Regulacions sobre spyware a Europa: Una visió general a l'octubre de 2025

Europa ha vist un escrutini creixent sobre el spyware —eines com Pegasus, Predator i Candiru— a causa del seu ús abusiu per part de governs contra periodistes, activistes, polítics i dissidents. Tot i que no hi ha una prohibició total a nivell de la UE sobre el spyware, les regulacions se centren en controls d'exportació, restriccions per a l'aplicació de la llei i salvaguardes dels drets humans. Aquestes provenen del Reglament de Doble Ús de la UE, la indagació del Comitè PEGA (Pegasus i Spyware Equivalent) i lleis relacionats com l'Acta Europea per a la Llibertat dels Mitjans. No obstant això, la implementació segueix sent fragmentada, amb abusos nacionals persistents i la societat civil demanant accions més fortes. A continuació, un desglossament dels principals marcs, desenvolupaments i reptes.1. Reglament de Doble Ús de la UE: Controls d'exportació d'eines de cibervigilànciaEl pilar fonamental de la regulació del spyware a la UE és el Reglament (UE) 2021/821 sobre articles de doble ús, que controla l'exportació, el corretatge i el trànsit de tecnologies amb aplicacions tant civils com militars, incloent el spyware classificat com a "articles de cibervigilància".

• Disposicions clau:
  • Requereix llicències d'exportació per a articles de l'Annex I (alineat amb l'Acord de Wassenaar), que cobreix programaris d'intrusió i eines de monitoratge.
  • Clàusula de coberta (Article 4): Obliga a llicències per a articles no llistats si suposen riscos per als drets humans, la seguretat internacional o la política exterior de la UE. Les directrius actualitzades a l'octubre de 2024 emfatitzen els riscos del spyware, instigant als exportadors a avaluar l'ús final i els impactes en els drets humans.
  • Deure de diligència en drets humans: Els exportadors han d'avaluar si els articles poden habilitar la repressió, amb penes per incompliment fins a 1 milió d'euros o el 10% del volum de negocis.
• Desenvolupaments recents (2025):
  • El 8 de setembre de 2025, la Comissió Europea va adoptar un Reglament Delegat que actualitza l'Annex I, afegint noves categories de cibervigilància i reforçant els controls sobre el spyware habilitat per IA.
  • Nou estats membres de la UE (incloent Xipre, Grècia i Malta) es van oposar a controls més estrictes el 2025, argumentant que perjudiquen les exportacions de seguretat nacional. Tot i això, la regulació comprometeix els estats a avaluacions harmonitzades.
  • L'informe de política de SIPRI del 2025 destaca una supervisió millorada, però assenyala mancances en la transparència per a transferències intra-UE.

Aquest marc ha portat a sancions contra empreses com NSO Group i Intellexa, però els crítics diuen que no cobreix l'ús domèstic ni les importacions.2. Comitè PEGA: Recomanacions per frenar l'ús abusiuLa indagació PEGA del Parlament Europeu (2022–2023) va investigar abusos de spyware a la UE, revelant problemes sistèmics en països com Grècia, Hongria, Polònia i Espanya. El seu informe final, adoptat el juny de 2023, va qualificar els escàndols de spyware com "el Watergate d'Europa" i va instar a reformes.

• Recomanacions principals:
  • Limitar l'ús de spyware per a l'aplicació de la llei a "casos excepcionals" (p. ex., amenaces terroristes), amb supervisió judicial i proves de proporcionalitat.
  • Proteger "objectius sensibles" (periodistes, advocats, polítics, metges) de la vigilància.
  • Prohibir les vendes de spyware comercial dins de la UE i impedir finançament a venidors abusius.
  • Establir un registre de spyware a nivell de la UE i proteccions per a denunciants.
  • Harmonitzar lleis nacionals per evitar "forum shopping" en jurisdiccions laxes.
• Seguiment el 2025:
  • Un debat plenari del 16 de juny de 2025 va revisar el progrés dos anys després de PEGA, amb eurodiputats criticant la inactivitat de la Comissió enmig de nous escàndols (p. ex., l'ús d'Itàlia contra periodistes).
  • El 2 d'octubre de 2025, 39 eurodiputats van demanar una auditoria pública de milions d'euros en subsidis de la UE a empreses de spyware com Intellexa i Cy4Gate des del 2015, citant riscos per a la democràcia.
  • Una carta oberta de periodistes i ONG al juny de 2025 va cridar a una acció urgent de la UE, incloent una prohibició total del spyware comercial.
  • El grup de l'Esquerra al Parlament va impulsar prohibicions de vigilància massiva al juny de 2025, després de l'escàndol italià.

L'impacte de PEGA va portar a l'Acta Europea per a la Llibertat dels Mitjans (2024), que prohibeix el spyware contra periodistes llevat que sigui estrictament necessari, amb multes fins al 6% del volum de negocis global.3. Iniciatives relacionades de la UE i salvaguardes de privacitat

• Proposta de Control de Xat (Reglament d'Abús Sexual Infantil - CSA): Una proposta controvertida del 2022 per obligar l'escanejat de missatges encriptats per material d'abús infantil va ser ajornada indefinidament el 14 d'octubre de 2025, a causa de temors per la privacitat. Crítics, incloent l'EFF, la van qualificar de "inherentment semblant a spyware", ja que requeriria escanejats al costat del client en dispositius. Una votació va ser posposada enmig de debats sobre l'encriptació d'extrem a extrem.
• Acta de Serveis Digitals (DSA) i Acta de Mercats Digitals (DMA): Aborden indirectament el spyware obligant les plataformes a reportar vigilància abusiva i mitigar riscos d'eines d'IA d'alt risc.
• Acta de Ciberseguretat de la UE i Directiva NIS2: Milloren el reportatge d'incidents per bretxes de spyware, amb NIS2 (efectiva el 2024) obligant a avaluacions de riscos per a infraestructures crítiques.

4. Reptes i mancances

• Aplicació fragmentada: Les lleis nacionals varien; p. ex., Hongria i Polònia afronten abusos contínus sense intervenció de la UE. Un informe de gener de 2025 va advertir que ignorar PEGA permet la proliferació del spyware.
• Problemàs de finançament: Programes de la UE han subsidiat indirectament el spyware via canals nacionals, provocant crides el 2025 per clàusules d'exclusió.
• Resistència de la indústria: Els exportadors argumenten que els controls asfixien la innovació; una taula rodona de societat civil del juliol de 2025 va emfatitzar que només el Reglament de Doble Ús i l'Acta de Llibertat dels Mitjans apunten explícitament al spyware.
• Context global: La UE s'alinea amb sancions dels EUA, però s'endeuixa darrere de propostes de moratoris de l'ONU sobre exportacions de spyware.

5. Perspectives futuresLa Comissió planeja un paquet "òmnibus digital" al novembre de 2025 per alleujar lleis de dades, però pot incloure mesures de transparència sobre spyware. Coalicions de societat civil insten a una Regulació de Spyware de la UE dedicada per al 2026, basant-se en PEGA. L'informe d'Amnesty International de l'octubre de 2025 va confirmar mancances reguladores que alimenten la indústria de vigilància, demanant investigacions immediates sobre espionatge de telecomunicacions.