di difesa e di politica estera o di sicurezza nazionale; ritiene invece che, al fine di evitare che le informazioni riservate diventino accessibili ai paesi terzi, la Commissione può decidere di classificare determinate informazioni nella sua relazione annuale;

65.

sottolinea che la definizione di prodotti di sorveglianza informatica nel regolamento rifuso sui prodotti a duplice uso non può essere interpretata in modo restrittivo ma dovrebbe includere tutte le tecnologie in questo settore, come le apparecchiature di intercettazione o di disturbo delle telecomunicazioni mobili; il software di intrusione; i sistemi o le apparecchiature di sorveglianza delle comunicazioni su rete funzionante con protocollo Internet (IP); il software appositamente progettato o modificato per il monitoraggio o l'analisi da parte delle autorità di contrasto; le apparecchiature laser per la rivelazione acustica; gli strumenti forensi che estraggono dati grezzi da un dispositivo informatico o di comunicazione ed eludono l'«autenticazione» o i controlli di autorizzazione del dispositivo; i sistemi elettronici o le apparecchiature elettroniche progettati per la sorveglianza e il monitoraggio dello spettro elettromagnetico a fini di intelligence o di sicurezza militare; e gli aeromobili senza equipaggio in grado di svolgere attività di sorveglianza;

66.

chiede l'adozione di ulteriori atti legislativi che impongano alle imprese che producono e/o esportano tecnologie di sorveglianza di includere quadri in materia di diritti umani e dovere di diligenza in linea con i Principi guida delle Nazioni Unite su imprese e diritti umani;

Cooperazione internazionale per proteggere i cittadini

67.

chiede una strategia congiunta UE-USA in materia di spyware, che comprenda una lista bianca e/o una lista nera congiunte dei venditori di spyware i cui strumenti sono stati utilizzati abusivamente o rischiano di essere utilizzati abusivamente da governi stranieri con scarsi risultati in materia di diritti umani per sorvegliare con fini malevoli funzionari governativi, giornalisti e la società civile e che operano contro la sicurezza e la politica estera dell'Unione, autorizzati o meno a vendere alle autorità pubbliche, come pure criteri comuni per l'inclusione dei venditori in uno di tali elenchi, disposizioni per una comunicazione comune UE-USA sul settore, un controllo comune, obblighi comuni di dovuta diligenza per i venditori e la qualificazione come reato della vendita di spyware ad attori non statali;

68.

chiede che il Consiglio UE-USA per il commercio e la tecnologia tenga ampie consultazioni aperte con la società civile per l'elaborazione della strategia e delle norme comuni UE-USA, compresa la lista bianca e/o la lista nera congiunte;

69.

chiede l'avvio di colloqui con altri paesi, in particolare Israele, al fine di istituire un quadro per le licenze di commercializzazione e di esportazione di spyware, che comprenda norme sulla trasparenza, un elenco dei paesi ammissibili per quanto riguarda le norme sui diritti umani e disposizioni in materia di dovuta diligenza;

70.

osserva che, rispetto agli Stati Uniti, dove il gruppo NSO è stato rapidamente inserito nella lista nera e il Presidente degli Stati Uniti ha firmato un ordine esecutivo contro l'uso operativo di spyware commerciali che comportano rischi significativi di controspionaggio o sicurezza per il governo degli Stati Uniti o rischi significativi di uso improprio da parte di un governo straniero o di una persona straniera, a livello dell'UE non è stata adottata alcuna misura adeguata per quanto riguarda le importazioni di spyware e l'applicazione delle norme in materia di esportazione;

71.

conclude che le norme dell'Unione in materia di esportazioni e la loro applicazione devono essere rafforzate per tutelare i diritti umani nei paesi terzi e devono essere accompagnate dagli strumenti necessari per attuarne le clausole in maniera efficace; ricorda che l'UE dovrebbe cercare di unire le forze con gli Stati Uniti e altri alleati per regolamentare il commercio di spyware e utilizzare il loro potere di mercato combinato per imporre un cambiamento e stabilire rigorose norme in materia di trasparenza, tracciabilità e responsabilità per l'uso della tecnologia di sorveglianza, che dovrebbero culminare in un'iniziativa a livello delle Nazioni Unite;

Vulnerabilità zero-day

72.

chiede una regolamentazione relativa alla scoperta, alla condivisione, all'applicazione di patch e allo sfruttamento delle vulnerabilità nonché alle procedure di divulgazione, che integri la base fissata dalla direttiva (UE) 2022/2555 (34)(direttiva NIS2) e dalla proposta di atto legislativo sulla ciberresilienza (35);

73.

