Cerca e trova immobili

OSPITESì a un’intelligence svizzera al passo con le minacce odierne, ma con i giusti strumenti

19.09.16 - 18:00
Kevin Travaini
Sì a un’intelligence svizzera al passo con le minacce odierne, ma con i giusti strumenti
Kevin Travaini

Benché si possa essere tutti concordi con il principio della salvaguardia della sicurezza del nostro Paese (e chi non la vorrebbe?), è difficile non differire con gli strumenti di cui si vorrebbe dotare il SIC (Servizio delle attività informative della Confederazione) o con la formulazione prevista nella Legge federale sulle attività informative (LAIn) in votazione il prossimo 25 settembre. Le modalità poco chiare con cui la legge è stata formulata non offrono al cittadino medio un numero sufficiente di dettagli per comprendere a fondo le conseguenze di un SÌ a questa legge. Premetto di non fare parte dell’area politica rosso-verde, ma sono attivo da oltre 10 anni nell’ambito della sicurezza, il che mi permette di giudicare come estremamente invasiva e lesiva della privacy la normativa indicata. Last but not least, le modalità proposte si prestano poco allo scopo prefissato.

È assodato che la difesa del nostro Paese passi anche da una maggiore protezione e sicurezza delle infrastrutture cosiddette critiche (acqua, centrali, ferrovie,...) così come il fatto che scopo dell’intelligence sia la raccolta di informazioni nel tentativo di prevenire eventuali atti ostili – il punto cruciale però è la modalità con cui questo possa essere fatto.

Attraverso questa Legge si intende raccogliere indiscriminatamente una gran quantità di dati che toccano strettamente la sfera privata del cittadino per poi cercare di scoprire se all’interno di questa mole di dati vi sia qualcosa di significativo e potenziale indicatore di un possibile problema.

La legge non offrirebbe nessuna certezza né alcuna informazione circa l’uso previsto di questi dati, il tempo di loro conservazione (oltre a dichiarare che i dati saranno conservati fino a un anno, si aggiunge che questo limite non è vincolante qualora il rischio dovesse ancora essere presente) e la loro protezione. Una volta raccolta, ogni informazione è facilmente trasferibile e, potenzialmente trafugabile.

Verrebbero approvati strumenti sofisticati e potenti come i GovWare, basti pensare a quanto accaduto nei giorni scorsi ad Equation Group (sofisticato gruppo che sviluppa attacchi avanzati e collabora anche con la National Security Agency americana), dove alcuni strumenti sono addirittura stati messi all'asta, mentre una parte è ora liberamente accessibile su internet. Chi scarica strumenti di questo tipo è poi in grado di usarli ad esempio contro aziende, governi o infrastrutture critiche, per scopi che spaziano dallo spionaggio industriale al furto di dati fino ai sistemi d'armamento. Cosa succederebbe in caso di un utilizzo improprio di queste "armi" informatiche?

Un’affermazione di Tiziano Galeazzi come: «Le nuove misure di acquisizione delle
 
informazioni possono essere applicate solo se una minaccia grave e concreta lo richiede» contraddice la raccolta sistematica che invece viene proposta nella formulazione della Legge.

Anche il principio: «La nuova legge disciplina in dettaglio il trattamento dei dati personali da parte del SIC. Esso non può utilizzare e deve distruggere i dati privi di correlazione con la situazione di minaccia. Deve inoltre cancellare i dati di cui non ha più bisogno per adempiere i propri compiti o la cui durata massima di conservazione è raggiunta», lascia troppa libertà di scelta al SIC sia per quanto riguarda i tempi sia la durata di conservazione. 

Una serie di interrogativi

La domanda a questo punto è: come si può prevenire che questi dati vengano rubati da pirati informatici? Come si pensa di verificare costantemente l’uso che se ne fa per vedere se conforme a quanto previsto dalle leggi ? Che certezza abbiamo che lo stesso tipo di strumento che il Consiglio federale e il Parlamento raccomandano di approvare non possa essere usato contro i cittadini (vedi il caso Ruag, sicuramente non isolato, in cui sono stati «rubati dei dati» e ci si è accorti dopo due anni)?

