Questo sito utilizza cookies tecnici (propri e di terze parti) come anche cookie di profilazione (di terze parti) sia per proprie necessità funzionali, sia per inviarti messaggi pubblicitari in linea con tue preferenze. Per saperne di più o per negare il consenso all'uso dei cookie di profilazione clicca qui. Scorrendo questa pagina, cliccando su un link o proseguendo la navigazione in altra maniera, acconsenti all'uso dei cookie Ok, accetto

Cinquantamila.it La storia raccontata da Giorgio Dell'Arti

 2013  giugno 19 Mercoledì calendario
La storia raccontata da Giorgio Dell'Arti 

varie la Repubblica, 19 giugno 2013

ARTICOLI DI REPUBBLICA SU PRIVACY E SPIONAGGIO


AZIENDE, WEB E 007 TUTTI I SEGRETI DI BIG DATA IN ITALIA –
la Repubblica 14 giugno 2013
Piacere Ettore Livini e Tiziano Tognutti, giornalisti di Repubblica. In un mondo in cui tutto ha un prezzo, noi sappiamo il nostro: come uomini (ammetterlo costa un po’) valiamo “solo” 0,0007 euro a testa. Come maschi residenti uno a Milano e l’altro a Roma qualcosina in più, ma si parla di briciole. Se vi dicessimo che stiamo per cambiare la moto, la nostra quotazione schizzerebbe alle stelle: 0,15 euro. Come facciamo a saperlo? Facile. Noi – come voi, vostri figli e nipoti – siamo stati già venduti migliaia di volte.
Senza che nessuno abbia mai avuto il buon gusto di avvisarci (questo è il meno) e, soprattutto, di pagarci.
Benvenuti a Big Data, il mercato (al momento un Far West ancora in attesa di regolamentazione) dei nostri alter ego virtuali. Un suk da 10 miliardi di euro l’anno dove ogni giorno si comprano e si vendono come figurine Panini – a totale insaputa degli interessati – le carte d’identità elettroniche degli italiani. Ritratti fedeli come fotografie, ricostruiti dagli algoritmi degli acchiappa-dati della rete, in arte i data broker.
Che pedinandoci un clic alla volta nel labirinto del web (con il nostro inconsapevole consenso) sono riusciti a sapere tutto di noi: chi siamo – anche se in forma anonima – dove abitiamo, quale sport ci piace, cosa mangiamo e come spendiamo i nostri soldi. Merce che vale oro nel mondo della pubblicità online. Una casa automobilistica vuole piazzare la sua nuova cabriolet? Inutile gettare soldi al vento piazzando milioni di banner a casaccio nel mare magnum della rete. Basta acquistare al supermercato degli identikit virtuali i nominativi (in realtà gli indirizzi dei pc) dei 30-40enni sportivi, in buona salute, senza figli e in cerca sul web di una quattroruote nuova. Li si paga, in Italia costano circa 1,5 euro ogni mille, e poi li si aspetta al varco.
Voilà: appena accendono il computer a casa o al lavoro appare loro sotto il naso, come per magia, un video “mirato” della spider dei loro sogni.
In America il 30% della pubblicità via internet – vale qualcosa come 15 miliardi di dollari l’anno – è fatto già di “spot intelligenti”. Teleguidati da questa compravendita miliardaria di avatar informatici ad acquirenti precisi. «In Italia siamo ancora ai primi passi – spiega Simona Zenette, presidente dell’International advertising bureau tricolore – e la cosiddetta “pubblicità comportamentale” copre solo il 3% dei display in rete». Ma i profili di Ettore Livini, Tiziano Toniutti e anche i vostri (anche se nessuno sa che siamo noi) sono già stati scambiati e venduti come in un mercatino rionale a multinazionali, banche, case automobilistiche e catene di grande distribuzione per un valore di 21 milioni nel 2012. Cifra che quest’anno «potrebbe già raddoppiare», come ammette Zenette.
La moneta corrente di questo mercato sono i cookies, le sentinelle elettroniche piazzate dai data-broker nei nostri computer che monitorano passo dopo passo le navigazioni. Registrano ogni clic su un “Like” – in Italia sono tre miliardi al mese quelli su Facebook – e rastrellano a caccia di preziose informazioni sul nostro conto i social network (siamo 22,7 milioni su Facebook, 3,3 su Twitter, 3,8 su Google+ e 3,5 su Linkedin). Al resto pensano le macchine, trasformando il tutto in merce di scambio («senza registrare dati sensibili», precisa Zenette) pronta per essere messa all’asta.
«Noi siamo nati da poco ma abbiamo già in banca dati 40 milioni di cookies (ogni persona può averne da due a sei) e per ognuno abbiamo qualcosa come 600 punti dato, vale a dire “registrazioni” di passaggi internet» dice Paola Colombo, direttore della filiale italiana di Xaxis, uno dei colossi mondiali di questo business. Tradotto in soldoni, nei suoi archivi informatici sono “schedati” (in maniera del tutto legale) tra i cinque e i dieci milioni di indirizzi internet italiani. «Non sappiamo il nome di nessuno, ovvio – rassicura la manager –. Abbiamo solo degli Ip di computer». Ma di ognuno di queste carte d’identità senza fotografia i giganti di Big data sanno se fa capo a un maschio o a una femmina, l’età presunta, la residenza, gli interessi, i viaggi e gli acquisti. E sanno soprattutto come trasformare queste informazioni in denaro sonante. Il prezzo? Da 70 centesimi per mille “pezzi” per i dati base fino ai 3-5 euro per i profili più raffinati.