ritiene che i ricercatori debbano essere in grado di studiare le vulnerabilità e condividere i loro risultati senza responsabilità civile e penale a norma, tra l'altro, della direttiva sulla criminalità informatica e della direttiva sul diritto d'autore;

74.

invita i grandi attori del settore a creare incentivi affinché i ricercatori partecipino alla ricerca sulle vulnerabilità, investendo in piani di trattamento delle vulnerabilità, pratiche di divulgazione all'interno del settore e con la società civile e gestendo programmi di bug bounty;

75.

invita la Commissione ad aumentare il sostegno e i finanziamenti ai programmi di bug bounty e ad altri progetti finalizzati alla ricerca delle vulnerabilità di sicurezza e all'applicazione di patch, nonché a istituire un approccio coordinato alla divulgazione obbligatoria delle vulnerabilità tra gli Stati membri;

76.

chiede che sia vietata la vendita delle vulnerabilità in un sistema per qualsiasi scopo diverso dal rafforzamento della sicurezza di tale sistema e che sia reso obbligatorio divulgare i risultati di tutte le ricerche in materia di vulnerabilità in modo coordinato e responsabile, promuovendo la sicurezza pubblica e riducendo al minimo il rischio di sfruttamento della vulnerabilità;

77.

invita i soggetti pubblici e privati a creare un punto di contatto disponibile al pubblico in cui le vulnerabilità possano essere segnalate in modo coordinato e responsabile e invita le organizzazioni che ricevono informazioni sulle vulnerabilità nel loro sistema ad agire immediatamente per porvi rimedio; ritiene che, quando è disponibile un patch, le organizzazioni debbano essere tenute a disporre delle misure adeguate per assicurare un impiego rapido e garantito, nel quadro di una procedura di divulgazione coordinata e responsabile;

78.

ritiene che gli Stati membri debbano destinare risorse finanziarie, tecniche e umane sufficienti alla ricerca in materia di sicurezza e all'applicazione di patch alle vulnerabilità;

79.

invita gli Stati membri a sviluppare processi di equità in materia di vulnerabilità, prescritti dalla legge, che stabiliscano che, per impostazione predefinita, le vulnerabilità devono essere divulgate e non sfruttate e che qualsiasi decisione di discostarsi da ciò deve costituire un'eccezione ed essere esaminata in base ai requisiti di necessità e proporzionalità, anche valutando se l'infrastruttura interessata dalla vulnerabilità sia utilizzata da un'ampia percentuale della popolazione, nonché essere soggetta a un rigoroso controllo da parte di un organo di vigilanza indipendente e a procedure e decisioni trasparenti;

Reti di telecomunicazioni

80.

sottolinea che qualora si accerti che un fornitore di servizi facilita l'accesso illecito alle infrastrutture di segnalazione mobile nazionali e/o internazionali per tutte le generazioni (attualmente da 2G a 5G), la sua licenza dovrebbe essere revocata;

81.

sottolinea che i processi che permettono a soggetti malintenzionati di creare nuovi numeri di telefono da tutto il mondo dovrebbero essere regolamentati meglio per rendere più difficile occultare le attività illecite;

82.

sottolinea la necessità che i fornitori di telecomunicazioni garantiscano di avere la capacità di individuare potenziali usi impropri dell'accesso, del controllo o dell'effettivo uso finale delle infrastrutture di segnalazione ottenuti da terzi attraverso accordi commerciali o di altro tipo nello Stato membro in cui operano;

83.

invita gli Stati membri a garantire che le autorità nazionali competenti, conformemente alle disposizioni della direttiva NIS 2, valutino il livello di resilienza dei fornitori di telecomunicazioni alle intrusioni non autorizzate;

84.

invita i fornitori di telecomunicazioni ad adottare misure ferme e dimostrabili per attenuare le varie forme di emulazione non autorizzata dell'origine del traffico di telecomunicazioni da parte di un elemento di rete al fine di accedere ai dati o al servizio destinati all'utente legittimo come pure altre attività che coinvolgono la manipolazione delle normali operazioni degli elementi e infrastrutture di reti mobili a fini di sorveglianza da parte di soggetti malintenzionati, tra cui attori a livello statale nonché gruppi criminali;

85.

invita gli Stati membri ad adoperarsi per garantire che gli attori statali di paesi terzi che non rispettano i diritti fondamentali non dispongano del controllo o dell'effettivo uso finale delle infrastrutture strategiche né influenzino le decisioni relative alle infrastrutture strategiche all'interno dell'Unione, comprese le infrastrutture di telecomunicazione;

86.

