Come fa, la Russia di Putin, a monitorare e tenere sotto controllo l’uso della rete internet da parte dei suoi 110 milioni di cittadini? E’ il tema del libro “The Red Web”, dei giornalisti investigativi russi Andrey Soldatov e Irina Borogan, presentato a fine settembre al Parlamento europeo.
La rete di sorveglianza russa, spiegano Soldatov e Borogan, affonda le radici nel periodo sovietico e nello sviluppo del sistema di intercettazione e sorveglianza negli anni ’50, il SORM. Ancora oggi, i servizi russi di sorveglianza della rete occupano lo stesso edificio in cui venne imprigionato Solzhenitsin nel 1949. Anche il principio, per quanto aggiornato, è sempre lo stesso: l’accesso diretto da parte dello stato a tutti i servizi e le reti nel paese. Tale accesso è poi facilitato dalla seconda eredità sovietica, la familiarità tra il Cremlino e l’industria delle telecomunicazioni russa, che non oppone resistenza alla sorveglianza – se non quando si tratta di acquistare costose attrezzature.
Nei paesi occidentali, che seguano il sistema CALEA come negli Stati Uniti o quello ETSI come nell’UE, il principio è quello della “intercettazione legale”: le forze dell’ordine inviano una richiesta motivata, e ricevono in risposta i dati dai provider internet, che può eventualmente contestare il mandato di fronte ad un giudice. Non così in Russia, dove non c’è possibilità per il provider di opporsi: tutti gli operatori internet nel paese, infatti, per ottenere una licenza, devono permettere ai servizi di sicurezza e all’FSB di accedere direttamente ai contenuti in transito (social network inclusi) tramite una backdoor – come quella che sfruttava Hacking Team. In questa maniera, i provider non sono nemmeno al corrente di ciò che viene effettuato, da parte delle forze di polizia, sulle loro reti, nonostante i requisiti formali. “Si tratta di un sistema formidabile quando viene rivolto contro l’opposizione politica o gli attivisti per i diritti umani”, conferma il vicedirettore di Privacy International, Eric King. La differenza principale con i sistemi occidentali resta nell’impossibilità per i provider di sapere che un’intercettazione è in corso, e di opporvisi.
Dalla Russia, le tecnologie SORM si sono diffuse negli ultimi vent’anni in tutto lo spazio post-sovietico (Ucraina, Kazakistan, Uzbekistan, Kirghizistan – e dal 2010 anche la Bielorussia), complici i costi contenuti e la familiarità dei nuovi regimi con il sistema e la normativa sovietica. In taluni casi, il SORM ha continuato ad esistere per la telefonia fissa, mentre le nuove reti di telefonia mobile sono state sottoposte a sistemi ETSI in accordo con le normative europee – come è stato il caso, da poco venuto alla luce, della Macedonia, in cui l’intercettazione di massa è stata usata come strumento di pressione politica su giornalisti e oppositori politici.
Il sistema SORM tuttavia, così come era quello sovietico, è totalitario ma non efficiente: si basa sull’intimidazione dei possibili bersagli, più che sulla effettiva identificazione di tutte le possibili minacce. A differenza delle grandi capacità della STASI, nel 1989 il KGB era in grado di ascoltare solo 300 linee a Mosca, ma i cittadini sovietici lo ritenevano molto più potente. Il Cremlino, d’altronde, si guarda bene dallo smentire le insinuazioni sui propri programmi di sorveglianza: alla vigilia delle olimpiadi invernali di Sochi, la risposta ufficiale, e intimidatoria, era stata piuttosto “è vero, ma lo facciamo per la vostra sicurezza”. Allo stesso tempo, il pur pesante e intrusivo controllo governativo sulle reti sociali di riferimento come V-Kontakte non ha impedito ai soldati russi di identificarsi e geolocalizzarsi in Ucraina nei propri selfie. “Il fallimento nel controllare i contenuti generati dagli utenti online dimostra come Putin e i suoi continuino a pensare alla rete internet alla stessa maniera dei media tradizionali, come una rete televisiva”, conclude Soldatov.
La finora limitata capacità d’azione delle autorità russe potrebbe tuttavia cambiare quest’anno, se il sistema SORM venisse effettivamente combinato – come previsto dalla nuova legislazione russa – con le più avanzate tecnologie occidentali DPI (Deep Packet Inspection), in grado di identificare i sospetti in base a ciò che essi dicono o condividono online – come sperimentato a Sochi nel 2014. Un sistema, quest’ultimo, già da tempo utilizzato in Occidente (come da parte del programma britannico “Tempora” di intercettazione dei contenuti dei cavi internet sottomarini, o del programma americano “Upstream”) e le cui uniche limitazioni sono di fatto la disponibilità di risorse e capacità per immagazzinare e trattare enormi quantità di dati.
Le società di sicurezza elettronica europee ed israeliane, inoltre, hanno cercato di espandere il proprio mercato ai paesi post-sovietici e dell’Asia Centrale, fornendo governi non democratici con i mezzi tecnici per procedere al monitoraggio di massa dei propri cittadini. Anche le stesse compagnie telefoniche europee, quando vogliono operare in tali mercati, devono sottomettersi al sistema e fornire accesso diretto ai dati da parte delle agenzie di sicurezza, come conferma Eric King.
Il processo di revisione delle leggi sull’intelligence, in corso in diversi stati UE (Regno Unito, Germania, Paesi Bassi, Belgio, Finlandia, Svizzera), potrebbe fornire l’opportunità per introdurre garanzie per i cittadini europei – attraverso ad esempio la necessità di una proporzionalità nella raccolta dei dati, come richiesto dalla Corte Europea per i Diritti Umani – e per i cittadini degli stessi paesi post-sovietici, anche attraverso forti controlli alle esportazioni dei sistemi di sorveglianza, conclude King.
Foto: Dennis Jarvis, Flickr