Le attività online controllate dagli USA
Le più grandi società di Internet, da Google a Facebook passando per Microsoft, sono coinvolte in PRISM: un piano di sorveglianza dei cittadini stranieri senza precedenti, dicono Washington Post e Guardian
La National Security Agency (NSA), l’Agenzia per la sicurezza nazionale statunitense, da almeno sei anni controlla e monitora le comunicazioni online all’estero – quelle effettuate ovunque ma non negli Stati Uniti – tramite un progetto che si chiama PRISM, avendo accesso diretto ai dati di alcune delle più grandi società informatiche del mondo come Microsoft, Google, Facebook e Apple. La notizia, che sta facendo molto discutere e che arriva a un giorno di distanza da quella sulle telefonate controllate dalla stessa NSA, è stata diffusa con due inchieste separate dal giornale statunitense Washington Post e dal britannico Guardian, già autore dello scoop sui tabulati telefonici sorvegliati. Entrambi sono entrati in possesso di una presentazione PowerPoint dell’aprile 2013, riservata e top secret, in cui sono descritte alcune delle pratiche usate dall’Agenzia per controllare le comunicazioni informatiche.
Il documento è costituto da 41 slide e sembra fosse stato realizzato nell’ambito di corsi interni di formazione e aggiornamento, indirizzati ad alcuni dipendenti NSA per mostrare le capacità di PRISM. Nel documento si parla esplicitamente di “raccolta di dati direttamente attraverso i server” delle principali società attive su Internet con sede negli Stati Uniti. I server sono i computer che consentono la circolazione di buona parte dei contenuti online, e che conservano nelle loro memorie le informazioni degli account cui siamo iscritti come foto, email, documenti, cronologie dei motori di ricerca, video, eccetera. Oltre a essere top secret, nel documento si specifica che le informazioni contenute non possono essere condivise in alcun modo con gli alleati degli Stati Uniti.
La possibilità per l’NSA di accedere a questo tipo di dati, potenzialmente le conversazioni e i dettagli di quasi chiunque abbia un account online in qualsiasi parte del mondo, era stata data in seguito a una serie di provvedimenti approvati nel 2007 dall’amministrazione di George W. Bush, e rinnovati alla fine dello scorso anno dall’attuale presidente Barack Obama.
Stando al documento, nell’operazione sono coinvolte da anni alcune delle più grandi società attive su Internet. La raccolta di informazioni dai server di Microsoft iniziò nel 2007, seguita circa un anno dopo da quella presso Yahoo. Nel 2009 fu la volta di Google, Facebook e di PalTalk, un servizio di messaggistica istantanea molto usato durante la cosiddetta “Primavera Araba”. Nel 2010 l’operazione PRISM fu estesa a YouTube, la cui proprietà è di Google, mentre nel 2011 furono aggiunti Skype e il fornitore di servizi Internet AOL (America Online). Infine, a ottobre del 2012 fu aggiunta anche Apple. Sui server negli Stati Uniti di tutte queste società circolano le informazioni non solo degli statunitensi, ma anche di chi si è iscritto ai loro servizi in altre parti del mondo.
La legge degli Stati Uniti, e questo si sa da tempo, prevede che in determinate circostanze le società su Internet forniscano dati e informazioni sui loro utenti nell’ambito di particolari indagini, spesso legate alla lotta contro il terrorismo internazionale. PRISM funziona diversamente, spiegano Guardian e Washington Post, perché dà la possibilità di accedere direttamente alle informazioni sui server con “l’assistenza dei fornitori di servizi negli Stati Uniti”. Nel documento si dice che il sistema permette alla NSA di ottenere i dati senza che siano inoltrate precedentemente richieste alle società e senza la necessità di un’ordinanza di un magistrato.
I responsabili di Google hanno diffuso un comunicato per smentire di essere mai stati a conoscenza dell’esistenza di PRISM: «Google ha profondamente a cuore la sicurezza dei dati dei propri utenti. Riveliamo le informazioni sugli utenti seguendo la legge, e controlliamo attentamente ogni richiesta. Viene spesso detto che abbiamo creato una “porta di servizio” per il governo all’interno dei nostri sistemi, ma Google non ha nulla del genere per consentire al governo di accedere ai dati privati degli utenti».
