Sei Stati membri dell'Unione Europea hanno esportato tecnologie di sorveglianza in piu di due dozzine di paesi con storie documentate di violazioni dei diritti umani, secondo un rapporto pubblicato da Human Rights Watch il 12 maggio 2026. I risultati mettono in luce un fallimento sistemico nel principale quadro di controllo delle esportazioni dell'UE e sollevano interrogativi diretti sul fatto che gli strumenti di sorveglianza europei vengano utilizzati per tracciare attivisti, giornalisti e utenti VPN in regimi autoritari in tutto il mondo.
Il rapporto: esportazioni di spyware dell'UE verso regimi autoritari
Il rapporto di HRW, intitolato "Guardare dall'altra parte: il fallimento dell'UE nel prevenire le esportazioni di sorveglianza verso i violatori dei diritti", documenta come il Regolamento UE a doppio uso del 2021 - concepito per impedire che le tecnologie di sorveglianza raggiungano governi repressivi - abbia fallito nella pratica. I ricercatori sono riusciti a ottenere dati sulle esportazioni solo da 7 dei 27 Stati membri dell'UE, dopo che 12 richieste di accesso alle informazioni erano state rifiutate senza appello.
Tra i casi confermati: la Bulgaria ha esportato software di intrusione e sistemi di intercettazione delle telecomunicazioni tra il 2020 e il 2023 verso Azerbaigian, Bosnia-Erzegovina, Brasile, Costa d'Avorio, Repubblica Dominicana, El Salvador, Ghana, Guatemala, Israele, Giordania, Malesia, Messico, Mongolia, Marocco, Panama, Filippine, Serbia, Uganda, Emirati Arabi Uniti, Ucraina e Vietnam. La Polonia ha esportato sistemi di intercettazione delle telecomunicazioni in Ruanda nel 2023. La societa svedese MSAB ha esportato strumenti di estrazione forense di dati in India sfruttando una lacuna di classificazione.
Perche il regolamento ha fallito
Il Regolamento UE a doppio uso del 2021 era stato presentato come una riforma fondamentale che avrebbe chiuso la lacuna nelle esportazioni di tecnologie di sorveglianza che aveva permesso alle aziende europee di vendere spyware a governi autoritari per anni. Il regolamento obbliga gli Stati membri a comunicare le decisioni sulle licenze, a valutare i rischi per i diritti umani e a impedire le esportazioni che potrebbero violare il diritto internazionale.
HRW ha individuato cinque meccanismi di fallimento distinti:
- Deficit di trasparenza: La Commissione europea ha reinterpretato gli obblighi di rendicontazione in modo da separare il tipo di tecnologia dal paese di destinazione nei suoi rapporti pubblici. Il risultato: e impossibile determinare quale paese abbia ricevuto quale strumento di sorveglianza da quale Stato UE.
- Debole dovuta diligenza: Le aziende sono tenute solo a "considerare" i rischi per i diritti umani - senza essere obbligate ad agire di conseguenza o a documentare la valutazione. Non si tratta di uno standard vincolante.
- Esenzioni per riservatezza: Gli Stati membri hanno invocato la sicurezza nazionale e i segreti commerciali per trattenere i dati sulle licenze di esportazione, rendendo impossibile qualsiasi supervisione esterna.
- Lacune di classificazione: La svedese MSAB ha esportato strumenti di estrazione forense in India - un paese con documentati abusi di spyware - sostenendo che gli strumenti non erano "appositamente progettati" per la sorveglianza occulta e quindi non rientravano nella clausola generale del regolamento.
- Sottonotifica: La Svezia ha ufficialmente comunicato alla Commissione zero domande di licenza di esportazione, nonostante le esportazioni confermate di MSAB avvenute nello stesso periodo.
I destinatari: paesi con repressione documentata
L'Azerbaigian, una delle destinazioni di esportazione confermate della Bulgaria, ha una storia ben documentata di persecuzione di giornalisti, attivisti e opposizione politica mediante sorveglianza digitale. I ricercatori hanno trovato prove sostanziali che l'Azerbaigian ha utilizzato lo spyware Pegasus - sviluppato da NSO Group, un'azienda collegata a Circles, a sua volta connessa alle esportazioni bulgare di tecnologie di sorveglianza - contro la societa civile armena durante il conflitto del 2023.
