Cinquantamila.it La storia raccontata da Giorgio Dell'Arti

Gli uffici comunicazione di Apple, Facebook, Google, Yahoo e altri big di internet ricevettero le telefonate dei giornalisti del Washington Post il 6 giugno 2013. Il giorno prima, il quotidiano inglese The Guardian aveva scioccato gli americani pubblicando un articolo: provava che il gigante delle telecomunicazioni Verizon aveva consegnato di propria volontà un database di tutte le telefonate effettuate sulla sua rete alla National Security Agency. Il pezzo era firmato da Glenn Greenwald e l’informazione veniva da Edward Snowden, 29 anni, un consulente informatico che aveva lasciato gli Stati Uniti con centinaia di migliaia di documenti nei quali erano descritte minuziosamente le procedure segrete dell’Nsa. Greenwald era stato il primo ma non l’unico giornalista contattato da Snowden.
Anche Barton Gellman del Post aveva avuto rapporti con lui. Adesso era intenzionato ad allargare la storia alla Silicon Valley. Gellman voleva essere il primo a portare alla luce un programma top secret dell’Nsa chiamato Prism. I file di Snowden indicavano che alcuni big della rete avevano garantito a Nsa e Fbi un accesso diretto ai loro server, concedendo alle agenzie la possibilità di entrare in possesso di audio, video, foto, e-mail e documenti personali. Il governo invitò Gellman a non rivelare il nome delle società coinvolte, ma Gellman riteneva fosse importante. Una squadra di giornalisti del Post si attivò per indagare.
Fu l’inizio di una reazione a catena che avrebbe minacciato le fondamenta dell’industria. La vicenda avrebbe dominato i titoli dei giornali per mesi. La questione politica chiave delle compagnie tech, per anni, era stata mantenere il delicato e precario equilibrio tra la privacy degli utenti e la possibilità di ottenere benefici dai loro dati personali. Nel momento in cui arrivarono le telefonate dei giornalisti quell’equilibrio si ruppe, mentre il mondo tech si ritrovava intrappolato in una battaglia molto più grande di quelle aperte dall’eccesso di condivisione (oversharing) su Facebook o dalle pubblicità su Gmail. Nei mesi a seguire, le aziende si sarebbero trovate in guerra con il governo, in un conflitto che metteva a rischio il futuro stesso della rete.
Prima, tuttavia, dovevano decidere che cosa dichiarare al Post. «Avevamo 90 minuti per rispondere», dice Joe Sullivan, capo della sicurezza di Facebook. Nell’azienda nessuno aveva mai sentito parlare di un programma chiamato Prism. E l’accusa più grave – che Facebook e le altre compagnie garantissero all’Nsa l’accesso diretto ai loro server – sembrava completamente falsa. Il ceo Mark Zuckerberg, colto alla sprovvista, chiese ai suoi dirigenti se tutto ciò fosse vero. Loro risposero di no.
Conversazioni simili, segnate dal panico, si svolgevano nei quartier generali di Google, Apple e Microsoft. «Chiedemmo in giro se ci fossero modi surrettizi per ottenere informazioni», racconta Kent Walker, responsabile dell’area legale di Google. Anche per lui la risposta fu: «No».
Quel giorno il Post pubblicò l’articolo in cui descriveva il programma Prism. Il pezzo includeva diverse immagini tratte da un PowerPoint di 41 slide dell’Nsa. In una erano elencate le società tech che partecipavano al programma e le date a partire dalle quali sembravano avere cominciato a collaborare pienamente. La prima era stata Microsoft, nel settembre 2007, seguita l’anno successivo da Yahoo. Google e Facebook si erano aggiunte nel 2009. Buona ultima era stata Apple, nell’ottobre 2012. Nella slide venivano utilizzati i loghi ufficiali delle società. Un giorno prima, l’opinione pubblica aveva appreso che Verizon, e forse altre compagnie telefoniche, avevano consegnato i loro tabulati al governo. Ora sembrava che la medesima cosa stesse accadendo con e-mail, cronologie di ricerca e persino con le foto di Instagram.
Le compagnie tech respinsero l’accusa di avere garantito al governo Usa un accesso diretto ai dati dei loro clienti. Ma la loro presa di posizione risultava indebolita dal fatto che avevano preso parte – spesso con riluttanza – a un programma governativo che chiedeva loro di condividere i dati su ordine di un tribunale segreto. Google e gli altri big non erano in grado di rivelare tutti i dettagli, in parte perché avevano vincoli legali di riservatezza e in parte perché non conoscevano tutti i particolari sull’effettivo funzionamento del programma. E così le loro risposte risultavano più dichiarazioni ipocrite che smentite categoriche.
Le compagnie ebbero giusto il tempo di formulare le loro risposte prima che Barack Obama intervenisse. Confermando implicitamente l’esistenza del programma, il presidente dichiarò: «Per quello che riguarda internet e posta elettronica, il programma non coinvolge i cittadini americani, né le persone che vivono negli Stati Uniti». L’affermazione forse tranquillizzò una parte dell’opinione pubblica, ma non fu di alcun aiuto all’industria tech. La maggior parte degli utenti di Apple, Facebook, Microsoft e Yahoo non sono cittadini americani. Quegli utenti, e le istituzioni come l’Unione europea, erano indotti a credere che utilizzare servizi con sede negli Stati Uniti significasse fornire i loro dati all’Nsa.