In Gran Bretagna e Usa, dove gli acchiappa-dati sono quotati in Borsa e valgono miliardi di dollari, siamo ancora più avanti. Oltre alla rete i loro dipendenti saccheggiano tutte le fonti di notizie più o meno pubbliche (anagrafe, ospedali, tracce del cellulare, motorizzazioni, banche dati di banche, gps, carte fedeltà dei supermercati) e incrociando miliardi di informazioni creano profili sempre più precisi. Roba che si vende a peso d’oro. Leadplease.com – ha scoperto il Financial Times – ha in listino a 260 dollari per mille cookies la lista di malati di tumore. BlueKai Exchange, la piattaforma forse più avanzata al mondo, ha nei suoi cervelloni l’identikit commerciale di 300 milioni di persone (il 5% degli abitanti del mondo) e ogni giorno che Dio manda in terra macina 750 milioni di nuove operazioni.
Gli algoritmi consentono ormai di leggere questo fiume di cifre a basso costo, in pochi secondi e come se fossero libri aperti: il prezzo per immagazzinare un gigabyte di informazioni, spiega un recentissimo studio dell’Ocse dedicato proprio al fenomeno della compravendita di dati, è crollato dai 56 dollari del ’98 agli 0,05 centesimi attuali. E per dare un’idea della potenza di fuoco delle nuove tecnologie, Adam Sadilek dell’università di Rochester e John Krumm della Microsoft hanno dimostrato in uno studio che bastano pochi dati del cellulare incrociati con il segnale Gps del tablet per prevedere con una precisione dell’80% dove si troverà una persona 80 giorni dopo. «E visto che l’80-85% dei contenuti del web è ancora una miniera non sfruttata da Big Data, dobbiamo capire sia i benefici che i rischi per la privacy di questo fenomeno», scrive l’Ocse.
«La riservatezza comunque è tutelata, noi commerciamo solo dati del tutto anonimi» conferma Roberto Carnazza, responsabile di Weborama Italia. La Ue – inseguendo il fenomeno – sta elaborando un sorta di maxi-regolamento di settore che dovrebbe vedere la luce il prossimo anno. «Il Garante per la privacy in Italia ha accelerato i tempi e noi stiamo studiando con lui un primo quadro di norme italiane da varare in anticipo rispetto a Bruxelles», assicura Zenette. Dopo l’estate l’Authority incontrerà le parti coinvolte per una seconda consultazione che potrebbe arrivare a uno schema di controllo per il mercato dei dati personali nel Belpaese.
È possibile sottrarsi a questo Grande fratello informatico a fine di lucro? In teoria sì. Sul sito della Iab, per dire c’è una guida dettagliata e semplice per cancellare tutte le sentinelle elettroniche che cercano di installarsi nei nostri computer e per imparare a far sparire, per quanto possibile, tutte le tracce elettroniche che lasciamo senza volerlo nella nostra lunghissima scia virtuale su computer e tablet. Ma c’è poco da stare allegri. Anche i dati di chi “sparisce” dall’etere volontariamente, volatilizzandosi in una sorta di limbo informatico, sono merce che vale oro per chi ha come obiettivo commerciale il target – a suo modo ambitissimo – dei “desaparecidos” del web.
Ettore Livini e Tiziano Toniutti, la Repubblica 14/6/2013
(1 – continua)


LA VIA ITALIANA AL DATAGATE, COSÌ DUE LEGGI APRONO LE NOSTRE VITE AGLI 007
la Repubblica 15 giugno 2013
Esiste un datagate italiano? È già accaduto o può accadere in casa nostra, in nome della sicurezza nazionale e per mano dello Stato, quello che Edward Snowden ha svelato del sistema di sorveglianza globale e continua messo in piedi dalla National security agency? Detta altrimenti: fino a dove il format statunitense di accesso e acquisizione di informazioni da trattare con il sistema dei “big data” è riprodotto o riproducibile nelle routine silenziose dalle nostre Agenzie di Intelligence?
Ebbene, la partita italiana ai “big data”, lo vedremo, è una storia di leggi di riforma, garanzie, controlli incrociati e di un decreto firmato dal dimissionario Mario Monti il 24 gennaio scorso che Governo e Servizi difendono e che, al contrario, qualcuno vede come il Grande Baco di Stato della privacy italiana. La porta di accesso senza autorizzazione della magistratura alle banche dati private del Paese. Quelle di interesse strategico: trasporti, sanità, telecomunicazioni.
I POTERI DI INTRUSIONE
Questa storia ha un inizio e porta una data. Il 2007. Nell’agosto di quell’anno, il Parlamento, con la legge di riforma dei Servizi segreti (la 124), consegna all’Intelligence due leve che ne imbrigliano in un perimetro di garanzie. I Servizi — stabilisce la legge — possono violare il segreto delle comunicazioni di ciascuno di noi (telefonate, corrispondenza cartacea ed elettronica, tabulati telefonici) a fini di sorveglianza e prevenzione solo per un periodo di tempo limitato (40 giorni prorogabili di 20 in 20) e solo con l’autorizzazione preventiva dell’autorità giudiziaria, individuata nell’ufficio del Procuratore generale presso la Corte di Appello di Roma. Il materiale così raccolto non può diventare fonte di prova in giudizio e lo stesso magistrato che ne autorizza la raccolta «ne dispone la distruzione al termine dell’attività informativa». Ma i Servizi possono, senza alcuna autorizzazione preventiva, accedere alla totalità delle banche dati della pubblica amministrazione e a quelle dei privati che svolgono servizi di pubblica utilità in concessione e con cui abbiano stipulato “convenzioni”, salvo darne successiva comunicazione al Copasir (l’organo parlamentare di controllo sui Servizi) perché possa eventualmente esercitare i suoi poteri ispettivi.
