Nuova policy

Policy del blog, da qui a un tempo x

domenica 9 giugno 2013

Tutto quel che c'è sul datagate

In questi ultimi due giorni, uno dopo l'altro, sono esplosi due casi - del tutto simili nel significato etico, diversi nei fatti - che rischiano di far vacillare l'amministrazione Obama e un po' in generale tutti i meccanismi di governo e gestione dei dati personali. I media hanno denominato datagate lo scandalo che li ha coinvolti.

Si tratta del caso Verizon, gestore telefonico tra i principali,  in cui la National Security Agency (Nsa, l'intelligence Usa) aveva ottenuto un'ordinanza segreta per raccogliere dati sulle telefonate dei propri utenti (nel periodo dal 25 aprile al 19 luglio 2013, nello specifico); e poi di quello sempre legato alla Nsa e al controllo del traffico dati sui server di diverse compagnie internet di primo piano (si è parlato di colossi come Microsoft, Yahoo!, Aol, ma anche Facebook, Google, Apple e altre).

Questioni enormi ed enormemente scivolose, che innescano a catena tutta una serie di legittime e giustissime considerazioni - che ci si porta dietro da anni - sulla privacy, sul monitoraggio del traffico in Rete, sul controllo preventivo delle attività umane per ragioni di sicurezza e più in generale sulla libertà individuale.

Prima di continuare con il racconto di quello che fin qui è successo, mi interessa fare una precisazione terminologica: la definizione "datagate" è stata utilizzata esclusivamente in Italia. A mio avviso il termine è indicativo e rappresentativo, sintetizza appieno quel che è successo senza distogliere l'attenzione sulla vicenda in sé o creare mistificazioni e sensazionalismi. Non so chi ne sia il padre, ma continuerò ad usare questa parola, non di sicuro per l'originalità, ma per la funzionalità di certo.

Venendo ai fatti, allora: per andare con ordine, anche dal punto di vista cronologico, occorre partite dall'inchiesta del Guardian.  Il giornale inglese, tramite un informatore avrebbe avuto accesso ad una documentazione riservatissima, nella quale sono riportati gli estremi di un'ingiunzione top secret. In questa si dava via libera alla Nsa di raccogliere dati dai clienti Verizon (milioni di persone): si trattava di numeri telefonici, orari data e luoghi delle conversazioni, durata e codici identificativi dei telefoni. Non si trattava quindi di intercettazioni, in quanto non venivano ascoltati gli audio - definizione lessicalmente sbagliata, su cui in Italia si è caduti subito, complici anche memorie nostrane. La raccolta dati sfruttava quelle situazioni che sono definite di alegality, e cioè circostanze che non sarebbero completamente legali ma che sfruttano delle falle nel sistema giuridico - il fatto che non ci sia stata intercettazione vocale, appunto. Lo scopo, secondo l'Nsa - che si è difesa subito, così come si è difesa la stessa amministrazione Obama commentando attraverso le parole di un funzionario che si tratta di "uno strumento fondamentale nel proteggere la nazione da minacce terroristiche" - sarebbe stato quello di favorire il data mining su questioni di sicurezza nazionale. L'analisi dei metadati, praticamente: cioè lo studio dei dati sui dati.

Da indiscrezione successive, secondo quanto scritto anche dal Wall Street Journal le compagnie coinvolte sarebbero tre, in quanto lo stesso flusso continuo di informazioni sarebbe stato trasmesso alle agenzie governative anche da At&t e da Sprint Nexel. Quello che invece non è ancora chiaro è l'aspetto temporale, nel senso che non si sa se la richiesta dell'accesso ad una così ampia mole di dati sarebbe stata fatta per la prima volta, e quindi il periodo indicato corrisponderebbe con quello sull'ingiunzione, oppure è prassi comune nell'operato dell'intelligence. Semmai fosse così, chissà da quanto tempo sarebbe in uso questo sistema.

