La vicenda Paragon dimostra, ancora una volta, che sicurezza e diritti non sono più nelle mani degli Stati ma di soggetti (più o meno) privati e fuori dal controllo delle istituzioni di Andrea Monti – Inizialmente pubblicato su La Repubblica – Italian tech
Il sospetto, maturato nei giorni scorsi e poi recentemente fugato dal governo italiano, che l’intelligence di Stato avesse usato lo spyware Paragon per intercettare un giornalista e un attivista ha riportato all’attenzione l’eterna domanda di Giovenale —chi controlla i controllori?— ma con la necessità di una riformulazione: chi controlla i fornitori dei controllori?
Siamo tutti sorvegliabili?
Prima di rispondere a questa domanda è necessaria una doverosa premessa.
Per quanto sgradevole possa risultare la circostanza, bisogna rendersi conto che nessuno Stato, a prescindere dal livello di democrazia al quale si trova, può fare a meno della raccolta anche clandestina di informazioni e che praticamente nessuno, avvocati e giornalisti compresi, è al di fuori del perimetro dei “sorvegliabili”.
Per dirla con il personaggio di un’icastica vignetta di Altan, “le spie spiano” e l’interlocutore rilancia: “roba da matti”.
Realpolitik della (contro)sorveglianza
A partire da qui, si dovrebbe affrontare, ma non è questa la sede, il tema dello Stato paternalista che invoca la sorveglianza in nome del sicurezza dei cittadini, ma che in realtà e sostanzialmente lo fa per assicurarsi la sopravvivenza. Tranquillitas, non libertas —sicurezza ma non libertà— promettono ancora oggi i successori, ad ogni latitudine, di Ottaviano Augusto. In un contesto del genere è chiaro che il “superiore interesse dello Stato” o la “sicurezza nazionale” diventano soltanto degli espedienti retorici per assicurarsi mano libera nel reprimere il dissenso o, che è la stessa cosa, manipolare il consenso.
Parallelamente, ma non qui, ci si dovrebbe interrogare su come, e con altrettanta ipocrisia, libertà di esprimersi e a informare siano stati trasformati da strumenti di democrazia in falsi idoli da venerare per scopi altrettanto meno nobili.
Dunque, in nome di una autoattribuita superiorità etica, un po’ dappertutto nel mondo attivisti e operatori dell’informazione che dichiarano di agire in nome del “greater good” (anche in questo caso, a volte, velo ipocrita di agende personali e di potere) ritengono, per ciò solo, di essere legittimati a violare le regole e a non essere puniti né, tantomeno, sorvegliati.
Il sospetto, maturato nei giorni scorsi e poi recentemente fugato dal governo italiano, che l’intelligence di Stato avesse usato lo spyware Paragon per intercettare un giornalista e un attivista ha riportato all’attenzione l’eterna domanda di Giovenale —chi controlla i controllori?— ma con la necessità di una riformulazione: chi controlla i fornitori dei controllori?
Cosa sappiamo di Paragon, lo spyware usato dai governi
Siamo tutti sorvegliabili?
Prima di rispondere a questa domanda è necessaria una doverosa premessa.
Per quanto sgradevole possa risultare la circostanza, bisogna rendersi conto che nessuno Stato, a prescindere dal livello di democrazia al quale si trova, può fare a meno della raccolta anche clandestina di informazioni e che praticamente nessuno, avvocati e giornalisti compresi, è al di fuori del perimetro dei “sorvegliabili”.
Per dirla con il personaggio di un’icastica vignetta di Altan, “le spie spiano” e l’interlocutore rilancia: “roba da matti”.
Realpolitik della (contro)sorveglianza
A partire da qui, si dovrebbe affrontare, ma non è questa la sede, il tema dello Stato paternalista che invoca la sorveglianza in nome del sicurezza dei cittadini, ma che in realtà e sostanzialmente lo fa per assicurarsi la sopravvivenza. Tranquillitas, non libertas —sicurezza ma non libertà— promettono ancora oggi i successori, ad ogni latitudine, di Ottaviano Augusto. In un contesto del genere è chiaro che il “superiore interesse dello Stato” o la “sicurezza nazionale” diventano soltanto degli espedienti retorici per assicurarsi mano libera nel reprimere il dissenso o, che è la stessa cosa, manipolare il consenso.
Parallelamente, ma non qui, ci si dovrebbe interrogare su come, e con altrettanta ipocrisia, libertà di esprimersi e a informare siano stati trasformati da strumenti di democrazia in falsi idoli da venerare per scopi altrettanto meno nobili.
