foto via

12 settembre 2001

Il giorno dopo l'attacco alle torri del World Trade Center, il senatore repubblicano Trent Lott dichiara: “Quando si è in guerra, le libertà civili sono trattate in modo diverso. Non possiamo permettere che ciò che è accaduto ieri accada di nuovo”. Anche tra i democratici l'atteggiamento è cambiato. Barney Frank sostiene: “Il presupposto generale in questo paese è la libertà e la privacy individuale”, ma, aggiunge, “quando le condizioni diventano avverse, si deve rispondere”. E Martin T. Meehan, anch'egli democratico, precisa: “Non credo che abbiamo fatto un lavoro abbastanza buono in questo paese utilizzando la tecnologia disponibile, come quella di riconoscimento facciale. Occorrono maggiori investimenti”.
Walter Dellinger, procuratore generale nell'amministrazione Clinton, rincara la dose: “dobbiamo riflettere davvero su quanto apprezziamo la privacy”; “con il terrorismo, la nostra unica difesa potrebbe essere l'infiltrazione e la sorveglianza”. Quindi: “Dobbiamo scegliere tra sicurezza e privacy”!

La pressione politica per fare qualcosa, subito, è altissima. Si diffonde la preoccupazione che le agenzie di intelligence americane non siano pronte ad affrontare i nuovi pericoli, avendo le mani legate da vincoli giuridici e burocratici, ritenuti non adatti ad un tempo di “guerra”. E i difensori delle libertà civili cominciano a guardare con inquietudine al mutato atteggiamento politico. Gli Usa entrano in una nuova era, più pericolosa, che richiede maggiori misure di sicurezza. Una nuova era che richiede nuovi poteri di sorveglianza. Anche digitale!

Sorveglianza digitale
Pochi giorni dopo l'11 settembre, un memorandum del Dipartimento di Giustizia asserisce che il governo deve usare “tecniche di sorveglianza elettronica e attrezzature più potenti e sofisticate di quelle disponibili alle forze dell'ordine, al fine di intercettare le comunicazioni telefoniche e monitorare il movimento delle persone, ma senza ottenere mandati per tali usi”.
Così, mesi dopo gli attacchi dell'11 settembre, il presidente Bush autorizza segretamente la National Security Agency (NSA) a spiare gli americani e gli stranieri all'interno degli Stati Uniti al fine di ricercare prove di attività terroristica, consentendo tali attività senza necessità di mandato da parte della magistratura.
Il programma accelera nei primi mesi del 2002, dopo l'arresto da parte della CIA di Abu Zubaydah in Pakistan, accusato di essere membro di Al Qaeda, interrogato a Guantanamo, torturato, poi scagionato da tutte le accuse e rilasciato nel 2008.

Sulla base dell'ordine presidenziale del 2002, la NSA monitora le telefonate e i messaggi di posta elettronica, nonché le comunicazioni telematiche di migliaia di persone all'interno degli Usa, nel tentativo di trovare tracce che riconducano ad Al Qaeda.
Le basi giuridiche di tali attività si trovano in due leggi: Patriot Act e FISA. Il Patriot Act è stato emanato in risposta agli attacchi dell'11 settembre, e semplifica le procedure per richiedere informazioni alle aziende, modificando numerose norme preesistenti. A sua volta il Patriot Act è stato più volte aggiornato.
Le principali modifiche introdotte dal Patriot Act riguardano proprio il FISA (Foreign Intelligence Surveillance Act), legge del 1978 che regola le procedure per la sorveglianza fisica ed elettronica e per la raccolta delle informazioni di intelligence straniera messe in atto da potenze straniere su suolo americano.

Successivamente sono state emanate altre leggi riguardanti la sorveglianza elettronica: Protect America Act (2007) e FAA (Fisa Amendment Act del 2008). Queste due riguardano specificamente l'accesso ad informazioni telematiche e in particolare il FAA aggiunge specifiche procedure (es. titolo 50 USC §1881a) per acquisire informazioni di non americani presenti su suolo non americano.
Il FAA in realtà non è altro che la codificazione e legalizzazione delle intercettazioni illegali condotte sotto la presidenza Bush a danno dei cittadini americani, ottenute in assenza di autorizzazioni giudiziarie. Con questa legge, da un lato il legislatore ha voluto legalizzare le procedure di acquisizione di informazioni a fini di sicurezza nazionali, dall'altro ha sanato la partecipazione delle aziende a dette attività.