invita tutti gli Stati membri a dare priorità all'aumento degli investimenti a favore della protezione delle infrastrutture critiche, quali i sistemi nazionali di telecomunicazione, per colmare le lacune nella protezione dalle violazioni della vita privata, dalle fughe di dati e dalle intrusioni non autorizzate, allo scopo di difendere i diritti fondamentali dei cittadini;

87.

invita le autorità nazionali competenti a promuovere attivamente il rafforzamento delle capacità dei fornitori, nonché delle capacità di risposta, per sostenere meglio l'identificazione delle persone illegalmente prese di mira, la notifica e la segnalazione degli incidenti, al fine di fornire una garanzia continua e misurabile e attenuare lo sfruttamento delle lacune di sicurezza da parte di soggetti malintenzionati di paesi terzi e nazionali;

Vita privata e comunicazioni elettroniche

88.

chiede la rapida adozione del regolamento e-Privacy in modo da rispecchiare pienamente la giurisprudenza sulle restrizioni a fini di sicurezza nazionale e la necessità di prevenire l'abuso delle tecnologie di sorveglianza e rafforzare il diritto fondamentale alla vita privata nonché prevedere solide garanzie e un'applicazione efficace; sottolinea che la portata dell'intercettazione legale non dovrebbe andare oltre quanto previsto dalla direttiva e-Privacy (2002/58/CE);

89.

chiede la protezione di tutte le comunicazioni elettroniche e di tutti i contenuti e i metadati dall'abuso dei dati personali e delle comunicazioni private da parte di società private e autorità pubbliche; sottolinea che gli strumenti digitali di sicurezza sin dalla progettazione, ad esempio la crittografia end-to-end, non dovrebbero essere indeboliti;

90.

invita la Commissione a valutare l'attuazione della direttiva e-privacy da parte degli Stati membri in tutta l'UE e ad avviare procedure di infrazione in caso di violazioni;

Ruolo di Europol

91.

osserva che una lettera di Europol al presidente della commissione PEGA dell'aprile 2023 informa la commissione che Europol ha contattato la Grecia, l'Ungheria, la Bulgaria, la Spagna e la Polonia per accertare se vi siano indagini penali o di altro tipo in corso o previste in virtù delle disposizioni applicabili del diritto nazionale, alle quali Europol potrebbe fornire sostegno; sottolinea che l'offerta di assistenza agli Stati membri non costituisce l'avvio, lo svolgimento o il coordinamento di un'indagine penale di cui all'articolo 6;

92.

invita Europol ad avvalersi appieno dei poteri recentemente acquisiti a norma dell'articolo 6, paragrafo 1 bis, del regolamento (UE) 2022/991, grazie ai quali può proporre alle autorità competenti degli Stati membri interessati di avviare, condurre o coordinare un'indagine, se del caso; sottolinea che a norma dell'articolo 6 spetta agli Stati membri decidere se respingere tale proposta;

93.

invita tutti gli Stati membri a impegnarsi nei confronti del Parlamento europeo e del Consiglio per coinvolgere Europol nelle indagini sulle accuse di uso illegittimo di spyware a livello nazionale, in particolare qualora sia stata avanzata una proposta a norma dell'articolo 6, paragrafo 1 bis, del regolamento (UE) 2022/991;

94.

invita gli Stati membri a istituire un registro in seno ad Europol delle operazioni di contrasto che comportano l'uso di spyware, identificando ogni operazione con un codice, e chiede che l'uso di spyware da parte dei governi sia incluso nella relazione annuale di valutazione della minaccia rappresentata dalla criminalità organizzata su Internet da parte di Europol;

95.

ritiene che occorra avviare una riflessione sul ruolo di Europol nel caso in cui le autorità nazionali omettano o rifiutino di indagare ed esistano chiare minacce per gli interessi e la sicurezza dell'UE;

Politiche di sviluppo dell'Unione

96.

invita la Commissione e il SEAE ad attuare meccanismi di controllo più rigorosi per garantire che gli aiuti allo sviluppo dell'Unione, comprese la donazione di tecnologie di sorveglianza e la formazione all'utilizzo di software di sorveglianza, non finanzino né agevolino strumenti e attività che potrebbero interferire con i principi in materia di democrazia, buon governo, Stato di diritto e rispetto dei diritti umani o che rappresentino una minaccia per la sicurezza internazionale o la sicurezza essenziale dell'Unione e dei suoi Stati membri; osserva che le valutazioni della Commissione sulla conformità al diritto dell'Unione, in particolare al regolamento finanziario, dovrebbero contenere criteri di controllo specifici e meccanismi di applicazione per prevenire tali abusi, compresa l'eventuale sospensione temporanea di progetti specifici qualora venga rilevata una violazione di tali principi;

97.

