Equalize, il caso di dossieraggio che sta animando le cronache di queste ore ripropone tutti i temi posti da vicende analoghe accadute in Italia e all’estero, e in particolare ne evidenzia tre: la “fedeltà” dei civil servant a cui è affidato il potere di entrare nelle “vite degli altri”, il coinvolgimento di soggetti privati nell’erogazione di servizi tecnologici ad apparati critici dello Stato, la necessità di “non andare troppo per il sottile” o di praticare la “plausible deniability” da parte di istituzioni, aziende e soggetti in posizioni apicali anche nei settori privati – di Andrea Monti – Inizialmente pubblicato su Strategikon – Italian Tech – La Repubblica
Il problema non sta nelle norme
Sgombriamo subito il campo da un dubbio: le norme per prevenire fenomeni del genere e sanzionare chi se ne rende responsabile ci sono, e non da oggi. Sulla carta, il dossieraggio privato è vietato fin dagli anni ’30 del secolo scorso quando il Testo unico di pubblica sicurezza stabiliva (e ancora stabilisce) all’articolo 134 che raccogliere informazioni su altre persone fosse consentito solo ai titolari di una licenza rilasciata dal Prefetto. Il Codice penale contiene fin dal 1930 diverse norme che impedirebbero “a monte” di raccogliere informazioni sulle persone, come per esempio quelle a tutela dell’inviolabilità del domicilio, della corrispondenza e quelle che puniscono come interferenza illecita nella vita privata il comportamento di chi tramite videoriprese o registrazioni indebite si procura notizie su una persona, e ancora quelle sulla presa di controllo di sistemi informatici pubblici e privati. Persino l’inutile e farraginoso “GDPR” del 2016 —anzi, soprattutto il GDPR— e prima di lui la legge 675 risalente addirittura al 1996, avrebbero dovuto rendere i sistemi informativi pubblici e privati a prova di perdite. Tuttavia, questo muro apparentemente invalicabile fatto di leggi, di regole e di (minacciate) sanzioni esemplari si è rivelato molto poco efficace nell’arginare, da un lato, la propensione a delinquere di chi è preposto a controllare i sistemi e, dall’altro, la necessità che determinate attività di interesse istituzionale fossero invece attribuibili a iniziative private.
Il (mancato) controllo della tecnologia e le (fughe di) informazioni
Markus Wolf, ultimo capo della divisione intelligence estera dei servizi segreti della Germania Est—la STASI— descrive nella sua autobiografia pubblicata nel 1997 il complesso sistema per la gestione delle informazioni raccolte dalla STASI e conservate su schede cartacee. Il materiale era diviso in tre parti, custodite in luoghi separati e sorvegliati individualmente: così, chi voleva accedere a determinate informazioni doveva necessariamente passare attraverso una serie di controlli che riducevano di molto la probabilità di un accesso non autorizzato. E a chi gli faceva notare che gli USA erano molto più avanti nella gestione delle informazioni grazie ai computer, rispondeva di non riuscire a fidarsi di macchine che consentivano ai ragazzini di accedere ai sistemi della NASA.
Le parole di Wolf anticipano di qualche decennio il problema causato dall’impiego di tecnologie per la gestione di informazioni critiche e dell’affidamento a soggetti privati delle attività di assistenza e manutenzione di piattaforme e apparati. Quanto più è lunga la catena dei subappalti, tanto più si allenta il controllo sulle attività dei soggetti coinvolti, che viene sempre più delegato a “checklist” e “certificazioni” e sempre meno a verifiche puntuali, concrete e mirate.
Quanto più i controlli di sicurezza di fanno sulla carta, tanto più gli “invisibili”, oscuri proletari dell’informatica, o dipendenti ai quali sono affidate mere “mansioni di ordine” —ma che hanno le chiavi per entrare nella stanza del tesoro— operano al di sotto della soglia della percezione dei “controllori”. In questo modo essi diventano più facilmente oggetto dell’attenzione dei corruttori interessati a comprare informazioni quando non, addirittura, sono essi stessi a venderle.
Parallelamente, il phishing e tutto l’arsenale del perfetto truffatore informatico insieme alla scarsa scrupolosità con la quale vengono gestiti molti servizi online e ai comportamenti superficiali degli utenti facilitano la commissione di attacchi anche ad account privati o individuali dai quali spesso si accede a informazioni di grandissimo valore (per esempio, ricattatorio).
