Cybersecurity: La sicurezza informatica è un diritto di tutti. Perché bisogna limitare l’hacking di stato

La sicurezza informatica è un diritto di tutti. Perché bisogna limitare l’hacking di stato

La sorveglianza indiscriminata mette a rischio privacy e sicurezza di cittadini ignari. Ecco 10 buoni motivi per limitare l’hacking governativo
Arturo Di Corinto per Cybersecurity del 23 marzo 2017

La sicurezza informatica è un diritto umano. Ed è la precondizione per esercitare altri diritti: il diritto alla privacy, alla libera manifestazione del pensiero e alla libertà d’informazione.
Senza protezione dallo sguardo altrui non è infatti possibile sviluppare la propria identità, proteggersi dai pregiudizi e esercitare le libertà costituzionali. Per questo è ora di mettere un freno all’hacking di stato.

Possiamo essere grati a Snowden, Assange, e a tutti gli altri che hanno svelato come alcuni governi abbiano utilizzato gli apparati statali pagati dai contribuenti per influenzare il comportamento e le decisioni dei propri cittadini e di quelli di altri paesi. Ma loro stanno pagando un prezzo altissimo per averlo fatto. Quante volte dovrà accadere ancora?

Che cos’è l’hacking di stato?

L’hacking di stato può essere definito in base ai suoi obiettivi: controllare i messaggi, causare un danno, sorvegliare. Perciò l’hacking di stato ci riguarda tutti. Riguarda gli indagati e i loro interlocutori. L’hacking di stato non riguarda solo presunti criminali ma può riguardare semplici e ignari cittadini, estranei alle condotte che si vuole indagare o impedire. Può riguardare i cooperanti nelle zone dei guerra, organizzazioni antimafia, servitori dello stato, whistleblower che denunciano truffe, sprechi e malversazioni nelle aziende e nei governi per cui lavorano.

Anche se non vogliamo considerare come l’uso di cyberarmi, della censura o il blocco di Internet da parte di governi ed eserciti danneggi attività lecite e costituzionalmente protette, che dire dell’uso non regolato dei captatori informatici, dei trojan di stato, delle campagne di phishing e delle intercettazioni a strascico?

I danni sociali della sorveglianza generalizzata

L’hacking di stato fornisce accesso a informazioni di fonti protette, come le fonti giornalistiche, ma anche le associazioni anti-pizzo, le organizzazioni non governative che combattono la tratta dei migranti o l’inquinamento delle acque, soggetti con uno scopo socialmente importante. E questo accade quando le informazioni sono già immagazzinate, quando sono in transito o mentre vengono create in una conversazione. Con effetti impredicibili. Vi ricordate il blogger saudita sorvegliato con gli strumenti di Hacking team? E la fine che hanno fatto gli oppositori di Assad in Siria e di Ahmadinejad in Iran, degli egiziani del movimento del 6 aprile? Tutti incarcerati. E i loro amici? Finiti in un girone dantesco.

Non solo. L’hacking di stato può danneggiare software e hardware, producendo ingenti danni economici, ma quello che conta dalla prospettiva dei diritti umani è che può infettare i dispositivi di persone che non sono direttamente coinvolte con le operazioni di intelligence e comprometterne il lavoro, l’identità e gli scopi.

10 buoni motivi per limitare l’hacking dei governi

L’hacking di stato, usato sia per la sorveglianza che per la raccolta di informazioni va limitato nel rispetto dei diritti umani per molti motivi. Ecco un decalogo minimo per limitare gli effetti dannosi dell’hacking di stato.

L’hacking di stato deve essere regolato per legge e le sue modalità devono essere pubbliche e trasparenti senza produrre discriminazioni di sorta;
Gli attori dell’hacking di stato devono motivarne le ragioni e spiegare sempre perché è considerato il mezzo meno invasivo per ogni tipo di informazione cercata. La sorveglianza di massa va proibita;
L’autorizzazione governativa all’hacking di stato deve prevedere una conclusione temporale e non influenzare soggetti estranei alle operazioni;
L’ hacking di stato deve essere approvato dall’autorità giudiziaria competente, che deve essere indipendente rispetto agli organi inquirenti;
L’hacking di stato deve prevedere delle comunicazioni di garanzia verso il bersaglio delle operazioni;
Le agenzie responsabili dell’hacking di stato devono pubblicare almeno annualmente dei rapporti che indichino l’estensione delle operazioni e la loro durata, ma anche i risultati o le conseguenze inattese;
L’hacking di stato non deve mai obbligare entità private a intervenire su prodotti e servizi con l’intento di comprometterne la sicurezza;
Se L’hacking di stato eccede scopi e autorizzazioni, i responsabili devono fare rapporto all’autorità giudiziaria e spiegarne i motivi;
L’hacking di stato extraterritoriale deve seguire le norme giuridiche internazionali;
Le agenzie che fanno hacking di stato non possono collezionare bug, exploit e zero-days, anzi devono rendere pubbliche le vulnerabilità scoperte o acquisite e rilasciarne l’informazione almeno una volta l’anno.

Chi scrive lo sostiene da tempo, tuttavia questa è la posizione di Access Now, una organizzazione non governativa dedicata ai diritti digitali. Access now organizza un incontro la RightsCon, la Rights conference a Bruxelles tra il 29 e il 31 marzo e in alcuni panel si parlerà proprio di questo: privacy, diritti umani e hacking di stato.

Cookie	Durata	Descrizione
connect.sid	1 hour	This cookie is used for authentication and for secure log-in. It registers the log-in information.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin to store whether or not the user has consented to the use of cookies. It does not store any personal data.

Cookie	Durata	Descrizione
nyt-a	1 year	This cookie is set by the provider New York Times. This cookie is used for saving the user preferences. It is used in context with video and audio content.
nyt-gdpr	6 hours	No description available.
nyt-purr	1 year	No description available.

Cookie	Durata	Descrizione
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_5VXPW099ZB	2 years	This cookie is installed by Google Analytics.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.