Il Sistema, insomma, si muove su un doppio binario. Ad una garanzia invalicabile a protezione di una libertà costituzionale come il “segreto delle comunicazioni” (articolo 15 della Carta) se ne accompagna una seconda, più elastica, sulle banche dati, dove il controllo di legittimità (parlamentare, in questo caso) non è a monte, ma a valle. Non è preventivo, ma successivo.
LE INTERCETTAZIONI PREVENTIVE
Luigi Ciampoli è oggi Procuratore generale presso la Corte di Appello di Roma. Ed è nel suo ufficio che sono custoditi i fascicoli e il dato statistico che documenta la più intrusiva delle attività dei Servizi: le intercettazioni preventive. «Nel 2012 — spiega — le richieste di intercettazioni delle nostre agenzie di intelligence cui ho concesso autorizzazione sono state 4. Nei primi cinque mesi di quest’anno, 7. Nel 2012, ho autorizzato invece 13 richieste di acquisizione di tabulati telefonici, che sono diventate 11 tra il gennaio e il maggio di quest’anno. Sia nel 2012, che nel 2013 ho accolto tutte le richieste che sono state avanzate». Il dato — come evidente — appare statisticamente quasi irrilevante in un Paese di oltre 60 milioni di abitanti e comunque rende evidente come l’aggressione diretta e per legge al segreto delle comunicazioni da parte di Aisi (il Servizio interno) e Aise (il Servizio esterno) è, o quanto meno appare, attività residuale.
Restano dunque la Rete e le banchi dati. E qui, il terreno si fa più friabile.
IL DECRETO MONTI
Il 24 gennaio scorso, Mario Monti, presidente del Consiglio dimissionario, firma un decreto presidenziale che dà corso alle modifiche che la legge 124 ha conosciuto nell’agosto 2012, quando il Parlamento, con un voto in commissione, licenzia una legge in 12 articoli (la 133) che integra e modifica la Riforma dei Servizi. Quella di Monti è una «direttiva che indirizza gli interventi per la protezione cibernetica e la sicurezza informatica nazionale». Ma quel che conta è che l’atto che porta la sua firma, per la prima volta, apre alla nostra Intelligence la possibilità di accedere alle banche dati di quelle società private che operano in concessione nei «settori nevralgici dell’energia, dei trasporti, della salute, del credito bancario, delle telecomunicazioni » attraverso la firma di “convenzioni”. Né più e né meno che un contratto i cui contraenti sono gli amministratori delegati di colossi come Telecom (tanto per citare una delle società in questione) e Giampiero Massolo, il direttore del Dis (Dipartimento per le Informazioni e la Sicurezza, organo di vertice della nostra Intelligence). Un contratto di “cooperazione” tra pubblico e privato al cui cuore è il prezioso giacimento di dati sensibili e “strategici” custodito appunto dalle banche dati.
LE CONVENZIONI
Nel giro dei primi cinque mesi di quest’anno, le “convenzioni” stipulate tra i nostri Servizi e i privati sono arrivate a una decina. Hanno la durata di un anno e si articolano in uno schema in 12 articoli protetto dal vincolo della riservatezza. In una delle convenzioni che “Repubblica” ha potuto consultare, si legge: «La Società parte rende disponibili al Dis notizie e informazioni utili per lo svolgimento, da parte degli organismi di informazione, delle attività finalizzate a rafforzare la protezione cibernetica e la sicurezza informatica nazionali. La società si impegna a comunicare al Dis notizie e informazioni relative a eventi di natura cibernetica quali, a titolo esplicativo, attacchi o tentativi di violazione dei propri sistemi informatici». E ancora: «Le parti (società private e Servizi ndr.) si impegnano a trattare e custodire i dati e/o le informazioni sia su supporto cartaceo che informatico». Soprattutto, dell’accesso alle banche dati private da parte dei Servizi le convenzioni e la legge prevede che resti traccia attraverso i “log” e che, annualmente, degli accessi venga dato conto al Copasir.
“IL NOSTRO MINI-PRISM”
La “novità” mette comunque a rumore una parte della magistratura e degli addetti. Nel sistema delle “convenzioni” che danno accesso a banche dati private, qualcuno individua una “fessura” destinata a farsi crepa che può aprire ad uno scenario americano. A quella raccolta a “strascico” di dati sensibili anticamera di un futuro “big data” e comunque fuori da un controllo “terzo”. Non fosse altro, appunto, per la qualità di quei dati. Telecomunicazioni, trasporti, salute che, sommati a quelli già raccolti dalle pubbliche amministrazioni, possono rappresentare una massa critica simile a un abbozzo di “big data”.
