La guerra delle VPN private e l’impotenza dello Stato

Google offre la propria VPN anche per gli utenti italiani e Apple si prepara a fare lo stesso con un servizio analogo come anche —sul fronte degli attivisti— Mozilla. Aumenta (forse) la sicurezza degli individui, diminuisce (certamente) la sovranità dello Stato. E l’Agenzia per la cybersicurezza non può farci nulla di Andrea Monti – professore incaricato di Digital Law nell’università di Chieti-Pescara – Originariamente pubblicato da Formiche.net

Da pochi giorni, Google ha esteso la disponibilità del servizio VPN che cifra il traffico di rete impedendone l’intercettazione già a livello di terminale anche ai clienti italiani che utilizzano il sistema operativo Android. Apple si prepara a fare lo stesso con un servizio di private relay, attivato in concomitanza con il rilascio dei nuovi sistemi operativi per computer e terminali mobili.  Anche Mozilla —la ONG che ha sviluppato il browser Firefox— ha esteso all’Italia un servizio in diretta concorrenza con quello delle due Big Tech.

Perché questi servizi rappresentano una criticità

Benché servizi analoghi fossero già disponibili sul mercato, il fatto nuovo è che ora vengono veicolati da soggetti che (nel caso di Apple e Google) controllano la totalità dei terminali mobili in circolazione e (insieme a Mozilla) distribuiscono i browser più diffusi al mondo. Di conseguenza, aumenta la possibilità di raggiungere direttamente centinaia (o, per quanto riguarda l’Italia, decine) di milioni di utenti e dunque di aumentare drasticamente la diffusione di questi strumenti.

Di fronte a questa prospettiva è inevitabile riaprire l’antico dibattito su quale sia l’impatto di tutto questo sulla sicurezza nazionale, sulla protezione delle infrastrutture critiche e sulla concerta possibilità delle forze di polizia di prevenire e reprimere azioni criminali. Prima ancora, tuttavia, bisognerebbe valutare l’impatto delle politiche industriali (non solo) delle Big Tech sulla strategia italiana per la tutela della sovranità digitale annunciata già ai tempi del primo governo Conte  e ribadita con l’istituzione dell’Agenzia per la cybersecurity .

La privatizzazione della sovranità digitale pubblica

Presi in quanto tali, infatti, VPN e Private Relay potrebbero essere considerati semplicemente degli strumenti di marketing che capitalizzano l’insicurezza dei servizi internet e il desiderio (e a volte l’ossessione) degli utenti di avere “privacy” quando si collegano a siti e piattaforme.

Tuttavia, guardando attraverso un obiettivo con un campo visivo più ampio si scopre un’immagine diversa. I protagonisti dell’ecosistema digitale, infatti, non si limitano più a condizionare il mercato tramite le proprie scelte di prodotto come avviene storicamente tramite la gestione dei software ma si sostituiscono addirittura agli Stati, alterando i rapporti di forza con e fra le nazioni sovrane.

Tanto per limitarsi ad aspetti macroscopici, il settore privato detiene, senza che lo Stato possa intervenire, il monopolio dell’interazione sociale e del consenso tramite le piattaforme di content-sharing, il controllo sui resolver DNS pubblici in modalità DoH  cioè dei sistemi che consentono di indirizzare gli utenti verso i siti internet senza che si possa sapere cosa stanno cercando, raccoglie i dati di traffico internet indispensabili per le indagini antiterrorismo e di polizia, si è autoattribuito il potere di indagine preventiva su azioni potenzialmente illecite e, da ultimo, quello sulla non intercettabilità delle connessioni di rete tramite appunto VPN e Private Relay. Inoltre, le entità che erogano questi servizi sono soggette alla giurisdizione statunitense e quindi non sono obbligate a rispettare ordini e richieste provenienti dalle autorità di altri Paesi salva la improbabile applicazione degli accordi internazionali di cooperazione giudiziaria, quando esistono.

Soluzioni politiche e scelte strategiche

È evidente che in uno scenario di questo genere uno Stato —e l’Italia, per quanto ci riguarda— diverso dagli USA è in una posizione di sostanziale subordinazione rispetto al settore privato dell’industria tecnologica. Nonostante le aspettative di politici e istituzioni, nemmeno la neonata Agenzia per la cybersecurity potrà intervenire dal momento che non ha poteri su servizi erogati dall’esterno dei confini italiani. Verrebbe quasi da parafrasare lo Humphrey Bogart di Deadline e dire che è l’internet, bellezza. E tu non puoi farci niente! Niente!

In realtà non è così, perché sarebbe possibile adottare soluzioni politiche basate su scelte strategiche analoghe a quelle pensate per la web-tax. Così come, a prescindere dalla fattibilità concreta, è opinione consolidata che le Big Tech dovrebbero pagare le tasse nei Paesi dove si trovano i loro clienti, allo stesso modo si dovrebbe decidere che, a prescindere dalla sede legale, queste società debbano cooperare direttamente con gli Stati nei quali erogano i propri servizi nel rispetto della legge e dei diritti dei cittadini pena (quantomeno) l’esclusione dal mercato.

Dichiarare l’applicabilità di una legge del genere al di fuori dei confini nazionali non sarebbe una soluzione elegantissima dal punto di vista della teoria generale del diritto. Tuttavia risolverebbe un problema politico estremamente concreto e ha già illustri precedenti in USA con il Cloud Act, in Europa con il Regolamento sulla protezione dei dati personali e in Cina con la legge sulla sicurezza nazionale.

Il punto è capire se esiste la volontà politica di compiere una scelta del genere, tanto impopolare quanto necessaria per bilanciare i fini privati con il superiore interesse dello Stato.

Possibly Related Posts: