La Guerra fredda delle piattaforme web
“Big brother is watching you”
Basta ricordare la società descritta da Orwell in “1984” per dimostrare che il controllo non è sempre sinonimo di sicurezza.
Malware, spyware, virus e trojan in termini giuridici vengono chiamati “captatori informatici” e, grazie alla riforma della giustizia voluta dal Ministro Bonafede (la cosiddetta “Spazzacorrotti”, approvata a gennaio 2019) questi software informatici possono essere utilizzati dalla Procura della Repubblica anche per le indagini di corruzione. Fino a quel momento, stando alla legge del Ministro Orlando del 2017, potevano essere impiegati solo per casi di mafia e terrorismo.
Capita, tuttavia, che i dati delle indagini portate avanti dai servizi di intelligence e dalla Procura finiscano in server illegittimi, alimentando così una vera e propria compravendita di informazioni riservate.
Il cavallo di trojan:
Exodus è l’ultimo trojan italiano inventato da Diego Fasano, un imprenditore calabrese arrestato nel maggio scorso con l’accusa di aver ricavato intercettazioni illegali su decine di persone inconsapevoli. Fasano era infatti l’amministratore delegato della società informatica e-Surv ed è indagato, insieme all’ingegnere Salvatore Ansani, di violazione della privacy, frode in pubbliche forniture e intromissione abusiva in sistema informatico.
Exodus era stato venduto anche al Ministero dell’Interno e ai Servizi Segreti italiani, cioè l’Aisi (l’agenzia che monitora la sicurezza interna del paese) e l’Aise (l’organismo di intelligence che ha il compito di prevenire le minacce provenienti dall’estero).
Il sistema Exodus era un software di Stato ma all’inizio di quest’anno è stato scoperto che il trojan (che di fatto trasformava i telefoni in microspie) raccoglieva intercettazioni e dati sensibili, i quali venivano poi immagazzinati in un archivio segreto negli Stati Uniti, in Oregon. Inoltre Exodus ha anche intercettato illegalmente migliaia di cittadini italiani estranei ad indagini penali perché il software spia, nascosto in App facilmente scaricabili da Google Play e che avrebbe dovuto attivarsi solo in base al codice Imei del telefono, è stato erroneamente scaricato dai dispositivi.
Le questioni su cui occorre soffermarmi sono due e la risposta è una: la mancanza di un disciplinare. Come è possibile che un server di Stato inviasse dati delicati e riservatissimi in un archivio all’estero? Come è possibile che la polizia giudiziaria e le Procure della Repubblica non si siano accorte che il malware poteva essere scaricato anche da semplici cittadini?
Il problema di degli archivi all’estero e la mancanza di una normativa:
Stando alle dichiarazioni di Diego Fasano, i server in Oregon sono server intermedi necessari, che costituiscono ciò che in gergo si chiama “catena di anonimizzazione”. Essa impediva, nel caso in cui l’indagato si fosse accorto del virus, di non risalire direttamente al server della Procura della Repubblica. Tuttavia, per legge, i dati intercettati non devono transitare da server diversi rispetto a quelli della Procura e la cosiddetta “catena di anonimizzazione” avrebbe in realtà messo in rete, all’estero, per anni informazioni riservatissime facilmente accessibili da chiunque.
Ma il problema del passaggio dei dati a server terzi non riguarda solo la società privata calabrese. Infatti, è lo stesso capo della Direzione Distrettuale Antimafia di Milano, Alessandra Dolci, a denunciare il fatto che i dati raccolti da un trojan su un dispositivo, ad oggi, finiscono su un server temporaneo gestito dalla società che noleggia il software. L’ulteriore tappa del percorso è poi il server della DDA.
Il problema, quindi, è controllare la filiera investigativa. Manca la possibilità di vedere quando viene attivato e disattivato il trojan. Mancano delle norme certe che evitino la manipolazione dei dati. E non sono problemi da poco, dato che i trojan sono in grado di scrivere messaggi, registrare conversazioni e manipolare qualsiasi tipo di dato, sostituendosi, di fatto, al proprietario del telefono.
Sempre il capo della DDA denuncia la mancanza di decreti ministeriali che indichino quelli che possono essere le caratteristiche tecniche dell’intrusore informatico, insieme alla sua funzione di perquisizione (cioè la captazione dei dati in memoria del telefono).
A sottolineare la grave mancanza di questi decreti normativi, secondo il professore di informatica giuridica all’Università di Milano, Giovanni Ziccardi, un disciplinare tecnico dell’uso del trojan da parte delle Forze dell’Ordine dovrebbe prevedere il controllo indipendente da parte di un soggetto terzo.
Perché, fino a quando tutto il materiale raccolto rimane rilegato negli ambienti della procura o in aziende ad essa collegate e viene portato a processo solo l’esito, senza la possibilità di controllare tutta la filiera investigativa, non si può ritenere che venga svolta un’attività corretta.
I sistemi di sorveglianza nel mondo:
La storia insegna e il caso Hacking Team dovrebbe spingere il governo italiano a dotarsi di una normativa.
