La banca dati “clandestina” di Europol su milioni di cittadini

14 Mag, 2026 Fonte: - Stefano Bocconetti *

Print this article Font size -16+

Esplode lo scandalo su “Pressure Cooker”, la gigantesca quantità di dati anche sensibili che Europol, l’agenzia di polizia europea, avrebbe raccolto e conservato illecitamente su milioni di persone per anni

È un po’ come nei film polizieschi degli anni ’70, i “poliziotteschi”, quelli di Damiano Damiani, Fernando Di Leo, Duccio Tessari e tanti altri. Quando la polizia, i suoi dirigenti si presentavano con una veste rispettabile, ossequiosa ma poi di nascosto, imponevano solo le “loro” leggi, ignorando qualsiasi regola. Ed è un po’ così – e forse anche qualcosa di più grave – quel che hanno scoperto tre attivissime testate di giornalismo d’inchiesta: Correctiv, Wearesolomon e Computer Weekly.

Hanno scoperto che l’Europol, l’ente che coordina le polizie del vecchio continente, ha creato e gestito per anni piattaforme segrete piene di dati. Dati che non dovevano essere raccolti. Su milioni di persone. Qualsiasi persona, anche le più lontane dalle inchieste giudiziarie. Dati che non avrebbero dovuto raccogliere, né conservare. Dati che l’Europol ha gestito “illegalmente”, che ha detto e ripetuto di non aver raccolto. Ed ancora non si è capito se della vicenda si possa parlare al passato.

L’inchiesta delle tre testate è stata minuziosa, si è avvalsa della richiesta di poter visionare i pochi documenti ufficiali accessibili, si è basata – molto, moltissimo – sui documenti, le email “riservate” che sono state fatte arrivare alle redazioni. Si è basata sulle “confessioni” di diversi ex dirigenti dell’Europol, che hanno scelto di restare anonimi ma tutte ampiamente verificate.

Tutto è cominciato all’indomani della terribile strage di Parigi, nel novembre del 2015. Quando terroristi islamici assaltarono a colpi di bombe e raffiche di mitra lo stadio, il teatro Bataclan, i ristoranti affollati di Rue Bichat, facendo centotrenta morti. Una tragedia della quale i servizi di intelligence non avevano avuto il minimo sentore. E questo fece finire anche loro sul tavolo degli imputati.

Così, in questo periodo, comincia a prendere forma lo scandalo. All’inizio, si sfruttò l’ondata di sdegno per creare una task force che raccolse un’enorme mole di dati, da tutte le capitali. Milioni di tabulati telefonici, indirizzi, documenti di viaggio.

Tutto però era ancora “dentro” le norme. Si trattava di quello che si chiama data-base forense: soprattutto risultati di inchieste, atti giudiziari, intercettazioni autorizzate, sentenze. Anche “notizie riservate”, certo, ma legate a singole indagini, su persone sospettate. E comunque all’epoca erano state attivate da Bruxelles diverse norme di tutela.

È più o meno in questo periodo però che il “centro europeo per la lotta alla criminalità informatica” (in sigla EC3), che fino ad allora si era occupato senza molti successi di truffe e phishing on line, decide di assumere il controllo della rete forense. Da allora in poi, se ne occuperà l’EC3.

Per qualcuno, però, era ancora troppo poco.

Nasce allora un vero e proprio data base parallelo, segreto, che ha anche un nome in codice che i funzionari devono usare nelle loro comunicazioni per non rivelare l’abuso: “Pressure Cooker”. Un buco nero con dentro foto, nomi, profili personali, addirittura file excel, testi world, filmati di telecamere. Quelle di sorveglianza e quelle dei privati. Di chiunque. Di persone che mai hanno avuto a che fare con la giustizia, di persone che non hanno preso neanche una multa. Di tutti.

Le dimensioni di questo data-base ombra? Duemila terabyte, scrive Correctiv, esattamente 420 – quattrocento venti – volte più grande della banca dati ufficiale dell’Europol.