Probabilmente sentendosi alleggeriti sulla responsabilità per la sicurezza e sull'importanza del tema, dal passaggio giornalistico del giornale inglese, è uscita poi sul Washington Post un'altra inchiesta (firmata dal premio Pulitzer Barton Gellman). Si tratta di qualcosa di simile, ma di molto più grosso per certi versi, anche per quantità di informazioni. Infatti il WP riporta che, secondo quanto rilevato anche attraverso delle slides (sarebbero 41) prodotte dalla stessa Nsa per uso interno (una sorta di corso di aggiornamento per i dipendenti), esisterebbe un programma - nominato Prism - in grado di raccogliere i dati dei traffici web. L'operazione riguarderebbe i server di nove aziende (Microsoft, Yahoo!, Facebook, Google, Apple, PalTalk, Youtube, Skype, Aol). I traffici analizzati, sembrerebbero essere tutti quelli in entrata e in uscita da questi server: praticamente i dati di ognuno nel mondo. Come ha spiegato Ari Fleischer, ex portavoce del presidente George W. Bush (quello che inaugurò Prism) "i dati sono come un fiume che scorre, gli analisti grazie a Prism lo osservano e se vedono che qualcuno getta un sasso nell’acqua vanno a vedere chi è."

E si tratterebbe di dati anche strettamente personali e d'ogni genere, come email, discussioni in chat, foto, video, condivisioni, profili. L'esistenza digitale (e non solo) di una persona, insomma. Non è ancora chiaro se le aziende fossero consenzienti: tutte più o meno si sono sbrigate a fornire spiegazioni che assicuravano la privacy assoluta dei propri clienti e che negavano la collaborazione con le agenzie governative se non per casi specifici e su specifica richiesta protocollata e concessa da un tribunale.

Già, perché dietro a quest'altra azione di raccolta dati, non ci sarebbe una concessione giuridica, sarebbe questa la forza di Prism riportata anche in quelle slides. Si tratterebbe di un'azione in segreto e senza autorizzazioni (se ne parla anche sul Guardian). L'Nsa avrebbe agito comunque secondo gli estremi del PAA (Protect America Act), legge controversa e molto discussa, che permetterebbe all''Nsa di muoversi liberamente senza richieste ufficiali. Un qualcosa di orwelliano, eufemisticamente, dal quale il capo dell'Nsa James Clapper si è difeso dicendo che nelle inchieste giornalistiche ci sono grosse imprecisioni, non specificando quali, e che i dati del Prism sono tutelati dagli organismi federali competenti e diffondendo notizie di questo genere si mette a rischio la sicurezza degli statunitensi. Da ultimi aggiornamenti, sembra sia coinvolta anche l'intelligence britannica: ne scrive il Guardian.

C'è un po' di confusione, poi, anche sull'origine dei dati: sembrerebbe infatti, che si tratti soltanto di flussi da Usa verso estero, anche se si dice che ci sarebbero dubbi che si potrebbe trattare di tutti i passaggi nei server sia intra-Usa sia extra-Usa. Come detto, così, sarebbe coinvolto tutto il mondo. Tanto più che in queste ultime ore, c'è un'altra inchiesta uscita sempre sul Guardian, su un sistema che prenderebbe il nome di Boundless Informant (più o meno "informatore senza confini"), svelata dal giornalista/avvocato/blogger/attivista Glenn Greenwald: si tratterebbe di un programma segreto che controlla i traffici internet di tutto il mondo e che in un mese analizzerebbe - secondo le fonti - 97 miliardi di dati.

La privacy è il tema centrale della questione, insieme alla sicurezza, appunto. Una sorta di ragion di Stato, per la quale si dovrebbe essere disposti a far venir meno la nostra, e le nostre, libertà. Si tratta di un ragionamento su due aspetti: da un lato la privacy (la libertà individuale), inviolabile diritto fondamentale, dall'altro la necessità che questa venga indebolita per ragioni di ordine superiore (la sicurezza nazionale).

Secondo  Bruce Schneier del The Atlantic, quello che sappiamo in merito ai sistemi di controllo è soltanto una parte e ci sarebbe molto di più. E la questione s'incentra un po' su come è gestito questo rapporto tra agenzie, servizi segreti, e le aziende. Da quanto tempo dura, se è continuativo o soltanto limitato a periodi di effettivo interesse per innalzamento dei livelli Defcon, come è regolato? Nel senso che esistono accordi privati e celati, ma comunque condivisi, oppure il governo lascia (o mette) delle backdoor segretamente per accedere ai server, all'insaputa delle società (nelle slide sembra essere anche questo uno dei punti di forza di Prism, la facoltà di intrusione silenziosa)? E nel caso che gli accordi esistessero, sono bilaterali oppure il governo agisce unilateralmente, con una sorta di ricatto, del genere "fammi accedere ai dati, e mi ricorderò che sei mio amico quando ne avrai bisogno"? Argomenti che vanno oltre a quello che è fin qui conosciuto.

