Una volta chiusa l’emergenza della pandemia vi è un’eredità con cui dobbiamo fare i conti, l’infrastruttura del GAEN costruita da Google e Apple nel 2020 per permettere alle applicazioni di tracciamento di funzionare quando ancora non c’erano i vaccini, assicurando così il distanziamento sociale quando questo poteva costarci la vita.
Questa infrastruttura, che faceva sì che le app di contact tracing potessero funzionare in sicurezza rispettando la privacy e che di fatto ha eccezionalmente consentito agli Stati di monitorare in maniera massiva tutti i nostri contatti durante la pandemia, è in mano di privati (Google e Apple) che si trovano così a gestire un potere enorme perché da questa dipende la possibilità stessa di avviare sistemi di sorveglianza di massa.
In gioco vi sono dunque questioni variamente intrecciate tra loro, come i diritti dei cittadini europei come privacy e libertà, la sovranità digitale dell’Europa (che non detiene un’infrastruttura chiave per la sicurezza di tutti i paesi europei), lo stesso funzionamento dei processi democratici perché il controllo dei dati può determinare il controllo delle decisioni democratiche di un paese. Tutti aspetti questi che ora sono nelle mani di privati. Se durante l’emergenza non si è avuto il tempo per discutere a fondo sulle conseguenze di talune scelte, perché pressoché obbligati dall’emergenza, oggi è giunto il momento di riflettere sui rischi di una decisione che durante la pandemia poteva sembrarci inevitabile ieri e che oggi ci appare invece improvvisamente allarmante.
App di contact tracing: un’eredità difficile da gestire
Ormai per molti, nonostante di fatto non se ne sia mai andato via, il covid rappresenta un ricordo lontano, fatto di lock-down, mascherine, detergenti per le mani, green pass e star della medicina (in primis virologi) costantemente in tv ad avanzare interpretazioni contrastanti su dati solo apparentemente asettici. Galli, Bossetti, Viola, Crisanti, nomi assurti a creature mitologiche di un passato remoto, ormai archiviato. In realtà, una volta terminata l’epidemia al di là della scia di milioni di morti e gli enormi danni economici con cui siamo stati costretti a fare i conti, il covid ci ha lasciato un’eredità su cui non si è avviata una adeguata riflessione: il sistema di infrastrutture (come la piattaforma GAEN, ovvero il Google/Apple Exposure Notification System)[1] costruite durante la pandemia per supportare il funzionamento delle app di contact tracing necessarie per combattere il virus attraverso il distanziamento sociale prima che i vaccini ci indicassero finalmente la via d’uscita dall’incubo pandemico (Lyon 2022, 2).
Una questione di “preparatezza” per le prossime pandemie future
Dopo la fine dell’emergenza COVID, quelle app sono state abbandonate, ma le infrastrutture, la piattaforma realizzata da Apple e Google affinché tutti i telefonini potessero supportare le applicazioni di contact tracing come la nostra Immuni, la HaMagen in Israele, la StoppCorona in Austria, la Swiss Contact Tracing app in Svizzera, la Corona App in Germania, la StopCovid in Francia, la NHS Covid-19 app in Gran Bretagna (Ruggiu 2022), sono rimaste a testimonianza della nostra “preparatezza” per le prossime pandemie future.
Un enorme potere in mano ai privati
Il problema è che le chiavi che permettono questa sorveglianza sanitaria di massa (Lyon 2022) non sono in mani pubbliche ma in mani private, di coloro che ci vendono i telefonini, per l’appunto, Google e Apple. Il che dà loro un potere enorme perché di fatto possono decidere quando, come e a favore di chi avviare questa sorveglianza globale e per quali fini (anche se, si spera, solo per ragioni sanitarie).
Il tema è stato recentemente sollevato da van Niels Dijk e Kjeti Rommetveit, rispettivamente della Vrije Universiteit Brussel e della University of Bergen, alla EASST-4S 2024 Amsterdam: Making and Doing Transformations, proprio questo luglio ad Amsterdam con un intervento che ha il sapore però di un allarme tardivo (van Dijk, Rommetveit 2024). Forse irrecuperabile.
Il Google/Apple Exposure Notification System e le app di contact tracing
La piattaforma GAEN sviluppata, tra aprile e maggio 2020, costituisce un complesso sistema di framework e protocolli che Google e Apple hanno sviluppato per consentire alle app di contact tracing di funzionare sui nostri telefonini in modo da assicurare gli stringenti requisiti di protezione dei dati che qui in Europa, ad esempio, abbiamo, almeno dopo l’adozione del Regolamento Generale Protezione Dati (2016/679) (o GDPR, in inglese). La notifica di esposizione è un protocollo decentralizzato di reporting basato su una combinazione di tecnologia Bluetooth Low Energy e crittografia che preserva la privacy impedendo di identificarci. Si tratta di una funzionalità di attivazione all’interno delle applicazioni di tracciamento contro il covid sviluppate dalle autorità sanitarie di tutti i paesi durante il periodo dell’emergenza.
