Cresce la sorveglianza tecnologica di Stato sui giornalisti in Serbia e, con questa, le proteste di chi denuncia la repressione della libertà di stampa. il tema non riguarda solo il paese slavo perché espone, in termini più generali, le due facce (non sempre amichevoli) della sicurezza delle informazioni e riporta in primo piano l’ultradecennale dibattito sulla libertà di accesso alla conoscenza.
La notizia
Un report di Amnesty International pubblicato lo scorso dicembre 2024 denuncia un’azione della polizia serba a danno di un giornalista, il cui cellulare sarebbe stato sprotetto utilizzando UFED (un software israeliano che è una presenza costante nell’attrezzatura degli esperti di computer forensics che operano in ambito giudiziario, in quello dell’intelligence e nel settore privato) e infettato con uno spyware ribattezzato “Novispy”. Non è chiara, secondo la ONG, quale sia la base giuridica per un’azione del genere ma, continua il report, in Serbia si registra un incremento di azioni analoghe che suscita serie preoccupazioni per la “tenuta” della libertà di stampa, minacciata dall’accresciuta capacità di sorveglianza tecnologica nelle disponibilità degli Stati. Il report si conclude con una serie di raccomandazioni per contrastare l’utilizzo di questi strumenti di sorveglianza.
Potere di sorvegliare, diritto di difendersi
Credits: Andrea Monti
Il caso denunciato da Amnesty International pone una questione antica, ma che con lo sviluppo tecnologico si ripresenta oggi con maggiore gravità: quella dell’esistenza o meno di un limite per lo Stato (democratico) nella sorveglianza clandestina (non solo) dell’informazione indipendente al di fuori di un’indagine giudiziaria e quella, che ne è il riflesso, del diritto individuale a contrastare la sorveglianza più o meno globale.
È fuori discussione che, nei modi previsti dalla legge, anche un giornalista indagato da una procura possa essere intercettato con microspie e spyware (d’altra parte, questo vale anche per gli avvocati difensori). Diverso è il caso della sorveglianza eseguita al di fuori del sistema di garanzie previste dai codici di procedura e per non meglio definite necessità di “sicurezza nazionale”, dove non ci sono contrappesi al potere delle istituzioni e dove il contesto diventa più evanescente.
Per lungo tempo la possibilità che un individuo potesse rivendicare il proprio diritto al rispetto dei diritti aggrediti da comportamenti repressivi o autoritari è rimasta confinata in un ambito alquanto limitato per via della sproporzione fra le forze in campo. Ma negli ultimi decenni questa condizione di inferiorità si è ridotta di molto.
Le tecnologie dell’informazione come bilanciatrici delle forze in campo
Alle accresciute capacità tecnologiche degli Stati potenziate dal sostanziale contributo di imprese private, fanno da contraltare quelle che sono sviluppate dalla comunità open source, da quella degli hacktivist e, in una singolare alleanza, da quei soggetti imprenditoriali che hanno deciso di fare della privacy una leva di marketing.
Dunque, se da un lato ci sono software come UFED, piattaforme di riconoscimento facciale o spyware di vario tipo, dall’altro lato OpenVPN, Qubes OS, Veracrypt, Signal e tanti altri software consentono di contrastare tecnologicamente la sorveglianza individuale pubblica e privata.
In questo senso, dunque, la diffusione orizzontale di strumenti che un tempo erano riservati soltanto ad ambiti istituzionali o aziendali di alto profilo riduce la disparità fra le forze in campo. I soggetti “deboli”, quelli che prima non avevano una realistica aspettativa di poter contare su strumenti di sicurezza sufficientemente robusti, nella grande maggioranza dei casi ora possono dotarsi di un’infrastruttura in grado di resistere anche a lungo agli attacchi della sorveglianza di Stato. E, inoltre, grazie ai software open source o “liberi” possono farlo senza dover dipendere da aziende private che, in qualsiasi momento, potrebbero impedire l’utilizzo di software e servizi o facilitare clandestinamente le attività di sorveglianza. Ma esiste il diritto di fare una cosa del genere?