Dunque, in nome di una autoattribuita superiorità etica, un po’ dappertutto nel mondo attivisti e operatori dell’informazione che dichiarano di agire in nome del “greater good” (anche in questo caso, a volte, velo ipocrita di agende personali e di potere) ritengono, per ciò solo, di essere legittimati a violare le regole e a non essere puniti né, tantomeno, sorvegliati.
Come funziona Paragon, lo spyware che ha infettato i cellulari di Casarini e Cancellato
La privatizzazione del controllo
Vale la pena, piuttosto, rilevare che fra i due estremi, i veri protagonisti di questo “tutti contro tutti” sono due aziende private che si schierano su fronti opposti: Paragon con gli “spioni”, Meta con gli “spiati”.
Come per le teste dell’Idra di Lerna, serve a poco (cercare di) buttare fuori mercato un produttore di spyware, perché al suo posto ne arriva (o ne sale alla ribalta) un altro. È successo con Galileo, il remote control system dell’italiana Hacking Team, poi con Pegasus, lo spyware costruito dalla israeliana NSO messa sotto accusa da Apple che poi fece marcia indietro chiedendo di abbandonare il giudizio e oggi con il trojan di Paragon, anch’essa israeliana.
Il fatto che strumenti come gli spyware siano forniti agli Stati da aziende private non dovrebbe stupire più di tanto. Il settore dei defense/intelligence contractor —i “fornitori” di servizi segreti e difesa— esiste da sempre, dunque è perfettamente normale che un soggetto non istituzionale sviluppi armi e strumenti offensivi da rivendere agli esecutivi.
Esattamente come nel caso delle armi, anche gli spyware sono venduti soltanto a determinati Stati. Tuttavia, mentre nelle armi la “lista clienti” è chiaramente determinata dagli equilbri geopolitici, nel caso degli spyware —e di Paragon in particolare— il criterio di selezione è anche l’impegno contrattuale a non spiare giornalisti e attivisti la cui violazione sarebbe il motivo per il quale sarebbero stato “disdetti” i contratti con l’Italia.
Questa scelta è abbastanza singolare perché, mantenendo il paragone con le armi, un produttore di bombe o proiettili non vieta ai propri clienti di non usare ordigni e munizioni contro determinati bersagli, pena il ritiro della merce.
Se questo principio vale per strumenti offensivi “tradizionali” perché non dovrebbe valere anche per quelli informatici?
Perché un pubblico ministero, con le dovute autorizzazioni del giudice per le indagini preliminari, non dovrebbe poter intercettare (anche) giornalisti e attivisti sospettati di commettere reati?
E, dunque, a che titolo un’azienda privata e per di più extracomunitaria si riserva il potere di limitare il raggio d’azione di strutture istituzionali di un Paese democratico?
La risposta a queste domande è alquanto complessa e implica affrontare diversi temi.
Uno è la volontà politica degli Stati che hanno una superiorità tecnologica di non lasciare nelle mani di altri governi il pieno controllo di uno strumento innocuo dal punto di vista della letalità fisica, ma pericolosissimo se utilizzabile per raccogliere informazioni su chiunque (Stati “amici” compresi).
Un altro, anche se non ci sono elementi per ritenere che questo sia il caso, è la possibilità che in questo settore si stipulino accordi analoghi ai “pink contract” che gli internet provider stipulano con gli spammer: faccio finta di non sapere quello che fai con il mio servizio, ma se la notizia diventa pubblica ti cancello il contratto. La forma giuridica è salva, la sostanza dei diritti, un po’ meno.
Sintetizzando, dunque, in un contesto del genere la dichiarata volontà di tutelare i “diritti umani” (e nemmeno tutti, peraltro) appare più come una strumentalizzazione di principi giuridici che come una sincera preoccupazione di trovare un equilibrio fra esercizio del potere e tutela di (alcune categorie di) cittadini.
La pubblicizzazione della controsorveglianza
L’attenzione verso Paragon e i governi che hanno utilizzato il suo spyware ha fatto passare in secondo piano il ruolo di un’altra azienda, Meta, che ha avuto un ruolo altrettanto importante in questa vicenda.
La scoperta dell’esistenza di account WhatsApp colpiti dallo spyware, infatti, è dovuta, si apprende da un comunicato, al dichiarato impegno del colosso dei social network a far sì che i propri utenti possano continuare a comunicare privatamente (anche a costo, n.d.a. di compromettere operazioni di polizia o di intelligence e le capacità stesse di uno Stato di porle in essere, come appunto nel caso Paragon).