Il Ruanda, che ha ricevuto dalla Polonia sistemi di intercettazione delle telecomunicazioni, e documentato nell'uso di Pegasus contro dissidenti e membri della diaspora almeno dal 2017. Il paese ha adottato nel 2013 una legge sulla sorveglianza ampliata che conferisce alle autorita ampie facolta di monitorare le comunicazioni.
Francia, Germania, Grecia, Italia e Spagna - ritenute probabili grandi esportatrici in base alle loro dimensioni - hanno rifiutato o ignorato le richieste di accesso alle informazioni di HRW, il che significa che i loro archivi di esportazione rimangono completamente opachi.
Cosa fanno davvero il "software di intrusione" e l'"intercettazione delle telecomunicazioni"
Le categorie di sorveglianza che compaiono nei registri di esportazione non sono astratte. Il software di intrusione - descritto dai fornitori come strumenti di "intercettazione legale" - consente l'accesso occulto ai dispositivi, estraendo messaggi, registri delle chiamate, contatti, cronologia delle posizioni e feed del microfono o della fotocamera a insaputa del bersaglio. I sistemi di intercettazione delle telecomunicazioni operano a livello di rete, consentendo il monitoraggio in tempo reale di chiamate, SMS e traffico internet sull'intera infrastruttura di un operatore.
Questi sono gli strumenti che i governi autoritari utilizzano per identificare gli utenti VPN, individuare i dissidenti e monitorare le comunicazioni crittografate. Quando tali strumenti vengono esportati da Stati membri dell'UE con sistemi giuridici funzionanti, forniscono capacita tecniche a governi che non dispongono di nessuno dei meccanismi di supervisione o responsabilita che, almeno nominalmente, ne disciplinano l'uso in Europa.
Raccomandazioni di HRW
Human Rights Watch ha sollecitato la Commissione europea a emanare nuove linee guida di attuazione allineate al testo effettivo del Regolamento a doppio uso, a rendere obbligatoria una rendicontazione pubblica dettagliata che colleghi le categorie tecnologiche ai paesi di destinazione, a esigere che le aziende conducano e documentino una reale due diligence sui diritti umani - non si limitino a "considerare" i rischi - e a garantire alle organizzazioni della societa civile una partecipazione formale nella valutazione continua dell'efficacia del regolamento.
Il rapporto ha inoltre raccomandato che gli Stati membri dell'UE rifiutino le licenze di esportazione per tecnologie di sorveglianza verso qualsiasi paese in cui il governo abbia un pattern documentato di utilizzo di tali strumenti contro giornalisti, attivisti, politici dell'opposizione o comunita della diaspora.
Il quadro piu ampio
I risultati di HRW sono coerenti con un quadro piu ampio documentato dai ricercatori di Citizen Lab, Amnesty International e Access Now: le aziende tecnologiche e i governi europei hanno ripetutamente fornito capacita di sorveglianza a regimi autoritari, citando spesso casi d'uso di "intercettazione legale" o "attivita di polizia legittima" che non reggono all'esame nei paesi di destinazione.
Per le persone che vivono sotto regimi che hanno ricevuto questi strumenti, una VPN fornisce uno strato parziale di protezione contro il monitoraggio a livello di rete. Non puo proteggere contro il software di intrusione a livello di dispositivo - il tipo che la Bulgaria ha esportato in Azerbaigian -, ma crittografa il traffico in transito e nasconde il reale indirizzo IP dell'utente al proprio provider internet e ai sistemi di sorveglianza di massa presenti nell'infrastruttura di rete.
• Unione Europea: tecnologia di sorveglianza venduta a violatori dei diritti - Human Rights Watch
• Guardare dall'altra parte: il fallimento dell'UE nel prevenire le esportazioni di sorveglianza verso i violatori dei diritti - HRW
• Bulgaria e Polonia tra gli stati UE accusati di vendere tecnologie spione alle autocrazie - Balkan Insight