Vi sono contraddizioni nella formulazione stessa della legge sulle autorizzazioni alla raccolta dei dati: se infatti obblighiamo i service provider a fornire sempre i log di tutte le comunicazioni per poter effettuare delle ricerche o attivare degli allarmi basati sulla correlazione tra eventi, significa che la raccolta è continua e fatta a tappeto e non saltuariamente o solo a fronte di una minaccia.

Occorre inoltre osservare che i terroristi, a meno che non siano degli sprovveduti, spesso usano dei mezzi (telefoni usa e getta, telefoni che cambiano IMEI a ogni tramissione e segnalano eventuali intercettazioni, darknet, ...) le cui informazioni non rientrerebbero nelle maglie di raccolta dell’immensa mole di dati. Il risultato è che la stragrande maggioranza dei dati non sarebbe che una schedatura dei cittadini, non solo delle loro idee politiche, ma di tutto il traffico privato, raccolto e continuamente monitorato.

Quanto successo recentemente in numerosi Paesi ha dimostrato come le tecniche di raccolta in questione siano più utili a posteriori (cioè ad attacco avvenuto) al fine di individuare autori e complici degli attacchi, piuttosto che come strumento di prevenzione.  

Veniamo ora all’aspetto della raccolta delle informazioni tramite tecniche di attacco informatico o ai sistemi di telecomunicazione.

Se il SIC è autorizzato a compromettere computer, reti, smartphone, telefoni, ecc, chi garantirà l’«integrità» delle informazioni raccolte e che le stesse non potranno essere utilizzate per inserire ad hoc dati compromettenti sui sistemi compromessi?

E chi garantisce che questi strumenti a loro volta non rendano più violabili e dunque meno sicure le infrastrutture informatiche nei confronti di attacchi di terzi?

Vogliamo davvero autorizzare un ente ad applicare strumenti potenzialmente in grado di accedere a tutti i nostri dati (comprese le transazioni finanziarie via e-banking) ?

Perché a questo punto non autorizziamo il SIC a entrare in ogni casa, a leggere ogni lettera e ad accedere a tutte le informazione finanziarie? Il fatto che l’informatica consenta di effettuare queste operazioni in modo «immateriale» non significa che le informazioni raccolte siano meno lesive della sfera della privacy della cittadinanza.

Vorrei commentare atri due passaggi dell’intervento di Tiziano Galeazzi su Ticinonews: «Si rimanda al caso di Basilea dove un fanatico stava preparando una bomba nel suo appartamento qualche mese fa»: non risulta che questo sia stato scoperto con le tecniche e i modi previsti da questa legge. Inoltre, «Chi non ha nulla da temere o nascondere, di certo continuerà a dormire tranquillo, per quanto si possa esserlo, considerando gli eventi e quanto avviene in Europa», allora perché non aprire e verificare tutta la corrispondenza, tenendo traccia di tutti gli invii?

La storia recente ha già dimostrato in molte nazioni come la concentrazione di dati in un unico punto abbia portato a scandali e a inchieste per uso improprio, addirittura alla creazione di dossier che NULLA avevano a che fare con il presunto scopo originale della raccolta dati. Rispetto ad altre nazioni la Svizzera fino ad ora è sempre stata considerata molto avanzata in materia di protezione della sfera personale dell’individuo.

Chiedo ora a chi ha approvato la proposta se è lo stato ad essere al servizio del cittadino o se viceversa, è il cittadino ad essere al servizio dello stato? ... e a chi ancora sostiene che questa sia un’opportunità per il Ticino, mi limito a ricordare il caso di Hacking Team (fuga di dati del 2015).

Concludendo, su un punto concordo con il Signor Galeazzi: forniamo i mezzi appropriati alle nostre autorità di sicurezza, investigative e di sorveglianza, ma facciamolo formalizzando una legge più articolata, dettagliata e al passo con i tempi che verranno.

Alla luce di quanto fin qui illustrato, rivolgo un invito a tutta la popolazione a votare NO il prossimo 25 settembre.

Entra nel canale WhatsApp di Ticinonline.
NOTIZIE PIÙ LETTE