Di più, di più preoccupante. Uno dei funzionari, Daniel Drewer, che aveva appunto il compito di garantire che l’uso delle informazioni raccolte fosse conforme alle norme del vecchio continente, sei anni fa lanciò l’allarme. E scrisse tre mail, indirizzate ai vice direttori esecutivi di Europol (e le indagini giornalistiche sembra proprio siano partite da quella mail): badate – scrisse in pillole – che anche se continuate a nasconderlo alle autorità, la raccolta a strascico, la conservazione, la conservazione oltre ogni limite, l’uso indiscriminato che fate di quei dati, prima o poi uscirà fuori e sarà un disastro. “Potrebbe portare alla chiusura di tutte le attività di Europol”.

Ed ancora, stavolta davvero agghiacciante: nelle email, Daniel Drewer spiegava che oltre alla violazione di tutte le leggi europee, quei data-base erano insicuri. C’erano decine e decine di password distribuite fra il personale, praticamente tanti, troppi potevano averci accesso. Di più: quelle informazioni potevano benissimo essere corrette, trasformate perché non esisteva un sistema di tracciamento e controllo degli accessi.

Le parole più chiare per descrivere il tutto, le ha dette ai giornalisti investigativi, un ex funzionario: dicono di “proteggere la legge, mentre la violano”.

Già nel 2019 – anche se la storia fu tenuta strettamente riservata – la direttrice esecutiva di Europol, Catherine De Bolle, il cui mandato è scaduto pochi giorni fa, fu costretta ad – o decise di – informare la commissione e il GEPD, il garante europeo dei dati. Da allora, sette anni fa, è cominciata quella che chiamano Big Data Challenge, una sfida che però non ha fatto mai fare un vero progresso. Tutto è rimasto in stallo.

La commissione chiedeva notizie, l’Europol prima negava tutto, poi ammetteva qualcosa e si dichiarava disposta a verifiche. Ma le verifiche avvenivano non “come uno si immagina: con l’intervento di squadre specializzate che controllano i data-base ed i computer. No, avvenivano attraverso colloqui riservati ed amichevoli coi dirigenti e la visione di alcuni progetti”. Si usano le virgolette perché anche queste sono le parole di un ex funzionario che ha deciso di parlare.

Si va avanti, l’ufficio del garante chiede di cancellare tutto, nessuno può sapere se l’ordine viene eseguito. Il GEPD chiede conferme, Europol risponde “restiamo in contatto”. E nessuno sa se oggi continua a tenere nascosto qualcosa, come ha fatto per anni.

L’ultimo atto è di due mesi fa. Ed è una sorta di resa dell’ufficio del garante dei dati. Che ha informato il gruppo misto di controllo – una commissione di supervisione, composta da parlamentari europei e nazionali – che avrebbe chiuso il monitoraggio dopo le lunghe indagini: lo chiude perché nonostante le raccomandazioni, molte di queste “non sono state attuate”. E quelle rimaste in sospeso, ha scritto sempre l’autorità di controllo, riguardano esattamente «le questioni di particolare importanza», comprese le garanzie fondamentali in materia di sicurezza.

Europol, pochi giorni fa, ha provato a rispondere pubblicamente. Sostenendo di aver sempre collaborato e discusso con le autorità europee e che molte delle cose raccontate dall’inchiesta sono “fatti travisati”. Che è più o meno, se ci si pensa, la replica di chi non nega lo scandalo ma si prepara ad una battaglia legale sulle virgole.

Resta da dire una cosa: che la commissione di Bruxelles si sta preparando proprio in questo periodo a raddoppiare i finanziamenti per l’Europol. Vuole dotarla di altri e nuovi strumenti, vuole renderla “pienamente operativa”. Magari dotarla di una sua intelligenza artificiale, come denunciava tempo fa sempre Computer Weekly. Di quali strumenti si tratti, però, ancora non è chiaro. Con quali dati potrebbe essere creata l’intelligenza artificiale non lo sa nessuno. Ed allora forse è arrivato il momento che qualcuno a Bruxelles si faccia venire qualche dubbio.

* Fonte/autore: Stefano Bocconetti,  il manifesto