La fiducia costruita nel corso degli anni dai giganti della tecnologia correva il rischio di sbriciolarsi senza che questi potessero impedirlo. Imbavagliati dalla legge, non potevano riferire in modo compiuto i termini della loro collaborazione o del loro eventuale rifiuto. Neppure la smentita più categorica – un post sulla pagina ufficiale di Google, a firma del ceo Larry Page e del responsabile dell’area legale David Drummond – riuscì a dissipare i sospetti. E come avrebbe potuto, quando una slide dell’Nsa indicava che le informazioni private di chiunque erano a portata di clic? Quando Drummond decise di rispondere alle domande sul sito web del Guardian, i lettori si mostrarono ostili: «Google, non ci fidiamo più di te» e «Smetterò di usare la posta elettronica di Google» erano i commenti più comuni.
«Il governo non può rimettere il genio nella lampada», dice Michael Buckley, responsabile della comunicazione globale di Facebook. «Possiamo diffondere affermazioni o statistiche, ma ogni settimana escono nuove rivelazioni su altre attività governative: chi mai ci crederà?».
Lo scorso settembre, in un discorso pubblico, il fondatore di Facebook, Zuckerberg, si è detto indignato: «Il governo ha sbagliato». Ma le conseguenze delle azioni di Washington si sono rovesciate come una valanga su Zuckerberg, Page, Tim Cook, Marissa Mayer, Steve Ballmer e chiunque dirigesse un’azienda che conservava i dati dei clienti sui propri server.
Non è solo un problema di profitti. A rischio sono anche gli ideali che hanno sostenuto la clamorosa espansione dell’information technology. La fuga di notizie favorita da Snowden ha messo in discussione il ruolo di internet come simbolo della libertà di parola e di crescita delle possibilità del singolo. Se la rete viene vista come strumento di sorveglianza diffusa, la paranoia che ne deriva può influenzare il modo di usarla. Le nazioni indignate dalla raccolta di informazioni da parte dell’intelligence Usa hanno utilizzato le rivelazioni per chiedere politiche nazionalistiche sui dati. L’applicazione di uno schema del genere potrebbe portare a balcanizzare il web, distruggendone l’essenza e innalzando in maniera sostanziale il costo del fare impresa.
Silicon Valley stava vacillando. Era un danno collaterale nella guerra al terrore, e le cose non potevano che peggiorare.

SE PRIMA DI GIUGNO le compagnie tech non conoscevano il nome Prism, poi compresero che si riferiva a un programma vecchio di anni, in base al quale esse trasmettono al governo dati specifici, spesso senza alcun mandato formale, in nome della sicurezza nazionale. Le giustificazioni legali del programma derivano da una serie di leggi, emendate e accresciute nel tempo. Il Foreign Intelligence Surveillance Act del 1978 (Fisa) istituì un tribunale segreto che autorizza le richieste d’informazioni. Il Fisa Amendments Act del 2008 aggiunse alla legge una nuova sezione, la 702, che forniva una copertura legale ai programmi di sorveglianza senza mandato attuati in totale segretezza sotto la presidenza di George W. Bush. L’Nsa cita il Fisa Amendments Act come base legale specifica per il programma Prism. In un certo senso, il Prism può essere considerato figlio del Patriot Act, che fissò la linea post-11 settembre: sacrificare alcune libertà individuali per la sicurezza nazionale.
Alcune compagnie non avevano problemi a trasmettere dati sensibili all’Nsa. Verizon non ha mai negato di avere trasmesso i suoi dati di fatturazione, compresi i numeri di telefono e la durata di ogni chiamata effettuata da ognuno dei suoi milioni di clienti. Ma per le compagnie telefoniche la fiducia dei clienti non è indispensabile.
Per le compagnie tecnologiche la faccenda è diversa. Quando affermano che senza la fiducia degli utenti non potrebbero fare affari, ripropongono uno stereotipo. Esse dipendono dalla disponibilità degli utenti a condividere le informazioni. In cambio, questi ricevono servizi maggiori e migliori, e si aspettano tutela della privacy e trasparenza. Gli utenti non avevano alcun motivo di pensare che le informazioni che li riguardavano potessero essere trasmesse al governo senza un mandato.
Almeno una compagnia ha sfidato queste richieste come incostituzionali. Yahoo promosse una battaglia segreta nel tribunale Fisa per opporsi alla consegna dei dati. Il 22 agosto 2008 un’ordinanza stabilì che l’interesse governativo per la sicurezza nazionale prevaleva sul diritto alla privacy. Un appello successivo ebbe il medesimo esito. La sfida fallita di Yahoo rappresenta un precedente: il programma di richiesta dati del Fisa è legale, e chiunque si rifiutasse di collaborare rischierebbe le accuse di oltraggio previste dalla legge.
Le richieste possono avere urtato alcuni dei giganti tecnologici ma non hanno comportato alcun problema logistico. Nessuna società è stata costretta ad apportare significativi cambiamenti delle infrastrutture. In genere dirottano i dati richiesti verso speciali dispositivi di proprietà del governo.
