La sorveglianza indiscriminata mette a rischio privacy e sicurezza di cittadini ignari. Ecco 10 buoni motivi per limitare l’hacking governativo
La sicurezza informatica è un diritto umano. Ed è la precondizione per esercitare altri diritti: il diritto alla privacy, alla libera manifestazione del pensiero e alla libertà d’informazione.
Senza protezione dallo sguardo altrui non è infatti possibile sviluppare la propria identità, proteggersi dai pregiudizi e esercitare le libertà costituzionali. Per questo è ora di mettere un freno all’hacking di stato.
Possiamo essere grati a Snowden, Assange, e a tutti gli altri che hanno svelato come alcuni governi abbiano utilizzato gli apparati statali pagati dai contribuenti per influenzare il comportamento e le decisioni dei propri cittadini e di quelli di altri paesi. Ma loro stanno pagando un prezzo altissimo per averlo fatto. Quante volte dovrà accadere ancora?
Che cos’è l’hacking di stato?
L’hacking di stato può essere definito in base ai suoi obiettivi: controllare i messaggi, causare un danno, sorvegliare. Perciò l’hacking di stato ci riguarda tutti. Riguarda gli indagati e i loro interlocutori. L’hacking di stato non riguarda solo presunti criminali ma può riguardare semplici e ignari cittadini, estranei alle condotte che si vuole indagare o impedire. Può riguardare i cooperanti nelle zone dei guerra, organizzazioni antimafia, servitori dello stato, whistleblower che denunciano truffe, sprechi e malversazioni nelle aziende e nei governi per cui lavorano.
Anche se non vogliamo considerare come l’uso di cyberarmi, della censura o il blocco di Internet da parte di governi ed eserciti danneggi attività lecite e costituzionalmente protette, che dire dell’uso non regolato dei captatori informatici, dei trojan di stato, delle campagne di phishing e delle intercettazioni a strascico?
I danni sociali della sorveglianza generalizzata
L’hacking di stato fornisce accesso a informazioni di fonti protette, come le fonti giornalistiche, ma anche le associazioni anti-pizzo, le organizzazioni non governative che combattono la tratta dei migranti o l’inquinamento delle acque, soggetti con uno scopo socialmente importante. E questo accade quando le informazioni sono già immagazzinate, quando sono in transito o mentre vengono create in una conversazione. Con effetti impredicibili. Vi ricordate il blogger saudita sorvegliato con gli strumenti di Hacking team? E la fine che hanno fatto gli oppositori di Assad in Siria e di Ahmadinejad in Iran, degli egiziani del movimento del 6 aprile? Tutti incarcerati. E i loro amici? Finiti in un girone dantesco.
Non solo. L’hacking di stato può danneggiare software e hardware, producendo ingenti danni economici, ma quello che conta dalla prospettiva dei diritti umani è che può infettare i dispositivi di persone che non sono direttamente coinvolte con le operazioni di intelligence e comprometterne il lavoro, l’identità e gli scopi.
10 buoni motivi per limitare l’hacking dei governi
L’hacking di stato, usato sia per la sorveglianza che per la raccolta di informazioni va limitato nel rispetto dei diritti umani per molti motivi. Ecco un decalogo minimo per limitare gli effetti dannosi dell’hacking di stato.
- L’hacking di stato deve essere regolato per legge e le sue modalità devono essere pubbliche e trasparenti senza produrre discriminazioni di sorta;
- Gli attori dell’hacking di stato devono motivarne le ragioni e spiegare sempre perché è considerato il mezzo meno invasivo per ogni tipo di informazione cercata. La sorveglianza di massa va proibita;
- L’autorizzazione governativa all’hacking di stato deve prevedere una conclusione temporale e non influenzare soggetti estranei alle operazioni;
- L’ hacking di stato deve essere approvato dall’autorità giudiziaria competente, che deve essere indipendente rispetto agli organi inquirenti;
- L’hacking di stato deve prevedere delle comunicazioni di garanzia verso il bersaglio delle operazioni;
- Le agenzie responsabili dell’hacking di stato devono pubblicare almeno annualmente dei rapporti che indichino l’estensione delle operazioni e la loro durata, ma anche i risultati o le conseguenze inattese;
- L’hacking di stato non deve mai obbligare entità private a intervenire su prodotti e servizi con l’intento di comprometterne la sicurezza;
- Se L’hacking di stato eccede scopi e autorizzazioni, i responsabili devono fare rapporto all’autorità giudiziaria e spiegarne i motivi;
- L’hacking di stato extraterritoriale deve seguire le norme giuridiche internazionali;
- Le agenzie che fanno hacking di stato non possono collezionare bug, exploit e zero-days, anzi devono rendere pubbliche le vulnerabilità scoperte o acquisite e rilasciarne l’informazione almeno una volta l’anno.
Chi scrive lo sostiene da tempo, tuttavia questa è la posizione di Access Now, una organizzazione non governativa dedicata ai diritti digitali. Access now organizza un incontro la RightsCon, la Rights conference a Bruxelles tra il 29 e il 31 marzo e in alcuni panel si parlerà proprio di questo: privacy, diritti umani e hacking di stato.