Fra i tanti aspetti da considerare nella creazione della rete unica italiana, ha ricevuto poca attenzione il problema del rapporto fra tutela dei dati personali, presenza di proprietari extracomunitari nell’assetto societario e sicurezza nazionale. Vista la criticità del settore telecomunicazioni, infatti, l’assenza del pieno controllo da parte dell’Italia apre al rischio di interferenze straniere nella protezione degli interessi fondamentali dello Stato, come ha evidenziato il caso Huawei.
Per capire natura e portata del problema è necessario ricomporre le diverse tessere di un mosaico politico e giuridico già disegnato da tempo.
PRIMA TESSERA: LA SENTENZA SCHREMS II DELLA CORTE EUROPEA
Una tessera riguarda lo scambio di dati fra Italia (o meglio Ue) e Usa. Decidendo su un ricorso presentato nei confronti di Facebook, lo scorso 16 luglio 2020 la Corte di giustizia Ue, con la sentenza “Schrems II” ha stabilito che il diritto alla protezione dei dati personali dei cittadini europei, garantito dall’articolo 7 della Carta di Nizza, richiede di scambiare dati con rapporti con Paesi che non danno adeguate garanzie di tutela dall’invasività dei servizi di sicurezza stranieri. Di conseguenza, il garante per la protezione dei dati personali del Baden-Württemberg ha imposto l’utilizzo di crittografia “a prova di intelligence” negli scambi con gli Usa. È una decisione, al momento, isolata ma coerente con l’impianto di tutela dei diritti dei cittadini europei e dunque, non è impossibile pensare che altre autorità seguano questo indirizzo.
Il principio di diritto espresso dalla Corte e applicato dal garante tedesco è semplice: gli Usa hanno il legittimo potere di accedere a qualsiasi dato presente all’interno dei propri confini, ma questo non implica che le aziende Usa che trattano dati di cittadini europei possano renderli disponibili alle strutture di intelligence. Quindi, o i dati vengono protetti da azioni — anche legittime — degli apparati di sicurezza americani, oppure non possono essere trasferiti oltreoceano.
Si può discutere che il Regolamento 679/16 Ue (il “Gdpr”) si applichi o meno alle questioni di sicurezza nazionale perché la norma esclude espressamente il caso. Ma la Corte si è basata sulla Carta dei diritti fondamentali dell’Unione Europea che, se escludiamo la (mai nata) Carta vera e propria, è quanto di più vicino a una costituzione comunitaria.
SECONDA TESSERA: IL CASO MICROSOFT CORP. V. UNITED STATES E IL CLOUD ACT
Una seconda tessera è quella del tentativo del governo federale americano di accedere indirettamente ai dati memorizzati sui server europei di aziende americane, senza passare dalle procedure di cooperazione internazionale. In sintesi, il meccanismo prevedeva l’ordine alla casa madre americana (e dunque legittimamente destinataria del provvedimento) di farsi consegnare le informazioni dalle filiali europee e poi di metterle a disposizione delle autorità Usa.
Nel 2018 la Corte Suprema degli Stati Uniti scrive la parola fine sulla controversia giudiziaria provocata dalla richiesta formulata a Microsoft Corp. da parte del governo federale di consegnare i dati memorizzati sui server della sua filiale irlandese. Un modo indiretto, dunque, di aggirare gli accordi internazionali di cooperazione ma, soprattutto, la sovranità e la legge penale dei Paesi della Ue.
In primo grado, nel 2013, il giudice del Southern District of New York diede ragione al governo americano, affermando che lo Stored Communication Act del 1986 non aveva limiti territoriali. Nel 2016 la Corte d’appello per il Secon Circuit ribalta il verdetto e il caso arriva davanti alla Corte Suprema. Prima che questa possa pronunciarsi, tuttavia, gli Usa approvano il “Cloud Act” che regolamenta il problema dell’accesso ai dati che le aziende americane detengono all’estero, e detta (unilateralmente) le regole in base alle quali le autorità statunitensi possono accedere ai dati in questione. Secondo il Cloud Act, spetta al giudice americano decidere se la richiesta avanzata dalle autorità federali è o meno in violazione dei diritti dei cittadini (nel nostro caso) italiani.
TERZA TESSERA: CRYPTOAG E L’OPERAZIONE THESAURUS
L’uso di società apparentemente “normali” da parte delle strutture di intelligence è una pratica ampiamente diffusa tanto da avere attratto addirittura l’attenzione dell’industria cinematografica americana che realizzò, nel 1990, Air America, un film ispirato all’omonima compagnia segretamente utilizzata dalla Cia durante la guerra del Vietnam per il trasporto di persone e forniture di vario genere.
