Lo spyware è una categoria di software progettata per raccogliere dati da un dispositivo informatico senza il consenso esplicito dell’utente. Tali strumenti possono essere impiegati per monitorare attività online, registrare tasti digitati, accedere a file riservati, attivare microfoni e fotocamere, e trasmettere informazioni a soggetti terzi. La loro diffusione, originariamente circoscritta a contesti militari o investigativi, si è estesa negli anni anche ad ambiti privati, commerciali e governativi.
Dal punto di vista tecnico, esistono diverse tipologie di spyware, tra cui quelli attivati da link malevoli, allegati di posta elettronica o vulnerabilità zero-click. Questi ultimi, in particolare, non richiedono alcuna azione da parte dell’utente per attivarsi. La loro natura intrusiva ha sollevato numerose questioni legali, specialmente in relazione alla protezione dei dati personali e alla tutela dei diritti fondamentali.
Un esempio rilevante è rappresentato dal software Pegasus, sviluppato dalla società israeliana NSO Group. Secondo inchieste internazionali e rapporti di organizzazioni indipendenti, Pegasus è stato impiegato da alcuni governi per monitorare giornalisti, attivisti, avvocati e funzionari pubblici. Il software ha la capacità di accedere in modo invisibile a dispositivi mobili, eludendo meccanismi di sicurezza avanzati.
Reati informatici e violazioni dei dati
Nel 2019, Meta Platforms Inc., società madre di WhatsApp, ha avviato un’azione legale contro NSO Group, accusando quest’ultima di aver violato il Computer Fraud and Abuse Act e i termini di servizio di WhatsApp, in seguito all’infezione di oltre 1.400 dispositivi attraverso Pegasus. Nel maggio 2025, un tribunale federale statunitense ha condannato NSO Group al pagamento di 167,7 milioni di dollari in favore di Meta. Il caso ha acquisito rilevanza internazionale come uno dei primi procedimenti giudiziari che hanno affrontato in modo diretto la responsabilità di un fornitore di spyware.
Dal punto di vista giuridico, l’utilizzo di spyware può integrare diverse fattispecie di reato. In Italia, ad esempio, si configurano l’accesso abusivo a sistema informatico (art. 615-ter c.p.), la violazione di corrispondenza (art. 616 c.p.) e il trattamento illecito di dati personali (art. 167 del Codice Privacy). A livello europeo, il Regolamento (UE) 2016/679 (GDPR) stabilisce norme specifiche in materia di sicurezza dei dati e impone obblighi di responsabilità anche in caso di utilizzo di strumenti tecnologici invasivi.
La questione giuridica si complica ulteriormente quando lo spyware viene impiegato da soggetti pubblici. In tali casi, il bilanciamento tra interesse pubblico, sicurezza nazionale e diritti individuali diventa particolarmente delicato. Gli ordinamenti giuridici nazionali e le corti sovranazionali sono chiamati a stabilire i limiti entro i quali tali strumenti possono essere legittimamente utilizzati.
Indagini europee e nuove pressioni politiche
A livello europeo, il Parlamento ha avviato indagini su casi di presunto utilizzo illecito di spyware in vari Stati membri, tra cui Ungheria, Spagna e Grecia. Le istituzioni europee hanno evidenziato l’urgenza di una regolamentazione più chiara sull’uso di tecnologie di sorveglianza, al fine di garantire la conformità con la Carta dei diritti fondamentali dell’Unione europea.
Nonostante alcune iniziative legislative, attualmente non esiste un quadro giuridico internazionale vincolante che disciplini in modo unitario la produzione, la vendita e l’utilizzo degli spyware. Alcune proposte, in ambito ONU e UE, mirano all’adozione di strumenti giuridici multilaterali sul modello delle convenzioni contro le armi chimiche o biologiche, adattati al contesto cibernetico.
Un precedente importante, ma non risolutivo
Il tema dello spyware si colloca quindi al crocevia tra tecnologia avanzata, tutela della riservatezza, sicurezza statale e responsabilità giuridica. La complessità del fenomeno richiede risposte normative multilivello e aggiornate, in grado di affrontare le specificità di strumenti che operano spesso al di fuori di ogni visibilità.
Il caso Meta vs NSO Group costituisce un precedente rilevante e segnala la possibilità, per attori privati e istituzioni, di agire in sede giudiziaria per contrastare l’utilizzo abusivo di spyware. Tuttavia, la mancanza di un coordinamento normativo globale lascia ampi margini di incertezza sotto il profilo della prevenzione, della trasparenza e della tutela delle persone coinvolte.
A cura degli studenti sotto la Facoltà di Giurisprudenza e Ingegneria Informatica
