Carlo Bonini; Piero Colaprico; Giuliano Foschini; Marco Mensurati; Fabio Tonacci, la Repubblica 15/6/2013, 15 giugno 2013
LA VIA ITALIANA AL DATAGATE COSÌ DUE LEGGI APRONO LE NOSTRE VITE AGLI 007
Esiste un datagate italiano? È già accaduto o può accadere in casa nostra, in nome della sicurezza nazionale e per mano dello Stato, quello che Edward Snowden ha svelato del sistema di sorveglianza globale e continua messo in piedi dalla National security agency? Detta altrimenti: fino a dove il format statunitense di accesso e acquisizione di informazioni da trattare con il sistema dei “big data” è riprodotto o riproducibile nelle routine silenziose dalle nostre Agenzie di Intelligence?
Ebbene, la partita italiana ai “big data”, lo vedremo, è una storia di leggi di riforma, garanzie, controlli incrociati e di un decreto firmato dal dimissionario Mario Monti il 24 gennaio scorso che Governo e Servizi difendono e che, al contrario, qualcuno vede come il Grande Baco di Stato della privacy italiana. La porta di accesso senza autorizzazione della magistratura alle banche dati private del Paese. Quelle di interesse strategico: trasporti, sanità, telecomunicazioni.
I POTERI DI INTRUSIONE
Questa storia ha un inizio e porta una data. Il 2007. Nell’agosto di quell’anno, il Parlamento, con la legge di riforma dei Servizi segreti (la 124), consegna all’Intelligence due leve che ne imbrigliano in un perimetro di garanzie. I Servizi — stabilisce la legge — possono violare il segreto delle comunicazioni di ciascuno di noi (telefonate, corrispondenza cartacea ed elettronica, tabulati telefonici) a fini di sorveglianza e prevenzione solo per un periodo di tempo limitato (40 giorni prorogabili di 20 in 20) e solo con l’autorizzazione preventiva dell’autorità giudiziaria, individuata nell’ufficio del Procuratore generale presso la Corte di Appello di Roma. Il materiale così raccolto non può diventare fonte di prova in giudizio e lo stesso magistrato che ne autorizza la raccolta «ne dispone la distruzione al termine dell’attività informativa». Ma i Servizi possono, senza alcuna autorizzazione preventiva, accedere alla totalità delle banche dati della pubblica amministrazione e a quelle dei privati che svolgono servizi di pubblica utilità in concessione e con cui abbiano stipulato “convenzioni”, salvo darne successiva comunicazione al Copasir (l’organo parlamentare di controllo sui Servizi) perché possa eventualmente esercitare i suoi poteri ispettivi.
Il Sistema, insomma, si muove su un doppio binario. Ad una garanzia invalicabile a protezione di una libertà costituzionale come il “segreto delle comunicazioni” (articolo 15 della Carta) se ne accompagna una seconda, più elastica, sulle banche dati, dove il controllo di legittimità (parlamentare, in questo caso) non è a monte, ma a valle. Non è preventivo, ma successivo.
LE INTERCETTAZIONI PREVENTIVE
Luigi Ciampoli è oggi Procuratore generale presso la Corte di Appello di Roma. Ed è nel suo ufficio che sono custoditi i fascicoli e il dato statistico che documenta la più intrusiva delle attività dei Servizi: le intercettazioni preventive. «Nel 2012 — spiega — le richieste di intercettazioni delle nostre agenzie di intelligence cui ho concesso autorizzazione sono state 4. Nei primi cinque mesi di quest’anno, 7. Nel 2012, ho autorizzato invece 13 richieste di acquisizione di tabulati telefonici, che sono diventate 11 tra il gennaio e il maggio di quest’anno. Sia nel 2012, che nel 2013 ho accolto tutte le richieste che sono state avanzate». Il dato — come evidente — appare statisticamente quasi irrilevante in un Paese di oltre 60 milioni di abitanti e comunque rende evidente come l’aggressione diretta e per legge al segreto delle comunicazioni da parte di Aisi (il Servizio interno) e Aise (il Servizio esterno) è, o quanto meno appare, attività residuale.
Restano dunque la Rete e le banchi dati. E qui, il terreno si fa più friabile.
IL DECRETO MONTI
Il 24 gennaio scorso, Mario Monti, presidente del Consiglio dimissionario, firma un decreto presidenziale che dà corso alle modifiche che la legge 124 ha conosciuto nell’agosto 2012, quando il Parlamento, con un voto in commissione, licenzia una legge in 12 articoli (la 133) che integra e modifica la Riforma dei Servizi. Quella di Monti è una «direttiva che indirizza gli interventi per la protezione cibernetica e la sicurezza informatica nazionale». Ma quel che conta è che l’atto che porta la sua firma, per la prima volta, apre alla nostra Intelligence la possibilità di accedere alle banche dati di quelle società private che operano in concessione nei «settori nevralgici dell’energia, dei trasporti, della salute, del credito bancario, delle telecomunicazioni » attraverso la firma di “convenzioni”. Né più e né meno che un contratto i cui contraenti sono gli amministratori delegati di colossi come Telecom (tanto per citare una delle società in questione) e Giampiero Massolo, il direttore del Dis (Dipartimento per le Informazioni e la Sicurezza, organo di vertice della nostra Intelligence). Un contratto di “cooperazione” tra pubblico e privato al cui cuore è il prezioso giacimento di dati sensibili e “strategici” custodito appunto dalle banche dati.