invita la Commissione e il SEAE a includere in ogni valutazione d'impatto sui diritti umani e fondamentali una procedura di monitoraggio sul potenziale abuso della sorveglianza, che tenga pienamente conto dell'articolo 51 della Carta nell'arco di un anno [dalla pubblicazione delle raccomandazioni formulate dalla commissione PEGA]; sottolinea che tale procedura deve essere presentata al Parlamento e al Consiglio e che la valutazione d'impatto deve essere effettuata prima di fornire qualsiasi sostegno a paesi terzi;

98.

invita il SEAE a riferire in merito all'abuso di spyware contro i difensori dei diritti umani nella relazione annuale dell'UE sui diritti umani e la democrazia;

Regolamentazione finanziaria dell'Unione

99.

sottolinea che il rispetto dei diritti umani da parte del settore finanziario deve essere rafforzato; evidenzia che le raccomandazioni dell'UNGP 10+ devono essere recepite nel diritto dell'Unione e che la direttiva sul dovere di diligenza dovrebbe applicarsi pienamente al settore finanziario, al fine di garantire il rispetto della democrazia, dei diritti umani e dello Stato di diritto nel settore finanziario;

100.

esprime preoccupazione per le implicazioni della decisione della Corte di giustizia dell'Unione europea per quanto riguarda la direttiva (UE) 2018/843 relativa alla prevenzione dell'uso del sistema finanziario a fini di riciclaggio o finanziamento del terrorismo (36), in base alla quale sono state dichiarate invalide le informazioni sulla titolarità effettiva delle società e dei soggetti giuridici stabiliti in un Registro dei titolari effettivi (UBO) nazionale e accessibile al pubblico (37); sottolinea che, tenendo conto della decisione della CGUE, la futura direttiva dovrebbe consentire la massima accessibilità possibile al pubblico, in modo da rendere più difficile occultare gli acquisti o le vendite di spyware attraverso mandatari e società di intermediazione;

Seguito dato alle risoluzioni del Parlamento

101.

chiede che sia dato un seguito urgente alla risoluzione del Parlamento del 12 marzo 2014 sul programma di sorveglianza dell'Agenzia per la sicurezza nazionale degli Stati Uniti, sugli organi di sorveglianza in diversi Stati membri e sul loro impatto sui diritti fondamentali dei cittadini dell'UE, e sulla cooperazione transatlantica nel campo della giustizia e degli affari interni; sottolinea la necessità di attuare con urgenza le raccomandazioni ivi contenute;

102.

sottolinea che, sebbene il controllo delle attività dei servizi di intelligence debba basarsi sia sulla legittimità democratica (solido quadro giuridico, autorizzazione ex ante e verifica ex post) sia su capacità e competenze tecniche adeguate, la maggior parte degli attuali organismi di vigilanza dell'UE e degli Stati Uniti dimostrano gravi carenze su entrambi i fronti, in particolare su quello delle capacità tecniche;

103.

invita, come avvenuto nel caso di Echelon, tutti i parlamenti nazionali che non hanno ancora proceduto in tal senso a predisporre una vigilanza incisiva delle attività di intelligence da parte dei deputati o degli organismi specializzati con competenze giuridiche in fatto d'indagini; invita i parlamenti nazionali a garantire che tali comitati/organismi di vigilanza dispongano di sufficienti risorse, competenze tecniche e strumenti giuridici, incluso il diritto di effettuare ispezioni in loco, per poter controllare efficacemente i servizi di intelligence;

104.

chiede l'istituzione di un gruppo di alto livello che proponga, in modo trasparente e in collaborazione con i parlamenti, raccomandazioni e ulteriori provvedimenti da adottare per un maggiore controllo democratico, in particolare un controllo parlamentare, dei servizi di intelligence e per una maggiore collaborazione in materia di controllo nell'UE, soprattutto per quanto concerne la sua dimensione transfrontaliera;

105.

ritiene che il gruppo di alto livello dovrebbe:

definire norme minime europee o orientamenti in materia di controllo ex ante ed ex post dei servizi di intelligence, sulla base delle migliori pratiche esistenti e delle raccomandazioni degli organismi internazionali quali l'ONU e il Consiglio d'Europa, ivi compresa la questione degli organismi di vigilanza considerati parte terza secondo «la regola del terzo», o il principio del «controllo dell'originatore», concernenti il controllo e la responsabilità dell'intelligence di paesi esteri;

b)	elaborare criteri per una maggiore trasparenza, prendendo come base il principio generale dell'accesso alle informazioni e i cosiddetti principi di Tshwane (38);

106.

intende organizzare una conferenza con gli organismi nazionali di vigilanza, parlamentari o indipendenti che siano;