Per le società più piccole invece non è sempre stato facile soddisfare le richieste. Per esempio, il governo chiese che Lavabit – una startup di posta elettronica sicura, che permette ai propri utenti, compreso lo stesso Snowden, di criptare i messaggi – consegnasse le chiavi delle comunicazioni di Snowden. Lavabit non poteva farlo senza rivelare le informazioni di tutti i suoi utenti e alla fine, piuttosto che assecondare la richiesta, ha chiuso i battenti.
Esistono modalità meno estreme di resistenza. «Il governo può richiedere l’informazione, ma non può stabilire i modi in cui questa gli viene consegnata», spiega il responsabile dell’area legale di Twitter, Vijaya Gadde. Google afferma che quando una richiesta è “eccessivamente estesa” la respinge. I risarcimenti offrono strumenti di resistenza più sottili. Il Fisa impone al governo di rimborsare alle società il costo del reperimento delle informazioni. Google non ha mai chiesto nulla. Un’altra società invece utilizza questa clausola, nella speranza di mettere un limite alle richieste. «All’inizio non chiedevamo rimborsi», dichiara un dirigente di quella società. «Poi ci rendemmo conto che è una buona idea... li costringe a fermarsi e a pensarci su».
Alla fine, comunque, c’è una ragione economica più grande che spinge a cooperare. «Le grandi compagnie fanno parecchi affari con il governo», sottolinea il dirigente di una delle top tech. «È dura parlare con i funzionari governativi e dire: “Su questo vi daremo battaglia... Ah, sì, potremmo poi chiudere quel contratto da 400 milioni di dollari?”».
Le compagnie tech hanno anche provato ad alzare la voce chiedendo che venga reso pubblico il numero di richieste Fisa che ricevono. L’unica concessione che hanno ottenuto è di rilasciare rapporti che rendono conto di tutte le richieste governative.
Lo scontro evidenzia un conflitto all’apparenza insanabile. Mentre Silicon Valley dev’essere per molti aspetti trasparente, le agenzie di spionaggio operano protette da un velo offuscante. La segretezza è motivata: i malfattori che utilizzano un servizio internet smetterebbero di usarlo se sapessero che l’Nsa li controlla. Ma una delle conseguenze fastidiose dei programmi segreti è la patina distruttiva di dubbio che distendono sopra tutto ciò che toccano. Mesi dopo le rivelazioni di Snowden, alcuni aspetti basilari di Prism risultano ancora poco chiari. Quante informazioni vengono in realtà raccolte dal programma? Che tipo di cooperazione c’è tra Silicon Valley e Nsa? Le compagnie sostengono che, oltre a ciò che non possono dire, ci sono molti elementi che proprio non conoscono.
«Stiamo ancora tirando a indovinare», afferma Richard Salgado, che a Google è il responsabile della sicurezza delle informazioni e, più in generale, dell’azienda.
Per tutta l’estate, le compagnie tech hanno tentato di fare i conti con le ricadute di Prism, mentre l’Nsa cercava un modo per ridurre l’impatto della fuga di notizie provocata da Snowden. Poi la situazione si è aggravata per entrambe le parti.
In ottobre, Snowden rivelò l’esistenza di un programma in base al quale l’Nsa, all’insaputa delle società coinvolte, ha raccolto i dati delle rubriche di milioni di persone. Il Washington Post riferì che, nell’arco di una sola giornata, l’Nsa aveva raccolto «444.743 rubriche di posta elettronica da Yahoo, 105.068 da Hotmail, 82.857 da Facebook, 33.697 da Gmail e 22.881 da altri provider non meglio specificati». All’interno dell’Nsa la pratica era classificata come un metodo di raccolta dati upstream, perché scorre in direzione opposta ai metodi downstream come Prism, nei quali le informazioni venivano fornite direttamente dalla fonte.
Poi Gellman e la sua squadra del Post rivelarono documenti che mostravano nel dettaglio in che modo l’Nsa, lavorando gomito a gomito con l’omologa inglese, Gchq, si era inserita illecitamente nel traffico che si trasferiva esclusivamente su connessioni in fibra private, linkando i rispettivi centri raccolta dati di Google e Yahoo. Il nome in codice di questo programma upstream era Muscular.
Le notizie chiarirono un mistero che confondeva le compagnie. «Ci fornì una chiave per capire finalmente che cosa stava succedendo», dichiara il responsabile dell’area legale di Microsoft, Brad Smith. «Leggevamo che l’Nsa disponeva di una massiccia quantità di dati, ma noi e gli altri avevamo fornito solo briciole. Era difficile conciliare le due cose, e quella sembrava una spiegazione logica».
