Dati personali e chat degli utenti di Line (una piattaforma di messaggistica nippo-coreana estremamente diffusa in Estremo Oriente) sono potenzialmente finiti nelle mani delle autorità di sicurezza nazionale cinesi. Che cosa significa? L’analisi di Andrea Monti, professore incaricato di diritto dell’Ordine e della sicurezza pubblica
nell’Università Gabriele d’Annunzio di Chieti-Pescara
Dati personali e chat degli utenti di Line (una piattaforma di messaggistica nippo-coreana estremamente diffusa in Estremo Oriente) sono potenzialmente finiti nelle mani delle autorità di sicurezza nazionale cinesi. Come riporta Kazuaki Nagata su The Japan Times, l’azienda ha infatti consentito a una propria filiale basata in Cina di accedere ai dati generati dagli utenti e memorizzati in data-centre giapponesi.
In sé, il fatto potrebbe non essere rilevante perché nel mondo dello sviluppo di software e di servizi online è pratica diffusa quella di utilizzare sub-fornitori localizzati nei luoghi più disparati del mondo. Il problema posto dal caso Line, tuttavia, è che le norme cinesi sulla sicurezza nazionale impongono a tutte le aziende basate in Cina di cooperare con le autorità governative.
Pechino, tuttavia, non è la sola fonte di preoccupazione per Tokyo perché i dati degli utenti sono custoditi anche in Corea del Sud dove opera un’altra filiale della società e, come è noto, i rapporti fra i due Paesi, pur pacifici, non sono idilliaci. Se a questo si aggiunge che Line è utilizzata anche da funzionari della pubblica amministrazione giapponese che operano anche ad alto livello, è facile capire la preoccupazione generata dalle scelte di delocalizzazione tecnologica assunte da Line Corp. e dalla mera possibilità che Paesi “non amichevoli” possano accedere a un patrimonio informativo preziosissimo.
LA REAZIONE DI LINE
La reazione del colosso asiatico alle polemiche innescate da questa vicenda è stata, dando seguito alle indicazioni del governo giapponese, quella di centralizzare in Giappone i dati degli utenti. Questa scelta rende più difficile, ad altri Paesi come la Cina, sfruttare le normative interne per acquisire informazioni critiche procurandosi l’accesso da oltre frontiera. Questo non elimina il rischio perché tramite attacchi informatici o dipendenti infedeli gli attori ostili possono ugualmente raggiungere i loro obiettivi. In questo caso, tuttavia, ci troveremmo di fronte ad atti illeciti e clandestini e non, come nell’ipotesi precedente, di azioni legittime quantomeno sotto il profilo del diritto interno.
POSSIBILI CONSEGUENZE PER LA CIRCOLAZIONE DEI DATI IN GIAPPONE
Dal punto di vista della tutela degli utenti e delle imprese, la nazionalizzazione dei dati, tema del quale si comincia a parlare anche in seno alla UE non è necessariamente la soluzione. Il data-nationalism —fa notare a Nagata il prof. Hiroshi Miyashita dell’università di Chuo, a Tokyo ed esperto di protezione dei dati personali— potrebbe rendere molto difficile la circolazione transnazionale delle informazioni per tutte le finalità consentite dalle leggi. Sempre secondo il prof. Miyashita, dunque, è necessario affrontare il tema in modo razionale, analizzando i livelli di protezione giuridica garantiti dai Paesi di volta in volta interessati dallo scambio di dati, invece di reagire emotivamente.
L’IMPATTO SULL’EUROPA
In attesa di capire come evolveranno gli eventi, ci si potrebbe domandare per quale ragione, da Occidentali, dovremmo preoccuparci di una vicenda regionale, peraltro non dissimile dai tanti scandali che, di tanto in tanto, riguardano importanti aziende tecnologiche statunitensi. In primo luogo, e in termini generali, come ha tragicamente insegnato la pandemia, l’interdipendenza economica fra Paesi di tutte le latitudini non consente più di cullarsi nell’illusione che quanto accade abbastanza lontano alla fin fine non ci riguarda. Nel caso specifico, basta considerare che la UE e il Giappone hanno siglato un accordo di libero scambio e dunque —distanze geografiche a parte— Tokyo e Bruxelles sono straordinariamente più vicine di quanto potrebbe sembrare. Di conseguenza, capire come cambia l’approccio del governo giapponese alla data-governance è di importanza fondamentale. In secondo luogo, la vicenda Line va “letta” almeno su due livelli. Il primo è quello della protezione dei dati personali degli utenti da azioni commercialmente scorrette e il secondo è quello dell’uso di grandi quantità di dati per le necessità (offensive o difensive) di sicurezza nazionale.