Un portavoce di Apple ha detto di non avere mai sentito parlare di PRISM e ha ricordato che la società diffonde dati solo in seguito all’ordine di un magistrato. Anche Facebook ha confermato di non dare accesso diretto a nessuna organizzazione governativa, ribadendo che i dati sono forniti solo in caso di particolari indagini e in presenza di ordini da un tribunale.
Secondo il Washington Post, più cauto su alcuni aspetti della vicenda rispetto al Guardian, ci potrebbe essere stato qualche errore di comunicazione nel documento top secret della NSA. In un altro rapporto, ottenuto dal giornale, si parla di un accordo che consente agli agenti che raccolgono informazioni di “inviare istruzioni sui contenuti direttamente ai sistemi installati in particolari luoghi da una società”, cosa che secondo il Washington Post indica procedure meno dirette e immediate rispetto alla semplice possibilità di entrare in uno o più server per la raccolta di dati.
Il documento della NSA ricorda anche che il segreto più importante per il buon funzionamento di PRISM è la riservatezza sulle società coinvolte nell’operazione: «Il 98 per cento delle cose fatte da PRISM è basato su Yahoo, Google e Microsoft; dobbiamo fare in modo di non danneggiare queste fonti». Il timore è che nel caso della diffusione di notizie sul programma, le principali società si possano tirare indietro, riducendo la loro partecipazione a causa delle pressioni dei loro iscritti e delle società che si occupano della difesa della privacy.
PRISM è stato reso possibile in buona parte grazie alle modifiche che sono state progressivamente applicate al Foreign Intelligence Surveillance Act (FISA), l’insieme delle norme e delle procedure che devono essere seguite per la raccolta di informazioni di intelligence fuori dagli Stati Uniti. Le più recenti hanno sostanzialmente consentito alla NSA di non essere più obbligata a chiedere singole autorizzazioni ai tribunali o conferme oggettive sul fatto che le parti coinvolte siano fuori dagli Stati Uniti: è sufficiente che ci sia il ragionevole sospetto che una delle parti oggetto di indagini si trovasse fuori dagli Stati Uniti al momento della raccolta delle informazioni da parte della NSA. Le società che collaborano, inoltre, ricevono una sorta di immunità giudiziaria da eventuali cause legate al loro comportamento nel dare l’accesso o fornire i dati sugli utenti.
Le attività attorno a PRISM, sempre stando al documento top secret, sono aumentante notevolmente negli ultimi anni. Le comunicazioni intercettate su Skype sono aumentate in un anno del 248 per cento, su Facebook del 131 per cento e del 63 per cento su Google. La presentazione fa anche cenno alla possibilità di aggiungere DropBox, che offre un servizio per salvare e condividere file online, alle società partecipanti.
A dicembre del 2012, quando il FISA stava per scadere ed era in discussione il suo rinnovo con una serie di nuove integrazioni, diversi membri del Congresso dissero in aula di essere preoccupati per l’eccessiva segretezza intorno alla NSA, che di fatto impediva allo stesso ramo legislativo di sapere di preciso quali fossero le sue attività di controllo delle comunicazioni all’estero dei cittadini non statunitensi. Alcuni senatori membri del Comitato per l’intelligence del Senato erano a conoscenza di PRISM, ma vincolati al silenzio per motivi di sicurezza nazionale.
La stima della NSA è che circa 2mila rapporti basati sulle informazioni ottenute con PRISM siano realizzati ogni mese. Solo nel 2012, ne sono stati effettuati 24.005, con un aumento del 27 per cento rispetto all’anno precedente. Il Guardian dice che PRISM è fino a ora comparso in almeno 77mila rapporti dell’intelligence statunitense.
In seguito alla pubblicazione delle due inchieste, il direttore della NSA, James R. Clapper, ha definito gli articoli del Guardian e del Washington Post pieni di numerose inesattezze, senza fornire esempi degli eventuali errori commessi. Clapper ha ricordato che le informazioni raccolte con PRISM sono fondamentali per ottenere dati su persone attive all’estero ritenute una potenziale minaccia per la sicurezza nazionale. Ha spiegato che il programma è sotto il controllo dei principali organi federali dello Stato e che contiene garanzie, e sistemi di sicurezza, per controllare solo le persone non statunitensi che si trovano fuori dai confini nazionali. Secondo Clapper, la diffusione di notizie su PRISM sta mettendo a rischio la sicurezza degli statunitensi.