Su quel che si conosce, comunque, lo scenario della difesa della privacy, è l'argomento di più ampio dibattito. Aspetto umano, aspetto civile - dei diritti civili - per certi versi nazional-popolare, quanto vero e profondo: con uno scenario che si ampia. Anche perché esiste uno studio (che segnalava Gianni Riotta in Twitter) del MIT e dall'università belga di Louvian sul come è difficile mantenere l'anonimato nell'analisi dei metadati. Come dire, se analizzo i tuoi spostamenti, i tuoi accessi ad internet, le tue transazioni bancarie (secondo il WSJ sarebbe state controllate anche le carte di credito) è molto facile che io, nonostante mi trovi davanti soltanto un set numerico, riesca a conoscere dove vai in palestra, quanta benzina metti abitualmente nell'auto, dove vai con quell'auto, a che ora e in che percorso, che tipo di cure mediche hai avuto e via dicendo su fatti strettamente personali. Tanto che le probabilità che per due persone si intersechino perfettamente le loro traiettorie tracciate nel tempo e nello spazio, secondo lo studio sopra citato, sono quasi nulle. Quindi al di là di quello che dichiara l'Nsa, e cioè che l'obiettivo è il data mining e non l'intercettazione individuale diretta, più o meno il governo si troverebbe a disposizione una serie di informazioni che vanno oltre il semplice nome e il semplice dato. Totalmente in balia delle propria gestione. Sotto quest'ottica, sempre secondo Schneier sarebbero un bene da difendere gli whistleblower, perché rappresenterebbero "la risposta morale all'immoralità del potere". Inoltre,  questi "spiffferatori" rappresenterebbero un successivo empowerment di consapevolizzazione per gli utenti.

I sistemi usati dalle due attività di cyber-spionaggio supertecnologico, sarebbero diversi. Mentre Prismi è un programma segreto che consente da un portale nella sede della National Security Agency a Fort Meade, in Maryland, di avere accesso ai server più trafficati del Pianeta, l'accumulo dei dati dei tabulati telefonici, permetterebbe di aver accesso nel corso di 24 ore a miliardi di dati sulle conversazioni. Questi ultimi sarebbe raccolti, insieme alle operazioni su carte di credito allo Utah Data Center, in via di ultimazione nella base di Camp Williams vicino Bluffdate. Si tratta di modalità di accesso ai dati differenti, ma il concetto di fondo resta l'elaborazione di questi dati - i metadati, appunto - che viene effettuata attraverso mappazioni digitali e algoritmi. Proprio su questa attività, s'incentrano in questi ultimi anni le operazioni dei servizi segreti, la cosiddetta cyber-intelligence. Da questi si potrebbe prevedere anche che, secondo quello che dice il guru del settore Richard Clarke, ex amministrazione Bush, che "il prossimo 11 settembre arrivi dal web".

Tra le conseguenza fin qui più discusse,  il rischio che l'iper-controllo potrebbe inibire al limite dell'alienazione l'iniziativa - la libertà - personale, sfondando quel muro di privacy che difende il comportamento, il pudore, dell'individuo.  E quella Dichiarazione Fondamentale dei Diritti del CyberSpazio, datata 1994, verrebbe meno nel concetto cardine della libertà. Circostanza ancora più contraddittoria, tanto più che non esisterebbero correlazioni univoche e comprovabili in modo definitivo, tra l'intensità del controllo - la sorveglianza - e l'aumento della sicurezza.

La sicurezza, appunto. È dietro a questo aspetto, che si sviluppa la parte di ragionamento filo-governativa. Dove si cerca di far passare per ovvia, per congrua e necessaria ogni operazione. Sarebbe quella ragion di Stato che induce, meglio indurrebbe o potrebbe indurre, a perpetrare il male - lo spiare al limite del lecito - per praticare il bene. Più o meno le parole della difesa di Obama su questo che è già stato definito datagate, vanno in tal senso. "Una modesta invasione della privacy" l'ha definita ed ha aggiunto "so che si parla di 'Grande Fratello', ma quando si guarda ai dettagli, le operazioni sono fatte in base a un giusto bilanciamento tra sicurezza nazionale e diritti personali. Non è possibile coniugare il 100 per cento di sicurezza con il 100 per cento di rispetto della privacy. Il nostro obiettivo è prevenire il terrorismo".