LE CONVENZIONI
Nel giro dei primi cinque mesi di quest’anno, le “convenzioni” stipulate tra i nostri Servizi e i privati sono arrivate a una decina. Hanno la durata di un anno e si articolano in uno schema in 12 articoli protetto dal vincolo della riservatezza. In una delle convenzioni che “Repubblica” ha potuto consultare, si legge: «La Società parte rende disponibili al Dis notizie e informazioni utili per lo svolgimento, da parte degli organismi di informazione, delle attività finalizzate a rafforzare la protezione cibernetica e la sicurezza informatica nazionali. La società si impegna a comunicare al Dis notizie e informazioni relative a eventi di natura cibernetica quali, a titolo esplicativo, attacchi o tentativi di violazione dei propri sistemi informatici». E ancora: «Le parti (società private e Servizi ndr.) si impegnano a trattare e custodire i dati e/o le informazioni sia su supporto cartaceo che informatico». Soprattutto, dell’accesso alle banche dati private da parte dei Servizi le convenzioni e la legge prevede che resti traccia attraverso i “log” e che, annualmente, degli accessi venga dato conto al Copasir.
“IL NOSTRO MINI-PRISM”
La “novità” mette comunque a rumore una parte della magistratura e degli addetti. Nel sistema delle “convenzioni” che danno accesso a banche dati private, qualcuno individua una “fessura” destinata a farsi crepa che può aprire ad uno scenario americano. A quella raccolta a “strascico” di dati sensibili anticamera di un futuro “big data” e comunque fuori da un controllo “terzo”. Non fosse altro, appunto, per la qualità di quei dati. Telecomunicazioni, trasporti, salute che, sommati a quelli già raccolti dalle pubbliche amministrazioni, possono rappresentare una massa critica simile a un abbozzo di “big data”.
All’osso, il ragionamento suona così: chi può assicurare dell’uso legittimo di quei dati sensibili? E, soprattutto, chi può farlo con cognizione di causa, dal momento che il tipo di dato sensibile è noto soltanto a chi lo archivia (la società privata) e a chi ora ne potrà disporre (i Servizi)? In una delle mailing list interne dell’Anm si legge: «Anche noi abbiamo un mini-Prism (il nome del software utilizzato dalla Nsa americana, ndr). Per effetto del Decreto Monti (governo tecnico in carica solo per l’ordinaria amministrazione), in Italia, le forze dell’ordine e i Servizi possono avere accesso alle banche dati degli operatori e gestori di comunicazione, internet service provider, aeroporti, dighe, servizi energetici, trasporti per non meglio specificate finalità di sicurezza senza autorizzazione ». Per Fulvio Sarzana, avvocato esperto in telecomunicazioni, la svolta è cruciale perché attiene ai princìpi: «Con il decreto di Monti — dice — per la prima volta viene inserito nell’ordinamento italiano il principio dell’accesso diretto alle banche dati di operatori privati senza l’autorizzazione della magistratura».
«DIFENDIAMO DUE LIBERTÀ»
Nel suo studio a Palazzo Chigi, Marco Minniti, sottosegretario con delega all’Intelligence, capovolge la prospettiva. «Il cosiddetto decreto Monti del gennaio di quest’anno — dice — non è un nuovo vulnus alle nostre libertà individuali. È l’esatto contrario. La protezione contro gli attacchi cibernetici delle banche dati private che custodiscono dati sensibili per la sicurezza nazionale e le nostre infrastrutture strategiche non è un modo surrettizio per aggirare le garanzie previste dalla legge e impadronirsi di quei dati. È un modo per proteggerli quale bene collettivo». L’argomento di Minniti parte da «un convincimento maturato anche con l’esperienza personale» (il sottosegretario è parte civile in un processo contro Gioacchino Genchi accusato di aver sottratto in modo fraudolento i suoi tabulati telefonici) e da «un presupposto di principio che rifiuta l’idea di sicurezza e libertà come termini antitetici». Dice: «Una democrazia moderna deve tutelare nello stesso tempo due libertà. Non solo quella dell’individuo, ma quella collettiva. E la sicurezza delle banche dati è un bene collettivo. Ebbene, l’una e l’altra, per chi non se ne fosse accorto, sono minacciate dagli attacchi cibernetici ».
IL COSTO DELLA “GUERRA”
Sul punto, i dati forniti da Palazzo Chigi sono quelli di una “guerra” dai costi crescenti e insostenibili. Nel 2012, su scala globale, «le vittime di attacchi cibernetici e di reati classificati come informatici sono state 556 milioni di individui», con un indice di crescita del 42 per cento rispetto agli anni precedenti. Mentre il danno per le aziende “aggredite” ha raggiunto un valore di 110 miliardi di dollari annui. La Rete è diventata una trincea. Anche per gli Stati. Francesco Pizzetti, ex Garante per la Privacy e oggi presidente dell’associazione “Alleanza per Internet”, dice: «Siamo tornati ad Hobbes. Nello spazio cibernetico, gli Stati, esattamente come i singoli, sono in una fase belluina. Esercitano o almeno provano a esercitare un potere senza controlli». E con una corsa agli strumenti tecnici di acquisizione dei dati che li fanno invecchiare nello spazio di mesi.
ALGORITMI SEMANTICI
Per dirne una, la nostra Intelligence lavora ancora in Rete e su “fonti aperte” con strumenti antichi come i software di ricerca “sintattici”, quelli che procedono cioè per parole chiave. Una fonte qualificata dei nostri Servizi riferisce ora di una sperimentazione che, di qui ad un anno, dovrebbe dotare i nostri apparati di nuovi algoritmi “intelligenti” perché capaci di ricerche “semantiche”. Per concetti. Gli stessi che i privati, in Italia, già utilizzano da tempo e vendono all’estero. «Perché oggi — chiosa la stessa fonte — il problema in Rete non è sapere chi fa che cosa. Ma per conto di chi lo fa e perché lo fa».