107.

invita gli Stati membri ad avvalersi delle migliori pratiche in modo da migliorare l'accesso dei propri organi di vigilanza alle informazioni sulle attività di intelligence, comprese le informazioni classificate e le informazioni provenienti da altri servizi, e da conferire loro il potere di svolgere ispezioni in loco, una serie di solidi poteri d'interrogazione, risorse e competenze tecniche adeguate, una rigorosa indipendenza rispetto ai relativi governi e un obbligo di comunicazione nei confronti dei rispettivi parlamenti;

108.

invita gli Stati membri a sviluppare una cooperazione fra gli organismi di vigilanza;

109.

invita la Commissione a presentare una proposta di procedura di nulla osta di sicurezza dell'Unione per tutti i titolari di cariche dell'Unione, in quanto il sistema attuale, che si basa sul nulla osta di sicurezza dello Stato membro di cittadinanza, prevede requisiti e tempi diversi per le procedure all'interno dei sistemi nazionali, portando così a un trattamento diverso dei deputati e del loro personale a seconda della loro cittadinanza;

110.

rammenta le disposizioni dell'accordo interistituzionale tra il Parlamento europeo e il Consiglio relativo alla trasmissione al Parlamento europeo e al trattamento da parte di quest'ultimo delle informazioni classificate detenute dal Consiglio su materie che non rientrano nel settore della politica estera e di sicurezza comune, le quali andrebbero applicate per migliorare il controllo a livello di UE;

Programmi di ricerca dell'Unione

111.

chiede l'attuazione di meccanismi di controllo più rigorosi ed efficaci per garantire che i fondi dell'Unione per la ricerca non finanzino né favoriscano strumenti, compresi spyware e strumenti di sorveglianza, che violano i valori dell'UE; osserva che le valutazioni sulla conformità al diritto dell'Unione dovrebbero contenere criteri di controllo specifici per prevenire tali abusi; chiede di sospendere i fondi dell'Unione per la ricerca destinati a soggetti che contribuiscono o hanno contributo a favorire, direttamente o indirettamente, violazioni dei diritti umani con strumenti di sorveglianza;

112.

sottolinea che i finanziamenti dell'UE per la ricerca, quali gli accordi Orizzonte Europa con i paesi terzi, non devono essere utilizzati per contribuire allo sviluppo di spyware e tecnologie equivalenti;

Laboratorio dell'UE per le tecnologie

113.

invita la Commissione ad avviare senza indugio la creazione di un istituto europeo indipendente di ricerca interdisciplinare, incentrato sulla ricerca e lo sviluppo nel nesso tra tecnologie dell'informazione e della comunicazione, sui diritti fondamentali e sulla sicurezza; sottolinea che tale istituto dovrebbe collaborare con esperti e rappresentanti del mondo accademico e della società civile, ed essere aperto alla partecipazione di esperti e istituzioni degli Stati membri;

114.

sottolinea l'istituto contribuirebbe a migliorare la consapevolezza, l'attribuzione e la responsabilità all'interno e all'esterno dell'Europa e amplierebbe la base di talenti europei e la nostra comprensione delle modalità in cui i venditori di spyware sviluppano, mantengono, vendono e forniscono i loro servizi a terzi;

115.

ritiene che l'istituto dovrebbe essere incaricato di scoprire e denunciare l'uso illegale di software a fini di sorveglianza illecita, di fornire un sostegno giuridico e tecnologico accessibile e gratuito, ivi compresi i controlli degli smartphone per le persone che sospettano di essere state prese di mira da spyware e gli strumenti necessari per individuare gli spyware, di effettuare ricerche analitiche forensi per le indagini giudiziarie e di riferire regolarmente sull'uso e l'uso improprio di spyware nell'UE, tenendo conto degli aggiornamenti tecnologici; ritiene che la relazione dovrebbe essere resa disponibile a cadenza annuale e trasmessa alla Commissione, al Parlamento e al Consiglio;

116.

raccomanda alla Commissione di istituire il laboratorio dell'UE per le tecnologie in stretta collaborazione con la squadra di pronto intervento informatico delle istituzioni, degli organi e delle agenzie europee (CERT-EU) e l'ENISA e di consultarsi con esperti del settore nella fase di istituzione del laboratorio, al fine di trarre insegnamenti dalle migliori pratiche in ambito accademico;

117.

sottolinea l'importanza di garantire finanziamenti adeguati al laboratorio dell'UE per le tecnologie;

118.

raccomanda che la Commissione presenti un sistema di certificazione per l'analisi e l'autenticazione del materiale forense;

119.

