Quando i cyber-criminali diventano solo un pretesto. Entro metà agosto l’Onu approverà il trattato contro i crimini digitali, ma i criminali c’entrano poco: obblighi securitari, diritti facoltativi, dati personali a disposizione degli Stati e delle polizie.
di Stefano Bocconetti da il manifesto
Quando tre anni di discussioni, di negoziati, di “sessioni riservate” saranno servite solo a firmare un trattato che non ha più nulla a che fare con lo scopo dichiarato ma che ora disegna un futuro orwelliano. Per il mondo, per tutto il mondo. Nel drammatico silenzio di tanti, non di tutti ma di troppi.
Si parla del Cybercrime Treaty dell’Onu, la convenzione globale che, al termine dell’ennesima sessione al Palazzo di Vetro di New York, dovrebbe essere approvato entro la prima metà di agosto. Ci sarebbe ancora tempo per bloccarlo, almeno modificarlo ma nessuno si fa illusioni. Perché su tutte le questioni più spinose – e più drammatiche per i diritti – c’è da tempo un accordo fra la stragrande maggioranza degli Stati.
Loro continuano a chiamarlo “Trattato universale contro il cybercrime” ma anche solo il titolo è una bugia. Il documento, lo sterminato documento non si occupa di chi viola la privacy delle persone, rubando le credenziali, di chi entra nei sistemi digitali pubblici o privati, corrompendoli o bloccandoli, chiedendo tanti soldi di riscatto per tornare a farli funzionare. No, il Cybercrime Treaty considera sua competenza anche l’uso di uno strumento digitale per qualsiasi reato. Per capire: chi ruba una macchina e scrive un messaggio ad un complice per dire che il furto è andato a buon fine, rientra nelle casistiche del Cybercrime Treaty. Già ma a che serve avere esteso quasi all’infinito i propri ambiti? La risposta la danno le associazioni per i diritti digitali – appunto fra i pochi che non sono rimasti in silenzio – a cominciare da una delle più autorevoli nel mondo: l’Electronic Frontier Foundation (Eff). Che non usa mezzi termini: quel trattato serve soprattutto “a rimodellare drasticamente le leggi sulla sorveglianza globale”.
Tutto ma proprio tutto spinge in quella direzione. Che era esattamente l’obbiettivo della Russia nel 2021 – prima quindi dell’invasione dell’Ucraina – che è stata la protagonista, l’animatrice, la vera promotrice delle prime sessioni della convenzione all’Onu. Obbiettivo poi assecondato – se non cambieranno le cose all’ultimo minuto – anche da tutti gli altri Paesi. Frasi esagerate? Per esaminare l’intero trattato – che sarà vincolante per i paesi che lo sottoscrivono – occorrerebbero centinaia di pagine (cosa che hanno fatto comunque tutte le associazioni, fin da quando hanno cominciato a trapelare i primi documenti). Bastano però alcuni esempi.
C’è l’articolo 28 per dirne uno, sul quale da tempo c’è il consenso unanime. Consente alle autorità dei vari paesi la ricerca e il sequestro dei “dati elettronici”. Singolare definizione che – com’è spiegato anche nell’ultima versione – presuppone anche tutto ciò che è nel nostro computer, cellulare, hard disk. Anche se non è stato condiviso con nessun altro, mai inviato né ad amici, né sui social. A disposizione delle autorità insomma potrebbero esserci anche semplici riflessioni personali.
Ma anche questo, anche l’autorizzazione a violare i messaggi criptati, è ancora poco. Più preoccupante è l’articolo 24, sulla cooperazione internazionale fra le forze di polizia. Prevede la possibilità che uno Stato chieda dati e notizie ad un altro governo. Senza neanche l’autorizzazione di un giudice del paese che riceve la richiesta. Per capire: le autorità del Myanmar – se firmatarie del trattato – potrebbero chiedere “dati” su chi scrive e pubblica notizie contro la giunta militare, perché quei contenuti sono considerati reato lì, nel paese asiatico. Senza neanche che l’interessato lo venga a sapere, perché il Cybercrime Treaty garantisce la segretezza delle comunicazioni fra polizie e non c’è possibilità di promuovere un ricorso.
E la difesa dei diritti umani, dei diritti personali che fine hanno fatto? Qui il trattato compie uno spaventoso salto all’indietro: la loro “salvaguardia” non avviene più con regole generali, universali ma viene affidata alla legislazione dei singoli Stati. C’è solo un invito ai paesi sottoscrittori a varare “norme appropriate” al tema. Non vincolanti, appropriate. E in Uganda – e anche un po’ in Ungheria – oggi è “appropriato” il divieto a parlare di omosessualità. Come dice forse il più famoso scrittore di fantascienza americano Cory Doctorow, da sempre impegnato nella battaglia per democratizzare la rete, il “trattato è insomma vincolante per la sorveglianza e facoltativo sui diritti”.
Ma non è ancora tutto. C’è anche il capitolo che suona grottesco. Quello che vieta ai ricercatori e ai giornalisti di rendere pubblici eventuali bug informatici, quegli errori, quei “buchi” che poi permettono agli hacker di entrare nei sistemi. Le big tech – tutte – hanno chiesto ed ottenuto il diritto di veto: le notizie a riguardo dovranno essere comunicate a loro e solo a loro. Perché “se rese pubbliche, metterebbero a rischio la sicurezza”.
Tutti sanno che invece è vero il contrario. Per dire, poco più di dieci anni fa, le autorità statunitensi (la Nasa e la Cia) scoprirono una vulnerabilità nei sistemi Windows. Non comunicarono subito il dato, lo tennero segreto, sperando che questo avrebbe permesso loro di “spiare” concorrenti e nemici. Nessuno corse ai ripari, il bug fu trovato anche da hacker malevoli che crearono l’Eternalblue, il virus – esattamente si tratta di un exploit – che ancora oggi infetta centinaia di migliaia di computer. Lo stesso potrà avvenire domani quando il Cybercrime Treaty entrerà in vigore, mettendo a rischio penale ricercatori indipendenti e giornalisti.
L’ultima, ma non certo in ordine di importanza. Il trattato obbliga anche chi sia “in possesso di competenze utili alle indagini” a collaborare con le autorità. Significa che un ricercatore, uno studioso, un consulente potrebbero essere obbligati a spiegare come si viola un file criptato. Come si forza una password, magari sul loro stesso computer. Tutto questo e tanto altro ancora lo chiamano appunto trattato contro il cybercrime. A conti fatti, però quello sterminato documento fornisce qualche arma in più solo a quei criminali ma tanti strumenti in più alla sorveglianza dei governi. Si dovrebbe decidere il 9 agosto o nei giorni successivi a New York. Le conseguenze però dureranno decenni.
Osservatorio Repressione è una Aps-Ets totalmente autofinanziata. Puoi sostenerci donando il tuo 5×1000
News, aggiornamenti e approfondimenti sul canale telegram e canale WhatsApp