La dimensione dicotomica tra sicurezza e privacy, si fonde in una considerazione pragmatica: se si richiede ad un cittadino di limitare la propria libertà - i programmi di controllo dell'Nsa sono diversi da diversi anni e si conoscono, per esempio Stellar WindRagtime o Trailblazers - per ragioni come la sicurezza della propria nazione, è necessario che il sistema funzioni. In casi come questi, la presenza di talpe e falle farebbe non solo venir meno la funzionalità di quel sistema, ma per assurdo potrebbe sottoporre gli individui ad ulteriori e maggiori rischi. I propri dati, debolmente protetti e malamente gestiti, potrebbero finire in mano di chiunque - gli whistleblowers, gli spifferatori, acquisirebbero valore esclusivamente negativo e sarebbero la prova di questa debolezza. Nella debolezza del sistema che gestisce queste violazioni della privacy - per ragioni di sicurezza come si dice - si nasconderebbe un male, che accrescerebbe i rischi individuali e farebbe addirittura venir meno la sicurezza stessa.

In questo poi, c'è un ulteriore passaggio: perché sarebbe necessario tener segreta una tale mastodontica operazione di sorveglianza, quando il fine sarebbe preservare la sicurezza dei cittadini? Tanto più che come si diceva, l'esistenza di sistemi di controllo dati in dotazione all'Nsa è comprovata e mai smentita da anni. Allora, non sarebbe più giusto giocare a carte scoperte. Come dire, "se accettate determinati servizi on line, allora sappiate che vi sottoporrete al continuo controllo da parte del governo Usa". Una sorta di disclaimer aggiuntivo, anzi forse il cappello, la premessa, a tutto il resto.

Da qui nascono considerazioni di carattere politico, che vanno a toccare il da sempre mal digerito Patriot Act (la  legge post 11 settembre varata da G.W. Bush) e l'entità, l'essere, della cultura democratica da cui Obama viene. Perché questa eccessiva sorveglianza, potrebbe sembrare una dissonanza rispetto alle origini obamiane, la creazione di una sorta di Stato iperprotettivo e guardone: del tutto in linea invece con la criticata, e spunto per svariate polemiche nel corso del tempo, legge di Bush.

Al di là del carattere politico nudo e crudo, ci sono poi due corollari alle motivazioni sulla segretezza. Il primo riguarda i rapporti con quelle aziende produttrici di servizi, colossi da miliardi di dollari, che avrebbero potuto non gradire l'intromissione del governo (a loro insaputa, si ripete, come dicono) nei loro big data. E la motivazione starebbe nella possibile perdita di credibilità, agli occhi degli utenti. Il secondo, invece, riguarda i rapporti con le altre nazioni: i traffici internet continuamente controllati, con ogni probabilità, non sarebbero piaciuti a molti paesi stranieri, producendo addirittura possibili incidenti di carattere diplomatico.

Allora la problematica in fondo a tutto questo, non è l'essere controllati, monitorati, tracciati, in sé, ma l'esserlo a nostra insaputa. La segretezza. Sarà questo il punto su cui Obama dovrà giocare le carte delle spiegazioni: dimostrando ai propri cittadini che tutto è accaduto assolutamente in buona fede e con l'unico obbiettivo del bene della Nazione. Senza che nessuno dei dati raccolti, potesse essere utilizzato per fini secondari e soprattutto mai a proprio vantaggio.

Ed è da qui che si potrà trovare la risposta a due domande. A quanto della nostra privacy, della nostra libertà, siamo disposti a rinunciare, in cambio di più sicurezza? Quanto può ancora andare avanti un sistema democratico se le attività del governo sono illimitate e non soggette a controlli?

Qui si gioca tutto: non su privacy e sicurezza, ma su fiducia, su feedback con i cittadini e soprattutto sulla democrazia.

Nota: seguendo il link all'etichetta "Datagate", tutti gli ultimi aggiornamenti di una vicenda che per il momento sembra infinita.




Nessun commento:

Posta un commento

Commenta quel che vuoi o come vuoi. Ma cerca di mantenere quella che i più fighi chiamano "netiquette" e che qui chiamiamo "buon senso". Se poi riesci a dire anche qualcosa di intelligente, meglio.
Grazie