Cosa sappiamo di PRISM, per certo

Sono passati otto giorni dalla pubblicazione delle due inchieste del Washington Post e del Guardian che hanno svelato l’esistenza di PRISM. Molti dettagli sul funzionamento del programma non sono ancora chiari, e sono in corso vari sviluppi, ma paradossalmente la notizia più importante degli ultimi giorni è che la portata e l’importanza delle informazioni rivelate da Edward Snowden, la fonte delle inchieste, è stata molto ridimensionata.

Il punto fondamentale, spiegano in diversi, è che le due inchieste hanno fatto troppo affidamento su un documento che Snowden ha passato ai due giornali: si tratta di 41 slide contenute in un documento PowerPoint che la National Security Agency (NSA), l’agenzia di sicurezza nazionale degli Stati Uniti, utilizzava per spiegare internamente il funzionamento di PRISM.

Il Washington Post, che a differenza del Guardian è stato più tempestivo a correggere i suoi errori, ha fatto il punto su quello che sappiamo per certo, almeno finora, spiegando anche come è successo che delle informazioni imprecise abbiano potuto fare il giro del mondo in pochissimo tempo.

Cosa si sa di PRISM, per certo
PRISM è un sistema che la NSA usa per avere accesso alle comunicazioni private degli utenti – non statunitensi, e fuori dagli Stati Uniti – di nove grandi aziende informatiche. Questo accesso è regolato dalla Section 702 del “Foreign Intelligence Surveillance Act” (FISA), una legge che è stata emendata diverse volte dopo gli attentati dell’11 settembre e che dà ampie possibilità all’amministrazione statunitense di svolgere attività di sorveglianza senza un mandato di un tribunale federale tradizionale. Il direttore dell’intelligence statunitense, James Clapper, ha tacitamente ammesso l’esistenza di PRISM giovedì scorso.

Conosciamo l’identità di chi ha passato le informazioni ai due giornali: si tratta di Edward Snowden, 29enne ex collaboratore della NSA, che ora si trova a Hong Kong in un luogo segreto e che dice di avere altre informazioni sui programmi di sorveglianza degli Stati Uniti. Una delle slide passate da Edward Snowden al Guardian e al Washington Post dice che PRISM consente «la raccolta diretta dai server» dei dati degli utenti di Microsoft, Yahoo, Google, Facebook e altre compagnie online: ora sappiamo che il significato di questa frase è stato male interpretato.

Le inesattezze su PRISM
Le più importanti sono due: nei primi articoli del Washington Post e del Guardian si spiegava che la NSA da almeno sei anni ha accesso diretto ai server contenenti dati di milioni di persone, iscritte ai servizi online di Google, Facebook, Skype e altre società informatiche. L’equivoco nasce da una slide in particolare delle 41 totali che Snowden ha passato ai due giornali.

L’espressione “accesso diretto”, scrive il Washington Post, nel suo significato tecnico significa esattamente ciò che è stato scritto alla pubblicazione delle due inchieste, cioè che la NSA avrebbe potuto entrare direttamente nei server delle aziende. Nel contesto può voler dire però un’altra cosa: “diretto” può significare che la NSA riceve i dati che gli sono inviati direttamente dalle società informatiche, e quindi che non deve “intercettarli” come fa con altri sistemi di sorveglianza.

Le inesattezze sono state corrette dal Washington Post dopo che era arrivata la smentita da parte delle aziende interessate (qui i comunicati di Google, sempre Google, Microsoft, Yahoo e Facebook, e la dichiarazione di Apple): con parole diverse, le aziende sono andate oltre i toni rituali di queste circostanze e hanno detto di non avere mai sentito parlare di PRISM, di non avere mai concesso l’autorizzazione alla NSA per accedere direttamente ai loro server, ma di avere collaborato solo in presenza di specifiche ordinanze di un tribunale federale, e solo caso per caso. Questo ha ridimensionato anche un’altra informazione che si è rivelata poi inesatta, cioè che le società di Internet “partecipassero consapevolmente” al progetto.

Una ricostruzione plausibile
Uno degli articoli più completi sulla natura della collaborazione tra le aziende e la NSA è quello di Claire Cain Miller, intitolato “Tech Companies Concede to Surveillance Program“, pubblicato sul New York Times il 7 giugno. Alcune fonti informate dei fatti, scrive Miller, hanno detto che in almeno due casi – si tratterebbe di Google e Facebook – si è discusso di costruire delle “stanze digitali sicure” usate per lo scambio di informazioni tra le aziende e il governo: in quelle “stanze” il governo avrebbe fatto le sue richieste (autorizzate da un tribunale, ma su questo c’è da dire altro: ci arriviamo), le aziende avrebbero depositato i dati degli utenti presenti nell’ordinanza e il governo li avrebbe ritirati. Questo tipo di collaborazione sarebbe stata discussa in mesi recenti da Martin Dempsey, capo dello stato maggiore statunitense, con i vertici di Facebook, Microsoft, Google e Intel.