IA, tecnologia e dossieraggi
Stando alle notizie pubblicamente disponibili, una delle peculiarità del caso Equalize sarebbe l’uso dell’onnipresente intelligenza artificiale per “lavorare” i dati ottenuti. In realtà, il suo impiego per analizzare dati provenienti da sistemi e supporti informatici è tutt’altro che un’esclusiva di Equalize se è vero che, per esempio, nella comunità hacker italiana son già state presentate IA generative per l’analisi di grandi quantità di dati raccolte nell’ambito delle indagini giudiziarie.
La cosa, peraltro, non dovrebbe fare scandalo né suscitare preoccupazione perché la killer application dell’AI generativa è proprio la possibilità di estrarre informazioni da una serie di file senza dover necessariamente utilizzare un database. Che questo accada per la scrittura di una tesi di laurea o per la compilazione di schede-personali o valutazioni individuali da parte di soggetti criminali non fa molta differenza (al netto del fatto che queste tecnologie sono ancora poco affidabili nella produzione di risultati che si possono prendere per buoni senza ulteriori verifiche).
La zona grigia della plausible deniability tecnologica
Più che l’uso passivo di tecnologie (relativamente) avanzate per analizzare dati, quello che dovrebbe far riflettere è l’assottigliamento —se non addirittura l’eliminazione— del confine fra attività istituzionali e azioni criminali.
Se questo è il caso nella vicenda Equalize è presto per dirlo e bisognerà ovviamente attendere il risultato del processo. La storia recente, tuttavia, racconta di svariati casi nei quali le commistioni fra apparati istituzionali e settore privato non sono sempre state gestite all’insegna della trasparenza.
A partire dagli anni ’70 CryptoAG un produttore svizzero di macchine cifranti vendette i propri apparati per la comunicazione sicura a oltre cento Paesi, consentendo ai suoi reali controllori (CIA e intelligence tedesca) di accedere per anni a comunicazioni apparentemente sicure. Nel 2015 sempre gli USA (ma questa volta tramite la NSA) in collaborazione con le autorità danesi hanno spiato leader europei fra i quali Angela Merkel. Mentre nel 2021 il Regno Unito fu condannato dalla Corte europea per i diritti umani a causa delle opacità dei criteri per attivare sistemi di sorveglianza, cioè per avere creato un processo burocratico che consentiva di deflettere le attribuzioni di responsabilità per le scelte assunte.
Questi esempi dimostrano empiricamente che, in nome della Realpolitik, ci possono essere casi nei quali le attività di intelligence non possono essere condotte direttamente dalle strutture interessate ma è necessario —che sia legittimo, è un altro paio di maniche— servirsi di operatori privati, non (formalmente) in rapporto che l’autorità costituita. Non stupisce dunque che esistano aziende costituite ad hoc o che, pur facendo altro, si prestano a cooperare in attività che devono rimanere confidenziali anche all’interno dell’amministrazione di appartenenza, magari godendo di una qualche sorta di immunità di fatto anche per lavori di altra natura o eseguiti per altri clienti.
Conclusioni
In vicende come quelle di Equalize è sempre presente il rischio di scivolare verso derive da romanzo cyberpunk immaginando schiere di incappucciati che arrivano a prendere il controllo di tutti i sistemi sui quali mettono le mani, grazie alle onnipresenti “sofisticatissime tecnologie informatiche” delle quali soltanto loro dispongono, o da spy-story ipotizzando scenari da complotto globale.
Un approccio più pragmatico, invece, imporrebbe di domandarsi se non sia arrivato il momento di snellire la filiera dei subappalti nella gestione dei sistemi informativi critici e di intensificare i controlli sia sui soggetti che vengono chiamati a svolgere attività di supporto tecnico alle indagini di polizia giudiziaria, sia sulle società che operano nel brokeraggio delle informazioni, specie se hanno relazioni istituzionali, per evitare il consolidarsi di situazioni ambigue come quelle che parrebbero emergere in questi giorni.
Possibly Related Posts:
- Webscraping e Dataset AI: se il fine è di interesse pubblico non c’è violazione di copyright
- Perché Apple ha ritirato la causa contro la società israeliana dietro lo spyware Pegasus?
- Le sanzioni UE ad Apple e Google aprono un altro fronte nella guerra contro Big Tech (e incrinano quello interno)
- La rottura tra Stati e big tech non è mai stata così forte
- Le accuse mosse a Pavel Durov mettono in discussione la permanenza in Europa di Big Tech