Il mito dell’algoritmo nella prevenzione del terrorismo
articolo pubblicato su Il Mulino
L’Assemblea nazionale francese ha approvato in prima lettura il progetto di legge “sulla prevenzione degli atti di terrorismo e sull’intelligence”.
l testo contiene due capitoli maggiori, entrambi comprendono disposizioni che sono state prese grazie all’estensione dello Stato di Emergenza successivo agli attentati a Charlie Hebdo. Il primo riguarda un certo numero di misure relative ai poteri della polizia nel caso di una persona sospetta o condannata (Micas); il secondo, invece, riguarda i servizi di intelligence. Ed è quello cha sta facendo più discutere.
Si tratta di un pacchetto di disposizioni prese in via sperimentale e definite «alégales» (ovvero non previste dalla legge e al limite della legalità) che oggi il Governo vuole, insieme alle prime, far entrare nel diritto comune. L’uso avrebbe dovuto essere bloccato nel 2018, ma la Presidenza Macron ha esteso l’esperimento fino alla fine del 2020 prima, e alla fine del 2021 poi.
L’algoritmo cosiddetto “preventivo”
Il capitolo sull’intelligence, la “loi sur le renseignement”, è in vigore dal 2017. Questa legge permette ai servizi di intelligence — la Dgsi, incaricata di combattere il terrorismo sul territorio nazionale, e la Dgse che opera all’estero — di utilizzare delle “scatole nere” per analizzare i dati di connessione telefonica e Internet degli utenti. Sostanzialmente i servizi possono — e lo fanno — imporre agli operatori delle telecomunicazioni il trattamento automatizzato (oggi attivo con tre algoritmi) dei dati dei loro clienti per individuare connessioni suscettibili di rappresentare una minaccia terrorista.
I dati in questione — i cosiddetti metadati — sono quelli relativi alle comunicazioni telefoniche, voce e testo, la geo-localizzazione e i dati di connessioni. La legge, inoltre, autorizza l’uso degli IMSI-catchers, dispositivi per intercettare il traffico delle comunicazione via telefono.
Oggi, con il nuovo testo, il Governo vuole aggiungere ai dati che rientrano nello scanner degli algoritmi anche gli Url consultati. L’Url (l’indirizzo di una pagina web, o di una risorsa foto, video, immagine sul Web, ndr), così come la cronologia delle pagine consultate, è un’informazione molto delicata, che racconta tanto della vita di una persona (malattie, sessualità, religione, orientamento politico…) e mette a rischio l’anonimato richiesto dalla legge; inoltre, non è tecnicamente così semplice.
Perché gli Url?
«Gli ultimi 9 attacchi che abbiamo subito sono stati commessi da persone sconosciute dai servizi, non schedate o sospettate di radicalizzazione. Dobbiamo interrogarci sulle tecniche di intelligence che usiamo», ha spiegato Gérald Darmanin, Ministro degli Interni, il 28 aprile su France Inter, «i terroristi hanno cambiato il loro modo di comunicare, ora passano attraverso Internet, la messaggistica criptata e i social network. Noi siamo “ciechi” di fronte a queste comunicazioni», ha continuato.
I critici di questa legge parlano di «Sorveglianza algoritmica di massa» facendo riferimento in particolare agli articoli 12 e 13. Perché? Oggi tra i metadati che l’algoritmo può scannerizzare, c’è l’indirizzo IP visitato da un utente. Semplificando, quello che il Governo può sapere ora è se con il mio computer (o altro device) visito il sito Youtube e a che ora. Non può sapere — e questo grazie a https, il protocollo di sicurezza usato in quasi tutti i siti e che potete vedere nella barra del vostro navigatore Web (in alternativa, vedrete un lucchetto) — quale pagina all’interno del sito viene consultata. In soldoni, a meno che non visitiamo un sito che si chiama “jihad.com” o “comecostruireunabomba.org” o siti che fanno parte di una lista compilata dai servizi perché ritenuti problematici, la connessione resta “protetta”.
Se questo dispositivo viene adottato gli algoritmi analizzeranno (vorrebbero poter analizzare quantomeno) il fatto che un indirizzo IP (corrispondente alla macchina utilizzata per connettersi a Internet) consulta un sito (sulla jihad o il nazismo, sulla fabbricazione di esplosivi o l’uso di armi, per esempio), quali ricerche ha fatto, con quali parole e con quale frequenza. A seconda di come l’algoritmo è scritto — quali fattori sono necessari per innescare una allerta — sarà possibile identificare un potenziale sospetto.
Secondo, cambia l’infrastruttura: se fino ad oggi le “scatole nere” venivano installate nella rete di comunicazione, la nuova legge chiede che gli operatori telefonici inviino i dati direttamente ai servizi, che potranno stoccare enormi quantità dati, quindi. Inoltre, gli operatori di telefonia dovranno conservare i dati di comunicazione per 5 anni (invece di uno attualmente).
A questo si aggiunge un dibattito un po’ sopra le righe che, per ora rimane un un po’ a lato del pubblico. Il Ministro degli Interni ha dichiarato che per che per aggirare la crittografia delle comunicazioni «stiamo (il Governo, ndr) discutendo con i giganti del Web per chiedere loro di farci entrare attraverso delle falle di sicurezza (le cosiddette “backdoor”, ndr). Alcuni accettano, altri no. Abbiamo bisogno di una legge che obblighi le aziende non francesi».
