Se l’Europa sceglie la sorveglianza di massa
di Philip Di Salvo
Negli ultimi giorni, per via del caso #cyberspionaggio ed EyePyramid, in Italia si è parlato molto di trojan, sorveglianza e sicurezza informatica. Rispetto alle prime indiscrezioni circolate sulla stampa, lo scenario è in realtà meno preoccupante di quanto si potesse pensare inizialmente e diverse personalità pubbliche, a cominciare dall’ex Premier Matteo Renzi, si è scoperto non essere state effettivamente hackerate. Il caso EyePyramid ha forse riacceso l’interesse dei media per questi temi, ma un punto deve essere ancora ribadito: la sorveglianza delle comunicazioni online e i rischi che questa implica per la privacy non riguardano esclusivamente le personalità pubbliche di primo piano, ma potenzialmente tutti i cittadini.
Le inchieste pubblicate nel 2013 da L’Espresso e basate sui documenti resi disponibili da Edward Snowden dimostrarono quanto anche l’Italia fosse coinvolta direttamente nel caso Datagate e come i programmi di sorveglianza Tempora del britannico Gchq e Boundless Informant, della statunitense Nsa, riguardassero anche il nostro Paese: il primo perché intercettava due cavi sottomarini transitanti nel nostro territorio nazionale, il secondo perché mostrava come in meno di un mese a cavallo tra 2012 e 2013 la Nsa avesse avuto accesso a quasi 46 milioni di metadati telefonici italiani. Nonostante alcuni segnali positivi, che hanno certamente posto un freno alle attività incontrollate della Nsa e delle agenzie di intelligence a essa alleate, le rivelazioni di Snowden non hanno di certo posto un freno alla sorveglianza di massa dei cittadini. Proprio in questi giorni, gli ultimi in carica, l’Amministrazione Obama ha infatti deciso di espandere i poteri della Nsa in fatto di condivisione delle informazioni raccolte con le altre agenzie di intelligence statunitensi.
Anche in Europa, comunque, il dibattito sortito sulla scia del caso Snowden non ha portato i governi a porre un freno alle loro attività di sorveglianza. Alcuni di questi, complici anche gli attacchi terroristici che hanno colpito il Vecchio Continente negli ultimi due anni, hanno persino rafforzato i propri poteri in questo senso. Just Security, centro studi statunitense dedicato ai temi della sicurezza informatica, ha parlato in una sua recente analisi di una nuova era di sorveglianza di massa in ascesa in tutta Europa: Germania, Regno Unito e Francia, infatti, sono i Paesi che sono intervenuti in modo più netto in questo senso sulle loro legislazioni, creando un precedente che difficilmente non verrà colto. Secondo Asaf Lubin, ricercatore della Yale Law School e autore del report, l’Europa avrebbe preso ogni moral ground nei confronti degli Stati Uniti e, di fatto, vanificato la decisione del Parlamento europeo che, nel 2015, decise di dichiarare invalido l’accordo “Safe Harbor”. Secondo l’accordo, i dati dei cittadini europei potevano essere trattati anche negli Usa previa l’accettazione di alcuni punti di tutela, ma all’epoca dell’abrogazione le attività della Nsa esposte da Snowden non davano più sufficienti garanzie sul modo in cui i dati degli europei potevano essere sfruttati da aziende di oltreoceano. Due anni dopo quella decisione, invece, è l’Europa stessa a intraprendere in prima persona la strada della sorveglianza di massa.
Il Regno Unito, ad esempio, ha promulgato quella che è di fatto la legge più vasta mai messa in essere da una democrazia in questo senso. L’Investigatory Powers Act, approvato a novembre 2016, infatti, “autorizza il Gchq a intraprendere attività di intercettazione su vasta scala, acquisizione e interferenza nelle attrezzature elettroniche (in una parola: hacking, nda) in relazione a comunicazioni o sistemi di comunicazione relativi all’estero e la compromissione di comunicazioni inviate o ricevute da persone che si trovano al di fuori dalle isole britanniche”, riassume Lubin nel suo testo. Inoltre, la nuova legge impone ai fornitori di servizi di raccogliere e mettere a disposizione i metadati sulle comunicazioni in loro possesso. Ai sensi della nuova legge, ad autorizzare tutte le attività vi sono dei “mandati” che, però, hanno poco a che vedere con quelli tradizionali in quanto autorizzano in blocco “un vasto numero di operazione con un singolo mandato”, scrive Lubin. Il rapporto di Just Security ricorda anche come le attività di intercettazione di massa del Gchq britannico, i cui dettagli sono stati a loro volta rivelati da Edward Snowden, siano già state messe sotto esame dalle autorità europee: l’European Court of Human Rights, ad esempio, sta valutando tre diversi casi la legittimità di queste operazioni. Uno, in particolare, riguarda Tempora, il programma di sorveglianza di massa che intercettava direttamente i cavi sottomarini.