Le notizie del blitz governativo colpirono l’industria tecnologica con la stessa violenza viscerale di un furto subito in casa propria. Il tradimento appariva in tutta la sua straordinaria portata in una slide PowerPoint che mostrava come l’Nsa aveva bypassato il criptaggio di Google, inserendo una sonda che intercettava i dati mentre si spostavano dai suoi server attraverso la rete aperta. Tra le due grandi nuvole una che rappresentava l’internet pubblico, l’altra battezzata “Google Cloud” – c’era una piccola faccina sorridente tracciata a mano, un allegro emoji che non avrebbe dovuto essere rilevato dalle sue vittime. Drummond di Google rilasciò una dichiarazione indignata al Post: «La mia società si sente oltraggiata». Il responsabile della sicurezza di Yahoo, Ramses Martinez, condivide quel sentimento. «Era una novità per noi», dice di Muscular. «Avevamo dedicato molto lavoro per garantire la sicurezza dei nostri dati».
Una cosa è opporsi a un procedimento legale che si ritiene incostituzionale. Tutt’altra è lavorare per una compagnia che deve proteggere la privacy dei suoi clienti e scoprire che gli occhi che ti fissano sulla virtuale linea Maginot della cyberdifesa sono quelli degli Stati Uniti d’America.
«All’inizio eravamo impegnati ad armarci contro criminali sofisticati», dice Eric Grosse, responsabile della sicurezza di Google. «Adesso è la volta delle nostre istituzioni più importanti». In primis, il governo Usa.
Dopo le rivelazioni, molte compagnie hanno cominciato a irrobustire le proprie strutture di sicurezza. Grosse di Google aveva a lungo esercitato pressioni per implementare il criptaggio dei dati sia durante gli spostamenti attraverso i network pubblici sia all’interno dei centri di raccolta dati della società – una strategia che l’azienda alla fine aveva deciso di seguire. «Eravamo pronti ad applicarla quando abbiamo saputo fino a che punto si era spinta l’Nsa», racconta. «La minaccia ipotetica che ci preoccupava si stava infine verificando».

YAHOO, CHE HA ADOTTATO Ulteriori sistemi di criptaggio, si ripromette di rafforzarli entro la fine di marzo. «Per noi non c’è niente di più importante che proteggere la privacy dei nostri utenti», ha affermato il ceo Marissa Mayer in una dichiarazione. Facebook e Microsoft introdurranno gradualmente una tecnica chiamata Perfect Forward Secrecy, che limita drasticamente le informazioni che un’agenzia di intelligence potrebbe riuscire a raccogliere, utilizzando più chiavi segrete per criptare i dati (Google e Twitter la usano già). In precedenza, decifrare una singola chiave crittografica significava scoprire un tesoro di informazioni, ma con un incremento della sicurezza persino le criptoanalisi più sofisticate possono garantire solo una piccola parte del bottino. Il senso di simili misure, ha scritto Smith di Microsoft su un blog, era garantire che l’accesso del governo ai dati fosse «deciso dai tribunali anziché dettato dalla potenza tecnologica».
Ma anche il criptaggio più robusto non è sufficiente a tenere alla larga l’Nsa. Un altro scoop diffuso da Snowden, in questo caso una collaborazione tra ProPublica e New York Times, raccontava nel dettaglio il recente e spettacolare successo dell’agenzia nel decifrare forme diffuse di crittografia. Le strategie comprendono il ricorso a chiavi sottratte o fornite da una compagnia per decodificare tutti i messaggi e lo sfruttamento di vulnerabilità non denunciate nei sistemi software. Alcuni documenti sollevavano il sospetto – peraltro già espresso da alcuni membri della criptocomunità – che l’Nsa contribuisse a promuovere standard di criptaggio deboli che sapeva come violare. È un principio ben noto della cyber-sicurezza che ogni falla alla fine verrà scoperta e sfruttata. Di fatto, se l’Nsa non comunicava buchi nella sicurezza noti, rischiava di esporre informazioni interne e segreti ai malintenzionati. Avrebbe potuto persino consentire a governi stranieri di sottrarre segreti aziendali di valore assoluto.
«L’Nsa è disposta a compromettere la sicurezza di tutto per ottenere ciò che vuole», avverte l’esperto di sicurezza Bruce Schneier. «Bisogna pensare al danno che ciò rappresenta per l’America», gli fa eco il democratico del New Jersey Rush Holt, favorevole a misure che limitino le attività dell’agenzia di sicurezza. «L’Nsa dice: “Dobbiamo assicurarci che il criptaggio abbia delle falle per poterlo decrittare”. Siamo al massimo dell’arroganza, o sbaglio? Non si rendono conto che abbiamo finito per degradare il nostro prodotto. Ma la verità alla fine emerge sempre. E l’America sta peggio per questo».
Di sicuro le compagnie tech se la sono vista brutta. In novembre, il settimanale tedesco DerSpiegel – anch’esso beneficiario delle rivelazioni di Snowden – descriveva un altro exploit di Nsa/Gchq. Nel tentativo di accedere a Belgacom, società di telecomunicazioni con sede a Bruxelles, le agenzie avevano allestito versioni false di siti come Slashdot e Linkedin. Quando i dipendenti cercavano di collegarsi ai siti dai computer aziendali, le loro richieste venivano dirottate sulle finte copie, che le spie utilizzavano per iniettare malware nelle loro macchine.
Con un eufemismo, la responsabile dell’area legale di Linkedin, Erika Rottenberg, ha commentato: «Non siamo contenti che la nostra proprietà intellettuale venga utilizzata in questo modo». Non è difficile capire perché.