invita la Commissione a sostenere la capacità della società civile a livello globale al fine di rafforzare la resilienza contro gli attacchi spyware nonché la fornitura di assistenza e servizi ai cittadini;

Stato di diritto

120.

sottolinea che l'impatto dell'uso illegittimo di spyware è molto più marcato negli Stati membri in cui le autorità che di norma sono incaricate di indagare, fornire mezzi di ricorso alle persone prese di mira e garantire la rendicontabilità sono controllate dallo Stato e che, quando esiste una crisi dello Stato di diritto e l'indipendenza della magistratura è a rischio, le autorità nazionali non possono essere invocate;

121.

invita pertanto la Commissione a garantire un'attuazione efficace dei suoi strumenti per lo Stato di diritto, in particolare:

ponendo in essere un monitoraggio più esaustivo dello Stato di diritto, includendo raccomandazioni specifiche per paese relative all'uso illecito di spyware da parte degli Stati membri nella relazione annuale della Commissione sullo Stato di diritto, valutando la reattività delle istituzioni statali nel fornire mezzi di ricorso alle persone prese di mira e ampliando l'ambito di applicazione della sua relazione annuale sullo Stato di diritto per includere tutte le sfide per la democrazia, lo Stato di diritto e i diritti fondamentali di cui all'articolo 2 TUE, come ripetutamente chiesto dal Parlamento;

avviando e raggruppando in modo proattivo le procedure di infrazione nei confronti degli Stati membri per carenze relative allo Stato di diritto, quali le minacce all'indipendenza della magistratura e l'efficace funzionamento della polizia e del servizio di procura nel contesto della cooperazione di polizia e giudiziaria in ambito penale;

Fondo dell'Unione per il contenzioso

122.

chiede l'istituzione, senza indebiti ritardi, di un fondo dell'Unione per il contenzioso per coprire i costi effettivi del contenzioso e consentire alle persone prese di mira da spyware di ottenere un risarcimento adeguato, compresi i danni per uso illecito di spyware contro le stesse, in linea con l'azione preparatoria adottata dal Parlamento nel 2017, al fine di creare un «Fondo dell'UE per il sostegno finanziario relativo ai contenziosi concernenti le violazioni della democrazia, dello Stato di diritto e dei diritti fondamentali»;

Istituzioni dell'UE

123.

esprime preoccupazione per la mancanza di azione da parte della Commissione ad oggi e la esorta ad avvalersi appieno di tutti i suoi poteri in qualità di custode dei trattati e a condurre un'indagine globale e approfondita sull'abuso e il commercio di spyware nell'Unione;

124.

esorta la Commissione a condurre un'indagine a pieno titolo su tutte le accuse e i sospetti di utilizzo di spyware contro i suoi funzionari e a riferire al Parlamento e alle competenti autorità di contrasto se del caso;

125.

invita la Commissione a istituire un'apposita task force, con la partecipazione delle commissioni elettorali nazionali, dedicata alla protezione delle elezioni europee del 2024 in tutta l'Unione; ricorda che non solo le interferenze straniere ma anche quelle interne rappresentano una minaccia per i processi elettorali europei; sottolinea che l'eventuale uso improprio di strumenti di sorveglianza pervasivi, come Pegasus, potrebbe incidere sulle elezioni;

126.

osserva che la commissione PEGA ha ricevuto una risposta collettiva dal Consiglio alle domande rivolte dal Parlamento europeo a tutti i singoli Stati membri soltanto alla vigilia della pubblicazione del progetto di relazione, circa quattro mesi dopo le lettere del Parlamento; esprime sgomento per la mancanza di azione del Consiglio europeo e del Consiglio dei ministri e chiede un apposito vertice del Consiglio europeo, data l'entità della minaccia per la democrazia in Europa;

127.

invita il Consiglio dell'Unione europea ad affrontare gli sviluppi connessi all'uso di spyware e il loro impatto sui valori sanciti dall'articolo 2 TUE durante le audizioni organizzate a norma dell'articolo 7, paragrafo 1, TUE;

128.

invita il Consiglio a invitare in via permanente il Parlamento europeo alle riunioni del Comitato per la sicurezza del Consiglio, come previsto all'articolo 17, paragrafo 2, delle norme di sicurezza del Consiglio del 2013;

129.

ritiene che il Parlamento dovrebbe disporre di pieni poteri di indagine, compresi un migliore accesso alle informazioni classificate e non classificate e il potere di convocare testimoni, di chiedere formalmente ai testimoni di testimoniare sotto giuramento e fornire le informazioni richieste entro scadenze specifiche; ribadisce la posizione espressa nella sua proposta di regolamento del Parlamento europeo relativo alle modalità per l'esercizio del diritto d'inchiesta del Parlamento europeo e che abroga la decisione 95/167/CE/Euratom/CECA del Parlamento europeo, del Consiglio e della Commissione, presentata il 23 maggio 2012 (39); invita il Consiglio ad agire immediatamente in merito a tale proposta di regolamento in modo da prevedere un adeguato diritto d'inchiesta per il Parlamento europeo;

