Università Cattolica del Sacro Cuore
Sede di Milano
Facoltà di Scienze Linguistiche per le Relazioni Internazionali
IL CASO PEGASUS:
UNA REGOLAMENTAZIONE DEL CYBERSPAZIO
DA PARTE DELL’UNIONE EUROPEA
Relatore
Professore Antonio Zotti Tesi di Laurea di
Giorgia Caligiuri
Matricola n. 5205134
Anno accademico 2024/2025
INTRODUZIONE ............................................................................................................ 1
CAPITOLO I SICUREZZA INFORMATICA E TUTELA DEI DIRITTI
FONDAMENTALI: L’UNIONE EUROPEA E IL DILEMMA REGOLATORIO NEL
CYBERSPAZIO ............................................................................................................... 2
1.1 La tensione in ambito cyber tra sicurezza e diritti umani ....................................... 2
1.2 Le misure dell’Unione Europea per la tutela della sicurezza ................................. 6
1.3 Le misure dell’Unione Europea per la tutela dei diritti umani ............................. 13
1.4 Il dilemma tra sicurezza e diritti umani in Unione Europea? ............................... 17
CAPITOLO II IL CASO PEGASUS IN UNGHERIA: UN ABUSO DELLE
TECNOLOGIE CIBERNETICHE IN UNO STATO DEMOCRATICO ...................... 21
2.1 Cos’è Pegasus: caratteristiche e utilizzo ............................................................... 21
2.2 Il contesto ungherese: democratic backsliding e sorveglianza ............................. 25
2.3 L’uso di Pegasus da parte del governo ungherese ................................................ 28
2.4 Impatto sullo stato di diritto e sulla società civile................................................. 30
2.5 Le reazioni europee e internazionali al caso Pegasus ........................................... 32
CAPITOLO III L’UNIONE EUROPEA E I DILEMMI SOLLEVATI DAL CASO
PEGASUS ...................................................................................................................... 36
3.1 L’eccezione della sicurezza nazionale .................................................................. 36
3.2 Sovranità digitale e mercato dei sistemi di sicurezza cibernetici ......................... 38
3.3 La commissione d’inchiesta PEGA ...................................................................... 41
CONCLUSIONI ............................................................................................................. 45
BIBLIOGRAFIA ............................................................................................................ 46
INTRODUZIONE
Lo spazio cibernetico, per sua natura, trascende le barriere geografiche nazionali,
offrendo opportunità di connessione e sviluppo senza precedenti; tuttavia, questa nuova
dimensione ha generato un dilemma regolatorio: l’equilibrio tra l’esigenza di sicurezza e
la tutela dei diritti fondamentali. Se da un lato lo Stato ha il dovere di assicurare la
sicurezza nazionale e proteggere i propri cittadini dalle minacce ibride, dall’altro la
sorveglianza digitale rischia di sconfinare in un controllo pervasivo che mina le basi stesse
della democrazia. Il presente lavoro si pone di indagare questo delicato confine dal punto
di vista dell’Unione Europea. Nonostante questa famiglia di democrazie si ponga a livello
globale come il “regolatore” per eccellenza, attraverso standard elevati di protezione dei
dati e la promozione di una sovranità digitale antropocentrica, la prassi politica degli Stati
membri solleva interrogativi inquietanti. È possibile perseguire la sicurezza senza
sacrificare la privacy degli utenti? La pretesa di garantire la sicurezza nazionale è
sufficiente per giustificare l’abuso di armi cibernetiche e tecnologie di sorveglianza?
Nella prima parte verrà analizzato il dilemma regolatorio, esaminando, da un lato, le
misure specifiche adottate dall’Unione Europea volte al perseguimento della sicurezza e,
dall’altro, quelle poste a tutela dei diritti fondamentali. L’analisi si focalizzerà su come
l’Unione cerchi di risolvere questa tensione, tentando di delineare un modello in cui la
sicurezza non sia perseguibile solo attraverso il sacrificio della privacy, ma ne diventi,
idealmente, il prerequisito. La seconda parte del lavoro si concentrerà sullo studio del
caso Pegasus in Ungheria, ovvero l’esempio emblematico di abuso della tecnologia di
sorveglianza ai danni dell’opinione pubblica da parte del governo di uno Stato che si
professa democratico. Si indagherà come un Paese membro dell’Unione Europea possa
utilizzare l’alibi della sicurezza nazionale per legittimare la violazione dei diritti
fondamentali. Infine, l’ultimo capitolo analizzerà ciò che il caso Pegasus rivela
sull’azione regolatoria dell’Unione. Verrà discusso se, sotto l’egida della sicurezza
nazionale, la violazione dei diritti digitali possa rimanere impunita o persino giustificata.
