Software che si installano surrettiziamente in un telefonino e monitorano ogni azione del suo possessore, sistemi di riconoscimento facciale e altre forme di identificazione biometrica, dall’analisi delle camminata alla scansione dell’iride: il business della sorveglianza digitale, che comprende queste e tante altre applicazioni, non è mai stato così fiorente.

Si tratta però di tecnologie che, se adoperate male, possono mettere a rischio la libera espressione, la riservatezza e la libertà stessa degli individui. E in assenza di regole certe e condivise, occorre una moratoria sul loro utilizzo: lo afferma in una nota un gruppo di esperti dell’Ufficio dell’Alto commissario per i Diritti umani delle Nazioni unite, prendendo spunto dal recente scandalo suscitato dal software di sorveglianza per smartphone Pegasus, dell’azienda israeliana Nso Group.

Un report di Amnesty International e Forbidden Stories, uscito a luglio, ha messo in evidenza come governi autoritari in tutto il mondo si servano del programma per tenere sotto controllo illegalmente centinaia (se non migliaia) di politici, giornalisti e attivisti per i diritti umani.

Diritti umani a rischio

Questo può avere un effetto deleterio sul lavoro dei soggetti monitorati, e mettere a rischio la vita di molte persone. Come possono i giornalisti investigativi tenere nascosta l’identità delle loro fonti, che spesso chiedono l’anonimato per paura di rappresaglie, quando la rubrica del loro telefonino e ogni chiamata fatta è visibile a chi li spia? Come possono gli attivisti essere al sicuro se ogni loro movimento viene tracciato, esponendoli al rischio di arresti o assassinii mirati?

Per questo, nella nota dell’Onu, gli Special Rapporteur sulla promozione e protezione del diritto alla libertà di espressione, sulla situazione dei difensori dei diritti umani e sulla libertà di assemblea e associazione sottolineano come i software di sorveglianza possano “mettere in pericolo la vita di centinaia di individui e la libertà dei media e minare la democrazia, la pace, la sicurezza e la cooperazione internazionale”.

Non è soltanto Pegasus a essere sotto accusa. Un paio di anni fa, per esempio, si è scoperto che l’azienda tedesca FinFisher aveva venduto al governo turco, senza permesso, prodotti poi utilizzati per sorvegliare gli oppositori. Lo scorso settembre, Amnesty International ha rivelato che aziende francesi, olandesi e svedesi hanno fornito al governo cinese tecnologie utili per i suoi programmi di sorveglianza di massa.

Il software spia israeliano desta particolare preoccupazione per l’elevato grado di raffinatezza (è in grado di intercettare tutto quello che passa attraverso il telefonino, come chat, chiamate, messaggi, geo-localizzazione) e per le modalità di installazione, pressoché impossibili da captare. Il malware sfrutta le cosiddette vulnerabilità Zero-Day, falle del sistema operativo o di una specifica applicazione, di cui il produttore non è conoscenza e che non è quindi in grado di riparare. Può bastare una chiamata non risposta tramite un’app di messaggistica o un finto messaggio di cui non rimane traccia per prendere virtualmente possesso dello smartphone del malcapitato.

Malgrado Nso abbia prontamente negato qualsiasi coinvolgimento in eventuali usi malevoli dello spyware, i relatori chiedono che l’azienda dimostri di aver effettuato le necessarie verifiche sull’affidabilità dei propri clienti e renda pubblici i risultati di tali indagini interne.

L’ambiguo rapporto fra controllati e controllori

Insomma: l’appello degli Special Rapporteur giunge forte e chiaro ma il rischio concreto è che si tratti della classica voce che si leva nel deserto.

Già due anni fa, l’allora relatore speciale sulla libertà di opinione ed espressione, David Kaye, aveva fatto raccomandazioni molto simili, in un dettagliato report presentato al Consiglio per i Diritti umani delle Nazioni unite. Il rapporto era stato però pressoché ignorato dagli Stati membri, che avevano preferito istituire una commissione per lo studio dell’impatto della tecnologia su questo settore.

Il rapporto fra controllati e controllori, in questo settore, è complesso: in Europa, sono gli Stati che dovrebbero vigilare sul fatto che aziende e startup operanti nel ramo della sorveglianza digitale sul loro territorio non vendano prodotti a regimi autoritari o ad altri soggetti che intendono impiegarli per violare i diritti umani.

Tuttavia, sulle modalità concrete di questa vigilanza non c’è unanimità di posizioni. E se ne discute da almeno 10 anni: alcuni Stati spingono per un radicale giro di vite, altri, come Finlandia e Svezia hanno assunto posizioni più morbide. A loro volta, le aziende che producono i dispositivi di sorveglianza, riescono, secondo alcune inchieste, grazie a intensi sforzi di lobbying a incidere in maniera significativa sui tentativi di regolarle.

Qualche progresso, dal punto legislativo, è stato fatto: nel maggio di quest’anno, il Consiglio dell’Ue ha aggiornato le regole sull’esportazione dei cosiddetti prodotti a duplice uso, software e congegni che, come le tecnologie di sorveglianza, possono avere applicazioni sia civili sia militari.

Il nuovo regolamento ha introdotto l’obbligo per le autorità dell’Ue di fornire informazioni dettagliate sulle licenze di esportazione approvate e sui relativi rischi per i diritti umani, formalizzato alcuni requisiti di due diligence per i produttori e rafforzato il coordinamento fra Stati membri e Commissione per l’applicazione dei controlli.

Passi avanti bene accolti da Ong come Amnesty International, Reporter Senza Frontiere, Privacy International e Human Rights Watch, che però avrebbero gradito che fossero posti vincoli più espliciti e stringenti, nei confronti sia degli Stati sia delle aziende.

Passi avanti e questioni aperte

Come si dice, “il diavolo può nascondersi nei dettagli”: il nuovo regolamento afferma, per esempio, che gli Stati membri dovrebbero considerare il rischio che queste tecnologie siano utilizzate “in connessione con la repressione interna o la commissione di gravi violazioni dei diritti umani internazionali e del diritto umanitario internazionale”, ma non chiarisce cosa si intenda per “grave violazione” dei diritti umani.

Oppure si richiede alle aziende di effettuare pratiche di due diligence, ma non è chiaro, nel campo dei potenziali effetti della tecnologia diritti umani, in cosa esse consistano e come evitare che le aziende barino nel fornire le conclusioni.

L’appello degli Special Rapporteur si colloca quindi in un quadro politico e legislativo complesso ed è difficile sortisca effetti immediati. Si tratta tuttavia di una voce autorevole, che mette in luce i potenziali effetti nefasti della sorveglianza tecnologica per chi vive e opera in regimi repressivi, e cui governi e società civile farebbero bene a dare ascolto.

Fonte www.repubblica.it