All’osso, il ragionamento suona così: chi può assicurare dell’uso legittimo di quei dati sensibili? E, soprattutto, chi può farlo con cognizione di causa, dal momento che il tipo di dato sensibile è noto soltanto a chi lo archivia (la società privata) e a chi ora ne potrà disporre (i Servizi)? In una delle mailing list interne dell’Anm si legge: «Anche noi abbiamo un mini-Prism (il nome del software utilizzato dalla Nsa americana, ndr). Per effetto del Decreto Monti (governo tecnico in carica solo per l’ordinaria amministrazione), in Italia, le forze dell’ordine e i Servizi possono avere accesso alle banche dati degli operatori e gestori di comunicazione, internet service provider, aeroporti, dighe, servizi energetici, trasporti per non meglio specificate finalità di sicurezza senza autorizzazione ». Per Fulvio Sarzana, avvocato esperto in telecomunicazioni, la svolta è cruciale perché attiene ai princìpi: «Con il decreto di Monti — dice — per la prima volta viene inserito nell’ordinamento italiano il principio dell’accesso diretto alle banche dati di operatori privati senza l’autorizzazione della magistratura».
«DIFENDIAMO DUE LIBERTÀ»
Nel suo studio a Palazzo Chigi, Marco Minniti, sottosegretario con delega all’Intelligence, capovolge la prospettiva. «Il cosiddetto decreto Monti del gennaio di quest’anno — dice — non è un nuovo vulnus alle nostre libertà individuali. È l’esatto contrario. La protezione contro gli attacchi cibernetici delle banche dati private che custodiscono dati sensibili per la sicurezza nazionale e le nostre infrastrutture strategiche non è un modo surrettizio per aggirare le garanzie previste dalla legge e impadronirsi di quei dati. È un modo per proteggerli quale bene collettivo». L’argomento di Minniti parte da «un convincimento maturato anche con l’esperienza personale» (il sottosegretario è parte civile in un processo contro Gioacchino Genchi accusato di aver sottratto in modo fraudolento i suoi tabulati telefonici) e da «un presupposto di principio che rifiuta l’idea di sicurezza e libertà come termini antitetici». Dice: «Una democrazia moderna deve tutelare nello stesso tempo due libertà. Non solo quella dell’individuo, ma quella collettiva. E la sicurezza delle banche dati è un bene collettivo. Ebbene, l’una e l’altra, per chi non se ne fosse accorto, sono minacciate dagli attacchi cibernetici ».
IL COSTO DELLA “GUERRA”
Sul punto, i dati forniti da Palazzo Chigi sono quelli di una “guerra” dai costi crescenti e insostenibili. Nel 2012, su scala globale, «le vittime di attacchi cibernetici e di reati classificati come informatici sono state 556 milioni di individui», con un indice di crescita del 42 per cento rispetto agli anni precedenti. Mentre il danno per le aziende “aggredite” ha raggiunto un valore di 110 miliardi di dollari annui. La Rete è diventata una trincea. Anche per gli Stati. Francesco Pizzetti, ex Garante per la Privacy e oggi presidente dell’associazione “Alleanza per Internet”, dice: «Siamo tornati ad Hobbes. Nello spazio cibernetico, gli Stati, esattamente come i singoli, sono in una fase belluina. Esercitano o almeno provano a esercitare un potere senza controlli». E con una corsa agli strumenti tecnici di acquisizione dei dati che li fanno invecchiare nello spazio di mesi.
ALGORITMI SEMANTICI
Per dirne una, la nostra Intelligence lavora ancora in Rete e su “fonti aperte” con strumenti antichi come i software di ricerca “sintattici”, quelli che procedono cioè per parole chiave. Una fonte qualificata dei nostri Servizi riferisce ora di una sperimentazione che, di qui ad un anno, dovrebbe dotare i nostri apparati di nuovi algoritmi “intelligenti” perché capaci di ricerche “semantiche”. Per concetti. Gli stessi che i privati, in Italia, già utilizzano da tempo e vendono all’estero. «Perché oggi — chiosa la stessa fonte — il problema in Rete non è sapere chi fa che cosa. Ma per conto di chi lo fa e perché lo fa».
Carlo Bonini; Piero Colaprico; Giuliano Foschini; Marco Mensurati; Fabio Tonacci, la Repubblica 15/6/2013
(2 – continua)


RICATTATORI, DETECTIVE PRIVATI E 007 ECCO COME SIAMO INTERCETTATI DAI SIGNORI DELLO SPIONAGGIO ILLEGALE
la Repubblica 16 giugno 2013
Il Grande Fratello di Stato, lo abbiamo raccontato ieri, ha una cornice di regole e garanzie. Fluide, ma pur sempre regole. Eppure il nostro viaggio nella Rete documenta ora un’altra storia. Quella di una giungla dove lo spionaggio privato o per conto terzi, siano Stati, aziende, banditi di passo, ricattatori, annuncia la nèmesi di quello che continuiamo a vivere come uno strumento di libertà quando, ogni giorno, ci “logghiamo”. E che invece è diventata la nostra prigione di vetro. La casa comune di noi altri spiati in streaming.
Il datagate italiano è realtà. Ha pratiche minacciose e sembra quasi fosse nel nostro destino. In giorni lontani, quando ancora i telefoni erano ancora a muro e la Telecom si chiamava Sip.
IL RUOLO DELL’ITALIA
Un dato è infatti passato sotto silenzio nell’inchiesta Telecom, ma oggi, appare fondamentale. Grazie alla competenza tecnologica della vecchia Sip, progenitrice di Telecom, e alla sua posizione geografica, l’Italia è il luogo dove — per usare la terminologia degli addetti ai lavori — «passano i flussi»: ossia i cavi transoceanici tra Est e Ovest e i cavi di contatti tra Nord e Sud sono una struttura Telecom. Per dirne una, dallo snodo di Palermo passano tutte le comunicazioni europee in entrata e in uscita dal Medio Oriente. Israele compreso. Ebbene, molto tempo fa, in questi cavi correvano soltanto le voci delle telefonate. Adesso, che anche le telefonate sono trasmesse sul digitale, da questi cavi italiani passa tutto, ma tutto: dal telefonino al computer, dalla mail al gps, dal profilo Facebook ai Tweet. È bene ricordare che l’ufficio Cia più grande, Usa a parte, si trova a Roma. E «l’Italia è stata ed è ancora il paradiso degli spioni », dice uno che ne capisce.