Per anni, le aziende dei paesi che strizzavano l’occhio alle attività di spionaggio sono state respinte con sdegno dai buyer d’oltreoceano che non si fidavano dei loro prodotti. Adesso è arrivato il turno dell’America. E questo sta già avendo un impatto sulle società giovani che cercano di crescere a livello internazionale. «In questo momento, il nostro business pubblicitario è per il 95% negli Stati Uniti», dice il fondatore di Tumblr, David Karp. «Ora che cominciamo a portare il nostro business oltreoceano, ci troviamo a fare i conti con leggi Ue più rigide, specie in materia di privacy».
«L’altro giorno ho visto per la prima volta la campagna di lancio di una società che sfruttava la situazione», dice Brad Burnham, managing partner di Union Square Ventures. «Era un clone di Dropbox, che ci diceva: “Siamo in Europa e abbiamo un governo che non ficca il naso nei nostri affari!”». Anche se le maggiori compagnie non hanno ancora denunciato perdite di quote di mercato rilevanti, fanno sapere che i loro clienti d’oltreoceano sono preoccupati. Forrester Research stima che circa 180 milioni di dollari potrebbero andare perduti a causa della scelta delle compagnie straniere di non utilizzare i servizi cloud americani.
Ciò nonostante, un declino nella fiducia, o persino negli affari, non è la preoccupazione maggiore delle più grandi aziende tech nell’era post-Snowden. Il ceo di Facebook Mark Zuckerberg è ottimista sul futuro dei grandi servizi online. Tuttavia teme, e non è il solo, che le rivelazioni sull’Nsa abbiano scatenato una potenziale reazione violenta di altre nazioni. «Parte della ragione per cui gli Usa hanno sbagliato è che gli altri governi ora stanno minacciando la sicurezza di internet con leggi che consentono di violare la privacy degli utenti della rete», spiega.
Zuckerberg teme la balcanizzazione di internet, che potrebbe distruggere la rete stessa. I dati personali dei cittadini di una nazione dovrebbero essere immagazzinati su server all’interno dei suoi confini. Per alcuni di coloro che hanno formulato la proposta si tratta di una forma di protezionismo, una spinta a utilizzare servizi informatici locali. Per altri è un modo per facilitare l’intrusione di un paese negli affari privati dei suoi cittadini. L’idea non è mai stata considerata una minaccia, fino a quando la fuga di notizie dall’Nsa ha spinto alcuni paesi a perseguirla con serietà. Dopo avere appreso che l’Nsa la spiava, la presidentessa brasiliana Dilma Rousseff ha, cominciato a fare pressioni per una legge che stabilisca che i dati personali dei cittadini brasiliani restano in Brasile. Di recente la Malesia ha approvato una legge simile, e anche l’India si sta orientando al protezionismo sui dati.
Chi ha familiarità con i protocolli di internet parla di follia. «Non è realistico ed è poco lungimirante», dice Rottenberg di Linkedin. «E come funzionerebbe? Se sono un brasiliano in viaggio, non posso accedere ai miei dati?».
Non sono solo le economie emergenti a prendere in considerazione questa strada. In Germania, dove l’Nsa ha spiato il telefono della cancelliera Angela Merkel, si parla di uno schema simile, chiamato “Schengen-Routing”. René Obermann, ceo del gigante Deutsche Telecom, parve appoggiare il principio in occasione di una conferenza europea sulla cyber-sicurezza. Nel mondo preSnowden sarebbe stato snobbato. Tuttavia Obermann parlava a un pubblico pronto a prendere d’assalto le postazioni d’ascolto degli spioni americani.
«Internet è stato costruito senza riferimenti ai confini, e questo ha permesso un’innovazione straordinaria», afferma Tekedra Mawakana di Yahoo. «Ma come può funzionare se i paesi cercano di inchiodare a terra la nuvola? Che cosa succede se lo fanno l’Indonesia, Bruxelles e il Brasile?».
Uno degli effetti peggiori potrebbe essere quello di raffreddare le prospettive delle startup. Facebook o YouTube sarebbero mai potute decollare se avessero dovuto immagazzinare i loro dati in decine di paesi diversi? «Gli Stati Uniti devono contribuire a risolvere questo problema», sostiene Zuckerberg. Ma l’amministrazione Obama teme che ogni tentativo in tal senso possa finire per rafforzare la determinazione delle altre nazioni a balcanizzare, a dimostrare che non si faranno intimidire. Cosi tocca all’industria affrontare il problema.
In precedenza, le compagnie potevano argomentare che la balcanizzazione avrebbe dato ai cittadini dei paesi isolazionisti meno possibilità di scegliere e più censura e intrusione nella vita privata. Ma da quando Snowden ha rivelato che gli Usa attraverso le loro compagnie tech sono quelli che spiano il resto del mondo, l’argomentazione è diventata debole.
«Non è colpa delle aziende. Sono state costrette a farlo. Come nazione, abbiamo il dovere di stare dalla loro parte, all’interno e all’estero. Non vogliamo che le nostre compagnie perdano le loro competenze e il loro vantaggio competitivo. In ballo c’è il futuro del nostro paese».
