Due petabyte di sorveglianza fuori supervisione

Per anni, mentre Bruxelles predicava trasparenza, tutela dei dati personali e “valori europei”, all’interno di Europol sarebbe cresciuto un apparato informatico opaco, gigantesco e sostanzialmente fuori controllo. Non un semplice archivio investigativo, ma un ecosistema parallelo di raccolta ed elaborazione dati che, secondo le rivelazioni congiunte di Solomon, Correctiv e Computer Weekly, avrebbe accumulato oltre 2 petabyte di informazioni sensibili, incluse quelle riguardanti persone mai sospettate di alcun reato.

Per comprendere la portata del dato, bisogna tradurre la scala tecnica in termini politici: due petabyte equivalgono a milioni di dossier digitali, comunicazioni, metadati, cronologie, relazioni sociali e tracce biometriche potenzialmente riconducibili a cittadini europei. Non si parla dunque di una deviazione amministrativa marginale, ma della costruzione silenziosa di una macchina di sorveglianza continentale.

La vicenda assume contorni ancora più inquietanti perché emerge proprio nel momento in cui la Commissione Europea si prepara ad ampliare ulteriormente i poteri di Europol e a rafforzarne capacità operative e budget.

---

Il Computer Forensic Network: il sistema ombra

Il cuore dello scandalo sarebbe il cosiddetto Computer Forensic Network (CFN), creato nel 2012 ufficialmente come piattaforma tecnica per il triage dei dati forensi. Nel tempo, però, il sistema si sarebbe trasformato nella vera infrastruttura analitica centrale di Europol.

Entro il 2019, il CFN conteneva circa il 99% di tutti i dati operativi dell’agenzia, pur non essendo sottoposto alle stesse garanzie giuridiche e operative previste per i database ufficiali.

Questo dettaglio è devastante sul piano giuridico e politico.

In pratica, la quasi totalità dell’infrastruttura informativa di Europol sarebbe stata trasferita in un ambiente parallelo, sottratto alle normali procedure di controllo, audit e protezione dei dati. Un meccanismo che ricorda la classica logica dello “stato d’eccezione”: creare uno spazio operativo esterno alle regole ordinarie, giustificato dall’emergenza permanente della sicurezza.

Secondo le valutazioni interne emerse nell’inchiesta, il sistema soffriva di:

• controllo insufficiente degli accessi;
• assenza di audit affidabili;
• diritti amministrativi distribuiti indiscriminatamente;
• logging incompleto;
• possibilità di alterare o cancellare tracce operative.

Tradotto in termini concreti: chiunque disponesse di privilegi elevati avrebbe potuto modificare dati, cancellare prove o accedere a informazioni sensibili senza lasciare tracce verificabili.

---

“Proteggono la legge mentre la infrangono”

La frase attribuita a un ex alto funzionario di Europol — “Proteggono la legge mentre la infrangono” — sintetizza perfettamente la contraddizione profonda dell’architettura securitaria contemporanea.

Negli ultimi vent’anni, soprattutto dopo l’11 settembre, il paradigma occidentale della sicurezza si è progressivamente trasformato. Le agenzie incaricate di prevenire il crimine e il terrorismo hanno acquisito poteri sempre più invasivi, spesso accompagnati da una progressiva erosione delle garanzie democratiche.

Quando un organismo investigativo inizia a raccogliere informazioni su individui non sospettati di alcun reato, si passa da una logica investigativa a una logica di sorveglianza preventiva generalizzata.

Il cittadino non viene più considerato innocente fino a prova contraria, ma un potenziale nodo statistico da monitorare.

---

Il “Pressure Cooker”: la zona grigia clandestina

Ancora più allarmante è la scoperta del cosiddetto Pressure Cooker, un ambiente separato gestito dalla Internet Referral Unit di Europol.

Secondo le informazioni emerse, questa struttura avrebbe operato:

• senza coinvolgimento dei dipartimenti ICT ufficiali;
• al di fuori della supervisione formale;
• senza piena informazione agli organi europei di vigilanza sulla privacy.

Il fatto che l’EDPS (European Data Protection Supervisor) abbia dichiarato di non essere stato pienamente informato dell’esistenza del sistema durante le verifiche originarie del 2019 rappresenta uno dei punti più critici dell’intera vicenda.

In termini politici, significa che perfino l’organo deputato alla tutela della privacy europea sarebbe stato tenuto all’oscuro di porzioni operative fondamentali.

---

L’illusione europea della “privacy garantita”

Per anni l’Unione Europea ha costruito la propria immagine internazionale contrapponendosi al modello americano della sorveglianza di massa. Il GDPR è stato presentato come simbolo di civiltà giuridica e tutela dei diritti fondamentali.

Ma scandali come questo rivelano una contraddizione strutturale: mentre si impongono regole rigidissime a imprese e cittadini, gli apparati securitari sembrano operare in spazi sempre più opachi.

La domanda inevitabile è: esiste davvero un controllo democratico sugli organismi di intelligence e polizia europei?

Oppure il linguaggio della “protezione dei dati” viene applicato solo verso il basso — ai cittadini comuni — mentre gli apparati statali godono di crescenti aree di eccezione?

---

Sorveglianza permanente e normalizzazione dell’emergenza

Il caso Europol non può essere isolato dal contesto più ampio della trasformazione digitale europea:

• identità digitali centralizzate;
• interoperabilità dei database;
• riconoscimento biometrico;
• intelligenza artificiale predittiva;
• monitoraggio transfrontaliero;
• raccolta massiva di metadati.

Ogni crisi — terrorismo, cybercrime, disinformazione, emergenze sanitarie — viene utilizzata come argomento per espandere la capacità di raccolta e interconnessione dei dati.

Il problema è che i meccanismi di controllo democratico non crescono alla stessa velocità degli apparati tecnologici.

Quando sistemi giganteschi vengono costruiti nella segretezza operativa, il rischio non è soltanto l’abuso occasionale, ma la nascita di una burocrazia securitaria autonoma, capace di autoalimentarsi indipendentemente dal consenso democratico.

---

Le raccomandazioni ignorate

Dopo quasi un decennio di monitoraggio, l’EDPS ha chiuso il dossier CFN nel febbraio 2026. Tuttavia, 15 delle 150 raccomandazioni risultavano ancora non implementate, incluse alcune considerate di “particolare importanza”.

Quando un’autorità di vigilanza chiude un procedimento pur sapendo che permangono vulnerabilità fondamentali, il messaggio implicito è chiaro: il sistema politico considera accettabile un certo livello di illegalità operativa purché funzionale agli obiettivi di sicurezza.

È la logica della tolleranza istituzionale verso l’eccezione permanente.

---

Documenti e fonti ufficiali

Inchieste giornalistiche

• Computer Weekly – “Inside Europol’s Shadow IT System”
• CORRECTIV – “Europol’s Shadow IT System”
• Cybernews – Europol Shadow Database Report

Documenti Europol e UE

• Europol – IOCTA 2026 PDF ufficiale
• Commissione Europea – Cybercrime Landscape 2026
• Europol – Comunicato ufficiale IOCTA 2026

Approfondimenti

• Computer Weekly – Europol AI Programme Investigation
• CORRECTIV – Investigative Journalism in the Public Interest