Si chiama Fabio Ghioni, si è fatto cinque mesi d’isolamento quando l’hanno messo in carcere per il caso Telecom. Chiusa la partita con la giustizia, è tornato in sella, studia le tecnologie più moderne, sa fare il «pirata » ma ora, così dice lui, «mi occupo di creare delle bolle di democrazia per chi può permettersele». In altre parole: mette in sicurezza tecnologica case e uffici di vip in giro per il mondo per evitare le spiate, le intrusioni, le aggressioni. Con lui cominciamo a entrare nella cucina del sistema, dove diventa evidente come, sotto un manto di legalità, si nascondono le violazioni della privacy di chiunque di noi. «La sicurezza dei cittadini è per come la vedo io — continua l’ex hacker Ghioni, conteso dai servizi di mezzo mondo — un alibi, e di certo non è una priorità. I controlli ci sono da sempre, ma non hanno impedito l’11 settembre o altri attentati successivi. Dunque, l’interesse è un altro ed è semplice. Se piazzi una sonda su quel flusso di dati, si può sapere se non tutto, moltissimo di qualsiasi persona. E, finché tu stai zitto e buono, e sei un nessuno, vivi in democrazia. Ma se alzi la testa e rompi, puoi essere facilmente rovinato da chi conosce i tuoi scheletri, le tue passioni, le tue vulnerabilità. Esistono i profiler che seguendo Facebook, Twitter, i “mi piace”, i forum, individuano le vostre preferenze politiche e abitudini, e poi...».
LA SCHEDATURA DEL CITTADINO
È difficile abituarsi a questi concetti, talmente spaventosi da sembrarci quasi estranei: lo sono finché non ci «toccano». O meglio, finché sembrano non toccarci. Nell’ombra, invece, ci toccano e manco lo sappiamo, come ci assicurano in molti, e tra questi Andrea Zapparoli Manzoni, 45 anni, uno degli esperti italiani di GRC (Governance, Risk & Compliance), Cyber crime e Cyber warfare: «Certo, verissimo, anche in Italia esistono e prosperano società che si occupano del profiling degli utenti della rete. Grazie alle attività che ciascuno compie quotidianamente sui social network e sulle richieste, che esegue sui motori di ricerca, si può schedare chiunque. In un primo momento lo si faceva per motivi commerciali. Da qualche tempo, in Europa e ora anche in Italia, si stanno muovendo per altri motivi, come il dossieraggio personale. Si rivolgono a questo tipo di società, per esempio, le aziende che vogliono conoscere tutto sui propri concorrenti, per esempio in casi di gare d’appalto. É possibile conoscere perversioni, amicizie o stato della salute dei dipendenti, stilare la rete delle relazioni, incrociare dati con fotografie, eccetera eccetera. Il tutto muovendosi», attenzione alla parola, «in un ambiente perfettamente legale».
COME FUNZIONA LA SONDA
Tutto lecito, dunque? Oppure il lecito è la «fictio»? Per come la spiega un ispettore, che per una vita si è occupato di intercettazioni, il meccanismo base è davvero facile da capire: «Immagina la tua carta di credito. Fai la spesa al supermercato, il pieno, il ristorante, più o meno nella stessa zona. Un giorno, però, la tua carta spende 500 euro a New York. Allora nell’ufficio che segue i flussi della tua carta di credito, e di milioni di altre, scatta l’“alert”. Sarà in corso una truffa? Sei davvero tu a New York? Arriva quindi il messaggio sul telefonino».
E sin qui, tutto va bene. Una «sonda» (possiamo chiamarla sentinella) è stata piazzata sul flusso dei dati anonimi e scopre un’onda anomala. Ma — e questo è il punto — quanti tipi di “alert” si possono approntare? E sono tutti legali?
LA REVERSIBILITÀ
Sui flussi di dati (e tutto oggi è un «dato», un bit) si possono mettere “sentinelle” di ogni tipo. Possono chiedere di estrapolare, come spesso si dice, la parola “bomba”, ma possono anche dire alla sentinella elettronica di trova e seguire il timbro vocale di una persona. Possono aggregare insieme più tipi di “alert”: un cognome, un altro, un luogo. «Noi — racconta un operativo chiedendo l’anonimato — facciamo spesso retate sulla criminalità organizzata. Avevo un amico in un servizio segreto inglese, questo mi chiedeva la lista degli indagati, poi, dopo qualche giorno, mi portava una conversazione telefonica, per esempio con uno che diceva all’altro: “Il carico di droga sta arrivando in quel tal posto”. Ogni volta che gli ho chiesto come facesse, mi sorrideva, e basta».
Anche l’ex colonnello dei Ros Angelo Jannone, finito nell’inchiesta Telecom e assolto dalle accuse principali, si è rimesso in sella e si occupa adesso di privacy con la sua Jdp: «Premessa. Qualunque forma di comunicazione può generare un alert. E lo fa a seconda dei parametri che vengono richiesti. L’analisi dei flussi resta anonima finché non applichi la “reversibilità”, ossia ogni dato anonimo viene tracciato e diventa noto. Ed è qui si annidano i problemi perché — domando io — chi sono gli amministratori del sistema che per esempio controlla le carte di credito, la spesa al supermercato, i viaggi aerei? Quale protocollo seguono? Quali sono le loro regole d’ingaggio? In Italia dal 2009 gli amministratori del sistema sono obbligati a seguire delle procedure che permettono di ricostruire che cosa hanno fatto e perché, ma...».