Queste parole avrebbero potuto essere pronunciate da un ceo della Silicon Valley, da un legislatore, da un gruppo per i diritti civili. Invece la fonte è il generale Keith Alexander, direttore dell’Nsa. Ma proprio mentre riconosce che le compagnie tech sono state costrette ad assumere quella difficile posizione, Alexander insiste che i suoi programmi sono legali, necessari e rispettosi della privacy.
Le bocche cucite all’Nsa sono leggendarie, al punto che per decenni essa si è rifiutata di riconoscere pubblicamente la propria stessa esistenza. Ma ora l’agenzia pare essersi resa conto di doversi difendere dalla stampa. E cosi, in una fredda giornata dei primi di novembre, sono stato invitato a visitare il suo imponente quartier generale in un palazzo di vetro a Fort Meade, nel Maryland. Dopo avere consegnato i miei dati personali –compreso il numero di serie del mio registratore – supero tre posti di controllo e parcheggio la mia auto. Alla fine approdo in una sala conferenze tappezzata di manifesti patriottici che inneggiano alla sicurezza nazionale e alla privacy. Vengo presentato al responsabile dell’area legale Rajesh De; a Anne Neuberger, responsabile dei rapporti con il settore privato; e a Rick Ledgett, un vice direttore che coordina la Media Leaks Task Porce dell’agenzia, una posizione creata restate scorsa per controllare il danno provocato dal caso Snowden.
E poi fa il suo ingresso l’uomo al vertice, un partecipante a sorpresa che vuole stabilire il tono dell’intervista, rimanendo per i primi venti minuti di una seduta che si protrarrà per oltre due ore. Fisico in forma perfetta ed espressione efficiente sul viso, Alexander ha una fiducia carismatica in se stesso che evidentemente l’ha aiutato a conquistare un ruolo chiave nella sicurezza nazionale.
«Quel programma, di per sé, è la questione spinosa», dice Alexander riferendosi al Prism. «È la questione spinosa che permette all’Nsa di intercettare minacce provenienti dal Pakistan e dall’Afghanistan e da altre parti del mondo, di condividere queste informazioni con l’Fbi e scoprire se qui sta per accadere qualcosa di brutto». Alexander cita il caso di Najibullah Zazi, l’estremista islamico che nel 2009 pianificò l’attentato dinamitardo alla metropolitana di New York, lasciando intendere che la sua cattura era stata il frutto delle informazioni raccolte sotto il programma Prism.
«La cosa che mi preoccupa è che, senza conoscere i fatti, la gente dirà: “Mettiamo da parte quella... questione spinosa”. Anche a noi piacerebbe disfarcene, appiopparla a qualcun altro. Ma i rischi di attacchi terroristici contro l’America aumenterebbero. Perciò dobbiamo insistere su questa strada e fare conoscere alla gente le opzioni disponibili. Se ce n’è una migliore, la si metta sul tavolo».
Stranamente, nella sostanza, le lamentele dell’Nsa sembrano molto simili a quelle delle compagnie tech: la gente non ci capisce. Per dirla con Alexander: «Hai bisogno della paglia per trovare l’ago». La semplice raccolta della paglia non può far male, affermano i funzionari, perché esiste un’ampia protezione che circoscrive la portata delle ricerche di quell’informazione. Rajesh De si riferisce alla raccolta complessiva dei metadati delle telefonate come a «uno dei programmi più regolamentati dell’intero governo federale». Descrive nel dettaglio le innumerevoli volte che ha dovuto richiedere autorizzazioni al Congresso e ai tribunali, il numero ristretto di persone che hanno accesso al programma e il controllo esercitato per assicurare che lo usino correttamente. (A dicembre un giudice federale ha stabilito che la raccolta di metadati telefonici è probabilmente incostituzionale, ma la sua ordinanza è in attesa dell’appello). Esistono controlli di questo tipo anche per Prism, che l’Nsa considera il suo strumento più importante. «Gmail è il servizio di posta elettronica terroristico più diffuso al mondo», osserva un funzionario. «Al secondo posto c’è Yahoo. E questo non perché Google e Yahoo siano cattivi, ma perché offrono un grande servizio».
Il volume esatto delle informazioni raccolte dall’Nsa con Prism non viene reso noto. Stando a Snowden, il 5 aprile 2013 sul database di Prism c’erano 117.675 “registrazioni”. Se questi target hanno contatti con persone all’interno o ia qualche modo collegato agli Stati Uniti, Prism può finire per raccogliere’tonnellate d’informazioni sugli americani. Tra Prism e Muscular, l’Nsa raccoglie a piene mani.
Ledgett individua i diversi passaggi attraverso i quali l’Nsa vaglia i dati per escludere le e-mail, le ricerche e i selfie degli americani. «Spetta a noi ridurre al minimo la raccolta d’informazioni personali Usa», dice. Tuttavia, questo processo finora è stato largamente autoregolato, e documenti del tribunale Fisa declassificati di recente indicano che in molteplici occasioni l’Nsa ha fallito, attirandosi il biasimo del tribunale segreto per un eccesso di raccolta o per non essere riuscita a filtrare correttamente i contenuti.
