la-repubblica-it-logo “Le aziende Usa diano al governo i dati degli utenti di tutto il mondo. Per legge”

Alla Commissione Intelligence del Senato passa la versione definitiva del Cybersecurity Information Sharing Act. Prevista anche la “licenza di hacking” per neutralizzare ogni potenziale minaccia alla sicurezza digitale

di ARTURO DI CORINTO per La Repubblica del 17 marzo 2015

NON È LA GUERRA alla privacy degli Anni 90 ma poco ci manca. Giovedì scorso, in una riunione segreta, la Commissione Intelligence del Senato americano ha licenziato la versione definitiva di una nuova legge per consentire la sorveglianza generalizzata di ogni cittadino da parte dei privati. Grazie a questa legge aziende e corporation potranno fornire i dati dei propri clienti, anche di natura finanziaria, al Dipartimento per la Homeland Security, in tempo reale e senza che ci si possa opporre in tribunale in caso di abusi o errori.
Questo è il primo dei motivi per cui la decisione della commissione, presa a larga maggioranza, quattordici contro uno, ha subito destato l’opposizione di numerosi gruppi per i diritti civili che l’hanno bollata come l’ennesimo stratagemma per mettere i cittadini sotto sorveglianza violandone la privacy.

Il Cybersecurity Information Sharing Act 2015, così si chiama la legge per esteso e che, abbreviata, è nota come CISA, entro la fine del mese potrebbe diventare legge federale negli Usa influenzando però i netizen di tutto il mondo, visto che i privati che possono fornire quei dati “in maniera volontaria, non coercitiva, in base alle possibilità”, sono i grandi player americani della rete.

Per capire l’ampiezza dell’iniziativa basta pensare che non esiste in Occidente un solo utente internet i cui dati non siano mai passati per i server di Microsoft, di Hotmail o di Yahoo!, di Facebook, che possiede il servizio di messagistica istantanea WhatsApp, oppure di Google che ha l’enorme bacino di dati del suo motore di ricerca e della posta elettronica di Gmail, di Amazon, eBay, Netflix, Cisco, Verizon eccetera. Ogni servizio per cui si sia effettuato un login, visitata una pagina web e lasciato traccia di queste visite grazie ai cookies e altri strumenti di tracciamento diverrà oggetto di raccolta e analisi, si tratti di attività innocue o potenzialmente pericolose per la sicurezza online.

Quindi, lo scambio di dati tra le aziende del web e tra le stesse e il governo, potrà offrire al Dipartimento per la sicurezza interna e quindi alla NSA tutti i dati che servono a profilare un cittadino italiano senza il mandato di un giudice e nella certezza di non essere sanzionato da un tribunale in caso di abusi visto che il motivo del loro trattamento è l’antiterrorismo.

In una lettera infuocata del Centro per la Democrazia e la Tecnologia e di cinquanta associazioni ed esperti, si dice che la legge è da rigettare per quattro motivi: non prevede una motivazione dettagliata per la raccolta dei dati, non garantisce la sicurezza di quelli collezionati, non distingue tra i soggetti potenzialmente pericolosi e quelli che non lo sono, ma soprattutto consente un intervento diretto dei privati nel contenere i rischi legati alla sicurezza di dati e apparati che potranno cancellare account, distruggere dati e violare reti e computer privati rendendoli inservibili.

Quest’ultima procedura, che trasformerebbe le aziende in giustizieri del web è definita “Hacking back”. Vuol dire che in caso di minaccia potenziale, pur non chiaramente identificata, l’azienda ha licenza di intervenire anche verso utilizzatori innocenti ed estranei alla minaccia rilevata. Per fare un esempio, sarà il caso dei pc zombie controllati dalle gang criminali e usati per attacchi DDoS (attacchi da negazione del servizio) a insaputa del proprietario, o di reati effettuati con account ottenuti in seguito a un furto d’identità tramite tecniche di phishing o di ingegneria sociale. Il profilo digitale dell’incolpevole vittima sarà l’unico responsabile di ogni malefatta.