“CHI PARLA MALE DI TE”
Ecco, c’è sempre un «ma» che inquieta, in queste storie di intercettazioni e spie, del confine che si sfarina tra lecito e illecito. «I social network mettono a disposizione di chiunque, chiaramente a pagamento, le Api, Application Programming Interface. Sono — dice Zapparoli Manzoni — il cuore della piattaforma. Chi parla con le Api parla direttamente con il motore del sito. Bene, queste società, tramite delle formule di analisi semantica, cercano anche i segni di nervosismo. Sono in grado di capire se rappresenti un nodo centrale di una rete di relazioni o un semplice ramo. Molti apparati di sicurezza lavorano su questa piattaforma per il pre-crimine ».
Pre-crimine, dunque: non è fantascienza alla Philip Dick, è realtà già documentata, anche se per molti inedita. Ma — attenzione — chi ci dice se gli apparati studiano il pre-crimine oppure la “pre-opposizione” politica? Lavorano per la sicurezza di chi? «Da almeno tre anni, si stanno diffondendo i social bot. Profili gestiti da macchine — dice Zapparoli Manzoni — che fingono di essere persone, che si collegano come fossero persone (pubblicando foto, mettendo like eccetera). Queste reti sono in parte controllate dalla criminalità organizzata, in parte da chi fa reti black, oltre la linea lecita di reputation, e in parte da società private che lavorano per governi».
Una domanda diventa cruciale: se tra i miei amici, esistono amici soltanto perché così mi spiano o mi bucano il pc, io che ci sto a fare sui social network? «Noi — spiega infatti Zapparoli — siamo in una fase di far west. Faccio sempre l’esempio della scimmia con una bomba a mano. La lecca, ci gioca, rimbalza ma prima o poi tira la sicura. Per forza. Il problema principale è che la gente queste cose non le sa. Pensa di vivere in una prateria libera».
IN PRINCIPIO FU ECHELON
«Che cos’è Echelon? Tutti dicono che è un sistema d’ascolto, il “grande orecchio”, ma è sbagliato. Lo è anche, ma soprattutto è un consorzio», dice Ghioni. Questo consorzio riunisce cinque paesi: Australia, Canada, Nuova Zelanda, Regno Unito e gli Stati Uniti. Perché? «Siccome la Cia non può intercettare gli americani, lo chiede agli inglesi, che a loro volta lo chiedono agli australiani e così via. Tanto stanno tutti, per così dire, nella stessa stanzetta. Cioè — dice Ghioni — viene data una veste formale, giuridicamente corretta, al fatto che ogni servizio segreto faccia quello che ritiene giusto per la sicurezza del proprio paese, oppure per il potere politico in quel momento in sella».
IL BRACCIO INFEDELE DELLA LEGGE
E il potere come usa quello che prende? «Il problema — sottolinea oggi Ghioni, che in Telecom era il capo del cosiddetto Tiger Time, ideatore di software precisi e azioni quanto meno discutibili — non è solo il dipendente infedele, che c’è, e c’è dovunque, da sempre. Ma è ben peggio quando un’intera azienda ha un braccio infedele, nel senso che lavora su due tavoli. Su uno fa l’intercettazione per conto dell’autorità giudiziaria, sull’altro serve, a pagamento o in cambio di futuri appalti, qualcuno che cerca notizie».
Frase che si attaglia alla perfezione a quanto successo nell’ormai lontano 2005 alla società Rcs: il suo amministratore delegato ha recuperato la telefonata tra Piero Fassino e Giovanni Consorte e l’ha fatta avere ai fratelli Berlusconi, entrambi condannati in primo grado. Ma com’è riuscito ad averla? Un suggerimento interessato? Un’“area ignota” dalla quale attingere l’“alert” che serve? La spiegazione dell’amministratore — «Un caso fortunato» — non ha mai convinto gli inquirenti, non è stato però provato nient’altro.
Nonostante il procuratore aggiunto Maurizio Romanelli abbia cercato di capire meglio le influenze di qualche dipendente, o di qualcuno dei molteplici contatti Rcs. Uno di questi è con un cittadino italiano, che però è stato funzionario dell’agenzia delle dogane americane, ha avuto incarichi presso l’ambasciata di Roma e il consolato Usa di Milano, vanta buoni contatti con l’ex viceministro del tesoro William Gatley. E questo italiano, Guido D. A., che mestiere fa? L’investigatore privato.
Un mestiere molto, molto diffuso ogni volta che si parla d’intercettazioni e di società che «mettono sotto gli obiettivi» (controllano telefoni e pc). Ma sembra che nessuno si spaventi delle possibili relazioni pericolose. E un vecchio maresciallo, che lavorava con il generale Dalla Chiesa, la spiega così: «Non è che sono stupidi in Italia, quindi questa mancanza di controllo esiste perché serve. Può essere utile. Diventa possibile controllare un flusso d’informazioni a dispetto degli ordini dell’autorità giudiziaria e questo, per uomini come me, che hanno sempre pensato al bene dello Stato, non suona bene».