I funzionari, comunque, dipingono il quadro di un sistema che funziona. Descrivono un processo di addestramento rigoroso. Ledgett fa un esempio di ciò che accade quando le informazioni di qualcuno vengono analizzate per errore. L’agenzia, racconta, aveva tenuto sotto controllo un target di alto valore nel sud dell’Asia per oltre un decennio prima di venire a sapere che il soggetto aveva presentato domanda per una green card, diventando in questo modo, per le regole Nsa, un “individuo Usa”. «Appena l’abbiamo scoperto», spiega Ledgett, «abbiamo interrotto la raccolta di qualunque informazione su di lui e cancellato quattordici anni di rapporti».
I critici sostengono che se non esiste alcuna prova di un abuso massiccio dei dati raccolti dall’Nsa, non esistono nemmeno garanzie che un futuro regime non possa ignorare le protezioni tanto reclamizzate. I funzionari con cui mi sono incontrato hanno scartato questa possibilità, dicendo che la maggior parte dei dipendenti Nsa non approverebbe mai una simile politica (il destino di numerosi dipendenti dell’Nsa diventati spie smentisce questa autodifesa).
L’Nsa riconosce che le notizie sulle sue attività hanno creato imbarazzo alle compagnie tecnologiche. Ma sulle soluzioni nicchia: anche per un problema, all’apparenza semplice, come quello di consentire alle compagnie di avere più dettagli sulle richieste che ricevono in nome della sicurezza nazionale. «Abbiamo un interesse condiviso a favore della trasparenza», afferma il responsabile dell’area legale De. E aggiunge che l’Nsa sta preparando un rapporto per rivelare il numero complessivo di richieste e account di utenti. Eppure continua a opporsi alla scomposizione dei numeri: potrebbe fornire ai nemici una road map per individuare e utilizzare i servizi meno controllati.
I funzionari dicono di non essere preoccupati dalla possibilità che le compagnie impieghino crittografie più robuste per proteggere gli utenti dagli intrusi, compresi quelli di Fort Meade. «Plaudiamo all’uso del criptaggio», insiste Neuberger. «Siamo favorevoli a un incremento della sicurezza». Ma fanno notare che se le tecniche finissero per complicare il lavoro dell’Nsa, l’agenzia potrebbe perdere indizi di vitale importanza. I funzionari non negano lo sfruttamento delle vulnerabilità del software da parte dell’agenzia, ma definiscono il loro comportamento generale come protettivo.

«SIAMO DEDITI ANIMA e corpo alla difesa», aggiunge Ledgett, citando un caso in cui l’Nsa ha scoperto nel software di un’azienda una grave vulnerabilità, che avrebbe potuto avere un impatto sugli utenti di tutto il mondo. «Ne abbiamo parlato tra di noi per qualche giorno, poi abbiamo deciso che era un elemento critico per il governo degli Stati Uniti e per l’America e che era opportuno rivelare [la vulnerabilità a quell’azienda]. Avremmo potuto approfittare della situazione a lungo su un’ampia gamma di target».
Nel corso della conversazione, i funzionari contenevano a fatica la frustrazione che provavano per il modo in cui il mondo – e i loro concittadini americani – li considerava dopo Snowden. Per le tavole rotonde sulla protezione delle informazioni dall’invasività del governo, come se vivessimo in una società di tipo sovietico. Per i numerosi specialisti della sicurezza ai vertici dei più importanti gruppi tech della nazione che considerano il governo americano il loro primo avversario.
Tuttavia non ritengono nessuno di questi punti un valido motivo per interrompere la raccolta d’informazioni. Parlano di tutta questa negatività che sta montando come di un clamoroso malinteso scatenato da una singola talpa e da una stampa ostile. I dipendenti dell’Nsa si ritengono impegnati a contrastare autentiche minacce di morte alla nazione, e perdono le staffe quando la gente insinua che le spie di Fort Meade vogliano violare la loro privacy. «È frustrante», riconosce Ledgett. «Mi piacerebbe andare in cima alla montagna e gridare a pieni polmoni: “Non siete un target!”».
Ma non si tratta di un malinteso. In larga parte è una conseguenza dell’inesorabile crescita della tecnologia digitale. In un certo senso, le compagnie tech sono più simili all’Nsa di quanto vorrebbero far credere. Sia l’una sia le altre hanno approfittato dei progressi tecnologici per perseguire le rispettive missioni (se ci pensate, lo slogan che riassumeva la mission originaria di Google “Raccogliere e organizzare le informazioni del mondo” potrebbe adattarsi bene anche all’attività di Fort Meade). Entrambe hanno cercato di adempiere a quelle missioni accumulando una quantità impressionante di informazioni personali, offrendo in cambio servizi che all’apparenza giustificano tale pratica. Google, Facebook e altri sostengono di potere utilizzare quelle informazioni per migliorare le vite dei loro utenti con benefici di gran lunga superiori al fastidio che può derivare dalla condivisione di quei dati. L’Nsa ritiene che sia necessario attingere a quelle informazioni per evitare un nuovo 11 settembre, o peggio. Entrambe hanno messo a punto procedure elaborate di autodisciplina per minimizzare gli abusi e dichiarano di attenersi rigidamente alle regolamentazioni esterne che limitano le loro attività. Quando commettono un errore, tutte, invariabilmente, promettono che faranno meglio almeno quando la cosa diventa di dominio pubblico. Naturalmente, la similitudine si ferma qui.
