La criticata legge sulla sorveglianza in Regno Unito
È stata appena approvata e prevede metodi che non hanno precedenti in Occidente, come l'accesso alla cronologia online di tutti i cittadini
Martedì 29 novembre è stata approvata in Regno Unito una nuova legge che estende i poteri di sorveglianza online del governo e della polizia nei confronti dei cittadini. La legge, chiamata Investigatory Powers Act 2016, ha ottenuto il royal assent, cioè è stata approvata dalla regina, ed è quindi entrata in vigore.
Il ministro degli interni Amber Rudd l’ha definita una legge «all’avanguardia mondiale», sostenendo che offra «trasparenza senza precedenti e una sostanziale protezione della privacy». La legge però è stata duramente criticata da associazioni e attivisti che si occupano di privacy online, perché dicono dia troppi poteri alle forze dell’ordine, permettendo loro di spiare nella vita dei cittadini come non era mai successo in una democrazia occidentale. Il Partito Laburista si è sempre opposto alla legge, ma con i guai interni al partito e il voto su Brexit non è riuscito a fare un’opposizione efficace.
La legge prevede che tutti i siti che i cittadini britannici visitano online siano memorizzati in un database dai provider di internet per un anno: la polizia potrà accedere ai database per fare ricerche ogni volta che vorrà, dopo l’approvazione da parte di un funzionario specificamente addestrato. Non sarà necessaria l’autorizzazione di un giudice per verificare la cronologia delle ricerche online delle persone. Le informazioni registrate nei database non mostreranno l’indirizzo preciso di ogni pagina registrata, ma solo il dominio: nel caso di questa pagina, per esempio, il governo britannico registrerebbe che vi siete connessi per un certo numero di minuti su www.ilpost.it. Saranno archiviate anche informazioni sul dispositivo con cui si è fatta la ricerca e sull’indirizzo IP con il quale è avvenuta la connessione. I provider di internet saranno pagati per conservare queste informazioni per 12 mesi.
La legge prevede anche l’archiviazione per un anno dei dati relativi all’uso delle applicazioni sugli smartphone: quali si usano, quando si usano e quanto si usano. Qualcuno ha notato che questo sistema potrebbe presentare problemi e falle, perché ci sono app – come WhatsApp o Facebook Messenger – che si connettono in continuazione a internet, anche quando non vengono usate. Ci saranno poi dei margini per eludere la sorveglianza utilizzando le VPN o Tor, sistemi per mascherare la propria identità e posizione quando si naviga su internet. Jim Killock, edirettore dell’Open Rights Group britannico, ha spiegato a The Verge: «Il governo non riuscirà a ottenere tutti i dati tutte le volte. Ma confida sul fatto che la maggior parte delle persone non si preoccuperà di proteggere la propria privacy». The Verge ha spiegato che la legge non è anomala tanto per la sua intrusività, quanto per il fatto che «stabilisce un nuovo, pericoloso standard, dove la sorveglianza delle attività online dei cittadini è vista come un fondamento di una società pacifica. Prima raccogliamo le prove, sta dicendo il governo, e poi cattureremo i criminali».
Ci sono poi una serie di nuove norme che regolano gli interventi informatici del governo all’estero: potrà raccogliere dati, intercettare telefoni, leggere messaggi privati e hackerare computer di obiettivi precisi, ma solo con l’approvazione del segretario di Stato e di un gruppo di giudici. Solo per gli obiettivi all’estero, il governo potrà poi ordinare interventi su un gruppo di persone, e non solo su singoli individui: bloccare tutti i telefoni in una città, oppure leggere le mail di un certo tipo in un intero stato. Queste operazioni dovranno però essere approvate da tutti i ministri e da un organo giudiziario apposito, e potranno essere utilizzate solo in caso di crimini che minacciano la sicurezza nazionale. La legge in sostanza permette la raccolta di enormi quantità di dati anche dall’estero, legalizzando formalmente un sistema simile a quello denunciato dall’ex consulente della NSA Edward Snowden nel 2013. Oltre all’immagazzinamento di dati in blocco, con l’approvazione di un giudice il governo potrà anche intercettare il telefono e le attività online dei giornalisti, cosa che qualcuno ha descritto come «una condanna a morte per il giornalismo investigativo nel Regno Unito».
Un’altra questione sollevata dalla legge riguarda le possibili dispute tra governo e aziende tecnologiche sulla condivisione dei dati. Il caso recente più famoso è stato quello che ha coinvolto FBI e Apple: la prima voleva che la seconda sbloccasse un iPhone degli attentatori di San Bernardino, ma la società si è rifiutata portando in tribunale la questione. Alla fine l’FBI è riuscita ad accedere al telefono senza l’aiuto di Apple. La legge britannica è molto ambigua su questo punto: dice che eventuali richieste di questo tipo saranno su scala ridotta, per la quantità di dati, e non obbliga esplicitamente le aziende a condividere le proprie informazioni con il governo: dice che dovrebbero poter decriptare le informazioni sul dispositivo «ogni volta possibile», senza spiegare meglio quali sono questi casi. Questo passaggio della legge è stato denunciato tra gli altri da Tim Cook, CEO di Apple, e anche da Microsoft, Facebook e Google. In particolare, a essere più esposti alle pressioni del governo saranno quelle società – tipo Apple e Facebook – che hanno nel Regno Unito dei dipendenti: le società potrebbero anche ignorare le richieste, se non temono ripercussioni concrete. C’è un altro problema: quando il governo chiederà dei dati a un’azienda, questa non potrà rendere pubblica la richiesta, e quindi non potrà aprire un dibattito pubblico com’è successo nel caso di FBI e Apple.