130.

riconosce gli sforzi compiuti dal Parlamento per individuare le infezioni da spyware; ritiene, tuttavia, che la protezione del personale debba essere rafforzata, tenendo conto dei privilegi e delle immunità di coloro che sono stati spiati; ricorda che qualsiasi attacco ai diritti politici di un deputato è un attacco all'indipendenza e alla sovranità dell'istituzione, nonché un attacco ai diritti degli elettori;

131.

invita l'Ufficio di Presidenza del Parlamento ad adottare un protocollo per i casi in cui i membri o il personale dell'Istituzione sono diventati il bersaglio diretto o indiretto di spyware e sottolinea che tutti i casi devono essere segnalati dal Parlamento alle competenti autorità di contrasto; sottolinea che il Parlamento dovrebbe fornire assistenza giuridica e tecnica in tali casi;

132.

decide di prendere l'iniziativa di avviare una conferenza interistituzionale in cui il Parlamento, il Consiglio e la Commissione devono prefiggersi di effettuare riforme della governance che rafforzino la capacità istituzionale dell'Unione di rispondere adeguatamente agli attacchi alla democrazia e allo Stato di diritto provenienti dall'interno e di garantire che l'Unione disponga di metodi sovranazionali efficaci per applicare i trattati e il diritto derivato in caso di inosservanza da parte degli Stati membri;

133.

chiede la rapida adozione della proposta di regolamento del Parlamento europeo e del Consiglio che stabilisce misure per un livello comune elevato di cibersicurezza nelle istituzioni, negli organi e negli organismi dell'Unione, presentata dalla Commissione (COM(2022)0122), seguita da una pronta attuazione e una rigorosa applicazione, al fine di ridurre il rischio di infezioni da spyware dei dispositivi e dei sistemi utilizzati dal personale e dai politici delle istituzioni dell'UE;

134.

invita l'UE ad aderire alla Convenzione 108+;

135.

invita la Mediatrice europea ad avviare discussioni nell'ambito della Rete europea dei difensori civici sull'impatto dell'uso improprio della sorveglianza pervasiva sui processi democratici e sui diritti dei cittadini; invita la rete a formulare raccomandazioni in merito a mezzi di ricorso efficaci e significativi in tutta l'UE;

Azione legislativa

136.

invita la Commissione a presentare tempestivamente proposte legislative sulla base della presente raccomandazione;

o o

137.

incarica la sua Presidente di trasmettere la presente raccomandazione agli Stati membri, al Consiglio, alla Commissione e a Europol.

(1) GU L 201 del 31.7.2002, pag. 37.

(2) GU L 119 del 4.5.2016, pag. 1.

(3) GU L 119 del 4.5.2016, pag. 89.

(4) GU L 218 del 14.8.2013, pag. 8.

(5) GU L 206 dell'11.6.2021, pag. 1.

(6) GU L 129 I del 17.5.2019, pag. 13.

(7) GU L 174 I del 18.5.2021, pag. 1.

(8) GU L 278 dell'8.10.1976, pag. 5.

(9) GU L 113 del 19.5.1995, pag. 1.

(10) GU L 98 del 25.3.2022, pag. 72.

(11) GU L 156 del 19.6.2018, pag. 43.

(12) Sentenza della Corte (Grande Sezione) del 22 novembre 2022, C-37/20, WM contro Luxembourg Business Registers, ECLI:EU:C:2022:912.

(13) https://www.ohchr.org/Documents/Publications/GuidingPrinciplesBusinessHR_EN.pdf

(14) https://www.coe.int/en/web/commissioner/-/highly-intrusive-spyware-threatens-the-essence-of-human-rights

(15) https://edps.europa.eu/system/files/2022-02/22-02-15_edps_preliminary_remarks_on_modern_spyware_en_0.pdf

(16) GU C 378 del 9.11.2017, pag. 104.

(17) https://www.ohchr.org/en/press-releases/2023/02/spain-un-experts-demand-investigation-alleged-spying-programme-targeting

(18) https://www.venice.coe.int/webforms/documents/default.aspx?pdffile=CDL-AD(2015)010-e

(19) https://www.venice.coe.int/webforms/documents/default.aspx?pdffile=CDL-AD(2016)012-e

(20) Legge sul controllo delle esportazioni nel settore della difesa 5766-2007, ministero della Difesa israeliano.