Criminalizzare la sicurezza per i diritti individuali?
In una prospettiva come quella che l’Unione Europea sta valutando già da qualche tempo, e che ricorda molto da vicino quella che caratterizzo negli anni ’90 le vicende di Phil Zimmermann e del suo software crittografico, PGP, non possono esserci tecnologie “a prova di Stato” anche se sono sviluppate per tutelare diritti fondamentali, dal momento che possono essere anche utilizzate da spie, criminali e malfattori di varia natura. Dunque, si legge nelle posizioni ufficiali, l’obiettivo diventa consentire la realizzazione soltanto di quegli strumenti che includono un “lawful access” da parte della polizia.
Detto in altri e metaforici termini, questo equivale a costruire serrature con il passepartout incorporato, in modo che possano essere aperte in caso di necessità da parte di entità (più o meno) istituzionali. La conseguenza è che – restando nella metafora – chi costruisce serrature prive di questo grimaldello incorporato deve cooperare per aprirle altrimenti se ne assume la responsabilità.
Credits: Andrea Monti
Questo non è uno scenario teorico perché le cronache ricordano, per esempio, il rifiuto opposto da Apple alla richiesta del FBI di cooperare per superare la protezione di un iPhone usato durante la strage di S. Bernardino nel 2015, sul presupposto che iOS era progettato in modo che nemmeno la stessa Apple avrebbe potuto superarne la sicurezza. In realtà non era così, perché alla fine il FBI riuscì ugualmente a prendere il controllo dello smartphone, ma nel frattempo i due si scontrarono in un’azione giudiziaria promossa dalle autorità federali. La causa finì nel nulla dato che nel frattempo, come detto, il FBI aveva ottenuto il risultato e dunque il processo si fermò.
Non si fermò invece il tentativo di affermare la responsabilità di chi sviluppa tecnologie “a prova di Stato”, come accadde al di qua dell’oceano, in altri due casi giudiziari risalenti ai primi anni ‘20: Encrochat e SkyECC.
Fra i tanti aspetti di queste due indagini congiunte delle polizie francesi e olandesi, quello che interessa in questa sede è l’avere ipotizzato la responsabilità di chi aveva realizzato e commercializzato criptotelefoni e applicazioni di messaggistica sicura sul presupposto che, a differenza di iOS, questi oggetti erano stati concepiti per essere usati in ambiti criminali.
Più di recente, il processo di Julian Assange e l’arresto di Pavel Durov, CEO di Telegram disposto nel 2024 dalle autorità francesi e la successiva scelta dell’azienda di incrementare la cooperazione con le autorità hanno nuovamente riaperto il dibattito sulla responsabilità di chi controlla una tecnologia per l’utilizzo che ne fanno gli utenti, sull’aumento dell’importanza del settore privato anche negli ambiti cruciali della sicurezza e sulla rivendicazione del primato dell’etica sul diritto.
Il re è nudo
Formulato in questi termini, il dibattito sul controllo tecnologico e la libertà individuale svela una crisi più profonda: l’incapacità di bilanciare il potere dello Stato con le pretese crescenti degli individui di sfuggire a qualsiasi regola che non sia la propria. Governi sempre più disposti a violare i diritti fondamentali in nome della sicurezza nazionale si contrappongono a individui e gruppi che rivendicano l’uso di tecnologie “a prova di Stato” per sottrarsi non solo alla sorveglianza ingiustificata, ma anche a legittimi vincoli giuridici.
Questo è prima di tutto uno scontro ideologico tra il potere senza controllo e il desiderio di vivere in una società senza confini né responsabilità.
Se questo è il contesto, allora, la vera domanda non è più chi abbia ragione, ma quale futuro vogliamo costruire: uno in cui nessuno è soggetto a regole, rischiando il caos, o uno in cui tutti sono soggetti al controllo, perdendo ogni libertà. Entrambe le strade portano a una società profondamente disfunzionale, lasciandoci davanti a un paradosso irrisolto che né la legge, né la tecnologia, né la politica sembrano oggi in grado di affrontare adeguatamente.
