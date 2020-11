L’Europa mette un freno all’export di tecnologie per la cyber-sorveglianza

11 Novembre 2020 – 9:03

Hacker viola uno smartphone (Getty Images)L’Unione europea è pronta a dare un giro di vite alle esportazioni di alcuni prodotti informatici di sorveglianza digitale, ritenuti sensibili. Quelli che, nelle mani di un regime autoritario, potrebbero essere adoperati per spiare la popolazione, reprimere il dissenso e violare i diritti umani. Tecnologie di riconoscimento facciale, per esempio. O software di intrusione e trojan. O ancora, apparecchi per intercettare il traffico telefonico, come i cosiddetti Imsi catcher. Lunedì 9 novembre i negoziatori del Parlamento europeo e del Consiglio dell’Unione sono giunti a un accordo per aggiornare la lista di quei prodotti detti a duplice uso. E hanno allargato il perimetro anche a un’ampia serie di strumenti di sorveglianza digitale.

La Cina, per esempio, ricorre al riconoscimento facciale tra i vari strumenti con cui perseguita nella regione nord-occidentale dello Xinjiang gli Uiguri, la popolazione turcofona della provincia, schiacciata da una dura repressione perpetrata attraverso campi di detenzione, sterilizzazioni forzate e sorveglianza stretta (come documentano inchieste e rapporti internazionali), che Pechino giustifica come una campagna antiterrorismo. E proprio in Xinjiang sono finite anche tecnologie made in Europe. Quelle dell‘olandese Noldus, come ha svelato un’analisi di Amnesty International a settembre, acquistate da due università impegnate nell’attività di repressione.

Le nuove regole

L’accordo di lunedì tenta di mettere un freno a casi come questo. I beni a duplice uso (fuor di burocrazia, quelli hanno un uso prettamente civile, ma che potrebbero essere anche impiegati per scopi militari, come droni o agenti chimici) anche in ambito cibernetico dovranno essere sottoposti a specifiche licenze. Il testo non li nomina esplicitamente, ma fa chiari riferimenti a tecnologie biometriche, Imsi catcher, trojan, spyware o programmi di intrusione. Il riconoscimento facciale è stato esplicitamente previsto da Consiglio e Commissione. E inoltre, come spiega una fonte vicina al dossier a Wired, è prevista una clausola piglia-tutto, da usare quando sul mercato si affaceranno prodotti non ancora nella lista o persino non inventati, per frenare a monte le esportazioni.

Quando l’accordo entrerà in vigore, le aziende che intendono esportare questo genere di prodotti verso Paesi considerati a rischio, dovranno rispettare regole più stringenti e attenersi alle linee guida che la Commissione europea sta scrivendo. Saranno previste due autorizzazioni: una per gli strumenti di crittografia e una per le tecnologie intra-gruppo. E i governi saranno tenuti a maggiore trasparenza su queste esportazioni sensibili. È stata esclusa invece la compilazione di una lista nera con i Paesi verso cui bloccare le vendite, per quanto sarebbe stata più chiara, pur di trovare un accordo tra gli Stati dell’Unione. Spetterà poi a ciascun governo affidare alle sue autorità locali il controllo, anche se l’accordo prevede un meccanismo di coordinamento europeo.

I paesi sotto la lente

Poche settimane fa, per esempio, come racconta Zdnet, la procura di Monaco ha effettuato un blitz negli uffici di Finfisher, società tedesca accusata di aver fornito malware e software a regimi e Paesi in cui avvengono sistematiche violazioni dei diritti umani, come Bahrain, Turchia, Egitto ed Etiopia. Destinazioni verso cui sono proibite le esportazioni di tecnologia di sorveglianza, come dettano le leggi federali, e che possono costare fino a cinque anni di carcere.

Nei dodici incontri tecnici tra Commissione, Consiglio e Parlamento (i cosiddetti triloghi) una fonte conferma a Wired che sono stati spesso citati Paesi come la Cina, Siria, Egitto, Turchia e Turkmenistan come destinazioni a rischio per l’uso che potrebbe essere fatto di tecnologie di cyber-sorveglianza. In Bielorussa il governo del presidente Alexander Lukashenko ha fatto ricorso ai prodotti della statunitense Sandvine per reprimere il dissenso esploso dopo la sua rielezione e l’azienda alla fine ha deciso di rescindere il contratto.

Un difficile accordo

Sebbene alcuni di questi prodotti tecnologici ricadano già nei vari aggiornamenti dell’Accordo di Wassenaar, dal nome della città olandese dove nel 1996 è stato firmato il primo protocollo internazionale di limitazione ai beni a uso duplice, l’Europa discute da anni di un’estensione all’intero comparto della sorveglianza informatica. Le negoziazioni sono iniziate nel 2016. E il percorso si è rivelato fin dall’inizio in salita, con il testo strattonato dagli interessi delle singole cancellerie. Secondo Euractiv, proprio lo scandalo Finfisher avrebbe ammorbidito le posizioni della Germania, che ha deciso di chiudere il dossier sotto il suo turno di presidenza del Consiglio, che scade a dicembre. Manca l’approvazione generale da parte di Consiglio ed Europarlamento perché l’accordo diventi legge.

Finora, come denuncia Amnesty International, “le attuali regole europee per l’export hanno fallito nel cogliere le dinamiche della sorveglianza in rapido cambiamento, e nel mitigare i rischi emergenti posti da nuove forme di tecnologie di sorveglianza digitale”.

Ma questa intesa è solo l’inizio. Ora occorre metterla in pratica, come spiega a Wired Markéta Gregorová, parlamentare ceca del Partito pirata e relatrice dell’accordo. “La riforma che abbiamo raggiunto è un primo vitale passo e ora deve provare la sua efficacia. Spetta a ogni Stato membro assicurarsi che la nuova legge sia implementata e siano fatti rispettare gli strumenti contro le violazioni. La nostra riforma bloccherà le violazioni dei diritti umani attraverso una cyber-sorveglianza europea di alto livello solo se sarà fatta rispettare”, chiosa Gregorová. E aggiunge: “I nuovi obblighi di trasparenza nell’export di cyber-sorveglianza a livello europeo sono il nostro principale obiettivo e ci aiuteranno a individuare e perseguire aziende, come Hacking Team (la controversa società italiana di cyberspionaggio ormai chiusa, ndr), che credono che le regole dell’Unione europea non si applichino al loro caso”.