In Germania, invece, lo scorso ottobre è entrato in vigore il Communications Intelligence Gathering Act. Secondo la nuova legge, il Federal Intelligence Service (Bnd) ha il potere di raccogliere e processare le comunicazioni di cittadini stranieri fuori dai confini tedeschi. L’aspetto più problematico, scrive Lubin, è che dalla Germania transitano alcuni dei maggiori “internet exchange points”, snodi di parti importanti del traffico Internet globale. La legge ne autorizzerebbe l’intercettazione, di fatto espandendo la reach di ascolto del Bnd. Al fine di raccogliere “parole chiave rilevanti” – dei “selettori” – o “network di comunicazione” il Bnd può svolgere anche dei “test di rilevanza”, scrive Just Security, per raccogliere e analizzare informazioni e dati personali che potranno essere utilizzati nei due casi citati o se possono “evitare una serie minaccia alla vita o alla libertà di una persona o la sicurezza della Repubblica federale tedesca”. Questi test possono essere svolti dal Bnd “senza la supervisione del potere legislativo o giudiziario”, scrive Lubin.
La Francia, invece, si è dotata di una nuova legge in fatto di sorveglianza nel novembre del 2015, appena due settimane dopo gli attacchi di Parigi. L’International Electronic Communications Law di fatto autorizza il French Directorate General for External Security a “intercettare, raccogliere, e monitorare le comunicazioni inviate o ricevute all’estero”, scrive Lubin. La nuova legge ha anche modificato i poteri del National Commission for the Control of Security Interceptions e ora, per le operazioni autorizzate dal Primo ministro, proveniente da richieste della Difesa, non è più previsto un parere e la Commissione viene semplicemente informata delle decisioni prese. Inoltre, si legge nel rapporto di Just Security, “non viene fornita alcuna linea guida statuaria sugli elementi che vanno presi in considerazioni nelle review né sui poteri assegnati alla Commissione qualora l’’autorizzazione di una intercettazione fosse giudicata impropria”. La legge francese è stata portata a sua volta di fronte l’European Court of Human Rights che dovrà esprimersi nel merito di tredici diverse denunce.
Secondo Just Security, le tre leggi, nonostante alcune differenze nell’approccio alla materia, rappresentano dei precedenti che altri Paesi potrebbero seguire nel regolamentare le proprie attività di sorveglianza. Anche altri Paesi del continente, infatti, come la Svizzera, la Polonia o la Svezia, hanno di recente intrapreso percorsi simili e anche in Italia, l’argomento torna ciclicamente sull’agenda della politica. A rendere simili le leggi analizzate nel report, ad esempio, è l’apertura alle attività di intercettazione su larga scala su basi opache e poco chiare e la mancata introduzione di elementi di controllo e supervisione adeguati che potrebbe prevenire eventuali abusi, specialmente per quanto riguarda la condivisione delle informazioni e dei dati raccolti con le intelligence di altri Paesi. Inoltre, tutte le legislazioni indicano nessuna o poche garanzie a protezione di comunicazioni particolarmente sensibili, come quelle dei giornalisti o delle istituzioni nazionali o internazionali. Per tutte queste ragioni, scrive Just Security, queste leggi rendono di fatto la sorveglianza di massa la nuova normalità. Il 2013, anno in cui di fronte alle prove portate da Edward Snowden, si iniziò a discutere della sistematica violazione della privacy dei cittadini da parte dei governi come di un problema e di una potenziale violazione dei diritti umani, sembra lontanissimo.
Philip Di Salvo è giornalista e ricercatore. Le sue aree di ricerca includono il whistleblowing, la sicurezza digitale nel giornalismo e i rapporti tra hacker e giornalisti. Attualmente sta completando la sua tesi di dottorato presso l’Università della Svizzera Italiana a Lugano, in Svizzera, dove lavora anche come editor per lo European Journalism Observatory. Scrive per l’edizione italiana di Wired e per altre testate.
Foto di copertina: Signals intelligence. Fonte: Tom Blackwell/Flickr