L’obiettivo è comprendere se la sovranità digitale europea sia un progetto solido o se le
crepe aperte da attori interni ne stiano compromettendo l’integrità, mettendo a rischio la
tenuta democratica dell’intero progetto comunitario. 1
CAPITOLO I
SICUREZZA INFORMATICA E TUTELA DEI
DIRITTI FONDAMENTALI: L’UNIONE
EUROPEA E IL DILEMMA REGOLATORIO NEL
CYBERSPAZIO
Il presente capitolo si propone di analizzare la complessa dialettica tra l’esigenza di
garantire la sicurezza nello spazio cibernetico e la tutela dei diritti fondamentali degli
individui, con particolare riferimento all’evoluzione del quadro regolatorio dell’Unione
Europea. Il cyberspazio, inteso come dimensione multidimensionale e deterritorializzata,
ha ridefinito i confini della sovranità statale, trasformando i flussi di dati in una risorsa
strategica centrale per l’esercizio del potere politico nel XXI secolo. Tuttavia, l’emergere
di minacce cibernetiche e di programmi di sorveglianza su larga scala ha generato un
profondo dilemma: la ricerca di un ambiente digitale sicuro rischia di tradursi in
un’erosione della sfera privata. Il capitolo prenderà in esame le misure specifiche che
l’Unione Europea ha adottato per garantire rispettivamente la cybersicurezza e i diritti
digitali degli individui, analizzando il ruolo di attori istituzionali chiave come l’ENISA e
il Garante Europeo della Protezione dei Dati, ed esplorerà infine come l’Unione abbia
cercato di superare il dilemma tra sicurezza e privacy.
1.1 La tensione in ambito cyber tra sicurezza e diritti umani
Il cyberspazio si configura come un luogo in cui l’autorità statale è meno o per nulla
limitata da confini territoriali fissi, e da una fitta interazione fra attori governativi e non.
In questo contesto, le autorità governative si sforzano di esercitare la propria sovranità
digitale attraverso il controllo dei flussi informativi relativi ai propri cittadini e alle pro-
1
prie attività. La protezione di diritti individuali quali la riservatezza e l’anonimato viene
infatti percepita dalle autorità statali come un fattore che rischia di andare a discapito
1 Per una definizione multidimensionale di "sovranità digitale", si veda Stephane Couture e Sophie Toupin,
About the network sovereignty, in “New Media & Society”, vol. 21, n. 10, 2019, p. 2317. Gli autori la
definiscono come la capacità di collettività (Stati, comunità, movimenti sociali) di innovare e promuovere
lo sviluppo tecnologico autonomo, nonché come la garanzia della sicurezza e della privacy degli individui
in relazione alla proprietà e al controllo dei dati personali, dei cittadini o dello Stato. 2
dell’efficacia del controllo. Se si tutelano eccessivamente i diritti, si corre il rischio di
lasciare agli attori malevoli, come criminali informatici o Stati ostili, la possibilità di
2
sfruttare queste “zone ombra” per minacciare la stabilità sistemica.
Il cyberspazio può fungere da efficace strumento di promozione della libertà di
espressione, facilita enormemente la ricerca di informazioni e dati, e permette la condivi-
sione del sapere in modo veloce e capillare. Tuttavia, esso presenta sfide esistenziali le-
gate all’uso di armi digitali come i malware, strumenti in grado di compromettere segre-
3
tamente i sistemi delle vittime. Gli aggressori più avanzati a livello di influenza politica
ed economica, che sono tipicamente alcuni Stati nazionali con grandi interessi nell’orien-
tare l’opinione pubblica a favore o contro determinati soggetti o temi, generalmente mi-
rano a influenzare le decisioni degli utenti o ad estendere il proprio potere attraverso mi-
4
nacce persistenti (APT). Ben Emmerson, secondo relatore speciale delle Nazioni Unite
sulla promozione e la protezione dei diritti umani nella lotta al terrorismo dal 2011 al
2017, durante il suo mandato ha analizzato l’uso della sorveglianza digitale di massa a
fini antiterroristici, rilevando come tali misure interferiscano con il diritto alla privacy,
pur perseguendo obiettivi di sicurezza. Dopo le rivelazioni di Edward Snowden sulla NSA
nel 2013, è cresciuta a livello mondiale l’attenzione verso la protezione della privacy;
governi e cittadini hanno messo in discussione le tecnologie di sorveglianza e la loro
5
pervasività. Gli Stati e le agenzie di intelligence, infatti, non hanno monitorato solo i
propri cittadini, ma anche istituzioni e governi stranieri, compresi i leader europei. La
sorveglianza, per sua stessa natura, ha un impatto sulla dimensione personale: gli stessi
strumenti utilizzati per mantenere uno spazio sicuro possono infatti risultare intrusivi e
6
violare i diritti dei singoli. Nel contesto della lotta al terrorismo, le forze dell’ordine e le
2 Francesco Pierucci, Sovereignty in the Digital Era: Rethinking Territoriality and Governance in
Cyberspace, in “Digital Society”, vol. 4, n. 1, 2025, pp. 1-19.
