Le ragioni di Cupertino, i dubbi degli esperti e un tema che pone di nuovo al centro i diritti degli utenti nel confronto tra Big Tech e Stati Sovrani di Andrea Monti – Inizialmente pubblicato su Strategikon – Italian Tech La Repubblica
Con un colpo di scena degno dei migliori copioni rocamboleschi, lo scorso 13 settembre 2024 Apple ha depositato un’istanza per l’estinzione del processo avviato tre anni fa contro NSO, la società israeliana autrice dello spyware Pegasus che tanta indignazione aveva provocato nel mondo delle istituzioni e dei difensori dei “diritti digitali”.
Tre sono i motivi che avrebbero indotto Apple ad assumere questa decisione:
- andare avanti con il processo significherebbe rendere disponibili informazioni confidenziali;
- non possiamo correre il rischio che queste informazioni escano dal fascicolo processuale;
- anche se vincessimo, la vittoria non servirebbe a nulla perché ci sono altri sviluppatori di software analoghi a Pegasus che non sarebbero scalfiti dalla sentenza.
Nel loro pragmatico cinismo questi motivi sono del tutto condivisibili tanto che viene da chiedersi come mai non siano stati presi in considerazione già nel 2021, prima di avviare il processo. Che certe informazioni sarebbero entrate nel processo era, infatti, evidente; che potessero sfuggire dal controllo in uno dei tanti inevitabili passaggi di mano, anche; e basta avere una minima conoscenza dell’ecosistema criminale che caratterizza le tecnologie dell’informazione per sapere che le minacce si moltiplicano e si adattano in funzione delle “necessità”. E allora perché, rimanendo alla stretta cronaca, Apple ha deciso di fare marcia indietro?
La possibile divulgazione di informazioni sensibili per Apple
Qualche possibile risposta arriva dall’analisi dell’istanza rivolta alla San Francisco Division della United States District Court – Northern District of California.
Secondo Apple, procedere oltre con questa causa implicherebbe la potenziale divulgazione a terzi delle informazioni che Apple utilizza per contrastare gli spyware, mentre i convenuti e altri soggetti ostacolano seriamente la possibilità di ottenere un verdetto favorevole e dunque per evitare di compromettere l’impegno nei confronti della sicurezza dei propri utenti, e alla luce degli sviluppi sopra descritti, Apple ha deciso di dare priorità alla tutela dei propri sistemi di sicurezza per continuare a bloccare gli spyware.
L’illogicità di questa argomentazione è evidente: il fatto che NSO non voglia (perché ritiene di essere “coperta” dalle necessità di sicurezza nazionale israeliana) o non possa (perché i documenti di interesse per la causa sarebbero stati sequestrati dal governo di Tel Aviv) non cambia il dovere di Apple di addure le prove a sostegno della propria azione legale e del diritto di difesa di NSO.
Con un ottimo esempio di “ingegneria forense” Apple argomenta quindi la decisione affermando di avere inizialmente messo in conto che certe informazioni sarebbero state diffuse, ma che lo scenario è cambiato e ora non è più opportuno renderle disponibili. Ma quali sono questi cambiamenti? Il processo è rimasto tal quale e quindi quello che doveva essere esibito prima (se era necessario farlo) deve essere esibito anche dopo. Quindi la decisione di fare un passo indietro non può essere stata causata da un cambio di regole processuali o da una qualche forma di “sfiducia” nella capacità del sistema processuale statunitense di mantenere la confidenzialità degli atti.
Il che porta all’altrettanto interessante ulteriore motivazione a sostegno della richiesta di interrompere il processo: Apple ha continuato a sviluppare sistemi di threat intelligence sempre più evoluti, che hanno elevato ad altissimi livelli l’efficacia delle proprie misure di sicurezza attualmente utilizzate per proteggere gli utenti dai convenuti e da altri spyware. La compromissione di queste informazioni – un rischio inevitabile insito nella loro divulgazione a terzi – comprometterebbe gravemente l’efficacia del programma di Apple e la capacità di proteggere i suoi utenti, soprattutto in un ambiente ad alto rischio in cui gli avversari sono disposti a tutto pur di procurarsi queste informazioni.
La prudenza di Apple e il rischio che qualche ‘anello debole’ ceda
Questo argomento è ben sintetizzato nei versi di Metastasio: voce dal sen fuggita, più richiamar non vale. In altri termini, sembra dire Apple, va bene il processo, va bene l’obbligo di provare le proprie affermazioni e va bene anche il diritto di difesa degli avversari; ma se lasciamo che le informazioni sui nostri sistemi di sicurezza vengano messe a disposizione delle controparti, dei loro periti e chissà di chi altri, aumenta il rischio che —nonostante i doveri di confidenzialità— qualche anello più debole della catena di custodia si rompa a causa di negligenza o di un’azione deliberata diretta a sottrarle o a diffonderle, magari su Wikileaks. Come a dire: fidarsi è bene, non fidarsi è meglio.
Infine, ritiene Apple, l’industria dello spyware è molto cambiata. I convenuti sono stati in parte soppiantati da un numero crescente di produttori di spyware, il che significa che le minacce non sono più rappresentate da un unico soggetto … dunque anche una vittoria completa in questa causa non avrebbe lo stesso impatto che avrebbe avuto nel 2021 e quindi altri produttori di spyware diversi dai Convenuti non saranno coinvolte nella causa e potranno continuare a porre in atto le loro destructive tactics.
Ma se questo è il motivo, allora non si capisce il perché dell’avvio di una causa civile, che serve a ottenere risarcimenti o a far cessare condotte commercialmente o contrattualmente scorrette, e non di un’azione penale che, come dimostra il caso del malware ReVIL, è invece diretta ad individuare e reprimere condotte pericolose per la collettività.
Tutte queste contraddizioni sembrano, in effetti, difficilmente superabili, ma si possono risolvere con un piccolo esercizio di “cerca e sostituisci” negli atti processuali. Basta, infatti, cambiare la parola “user” con “customer” —“utente” con “cliente”— e tutto diventa molto più chiaro: anche il caso NSO rientra nello scontro in corso per stabilire chi decide “quali” sono i diritti delle persone, quando questi diritti devono essere compressi in nome degli interessi di una enorme corporation e fino a che punto lo Stato può o deve occuparsi della tutela di una Big Tech anche a scapito della collettività invece di trasferire il compito a un potente organismo privato superiorem non recognoscens.
—
N.B. Le traduzioni dall’Inglese degli atti di causa non sono ufficiali
Possibly Related Posts:
- Chi ci protegge dal dossieraggio tecnologico?
- Webscraping e Dataset AI: se il fine è di interesse pubblico non c’è violazione di copyright
- Le sanzioni UE ad Apple e Google aprono un altro fronte nella guerra contro Big Tech (e incrinano quello interno)
- La rottura tra Stati e big tech non è mai stata così forte
- Le accuse mosse a Pavel Durov mettono in discussione la permanenza in Europa di Big Tech