Hacking Team è una società specializzata in software spia e il suo trojan, Galileo, è stato il migliore al mondo per anni. Tuttavia, il 6 luglio del 2015, l’azienda è crollata sotto l’attacco di un hacker che voleva denunciare cosa faceva veramente Hacking Team. È stato così scoperto che l’azienda vendeva i propri trojan a paesi non rispettosi dei diritti umani (per citarne alcuni: Sudan, Bahrein, Kazakistan) che avrebbero potuto usarli non per sventare attacchi terroristici, bensì contro oppositori e giornalisti.
Oggi il mondo dell’industria della sorveglianza conta 528 aziende. La società israeliana NSO è la migliore a livello mondiale e il proprio malware, Pegasus, è stato accusato di aver hackerato i cellulari di oltre 1400 persone tra cui giornalisti, attivisti dei diritti umani, diplomatici e dissidenti politici. Il software malevolo si sarebbe infatti infiltrato nella piattaforma Whatsapp di questi utenti per intercettare comunicazioni, rubare foto e documenti, attivare microfoni e tenere traccia delle loro posizioni. Ma il sistema di hackeraggio della NSO era già noto per essere stato usato nel controllo delle attività del giornalista e attivista Jamal Khashoggi , ucciso nel consolato saudita di Istanbul e del ricercatore Giulio Regeni, assassinato in Egitto.
Stando ai fatti, quindi, non è possibile non essere d’accordo con la dichiarazione di Marietje Schaake, una politica olandese che per dieci anni nel Parlamento europeo ha provato a regolamentare il commercio di software spia. Schaake afferma infatti che “i trojan sono armi digitali e vanno regolamentati come l’esportazione delle armi vere e proprie.”
Naturalmente è difficile regolamentare la vendita e l’esportazione di queste tecnologie da parte dei governi e delle aziende, perché si tratta di un giro di affari di decine di miliardi di dollari ma, in questa partita, è in gioco la libertà di tutti i cittadini del mondo. Anche la Germania, dove ogni anno si fanno circa 40 mila intercettazioni telefoniche, la Corte costituzionale tedesca ha sancito il diritto all’integrità e alla riservatezza dei sistemi informatici, unica in Europa.
Ma questo diritto non è ancora applicato quando lo Stato monitora i dati in transito. Quindi il trojan è libero e in questa sua libertà nasce una fondamentale contraddizione: sono software invasivi che compromettono la libertà dei cittadini ma sono anche il principale agente investigativo contro terroristi e invasori.
Anche il presidente SIO (Servizio Intervento Operativo, partner tecnologico delle Forze dell’Ordine) Elio Cattaneo si dimostra d’accordo con l’ex europarlamentare Schaake quando afferma che: “senza un trojan interamente controllato dallo Stato c’è il rischio di un sistema di sorveglianza di massa.”.
In assenza di un trojan di Stato, infatti, i servizi di intelligence e le procure sono costretti a utilizzare software progettati da altri e il pericolo è che il trojan usato dalle Forze dell’Ordine possa essere modificato e adattato per finalità criminali.
In sintesi, la mancanza di un disciplinare non aiuta né i magistrati, né le società che devono fare le investigazioni, né la giustizia perché questo implica l’assenza di un albo delle società che fanno le intercettazioni, spesso con strutture e funzionamenti poco chiari, alle quali, invece, bisognerebbe chiedere trasparenze in tutti i passaggi societari.
Sicurezza o libertà?
A questo punto siamo di fronte a un’imprescindibile verità: lo spionaggio si scontra con i diritti sanciti dalla legge. Cosa scegliamo? Sicurezza o libertà? La privacy è parte integrante della libertà umana e sarebbe meglio una legge che tuteli la privacy e la libertà piuttosto che il controllo elettronico di massa.
A tal proposito David Kaye, relatore speciale per la promozione e la tutela del diritto alla libertà di opinione e espressione per le Nazioni Unite, è pronto a presentare un rapporto ONU sui pericoli della sorveglianza di massa e auspica una regolamentazione dell’uso dei captatori informatici.
Per concludere, sicurezza e privacy possono convivere ma le tecnologie devono essere governate. Esse sono utilissime per contrastare mafia, terrorismo, corruzione ma rischiano di minare la libertà di tutti i cittadini. Senza una risposta coraggiosa “Il capitalismo della sorveglianza” (per citare il titolo del libro di Shoshana Zuboff, uscito a ottobre) continuerà a riempire il vuoto tra domanda di sicurezza e offerta di (apparente) libertà. Se vogliamo imparare a domarlo, abbiamo bisogno di norme e leggi.
A tal proposito, le richieste del garante della privacy al Parlamento europeo e al governo per indicare dei limiti nelle intercettazioni telematiche (i luoghi delle intercettazioni , le indicazioni sugli strumenti e le modalità per intercettare, le modalità con cui i dati vengono trasmessi e archiviati, la garanzia di integrità, sicurezza e autenticità dei dati) fanno ben sperare.
Perché la battaglia per il futuro dell’umanità interessa tutti.