3 La definizione di malware come programma inserito surrettiziamente in un sistema con l'intento di
comprometterne la riservatezza, l'integrità o la disponibilità dei dati, o di disturbarne il funzionamento, è
tratta da Murugiah Souppaya e Karen Scarfone, Guide to Malware Incident Prevention and Handling for
Desktops and Laptops, NIST Special Publication 800-83, Revision 1, 2013, p. 2.
4 Dominik Herrmann and Henning Pridöhl, Basic Concepts and Models of Cybersecurity, in Markus
Christen, Bert Gordijn e Michele Loi (a cura di), The Ethics of Cybersecurity, Springer, Cham, 2020, p.17.
5 Si fa riferimento al caso di Edward Snowden, ex dipendente dell’intelligence statunitense che ha fornito
prove dettagliate al pubblico, attraverso la pubblicazione di importanti fonti di informazione, delle pratiche
di sorveglianza condotte dalla National Security Agency (NSA) in tutto il mondo. Si veda Glenn
Greenwald, No Place to Hide, Metropolitan Books, New York, 2014, pp. 168-175.
6 Mary Anne Nelly Roux, Conceptual foundations for the analysis of cyberterrorism in the European
Union: Privacy and Security, in “Journal of Cyber Policy”, vol. 5, 2020, pp. 14-18. 3
agenzie di intelligence hanno sviluppato nuove capacità di monitoraggio per colpire pre-
ventivamente soggetti sospetti e organizzazioni terroristiche. Tali capacità hanno talvolta
involontariamente compromesso i diritti delle persone comuni attraverso la sorveglianza
di massa. Per quanto concerne il Dark Web, o Darknet, se da una parte esso garantisce
anonimato e privacy poiché, tramite strumenti crittografici, offre protezione agli utenti
dai tracciamenti, dall’altra risulta difficilmente accessibile agli strumenti investigativi tra-
dizionali, rendendolo un ambiente ideale per la preparazione e l’attuazione di attività il-
legali mirate sia a contesti fisici che virtuali. Tuttavia, il Darknet funge anche da rifugio
per coloro che sono perseguitati o le cui idee sono minacciate o represse, permettendo
7
agli attivisti per i diritti umani e ai dissidenti di eludere la sorveglianza informatica.
Il cyberspazio rappresenta oggi una delle arene più critiche per l’esercizio della
sovranità e per la protezione dei valori democratici. La tensione tra sicurezza e diritti
umani si configura come una vera e propria competizione tra due beni pubblici altrettanto
8
desiderabili che, tuttavia, risultano spesso in conflitto logico e operativo. In questo con-
testo, la tutela dei diritti individuali, quali la riservatezza e la libertà di espressione, viene
frequentemente percepita dalle autorità statali come un fattore che limita l’efficacia del
controllo necessario a garantire la sicurezza informatica. Nell’ottica europea, la spinta
istituzionale verso un coordinamento più stretto e l’adozione di strumenti comuni si scon-
trano inevitabilmente con una crescente sensibilità verso il rischio di abusi tecnologici e
9
con l’esigenza di garantire forme di accountability nelle politiche di cybersicurezza.
Attualmente, la sicurezza informatica costituisce una priorità politica per le istitu-
zioni dell’Unione Europea. Il tema della cybersecurity si è consolidato fra i più importanti
tra il 2015 e il 2016 con l’emergere di una comunità basata sulla comunicazione e sul
coordinamento delle risorse. Lo sviluppo di una governance europea della cybersicurezza
è guidato principalmente dalla Commissione, che ha interpretato questo ambito come uno
spazio di espansione delle competenze dell’Unione Europea, volto a costituire un’Europa
più resiliente e autorevole. Se la Commissione ha spinto per una distribuzione omogenea
delle responsabilità di risposta agli incidenti, il Parlamento europeo, dal canto suo, ha
invece rivendicato livelli più alti di trasparenza, accountability e protezione dei diritti
7 Ibidem.
8 Daniel J. Solove, Nothing to Hide: The False Tradeoff between Privacy and Security, Yale University
Press, New Haven, 2011, p. 21-30.
