All’Onu il governo russo presenta una convenzione sulla cybersecurity. Sulla carta l’obiettivo è dare la caccia ai cyber-criminali come quelli che tengono in scacco la regione Lazio. Ma in verità è un manifesto del totalitarismo digitale. Censura, bavaglio ai dissidenti, backdoor, ecco la ricetta di Putin
Perché rispettare le regole quando puoi riscriverle? La Russia di Vladimir Putin vuole rifare la cybersecurity mondiale a sua immagine e somiglianza. Mentre l’Italia si trova alle prese con uno dei più gravi attacchi hacker di sempre, il ransomware Lockbit 2.0 che ha preso in ostaggio i dati della regione Lazio, a New York, nel Palazzo di Vetro dell’Onu, si gioca la partita per cambiare le regole del gioco da qui a dieci anni.
Una bozza presentata nei giorni scorsi dal governo russo riassume la riforma del Cremlino per combattere i crimini cyber. Ai buoni propositi, però, si alternano passaggi preoccupanti e indicativi di un’idea ben poco democratica del dominio cyber.
Il documento di 68 pagine si intitola “Convenzione delle Nazioni unite per il contrasto all’uso dell’informazione e delle comunicazioni per scopi criminali” e si propone di aumentare a 23 la lista di “crimini cyber” rispetto ai 9 indicati nella Convenzione di Budapest del 2001. Causa sacrosanta, sulla carta: in questi anni, ha ricordato in una recente intervista a Formiche.net la direttrice della Polizia postale italiana Nunzia Ciardi, i crimini cibernetici “non solo sono aumentati quantitativamente, sono anche diventati più sofisticati”.
Ma non è questo il motivo per cui all’epoca la Russia fu l’unico Paese del Consiglio d’Europa a rifiutarsi di firmare la convenzione sulla caccia agli hacker. Una delle previsioni tutt’ora in vigore, ovvero l’autorizzazione all’estradizione dei criminali a precise condizioni e la “cooperazione transfrontaliera” per arrestarli, è categoricamente rifiutata da Mosca perché, ammette l’agenzia di Stato Tass, “permettere a stranieri di condurre operazioni cyber transfrontaliere potrebbe minacciare la sicurezza e la sovranità del Paese”.
È un punto dirimente che è tornato alla ribalta all’indomani dell’incontro fra Putin e Joe Biden a Ginevra, dove il presidente americano ha chiesto al governo russo di consegnare gli hacker responsabili dell’attacco all’azienda statunitense Solar Winds.
Ma la riforma avanzata dal Cremlino è molto più ampia. Alcuni articoli lasciano ampi spazi di interpretazione. L’articolo 10, ad esempio, prevede l’adozione di sanzioni e contromisure contro i diffusori dei “malware”, i software maligni progettati per distruggere, crittare o copiare i dati, fatta eccezione per quelli destinati alla “ricerca legale”. Non è chiaro di quale ricerca si tratti, né viene specificato quali malware debbano ritenersi “legali”.
Altri articoli invece sono fin troppo espliciti. Come il 19 contro “l’incitamento ad attività sovversive o armate”. Gli Stati aderenti, suggerisce il Cremlino, devono contrastare “l’uso di mezzi Ict per attività sovversive o armate dirette al violento rovesciamento del regime di un altro Stato”.
Russian cybersecurity convention proposal (translation; “United Nations Convention on Counteracting the Criminal Use of Information and Communication Technologies”). It would ban malware “except for lawful research”. https://t.co/WReVSkXQvQ pic.twitter.com/yjdVSUq9QG
— Lukasz Olejnik (@lukOlejnik) July 31, 2021
A questo si aggiunge l’articolo 21 sulle “offese connesse all’estremismo”. Anche qui, la Russia propone di fermare con ogni mezzo l’utilizzo di mezzi tech per “atti illegali” motivati da “odio politico, ideologico, sociale, razziale, etnico o religioso”. La vaghezza sembra, di nuovo, intenzionale. Come interpretare la definizione di “odio politico”? “I critici potrebbero chiamarla censura”, commenta su twitter Lukasz Olejnik, noto analista indipendente di questioni cyber.
Non è finita: la sezione che più di tutte fa della riforma di Putin un vero e proprio manifesto dell’illiberalismo digitale riguarda la sorveglianza di Stato. Per dare la caccia ai collettivi hacker le autorità statali, si legge nell’articolo 33, devono essere “potenziate” in modo da “obbligare un fornitore del servizio, qualora fosse in grado di farlo” a “raccogliere e registrare, attraverso l’utilizzo di strumenti tecnici nel territorio nazionale, informazioni elettroniche che includono dati sul contenuto e sono trasmesse da mezzi Ict”.
Dentro la definizione di “strumenti tecnici” così perimetrata può rientrare di tutto. Anche una backdoor che i provider, obbligati dallo Stato, sarebbero costretti a installare per raccogliere non meglio precisate informazioni.
Se queste sono le posizioni di partenza per riscrivere da capo le regole della cybersecurity internazionale, un compromesso fra Russia e Stati Uniti è tutto fuorché scontato. “La Russia dice all’Onu che vuole un’ampia espansione dei crimini cyber, e in più le backdoor nella rete e la censura online – titola tra il serio e il sarcastico il giornale americano The Register – e lo dice pure con una faccia tosta”.