Dunque, da un lato ci sono i “cattivi” che cercano a tutti i costi di violare la privacy dei cittadini diventando “complici” (ma non, poi, troppo) dei governi e dall’altro ci sono i “buoni” che la proteggono, nel disinteressato interesse a garantire i diritti dei cittadini.
La prima considerazione che viene in mente, di fronte a questa narrativa semplicistica, è che se la Paragon di turno si è appropriata del potere di decidere quali sono i limiti del potere di uno Stato sovrano, la Meta di turno si attribuisce il potere, che spetterebbe alla magistratura, di decidere come si tutelano i diritti e di chi.
La privatizzazione dei diritti
Siamo di fronte, in altri termini, ad un ulteriore passo della marcia verso la privatizzazione dei diritti iniziata qualche tempo fa e che ha già superato diverse tappe. Tanto per citarne alcune, basta ricordare il tentativo di Apple (che poi non è riuscita a farlo) di inserire il client-side scanning (il controllo preventivo dei contenuti) all’interno di iOS e la sua dichiarata volontà di non “indebolire” la sicurezza dei propri prodotti a beneficio della magistratura; oppure l’impiego, da parte di Cloudflare, del protocollo ODoH (Oblivious DNS over http) che, in nome della tutela della privacy degli utenti, rende impossibile associare le richieste di connessione a un sito internet con l’IP che le ha formulate e che per questo ha perso una causa civile in Italia essendosi rifiutata di fornire i dati necessari a individuare i clienti coinvolti nello streaming illegale di eventi sportivi. Oppure ancora, basta analizzare il modo opaco e farraginoso nel quale le piattaforme gestiscono le procedure di controllo sui contenuti e sul ripristino degli account chiusi per non meglio specificate “violazioni delle policy”.
Anche in questo caso, dunque, analogamente alla “clausola di disdetta per violazione dei diritti di giornalisti e attivisti” del contratto di Paragon, l’invocazione della tutela dei diritti fondamentali per giustificare scelte industriali sembra più uno strumento di marketing che il frutto di una genuina preoccupazione per le sorti dell’umanità.
Per convincersene basata sostituire nei comunicati di Big Tech che citano riservatezza, libertà di espressione (e poco altro, in verità) il termine “utenti” con la parola “clienti” e tutto diventa più chiaro. Chi comprerebbe o userebbe prodotti e servizi con la consapevolezza che sono controllabili a piacimento dallo Stato (e forse, prima ancora, da delinquenti e criminali di varia estrazione)? E perché la preziosa miniera di dati generati dagli utenti dovrebbe essere messa in pericolo dal fatto che qualcun altro, in modo più o meno legittimo, possa averne direttamente la disponibilità?
La crisi del ruolo dello Stato (e delle istituzioni a-nazionali)
Emerge chiaramente da quello che sarebbe opportuno chiamare il “caso Paragon-Meta” che il ferreo controllo di Big Tech sulle tecnologie dell’informazione è (stato reso) possibile attraverso la trasformazione dei diritti in un oggetto che si può vendere, comprare, ma soprattutto del quale ci si può impadronire senza che gli Stati possano avere voce in capitolo o, anzi, con la loro interessata collaborazione.
Norme come il regolamento europeo sui “Digital Service”, che privatizzano la segnalazione di contenuti “inopportuni” e “illegali” a delatores privati e le decisioni sulla relativa rimozione non sono altro che una confessione di fallimento del tentativo di garantire la tutela pubblica a chi subisce la violazione del proprio diritto d’autore, della propria reputazione o della propria riservatezza. E nello stesso tempo, norme del genere sono la confessione di fallimento nel garantire a ciascuno, colpevole o innocente che sia, un giusto processo celebrato da un giudice vero.
Sia come sia, una cosa è certa: quando si parla di diritti, non sono più gli Stati né le organizzazioni sovra e a-nazionali ad essere gli unici a poter prendere decisioni che riguardano le vite di tutti noi.
Possibly Related Posts:
- Dopo Huawei e TikTok, è DeepSeek la nuova minaccia per la sicurezza nazionale Usa?
- Il libro che insegna a pensare come uno scienziato
- La sanzione fiscale pagata da Google non placa lo spettro della webtax
- Il Garante dei dati personali ha veramente “bloccato” DeepSeek?
- La tecnologia della libertà (e della sua limitazione)