9 George Christou, Cybersecurity in the European Union: Resilience and Adaptability in Governance
Policy, Palgrave Macmillan, Londra, 2016, p. 45. 4
fondamentali nelle politiche di cybersicurezza. Tale posizione riflette un duplice orienta-
mento: da un lato, una vocazione istituzionale pro-integrazione e, dall’altro, una profonda
sensibilità ai temi legati alle libertà civili contro il rischio di una sorveglianza eccessiva-
10
mente pervasiva.
Sotto il profilo teorico, Ibo van de Poel, professore di etica e tecnologia all’Uni-
versità di Delft e autore di numerosi saggi sulla cybersicurezza, evidenzia come il con-
flitto sorga qualora la sicurezza sia perseguita a totale discapito della privacy, o viceversa.
Ad esempio, se un valore come la privacy impone la riservatezza di una determinata in-
formazione mentre la trasparenza ne richiede la pubblicazione, i due valori entrano di
fatto in una rotta di collisione operativa. Analogamente, il monitoraggio delle infrastrut-
ture di rete, pur contribuendo alla cybersicurezza, può apparire come un’ingiustificata
intrusione nella sfera privata. Al contempo, il completo anonimato e la segretezza delle
comunicazioni rischiano di essere strumentalizzati da agenti malintenzionati per eludere
i controlli. Ipoteticamente, è possibile che eventuali utenti scelgano strategicamente di
non rivelare determinate informazioni con il pretesto di preoccupazioni relative alla pri-
vacy. In quest’ottica, la privacy può paradossalmente trasformarsi in un mezzo per attori
criminali per occultare le proprie strategie avversarie, le quali vengono costantemente
adattate alle misure di cybersicurezza adottate, o approfittano dell’assenza delle stesse.
La sicurezza informatica assume così le dinamiche di una “corsa agli armamenti”, in cui
un’eccessiva responsabilità pubblica rischia, in determinati scenari, di minare l’efficacia
11
delle misure di tutela della sicurezza.
La lotta al cybercrimine implica sovente l’accesso segreto ai sistemi informatici
allo scopo di acquisire determinati dati o contenuti, pratica che costituisce di per sé una
minaccia alla privacy. Qualora si ricorra a misure di cybersicurezza segrete per finalità di
sicurezza nazionale, come ad esempio azioni di sorveglianza o attacchi informatici con-
dotti da agenzie governative ai danni di altri Paesi, il rischio di compromettere le libertà
civili e la privacy dei cittadini diviene concreto. Sebbene la sorveglianza segreta su larga
scala dei cittadini possa teoricamente incrementare la sicurezza collettiva nel suo com-
plesso, essa mette a repentaglio la libertà personale. In particolare, programmi di sicu-
rezza che riducono le libertà civili senza una chiara legittimità democratica creano una
10 Ibidem.
11 Ibo van de Poel, Core Values and Value Conflicts in Cybersecurity: Beyond Privacy Versus Security, in
Markus Christen, Bert Gordijn e Michele Loi (a cura di), The Ethics of Cybersecurity, op. cit., pp. 59-69.
5
lacuna derivante dalla mancanza di diritti umani che non può essere colmata dalla sola
12
promessa di maggiore protezione. Sebbene il monitoraggio sia essenziale per indivi-
duare criminali e terroristi, esso comporta un certo livello di sorveglianza, che, a sua volta,
porta con sé il rischio di censura e la conseguente violazione della libertà di parola, po-
13
tendo infliggere danni immotivati agli individui. La cybersicurezza è una questione che
negli ultimi anni ha richiesto, e continua a richiedere, una sempre maggiore attenzione a
causa della proliferazione di attacchi cibernetici da parte di attori statali e non statali;
tuttavia, resta imperativo valutare criticamente gli effetti di tali politiche sui diritti umani,
affinché la difesa dello spazio digitale non avvenga a scapito dei valori che esso dovrebbe
proteggere.
1.2 Le misure dell’Unione Europea per la tutela della sicurezza
Data questa grande tensione che tutte le autorità si trovano ad affrontare, la strategia
dell&rs
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
-
Tesi Il rebranding nell'era digitale: il caso Tavernello
-
Tesi - Stampa e razzismo:il caso la Continassa
-
Content moderation, il caso Facebook e Casapound
-
Gestione da parte dell'avvocato difensore di una equipe di consulenti tecnici: il caso Yara Gambirasio