Carlo Bonini; Piero Colaprico; Giuliano Foschini; Marco Mensurati; Fabio Tonacci, la Repubblica 16/6/2013
(3 — continua)


DAI CONTI CORRENTI ALLO SHOPPING COSÌ LA GUERRA AI FURBETTI DEL FISCO APRE LA CASSAFORTE DEI NOSTRI SEGRETI
la Repubblica 19 giugno 2013
Spie, a modo loro, sì. Ma con la stella di sceriffo sul petto. E impegnate 24 ore su 24 — macinando 34 milioni di dati al secondo — per salvare il Paese. A costo di rovistare tra i segreti che gli italiani custodiscono più gelosamente. L’armata degli 007 del fisco tricolore è un esercito al silicio con una potenza di fuoco di un milione di miliardi di byte: i suoi soldati sono 1.500 server, software con il dono della veggenza e 3 grandi “cervelloni” custoditi su mandato del ministero delle Finanze nei sotterranei gelidi della Sogei, vicino alla Laurentina, periferia di Roma. Il loro compito? Smascherare potenziali evasori, passando al setaccio migliaia di file in codice binario, registrando con pazienza certosina (come solo le macchine sanno fare) saldi di conti correnti, acquirenti di Panda, Suv e yacht di lusso, patrimoni immobiliari e utenze di gas luce ed acqua.
Il nome in codice di questi super-agenti dell’anagrafe tributaria — non per niente siamo in clima da spy-story — è Ser. p. i. co, Servizi per i contribuenti, come il vecchio poliziotto newyorchese. E Serpico sa tutto di noi: quanto guadagniamo, che macchina abbiamo, se bollo e assicurazione sono stati pagati, quanto è costata la collana di perle nere delle isole Cook regalata alla mamma. Più, da metà 2013, saldi e movimenti complessivi dei nostri conti in banca. Un Grande Fratello, certo. Ma l’unico, nel mondo un po’ misterioso di Big Data, ad operare marcato ad uomo dal Garante della privacy («tutti i dati sono anonimi ed elaborati senza intervento umano», garantisce Cristiano Cannarsa, numero uno di Sogei) e — soprattutto — a fin di bene, come un’Onlus in versione 007. Obiettivo: recuperare un euro alla volta quei 120 miliardi sottratti ogni dodici mesi dagli evasori all’erario, cifra che da sola basterebbe a cancellare in 15 anni tutto il debito pubblico tricolore.
Il bazooka del fisco
Spesometro, redditometro, studi di settore. Tutti gli strumenti anti-elusivi dello Stato attingono a piene mani all’arsenale di informazioni tributarie raccolte da Serpico, l’arma letale con cui il Tesoro conta di sparigliare la partita con i furbetti del fisco.
Ma come funziona il super-cervellone dell’Agenzia delle entrate? Chi può accederci? Che risultati dà? E che garanzie abbiamo sul rispetto della privacy e sulle barriere anti-intrusioni dei pirati del Web? Andiamo per ordine. Ad alimentare i circuiti elettronici dei 1.500 server è un fiume di informazioni in arrivo da 300 banche dati — tra cui catasto (con l’identikit di 67 milioni di immobili), motorizzazione, anagrafe, registro navale — e da 10mila enti pubblici. Notizie cui si sommano tutte le operazioni fatte usando il codice fiscale, le polizze assicurative, le iscrizioni in palestra, le spese sopra i mille euro e, con l’anagrafe dei conti correnti, anche il saldo dei nostri investimenti e dei conti in banca e il totale (solo quello) dei rapporti dare e avere annuali.
Questa valanga di dati “riservati” tradotti in anonimi “0” e “1” del codice binario oppure “xml” vengono letti ed elaborati da tre grandi mainframe «di ultima generazione, affidabili al 99,9% periodico e dotati di un sistema “gemello” di disaster recovery per gestire le emergenze» garantisce Cannarsa. I cervelloni li impastano, affiancano a ogni codice fiscale le relative voci “pescate” nel cuore pulsante di Serpico. E quando verificano scostamenti significativi tra il nostro tenore di vita e il nostro 740, inviano un allarme agli ispettori del fisco. Dati ufficiali non ce ne sono, ma si tratterebbe di decine di migliaia di segnalazioni all’anno. Vere e proprie “verifiche intelligenti” guidate da algoritmi e software ad hoc. calibrati per colpire in modo mirato — per quanto possibile — i pesci più grossi.
L’identikit del contribuente
A questo punto, per la prima volta, entra davvero in campo il fattore umano. L’Agenzia delle entrate, ricevuto l’allerta, affida ai suoi ispettori (e poi a Equitalia) il compito di scegliere i casi prioritari su cui avviare gli accertamenti.
Come si fa? Per prima cosa si può approfondire la ricerca. È facilissimo. Basta digitare nome e cognome o partita Iva del contribuente interessato sulla home page azzurrina del sistema e «istantaneamente», come dice orgoglioso il numero uno Sogei, appare una fotografia finanziaria precisa al centesimo della sua vita: ci sono case e auto di proprietà, iscrizione in palestra, spese più consistenti, bollette e le ultime cinque dichiarazioni dei redditi, investimenti e saldo del conto corrente e dell’eventuale conto per il gioco online. Una delicatissima e sofisticata biografia patrimoniale sulla cui base può partire una richiesta di chiarimenti al diretto interessato in vista di un’eventuale indagine finanziaria.