Su quanto le aziende sapessero di PRISM, rimane un punto piuttosto oscuro: se fosse vero l’utilizzo di “stanze digitali” per la trasmissione di dati al governo, potrebbe essere anche plausibile che le aziende non sapessero esattamente della portata del programma PRISM, perché a coloro che effettivamente rispondevano alle singole richieste non era permesso diffondere alcun dettaglio, nemmeno all’interno dell’azienda. È anche vero però che, come detto dalle aziende stesse, le richieste inoltrate sulla base della legge sono valutate di volta in volta dagli avvocati delle aziende, e non sono inoltrate automaticamente. In ogni caso il punto dirimente è: fornire dati di singoli utenti in risposta a una richiesta autorizzata è un obbligo legale, a cui le aziende devono adempiere; facilitare l’accesso del governo a questi stessi dati non lo è.

Cosa dice la legge
Giovedì 6 giugno il direttore dell’intelligence, James Clapper, ha giustificato gli ampi poteri dell’amministrazione Obama su diverse operazioni di sorveglianza: la legge su cui si basa PRISM è la Section 702 del FISA, che facilita l’acquisizione di informazioni relative a cittadini non statunitensi e persone che si trovano al di fuori del territorio nazionale, con formule piuttosto ambigue che lasciano al governo diversi margini di manovra. Il FISA è legge dal 1978 ed è stato ripetutamente emendato a partire dal 2001, dopo gli attacchi dell’11 settembre. Nel dicembre 2012 il Congresso ha approvato il prolungamento del FISA, che avrebbe perso la sua validità alla fine dell’anno.

Nel concreto le attività che ricadono sotto il FISA funzionano così: quando la NSA vuole avviare un’attività di sorveglianza, attraverso il Dipartimento di Giustizia statunitense deve dimostrare alla Foreign Intelligence Surveillance Curt (FISC), il tribunale del FISA, che la sorveglianza richiesta non avrà come obiettivo intenzionale nessun individuo che si trova in territorio statunitense e nessun cittadino statunitense all’estero, e che la sorveglianza sia effettuata nel rispetto del quarto emendamento della Costituzione, quello sulla protezione della privacy. La FISC deve controllare che la richiesta sia stata elaborata per escludere cittadini statunitensi e non per autorizzare un programma di sorveglianza interna. Se questi requisiti sono soddisfatti, la richiesta viene approvata e la NSA si rivolge all’azienda presentando l’autorizzazione e chiedendo la relativa documentazione. Non c’è bisogno di dimostrare che gli individui sorvegliati siano sospettati di qualche reato.

Le aziende possono opporsi alle richieste FISA?
Il FISA prevede che le compagnie che ricevono le richieste relative ai dati personali dei suoi utenti possano rivolgersi alla FISC per valutare la legittimità delle domande. Sembra che diverse aziende informatiche coinvolte in PRISM si siano rivolte in passato alla FISC: il New York Times, per esempio, ha scritto che nel 2008 Yahoo si rivolse alla FISC opponendosi a una richiesta senza un mandato di un tribunale federale (si può fare, gli emendamenti del FISA dal 2001 a oggi lo hanno permesso). Yahoo perse la causa e così divenne parte di PRISM. Simili richieste potrebbero essere state fatte da altre aziende coinvolte in PRISM, cosa che potrebbe spiegare perché le diverse compagnie si sono unite al programma della NSA in tempi diversi.

Le richieste fatte al FISA, e poi trasmesse alle aziende informatiche, possono riguardare un singolo individuo oppure possono essere più ampie, includere per esempio diversi individui raggruppabili sotto alcune parole chiave. Lo scorso anno, scrive il New York Times, ci sono state 1.856 richieste, un aumento del 6 per cento rispetto all’anno precedente. Recentemente la NSA ha mandato un proprio agente nella sede di un’azienda informatica per monitorare un individuo che l’agenzia pensava essere responsabile di un attacco informatico: l’agente ha installato un software sviluppato dal governo sul server dell’azienda e ha scaricato molti dati di quella persona per diverse settimane. In altre circostanze, invece, i dati sono trasmessi digitalmente, come avviene con l’uso delle “stanze digitali”.

Il caso Twitter
Tra le più famose aziende informatiche coinvolte in PRISM non c’è Twitter, che ha la reputazione di essere molto poco collaborativa con le richieste del governo statunitense, almeno quando si tratta di diffusione dei dati personali dei suoi utenti. L’esclusione di Twitter da PRISM non significa però che le altre aziende avrebbero potuto opporsi alle richieste della NSA, a meno di infrangere la legge.

Si fanno diverse ipotesi per spiegare perché Twitter non sia stata coinvolta nel programma. Il governo statunitense innanzitutto potrebbe aver deciso di dare precedenza alle aziende più grosse, che possiedono più informazioni sui suoi utenti e sono più solide nel loro funzionamento. È anche possibile che Twitter non sia stata in grado di mettere in piedi il sistema richiesto dal governo per il passaggio delle informazioni, cioè quelle “stanze digitali” che sono state oggetto di diverse discussioni tra governo e società informatiche. Inoltre Twitter è un’azienda molto più giovane delle altre, e ha mostrato recentemente di avere diversi problemi che ne bloccano il funzionamento per periodi limitati di tempo.

foto: Justin Sullivan/Getty Images