Cosa vuol dire?
Abbiamo un Governo che vorrebbe un’autorizzazione legale per poter violare la crittografia di un servizio privato e, quindi, il potere di obbligare gli operatori e fornitori di servizi di comunicazione a fare entrare i servizi segreti in comunicazioni che, in alcuni casi, sono criptate. Esempio? Messagerie come Signal o Wire, o ancora Whatsapp, o Telegram e, anche, Messenger.
L’articolo 10 della legge, secondo la Quadrature du Net, associazione che si occupa di libertà fondamentali su Internet, aprirebbe la porta a questa opzione: «Per quanto riguarda le messaggerie criptate, come Telegram, WhatsApp o Signal (…) Non si tratta di ascoltare le conversazioni telefoniche su queste applicazioni, ma di approfittare del fatto che passano attraverso le connessioni Internet», ha detto Darmanin, durante la discussione parlamentare. A titolo di esempio il Ministro cita l’operazione contro EncroChat che, nel 2020, ha permesso alla Gendarmerie, di entrare nel server (in Francia) del servizio di messaggistica.
In questo dibattito c’è un po’ confusione, anche e soprattutto da parte del Governo. E un po’ di fuffa. Perché? Perché nella pratica che un’azienda (come Facebook) o una Fondazione (come Signal) autorizzino di dare la chiave delle loro crittografia o di far entrare un Governo è piuttosto improbabile. È interessante perché aprirebbe, in salsa europea, la questione di un conflitto Stato-imprese che esiste già. E che si profilerà sempre di più negli anni a venire.
Cito ad esempio il caso dell’Iphone del killer di San Bernardino: ricordiamo che in seguito alla strage l’Fbi chiese ad Apple una chiave (o “backdoor”) per entrare nel codice criptato dell’iPhone. Apple rifiutò, l’azienda fu portata in tribunale, il quale ordinò ad Apple di fornire all’Fbi le capacità tecniche per accedere al telefono. L’azienda ha rifiutato, in nome della privacy (e di un ottimo marketing). L’Fbi ha dovuto risolvere pagando, a caro prezzo (pare 900mila euro), una società australiana.
E, anche, c’è un’altra questione non anodina. Darmanin, ha così giustificato, e a più riprese, le sue intenzioni: «Dobbiamo smetterla di essere così ingenui. Tutte le grandi imprese usano degli algoritmi. E lo Stato sarebbe il solo a non poterlo fare?», ha detto al Journal du Dimanche. «Chiediamo di far diventare legge tecniche delle quali, notiamo, la maggior parte delle grandi aziende del Web fa uso. Non è strano che lo Stato francese non possa fare lo stesso: come rifiutare alla Dgsi quello che accettiamo da Google e Facebook?», ha rincarato.
Ed è qui il punto: non è la stessa cosa, non è lo stesso campionato. Da una parte abbiamo il targetting pubblicitario e statistico — invasivo, invadente, pericoloso e anche illegale in termini di conservazione e uso di dati, come nel caso di Cambrige analitica, tra gli altri — e dall’altro un Governo che vuole entrare a tappeto nelle conversazioni private dei suoi cittadini per usare i dati in inchieste penali.
Tra l’altro, da notare: l’ex direttore della Dgsi, Patrick Calvar, nel 2018 aveva già fatto notare che la loi Renseignement era già «obsoleta» da questo punto di vista: «Queste aziende (le Gafam, ndr) sono molto più potenti dei servizi di intelligence, anche se gli obiettivi perseguiti non sono gli stessi» in particolare perché «i dati sono comunicati volontariamente».
E, non ultima, una questione: vogliamo punire le azioni o sanzionare le intenzioni? Conosciamo il bias degli algoritmi. «Stiamo parlando di partire dal principio che tutti sono sospetti (…) La sorveglianza di massa non in una democrazia non può essere la soluzione per combattere il terrorismo», dice Bastien Le Querrec de la Quadrature du Net su FranceInter.
Politicamente, questo testo è stato presentato con grande slancio dalla maggioranza in seguito all’attacco di Rambouillet il 23 aprile, quando Stéphanie Monfermé, agente amministrativo, è stata uccisa da una persona che era sconosciuta ai servizi di intelligence.
Ma non solo: «La legge arriva una settimana dopo che il Consiglio di Stato francese (decisione del 21 aprile, ndr) ha rifiutato di applicare la giurisprudenza della Corte di giustizia dell’Ue, che nell’ottobre 2020 ha sanzionato molto severamente le “scatole nere”, considerandole contrarie ai diritti fondamentali, alla privacy, alla libertà di espressione consigliandone l’uso solo in situazioni molto estreme e limitate nel tempo», aggiunge Le Querrec.
Questa nuova legge “antiterrorismo” è la numero 36 dal 1986. E la quindicesima dal 2015. Dal 2017 ad oggi, su 35 attentati programmati, 2 sono stati bloccati grazie a indizi digitali, dice il Governo. Nel 2019 Le Monde dice, per esempio, che su 59 casi, 58 sono stati intercettati grazie all’intelligence “umana”.