Questa carta d’identità elettronica, come ovvio, non è a disposizione di tutti: «A queste applicazioni possono accedere solo pochi funzionari delle Agenzie abilitati con diversi livelli di autorizzazione i cui accessi sono registrati e consultabili su richiesta, nel pieno rispetto delle indicazioni ricevute dall’Authority per la protezione della privacy », assicura Cannarsa. Ogni ingresso nel sistema viene monitorato e registrato. Si sa chi lo fa, quando e cosa cerca. E il garante vigila su tutto il processo. Come ha fatto di recente obbligando a costruire un canale di comunicazione “ad hoc” super-blindato (il Sid) per il trasferimento delle informazioni sui conti correnti e sui rapporti di investimento con istituzioni finanziarie. E mettendo una scadenza come uno yogurt alle informazioni raccolte nell’archivio, per evitare abusi.
Il bottino degli 007
Serpico deve ancora completare il suo arsenale. Ma dal 2007 ad oggi, grazie anche all’occhio lungo degli 007 virtuali del fisco, i soldi recuperati dall’Agenzia delle Entrate sono quasi raddoppiati a 12,5 miliardi l’anno e il lavoro di questi 007 computerizzati ha moltiplicato per due l’efficacia “chirurgica” del redditometro. Una manna per l’Agenzia delle Entrate costretta come tutte le realtà governative a una cura dimagrante imposta dalla spending review.
«L’utilizzo delle banche dati ci ha permesso di recuperare più imposte a fronte di un minor numero di accertamenti», ha spiegato pochi giorni fa il direttore Attilio Befera in audizione parlamentare. Non solo: una volta individuati “bersagli” credibili grazie alle valutazioni analitiche dei software dell’anagrafe tributarie, è molto più facile (e soprattutto più rapido) per il Tesoro definire il contenzioso con un patteggiamento, senza lungaggini e bracci di ferro costosi pure per il contribuente: solo nel 2012 ben 245mila accertamenti sono stati chiusi con una transazione tra le parti senza andare per vie legali con un incasso di 3,6 miliardi. Buona parte dei quali farina del sacco del “bunker” nel sottosuolo della Laurentina.
L’arma segreta di Equitalia
La vera svolta potrebbe arrivare quando, questione di mesi, si potrà incrociare alla miniera d’oro del cervellone della Sogei anche la radiografia dei conti in banca, una novità che secondo Maria Pia Protano, capo settore accertamento, potrebbe garantire «un aumento del 40% degli incassi».
Oppure quando Equitalia metterà in azione il suo ultimo gioiello: Palantir, probabilmente il più potente software in circolazione per rivoltare da cima a fondo un database. È quello che la Nsa statunitense utilizza per i tabulati forniti da Verizon, al centro dello scandalo datagate.
Palantir — il cui capotecnico è un’ex dipendente Nsa — si chiama come la «pietra veggente» del Signore degli Anelli, è stato creato e sviluppato da Ebay, PayPal e da un fondo di investimento della Cia. Fa visual analysis come Serpico, cioè visualizza tutti i dati di milioni di persone: anagrafici, immobiliari, fiscali. Tutti. Li incrocia utilizzando algoritmi di ultima generazione per scoprire relazioni invisibili. Non ha limiti di quantità e di quantità dei dati inseribili.
Equitalia, che ha un database di 40 milioni di contribuenti con tutte le informazioni sulle riscossioni degli enti pubblici (pagamenti effettuati, iscrizioni a ruolo, multe, cartelle esattoriali), lo utilizza per scoprire elusioni e frodi interne. Fatto lavorare sull’intera anagrafe tributaria, può rintracciare le scatole cinesi, le intestazioni fittizie di beni e società, le «triangolazioni societarie» possibili per evadere le tasse. Uno strumento di indagine potentissimo ma anche molto costoso (secondo alcune fonti informate, si parte da un prezzo base di 8-10 milioni di euro), tant’è che al momento Equitalia non ha ancora deciso se acquistarlo o no. In Italia è in uso dal 2009 anche ai carabinieri del Ros per rintracciare relazioni tra soggetti indagati in diverse inchieste, portate avanti dalle procure, senza violare il segreto istruttorio.
I bachi del sistema
Per far davvero lavorare a pieno regime la macchina acchiappa-evasori dello Stato, però, c’è ancora qualche passo da fare. Serpico funziona come un orologio svizzero. Il problema, come emerso dall’indagine della Commissione di Vigilanza sull’Anagrafe tributaria, è l’attendibilità e l’uniformità delle informazioni immesse dalle banche dati esterne «che hanno scarse capacità di dialogo tra loro». E un granello di sabbia può da solo inceppare il sistema.
Il rapporto finale presentato alla Camera dei Deputati segnala tra queste macro-storture da Guinness qualche caso limite: basta che il numero civico della via non sia in un’apposita casella separata per rendere i dati di lettura complessa. Basta un “De” maiuscolo invece che minuscolo nel cognome per mandare in tilt i neuroni informatici dei mainframe.
Sogei, Agenzia delle Entrate e Tesoro stanno facendo un ciclopico lavoro per omologare le comunicazioni. Anche in vista degli scambi di informazioni con le grandi banche degli altri paesi approvate ieri dal G8. Ma non è facile. Ci sono i nodi difficili ad sciogliere come le nascite mai registrate, i Comuni poco digitalizzati, cognomi stranieri di difficile grafia. O casi estremi come i morti fiscalmente viventi. In Italia abbiamo 90 milioni di codici fiscali di cui 17,5 milioni si stima in capo a defunti. E da loro, pure per un cervellone raffinato come Serpico, è difficile recuperare anche solo un euro di tasse arretrate.
Ettore Livini e Fabio Tonacci, la Repubblica 19/6/2013
(4 — continua)