Sorveglianza senza limiti?
Le iniziative antiterrorismo americane provocano una levata di scudi di membri del Congresso e gruppi di difesa delle libertà civili. Questi ultimi sostengono che tali misure erodono le protezioni per le libertà civili e si intromettono nella privacy degli americani. Ma i limiti giuridici alla possibilità di acquisizione di informazioni in internet sono davvero risicati.
Il più volte richiamato Quarto Emendamento della Costituzione americana probabilmente non costituisce un limite. Innanzitutto perché protegge solo gli americani (e quindi in teoria un europeo, anche qualora ne venisse a conoscenza, non potrebbe nemmeno impugnare il provvedimento di intercettazione delle sue comunicazioni -in linea di massima comunque gli ordini FISA possono essere impugnati solo dai provider-), e comunque la protezione concessa agli americani è limitata dalla cosiddetta third party doctrine: l'invio di informazioni ad una parte terza (es. provider finanziario, di accesso o di hosting) fa si che il soggetto non abbia più alcuna “ragionevole aspettativa di privacy” sui suoi dati dei quali ha perso il controllo (una recente sentenza sostiene invece che la third party doctrine è applicabile solo in casi di monitoraggio riguardante singole persone e limitato nel tempo, mentre un controllo a tappeto diffuso e prolungato nel tempo viola il Quarto Emendamento).
In ogni caso il Dipartimento di Giustizia in genere richiede le autorizzazioni se vuole espandere le intercettazioni a soggetti americani (in realtà la competenza per l'intercettazione di cittadini americani su suolo americano è dell'FBI, a seguito di mandato giudiziario).
Invece le garanzie costituzionali americane non si applicano a soggetti non americani presenti al di fuori del suolo americano. Quindi, l'eventuale illegittimità delle intercettazioni dell'amministrazione Bush riguarda le sole intercettazioni condotte contro cittadini americani, non quelle contro stranieri. Ecco perché da un certo momento in poi la raccolta di informazioni si concentra sugli stranieri.

Sicuramente non si pone un problema di giurisdizione. Infatti, il governo Usa ha giurisdizione su tutti i soggetti i cui dati sono in qualche modo detenuti da aziende americane. Gli Usa possono confiscare i nomi a dominio gestiti dall'Icann (che si trova su suolo americano), anche se gli acquirenti dei domini sono non americani residenti al di fuori degli Usa (un caso eclatante è stato il sequestro dei domini di Megaupload), e allo stesso modo possono acquisire dati di soggetti stranieri residenti su suolo non americano, purché quei dati siano gestiti da aziende soggette alla giurisdizione americana. Non è rilevante se i dati sono materialmente presenti su server in territorio americano, è sufficiente che tali dati siano gestiti da aziende che abbiano comunque una sede oppure una filiale all'interno degli Usa.
Se consideriamo che la quasi totalità delle aziende che gestiscono informazioni telematiche (cloud service provider) sono americane, è evidente che il governo Usa ha la possibilità giuridica di acquisire i dati di gran parte della popolazione mondiale (circa il 96%).

Stranieri senza protezione
La sorveglianza elettronica basata sugli ordini FISA è comunque soggetta ad approvazione da parte di speciali tribunali (FISC: Foreign Intelligence Surveillance Court), che però si occupano principalmente di verificare se tali attività incidono su soggetti americani o no. Gli americani godono di protezioni che gli stranieri non hanno.
Inoltre le corti FISC non hanno la possibilità di valutare l'esistenza di una proporzione tra il tipo di monitoraggio e gli scopi perseguiti. Ancora, lo standard di prova richiesto per gli ordini FISA è decisamente più basso rispetto ad un ordine relativo ad attività criminali, e la procedura si conclude in poche ore.

Un ordine FISA consente, quindi, il monitoraggio e l'acquisizione di comunicazioni elettroniche di soggetti non americani per motivi di intelligence.
Non occorre nemmeno che si tratti di sorveglianza relativa a possibili attività terroristiche, in quanto il paragrafo 1881 prevede l'acquisizione di informazioni relative a interessi politici, economici o comunque strategici per gli Usa. È sufficiente che si tratti di comunicazioni riferibili a persone sospettate (“reasonable, articulable suspicion”) di essere al soldo di una potenza straniera oppure di aver danneggiato in qualche modo gli interessi americani. In genere la valutazione riguarda elenchi di persone (seeds) e non singoli soggetti, per cui i FISC non entrano nel dettaglio. Gli ordini riguardano un numero, approvato come seed, e i numeri chiamati e chiamati (da cui la crescita esponenziale delle intercettazioni).
Questo spiega perché tali dati non vengono richiesti attraverso le normali procedure previste dai trattati internazionali di assistenza legale (MLA), essendo tali procedure attivabili esclusivamente in caso di reati. Gli ordini FISA, invece, spesso riguardano persone mai accusate di alcun illecito.

