Bruce Schneier è uno dei massimi esperti mondiali di sicurezza informatica, particolarmente attento ai temi della privacy e della sorveglianza digitale da parte di aziende e governi. Il prossimo 2 marzo uscirà (in inglese) il suo nuovo libro, “Data and Goliath”, che ha un sottotitolo particolarmente significativo: “la battaglia nascosta per raccogliere i vostri dati e controllare il vostro mondo”. Noi di Agendadigitale.eu abbiamo conversato con Schneier via mail, per farci spiegare il suo punto di vista su questione estremamente delicate, solo in apparenza astratte, ma destinate invece ad avere un impatto non trascurabile sulla nostra qualità di vita futura. Ecco cosa ci ha raccontato.
Due anni dopo le rivelazioni di Snowden, l’ufficio del direttore dell’Intelligence Usa ha annunciato alcuni cambiamenti al modo in cui raccoglie le informazioni. Cosa ne pensa del report? Le modifiche introdotte sono sufficienti, secondo lei?
In realtà, non ci sono grandi cambiamenti, sia nella Direttiva di Policy Presidenziale (PPD) 28 che nelle riforme del Direttore dell’Intelligence Nazionale un anno dopo. Ricordo il commento perplesso di Ben Wittes lo scorso gennaio: “La PPD è un documento fin troppo brillante, uno che traduce e scrive sotto forma di policy un mucchio di valori senza obbligare a metterli in pratica”. Nessuno degli abusi legati alla sorveglianza di massa rivelati da Snowden sono stati affrontati in alcun modo.
Chi è più dannoso per la nostra privacy, le aziende o i governi? A volte tendiamo a pensare a quello dei dati raccolti dalle società come a un problema minore, dato che riteniamo vengano usati solo per scopi di marketing. È un atteggiamento corretto?
Le mie paure riguardano quella io definisco la partnership fra società pubbliche e private. Ne scrivo per esteso nel mio ultimo libro “Data and Goliath”. La maggior parte della sorveglianza governativa si appoggia su pre-esistenti funzionalità aziendali, e la raccolta di dati da parte delle aziende è a sua volta incoraggiata da varie leggi governative. I pilastri a supporto della raccolta sono differenti – quella da parte dei governi si basa sulla paura, e quella aziendale sulla comodità, ma entrambe sono usate a fini di controllo. La raccolta governativa è usata per far rispettare le leggi e per il controllo politico, questo varia a seconda dei paesi. E quella delle società è utilizzata per la manipolazione psicologica: quella che ha appena descritto come marketing.
Una cosa che lei ripete spesso è che lasciare delle backdoor nei software per motivi di sorveglianza può facilitare il lavoro dei cyber criminali. C’è qualche caso concreto in cui ciò sia accaduto, fino ad ora?
La storia più articolata arriva dalla Grecia. Nel 2005, una backdoor nel sistema telefonico, pensata per l’utilizzo da parte delle forze dell’ordine è stata sfruttata da criminali ancora ignoti. Qualcosa di simile è accaduto in Italia nel 2006. Nel 2010, degli hacker cinesi hanno sfruttato un sistema di intercettazione che Google aveva inserito in Gmail per rispettare le richieste di intelligence del governo Usa. E ancora più di recente, delle vulnerabilità di sicurezza in sistema di telefonia cellulare, adoperate dalle forze dell’ordine per tracciare i movimenti di alcuni individui, sono state usate da – beh, non sappiamo da chi – per fare lo stesso.
Come giudica, da questo punto di vista, il fatto che alcune società americane, come Apple, stanno aprendo il codice sorgente dei loro prodotti alle autorità cinesi in modo che sia concesso loro di operare su questi mercati?
Le aziende sono guidate prima di tutto dal profitto, la privacy è al secondo posto. Molto società danno a governi come quello cinese o americano il loro codice sorgente in cambio dell’accesso ai mercati. Naturalmente, questi governi posso usare il codice per trovare dei punti deboli da sfruttare.
Nel suo nuovo libro, lei suggerisce una nuova via, rispettosa sia della sicurezza che della privacy. Da quello che dicono molti politici, si tratta di una miscela impossibile. Può anticiparci qualcosa?
Quelli che dicono che la sicurezza si contrappone sempre alla privacy, non stanno facendo attenzione al mondo intorno a loro. Basta guardare i chiavistelli, le macchine blindate e le alte staccionate. Sono tutti sistemi di sicurezza e non hanno niente a che fare con la privacy. La privacy anzi è una componente fondamentale della sicurezza. Naturalmente, non tutta la sicurezza può andar d’accordo con la privacy. Ma in quei casi in cui abbiamo bisogno di ridurre la privacy, in nome della sicurezza, sappiamo già come farlo. Usiamo la trasparenza, il controlllo esterno, e l’assegnazione di precise responsabilità per assicurarci che coloro che hanno il potere di violare la nostra privacy non abusino di tale privilegio. Nessuna di queste idee è nuova, ci vuole soltanto la volontà politica di applicarle nel ciberspazio.
Pensa che sia possibile un cambiamento culturale, che porti le persone a usare maggiormente software e strumenti che tutelano la loro privacy, o resterà soltanto una preoccupazione di poche persone sensibili all’argomento?
La maggior parte delle persone prende delle precauzioni per proteggere la propria privacy. Un recente sondaggio internazionale ha mostrato come 700 milioni di persone nel mondo lo abbiano fatto alla luce delle attività della Nsa. Il problema è che poche di queste persone sanno cosa fare, a la maggior parte di quello che fanno non probabilmente nemmeno minimamente utile. Dobbiamo dare loro modo di proteggere la propria privacy sia sotto forma di leggi che limitino la raccolta di dati e la loro analisi, che di strumenti tecnici che gli permettano mantenere la loro riservatezza in maniera sicura.