(21) https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=COM%3A2022%3A434%3AFIN&qid=1662029750223

(22) https://www.echr.coe.int/documents/fs_mass_surveillance_eng.pdf

(23) «Surveillance and human rights», relazione del relatore speciale delle Nazioni Unite sulla promozione e la protezione del diritto alla libertà di opinione e di espressione, A/HRC/41/35, 2019.

(24) Ufficio dell'Alto Commissario delle Nazioni Unite per i diritti umani, «Spyware scandal: UN experts call for moratorium on sale of “life threatening” surveillance tech» (Scandalo spyware: gli esperti delle Nazioni Unite chiedono una moratoria sulla vendita di tecnologia di sorveglianza che mette a rischio la vita).

(25) https://www.wto.org/english/tratop_e/gproc_e/gpa_1994_e.htm

(26) https://research-and-innovation.ec.europa.eu/news/all-research-and-innovation-news/israel-joins-horizon-europe-research-and-innovation-programme-2021-12-06_en

(27) https://webgate.ec.europa.eu/dashboard/extensions/CountryProfile/CountryProfile. html?Country=Israel https://elbitsystems.com/products/comercial-aviation/innovation-rd/

(28) Regolamento (UE) 2021/947 del Parlamento europeo e del Consiglio, del 9 giugno 2021, che istituisce lo strumento di vicinato, cooperazione allo sviluppo e cooperazione internazionale — Europa globale, che modifica e abroga la decisione n. 466/2014/UE del Parlamento europeo e del Consiglio e abroga il regolamento (UE) 2017/1601 del Parlamento europeo e del Consiglio e il regolamento (CE, Euratom) n. 480/2009 del Consiglio (GU L 209 del 14.6.2021, pag. 1).

(29) Decisione nel caso 1904/2021/MHZ, disponibile all'indirizzo https://www.ombudsman.europa.eu/en/decision/en/163491.

(30) Agenzia per i diritti fondamentali, Surveillance by intelligence services: fundamental rights safeguards and remedies in the EU — Volume II Summary, (Sorveglianza da parte dei servizi di intelligence: tutela dei diritti fondamentali e mezzi di ricorso nell'UE — volume II — sintesi), 2017, https://fra.europa.eu/en/publication/2017/surveillance-intelligence-services-fundamental-rights-safeguards-and-remedies-eu.

(31) https://fra.europa.eu/sites/default/files/fra_uploads/fra-2017-surveillance-intelligence-services-vol-2-summary_en.pdf

(32) Sentenza del 6 ottobre 2020, causa C-623/17, Privacy International v Secretary of State for Foreign and Commonwealth Affairs and Others, ECLI:EU:C:2020:790, punto 44, e sentenze del 6 ottobre 2020, cause riunite C-511/18, C-512/18 e C-520/18, La Quadrature du Net and Others v Premier ministre and Others, ECLI:EU:C:2020:791, punto 99: «[…] la mera circostanza che una misura nazionale sia stata adottata a fini di salvaguardia della sicurezza nazionale non può comportare l'inapplicabilità del diritto dell'Unione e dispensare gli Stati membri dal necessario rispetto di tale diritto».

(33) Tale valutazione è prevista nella giurisprudenza della Corte europea dei diritti dell'uomo (CEDU) che attribuisce allo Stato/legislatore l'onere della prova. La pertinente giurisprudenza della CEDU comprende: Roman Zakharov v. Russia (istanza n. 47143/06), 4 dicembre 2015; Szabó and Vissy v. Hungary (istanza n. 37138/14), 12 gennaio 2016; Big Brother Watch and Others v. the United Kingdom (istanze nn. 58170/13, 62322/14 e 24969/15), 25 maggio 2021 e Centrum för rättvisa v. Sweden (istanza n. 35252/08), 25 maggio 2021.

(34) Direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (GU L 333 del 27.12.2022, pag. 80).

(35) Proposta di regolamento del Parlamento europeo e del Consiglio relativo a requisiti orizzontali di cibersicurezza per i prodotti con elementi digitali, che modifica il regolamento (UE) 2019/1020, presentata il 15 settembre 2022 (COM(2022)0454).

(36) Sentenza del 22 novembre 2022, cause riunite C-37/20 e C-601/20, ECLI:EU:C:2022:912.

(37) CGUE. Comunicato stampa n. 188/22, sentenza della Corte nelle cause riunite C-37/20 e C-601/20.

(38) Principi globali in materia di sicurezza nazionale e diritto all'informazione, giugno 2013.

(39) GU C 264 E del 13.9.2013, pag. 41.