LA FUNZIONE LIMITATA DEL GDPR
Da un lato, la protezione giuridica dei dati degli utenti da abusi commessi da aziende private è garantita, con tutte le sue limitazioni, dal Regolamento sulla protezione dei dati personali e dalle normative di quei Paesi, come il Giappone, le cui leggi sono state ritenute compatibili con quelle europee. In realtà il Regolamento si è dimostrato un’arma spuntata verso gli USA ma in linea di principio ha una sua logica e dunque gli individui sono formalmente al riparo da azioni scorrette commesse da soggetti privati.
NAZIONALIZZAZIONE DEI DATI DI SICUREZZA
Quando, tuttavia, si parla di interessi dello Stato lo scudo normativo non funziona più sia per ragioni formali (secondo i trattati europei la UE non ha poteri in relazione alla sicurezza nazionale), sia per ragioni sostanziali: dottrine e politiche di sicurezza non solo orientali hanno teorizzato e praticato il passaggio dal rule of law al rule by law e dunque l’inclusione della legge nell’arsenale strategico geopolitico di uno Stato. In un’ottica geopolitica, dunque, la centralizzazione dei dati all’interno di uno Stato diventa un elemento fondamentale della sua politica di sicurezza. Riduce il rischio (pur sempre presente) di esfiltrazioni ma, sopratutto, annulla quello di essere tagliati fuori dall’accesso a informazioni cruciali se un attore ostile, semplicemente, le rende irraggiungibili dall’esterno.
Applicare questo approccio in ambito comunitario non è così facile come sembra. Come detto, la Ue non ha giurisdizione in materia di sicurezza nazionale e decidere di condividere con tutti gli altri Stati membri un perimetro europeo all’interno del quale conservare dati critici per ogni singola nazione potrebbe essere quantomeno prematuro: significherebbe, infatti, chiedere ai 27 di compiere un atto di fede nei confronti di ciascun altro componente, cosa che difficilmente accadrà nel breve periodo e comunque non fino a quando la UE sarà priva di soggettività politica sovraordinata rispetto alle Costituzioni —e dunque alle sovranità— nazionali.
Realisticamente, dunque, la necessità di tutelare gli interessi nazionali non solo e non tanto da un punto di vista economico ma soprattutto da quello strategico richiederebbe incentivare lo sviluppo di data-centre italiani e stabilire dei gateway per l’accesso (e l’uscita) dalle nostre infrastrutture. Anche se non si è trattato di un’azione terroristica, il blocco dell’accesso a servizi online di molti Paesi europei causato dall’incendio del data-centre Ovh di Strasburgo è un esempio efficace di quello che potrebbe accadere se dati italiani fossero custoditi oltre frontiera.
L’IMPATTO DEL RECOVERY PLAN E LA SOVRANITÀ
È chiaro che la (pur confusa) normativa sul perimetro nazionale di sicurezza cibernetica va in questa direzione, ma il caso Line pone l’accento anche su un altro elemento che ci si ostina a non prendere in considerazione: l’uso sconsiderato di software controllati da soggetti privati anche in ambiti critici.
Ancorché temporaneamente i governo giapponese ha vietato l’uso di Line per lo scambio di informazioni critiche. Sarebbe auspicabile che in Italia non fosse necessario aspettare che accada qualcosa prima di adottare provvedimenti analoghi nei confronti di tecnologie sulle quale le Istituzioni nazionali non hanno un reale controllo.
La sovranità tecnologica, prima ancora di quella sui dati, è un tema centrale sia in termini strategici, sia in una prospettiva tattica: il Recovery Plan e la spinta verso la modernizzazione tecnologica del Paese e della pubblica amministrazione sono realmente un’occasione da non perdere. Le scelte compiute oggi in termini di infrastrutture fisiche, piattaforme e device condizioneranno la sicurezza nazionale italiana per gli anni a venire e potranno consegnare il Paese nelle mani di chi queste tecnologie controlla o, al contrario, restituirci l’indipendenza tecnologica consentendoci di negoziare il nostro ruolo in ambito comunitario da una posizione non di secondo piano.