Fra il 1970 e il 1993, come riporta un articolo di The Guardian la società svizzera Crypto AG commercializzò i propri prodotti per “comunicazioni sicure” ad enti ed istituzioni di un centinaio di Paesi. Essendo, tuttavia, controllata dalla Cia e dai servizi segreti tedeschi, CryptoAG aveva progettato questi apparati in modo che le due strutture di intelligence potessero decifrare senza difficoltà le comunicazioni riservate dei loro clienti.
QUARTA TESSERA: I “DANNI” (PER L’INTELLIGENCE) PROVOCATI DAL D.LGS. 103/95
La liberalizzazione del mercato italiano delle telecomunicazioni inizia con il famoso (o famigerato) d.lgs. 103/95. La caratteristica del modello commerciale dell’epoca era il disaccoppiamento fra accesso fino al gateway dell’internet provider e la fruizione dei servizi. In pratica, l’utente sopportava due costi: quello dell’altrettanto famigerata “Tut” (Tariffa Urbana a Tempo) che finiva nelle casse del monopolista e quello dei servizi internet che era corrisposto agli internet provider. Progressivamente, però, questi ultimi hanno cominciato ad offrire direttamente anche la connettività tramite circuiti affittati dal gestore o tramite reti proprietarie. Ad oggi, dunque, non esiste LA rete pubblica di telecomunicazioni, ma una serie di reti interconnesse, regolate dal Codice delle comunicazioni elettroniche.
Dal punto di vista delle indagini giudiziarie e, a maggior ragione, di quello dell’intelligence, questo stato di fatto ha complicato di svariati ordini di grandezza la possibilità di avere accesso diretto e “discreto” a comunicazioni, dati e —grazie ai router forniti direttamente al cliente — alle reti private di cittadini e istituzioni.
È chiaro che il ritorno alla rete unica faciliterebbe non poco le attività di intercettazione e tutte quelle di interesse per i servizi di sicurezza, dal momento che l’interlocutore tecnologico sarebbe uno solo e che le attività in questione si possono svolgere a valle dei data-centre degli internet provider.
IL MOSAICO
Il futuro gestore della rete unica, one stop shop per le attività di intelligence digitale, avrà fra i suoi proprietari più o meno diretti Kkr, un fondo americano nella cui governance figura anche l’ex generale dei Marines ed ex direttore della Cia David Petreus.
La legge Usa consente al governo federale di ottenere dalle aziende americane dati nella disponibilità delle loro filiali localizzate nella Ue, senza necessariamente passare per gli accordi di cooperazione internazionale.
Le prassi dell’intelligence (non solo) Usa prevedono l’utilizzo di front organisation. Il futuro operatore unico non sarà certamente il nuovo CryptoAG, nè si presterà ad azioni abusive di sorveglianza di massa (già vietate dalla sentenza della Corte di giustizia Ue che nel 2014 annullò la direttiva sulla data-retention). Ma siccome il diavolo è nei dettagli, sarà necessario che AccessCo (o in qualsiasi modo si chiamerà) sia strutturata per rispettare non solo le indicazioni della Corte di giustizia Ue sulla “impermeabilità” dei dati comunitari, ma anche le prescrizioni del Decreto Conte-Huawei sulla sicurezza di tutti gli apparati e le infrastrutture della nuova rete.
Che il problema non sia solo cinese, infatti, è noto almeno dal 2002 quando con una segnalazione (a distanza di diciotto anni mai riscontrata, perlomeno pubblicamente) Alcei un’associazione per la tutela dei diritti civili online, segnalò al Garante dei dati personali la presenza di una seria vulnerabilità nei router che all’epoca venivano forniti agli utenti di servizi internet.
Ad oggi, però, non risulta che nel progetto AccessCo sia stata coinvolta anche l’Autorità garante per la protezione dei dati personali (se non, addirittura, l’European Data Protection Board) per valutare gli impatti sui diritti e le libertà fondamentali dei cittadini italiani e comunitari.
Sarebbe utile, invece, che questo avvenisse già in questa fase anticipata per evitare che in futuro possano sorgere problemi bloccanti causati da una mancata valutazione dell’impatto dell’articolo 7 della Carta di Nizza che potrebbero compromettere l’intero progetto.
Il garante del Baden-Württemberg ha già dimostrato quanto sono estese le ramificazioni della protezione dei dati personali e quali effetti economici (negativi) possono provocare. Forewarned is forearmed.