Il mancato ricorso alla cooperazione delle corrispondenti intelligence degli altri Stati probabilmente si spiega col fatto che le agenzie di spionaggio tendono a concedere informazioni solo scambiandole con altre. Gli Usa non hanno interesse ad uno scambio reciproco (quid pro quo), ma ciò che bramano è un accesso esclusivo alle informazioni (ovviamente esistono vari casi nei quali procedono con la collaborazione delle corrispondenti agenzie straniere).

Infine, la segretezza delle procedure è insita nell'ordine. Le aziende alle quali vengono inviati gli ordini di fornire le informazioni sono obbligate a collaborare col governo, rispettando la segretezza dell'acquisizione. Fornire informazioni sugli ordini ricevuti e sulle informazioni fornite al governo costituisce di per sé una violazione dell'ordine medesimo.

In sintesi, l'NSA acquisisce quantità elevate di informazioni con una sorta di raccolta a strascico (vacuum cleaner dicono gli americani) in relazione ad interessi strategici americani, e poi si focalizza su alcuni aspetti specifici, dopo una analisi dei dati intercettati. I dati vanno a formare un enorme database che successivamente può essere interrogato a fini di ricerca.

Sorveglianza tra USA e Unione europea
L'elemento caratterizzante le intercettazioni dell'NSA è che riguardano principalmente persone non americane i cui dati sono gestiti da aziende americane o con sede/filiale negli Usa (più specificamente riguardano comunicazioni dall'estero verso gli Usa, comunicazioni dagli Usa verso l'estero e comunicazioni inerenti attività terroristiche riguardanti soggetti americani negli Usa). La possibilità giuridicamente legale che gli Usa abbiano accesso a dati degli europei in maniera da violare gli standard dell'Unione europea entrando in contrasto con le norme europee, crea evidentemente dei problemi con le istituzioni dell'Europa. Infatti, più volte i rappresentanti dell'Unione hanno rimarcato che occorre costruire una fiducia reciproca per poter collaborare, anche in considerazione che esistono vari trattati tra le parti e il TTIP è attualmente in fase di negoziazione.
Il problema è che l'opinione pubblica americana si concentra solo sulle possibili ricadute a carico dei diritti civili degli americani piuttosto che sulla legittimità di intercettazioni a carico di stranieri, problematica assente nel dibattito americano. Ed anche le organizzazioni per la difesa dei diritti civili si preoccupano principalmente delle libertà degli americani.

È difficile, quindi, che gli Usa accettino di non procedere con ulteriori intercettazioni di cittadini stranieri, in quanto sulla base della legislazione americana le intercettazioni di fatto avvengono come fossero su suolo Usa, e quindi non sono in contrasto col principio di sovranità nazionale. Inoltre dobbiamo ricordare che non siamo più nel campo degli illeciti criminali, quanto piuttosto nel territorio dello spionaggio internazionale, all'interno del quale i confini legali si fanno estremamente fumosi. Generici richiami a trattati di mutua assistenza e al rispetto delle leggi internazionali, quindi, hanno scarso rilievo.

Analizzando la situazione dal punto di vista americano, la sorveglianza digitale degli stranieri non comporta nemmeno una violazione della dichiarazione dei diritti dell'uomo, poiché tale Dichiarazione vincola gli Stati Uniti alla protezione dei diritti dei soggetti presenti nel suo territorio. Non essendoci alcuna forma di controllo sui soggetti monitorati ed intercettati (appunto perché stranieri), non consegue alcun obbligo in materia di diritti umani.

Soluzioni
Una soluzione in corso di discussione è il rafforzamento europeo delle norme in materia di privacy, che però appare una soluzione debole per il semplice motivo che riguarda solo una parte dei dati (i dati personali) e non i documenti commerciali, le informazioni confidenziali ed altro. Inoltre la normativa europea in materia di privacy esclude espressamente gli scopi relativi alle attività dei servizi segreti, quindi non è applicabile alle attività dell'NSA.

In ultima analisi l'unico modo per ovviare al problema appare essere quello di stimolare la nascita di cloud europei in modo che i dati degli europei non finiscano in mano ad aziende soggette a sovranità americana. In questa prospettiva è stato lanciato il progetto CloudWatch, proprio al fine di sviluppare una piattaforma digitale per promuovere i servizi cloud europei, educare gli utenti e definire degli standard per i fornitori di servizi in Europa che siano davvero rispettosi delle normative dell'Unione. Parliamo di un mercato che potrebbe valere 80 miliardi di euro entro il 2020, nel quale stanno entrando velocemente molti Stati europei, come Francia e Germania (Italia non pervenuta).
Altre strade appaiono al momento poco rilevanti.