Per tutto l’autunno, i legislatori hanno presentato una serie di progetti di legge che chiedevano maggiore trasparenza e controllo, o addirittura mettevano del tutto fuori legge la raccolta in massa di dati. Le compagnie tech hanno esercitato pressioni sul Congresso per trasformare in legge almeno alcune di queste misure. Nello scorso dicembre hanno specificato le loro preferenze in una lettera aperta, poi hanno sostenuto con forza le loro tesi in un incontro con il presidente Obama. Il giorno seguente la Casa Bianca ha rilasciato un rapporto di 300 pagine preparato dal comitato di saggi che doveva rivedere le pratiche dell’Nsa. «Le libere nazioni devono proteggersi», affermava il rapporto, «e le nazioni che si proteggono devono restare libere». Le 46 raccomandazioni che conteneva richiamavano la necessità di contenere l’ampiezza delle attività dell’Nsa accogliendo le preoccupazioni in materia di privacy, aprendo maggiormente le operazioni dell’agenzia al controllo esterno, impegnandosi nella raccolta in massa di dati solo in caso di concreti timori per la sicurezza nazionale e astenendosi da alcune pratiche di hackeraggio.
Tuttavia i gruppi per le libertà civili sono rimasti delusi perché il comitato non si è espresso contro la raccolta in massa dei dati. Almeno un’indicazione – che i frutti di quella sorveglianza occhiuta siano conservati dalle compagnie invece che dal governo – farebbe venire il mal di testa all’industria tecnologica. Google, Facebook e aziende simili potrebbero essere viste come archivisti per conto delle spie?
Il presidente ha anticipato che avrebbe individuato in tempi rapidi le raccomandazioni da appoggiare. Ma senza troppe rinunce. «Come ha detto il presidente, il Fisa è uno strumento importante per sventare i complotti terroristici», ha scritto Caitlin Hayden, portavoce del Consiglio per la sicurezza nazionale Usa, in una dichiarazione a Wired. «Egli crede che ci siano passi che possiamo intraprendere per dare al popolo americano maggiore fiducia, che dovranno essere aggiunte delle tutele contro gli abusi, compresa l’attivazione di una supervisione più estesa, di una maggiore trasparenza e di ulteriori limitazioni all’utilizzo di questa autorità». Nicole Wong, vice technology officer dell’amministrazione Obama (ed ex legale di Twitter), sottolinea le buone intenzioni del governo: «Stiamo cercando di evitare che si ripetano attentati come quello di Boston».
Altri sono convinti che potremmo rimpiangere persino le più modeste restrizioni alle attività dell’Nsa. L’ex responsabile della ricerca di Microsoft, Nathan Myhrvold, di recente ha scritto un saggio che fa rizzare i capelli in testa. Considerata la minaccia di terroristi laureati in biologia che potrebbero sterminare una buona parte dell’umanità, le misure rigide di sorveglianza potrebbero non essere così male, sostiene. Per Myhrvold le società tech sono ipocrite: sostengono che l’Nsa dovrebbe smettere di sfruttare le informazioni in nome della sicurezza nazionale, mentre in realtà sono più che contente di fare la stessa cosa per i loro profitti. «Il costo è quello di una minore efficienza nella lotta al terrorismo, e questo costo significa sangue», afferma senza giri di parole.
Ma anche se si ritengono giustificati i programmi di spionaggio più o meno temperati, rimane aperto l’aspetto più inquietante delle rivelazioni di Snowden: l’immenso tesoro di informazioni raccolte dalle nostre attività digitali sarà sempre considerato come un foraggio potenziale per le agenzie di intelligence governative. Molte persone sono ormai assuefatte all’idea del Grande Fratello – le aziende private – che sa quello che acquistiamo, dove eravamo, che cosa stavamo dicendo e che cosa stavamo cercando. Adesso si scopre che il Grande Fratello può accedere anche ad altri dati. Non poteva andare diversamente. La miniera di dati che condividiamo sui nostri computer, telefonini e tablet è un’attrazione irresistibile per un governo determinato a prevenire il prossimo disastro, anche se lo sforzo spinge le leggi oltre le intenzioni di quelli che le hanno votate. E anche se questo fa degli Stati Uniti il nemico numero uno delle compagnie tech americane e dei loro sfiduciati utenti in cerca di privacy.
«Ero ingenuo», dice Ray Ozzie, che come inventore di Lotus Notes è stato uno dei primi difensori dell’industria del criptaggio forte. «Ho sempre creduto che gli americani fossero un po’ più puri. Cerano delle richieste, ed erano limitate. Ma poi è arrivata la presa di coscienza. Siamo esattamente come tutti gli altri».

STEVEN LEVY, senior writer di Wired Us, è il più autorevole giornalista tecnologico d’America. Nel 1978 ha ritrovato il cervello di Albert Einstein.

POSTIT
allo scandalo della sorveglianza invasiva dell’nsa, wired.it ha dedicato ben 51 articoli dal giugno 2013 a oggi. puoi trovare il dossier in wired.it/topic/datagate/

STEVEN LEVY