Il protocollo sviluppato da Apple e Google, a differenza di altri protocolli come il Decentralized Privacy-Preserving Proximity Tracing (DP-3T) creato dal consorzio europeo DP-3T o il protocollo Temporary Contact Number (TCN) di Covid Watch (Trocoso et al 2020), è implementato a livello di sistema operativo IOS e Android, il che consente un funzionare in maniera più efficiente come processo in background[2], ma che di fatto dà a Google e Apple l’interruttore per accendere il sistema di sorveglianza di massa necessario da parte dell’autorità sanitarie di tutto il mondo. Insomma è l’architettura stessa dei nostri telefonini che incorpora quest’interruttore di portata globale. Anche perché l’approccio congiunto di Google e Apple è stato sviluppato in modo da assicurare l’interoperabilità tra i dispositivi Android e iOS, venendo così a coprire la quasi totalità del mercato. Tutti i telefonini hanno la possibilità di accendere un sistema di monitoraggio di default.
Sulla base di questa infrastruttura è stato poi possibile sviluppare le più svariate applicazioni di tracciamento.
La privacy nelle app di contact tracing
Queste potevano basarsi o su sistemi di geolocalizzazione (come in Cina la Chinese Halth System, in Iran la Mask.ir, in Bulgaria la VirusSafe, in Islanda la Rakning-19), efficaci ma tutt’altro che rispettose della privacy, oppure su sistemi Bluetooth in grado di rispettare gli stringenti limiti della privacy imposti in Europa dal GDPR come nel caso della nostra, contestata, ma ottima, Immuni (Akinbi et al. 2021) Per capire meglio le differenze, mentre i sistemi di geolocalizzazione si servono del gps e anche della rete cellulare per identificare i contatti che una persona ha con un margine di errore non irrilevante (possono sbagliare di circa 5 metri e poi funzionano male al chiuso), e con notevoli limiti per quanto riguarda la privacy in quanto raccolgono una notevole quantità di informazioni personali (dove siamo stati, dove abitiamo, dove lavoriamo, i nostri interessi etc.), le applicazioni che si basano sulla tecnologia Bluetooth sfruttano l’internet delle cose (IoT), cioè la capacità degli oggetti di comunicare tra loro, per tenere traccia dei contatti inviando, in sicurezza, una notifica di allarme nel caso ci si fosse imbattuti in una persona positiva che fa uso della medesima applicazione.
Questo ha il vantaggio che può assicurare alti standard di protezione della privacy perché l’informazione riguarda solo l’identificativo del cellulare (e non altre informazioni del suo proprietario) e la vicinanza rispetto all’altro dispositivo. Inoltre è possibile, grazie all’utilizzo di un sistema decentrato di tracciamento, far sì che le informazioni di contatto (con il soggetto che sia risultato positivo al covid) restino solo tra i due dispositivi che si trovano nelle vicinanze, evitando così che siano gestite da una centrale che possa in qualche modo conoscere l’identità dei soggetti coinvolti, registrarli e eventualmente divulgare queste informazioni, il che espone i suoi database ad alti rischi di essere “violati” (forati) dagli hacker (Lyon 2022, 39 ss.).
In altri termini, nei sistemi decentrati, come era la nostra Immuni, questa informazione è conosciuta solo dai due telefonini che sono entrati in contatto e da nessun altro, anche perché l’informazione viene poi schermata da tutta una serie di informazioni false (cd. ephemeral ID) che servono a sviare i malintenzionati rendendo pressoché impossibile che il segnale possa essere in qualche modo hackerato. L’informazione resta così solo tra chi è risultato positivo e chi vi è entrato in contatto, che può così decidere se fare o meno un test. Non si mappano invece tutti gli spostamenti della persona che permettono ai sistemi di geolocalizzazione di ricostruire tutta la sua vita. Il sistema sa che c’è stato un contatto ma non chi è coinvolto mettendo in salvo la privacy dei soggetti coinvolti. Cosa che, tra l’altro, una gestione centralizzata delle informazioni di contatto non avrebbe permesso, venendo l’informazione gestita da una centrale operativa che viene ad esporsi così a tutta una serie di vulnerabilità (l’informazione può essere hackerata, lo Stato potrebbe decidere di profilare la popolazione discriminando coloro che sono positivi etc.).
Misure di protezione by design
In altri termini mentre nelle app basate sulla geolocalizzazione si tracciano tutti gli spostamenti di una persona facendo una radiografia della sua vita (come fa Google maps), le app basate sui sistemi Bluetooth decentrati tengono traccia solo dell’avvenuto contatto (ma non di con chi si è entrato in contatto) mandando un allarme agli interessati e alla centrale, mentre la loro identità resta ignota. Questa soluzione di protezione della privacy era stata possibile perché si era potuto integrare le misure di protezione dei dati nel sistema, “by design”, come si dice, ovvero nella fase di progettazione delle applicazioni di contact tracing, come ci imponeva il GDPR e questo era stato possibile proprio grazie a quell’architettura digitale dei nostri telefonini (il GEAN) costruita da Google e Apple per rispondere in maniera sicura all’emergenza pandemica. In questo senso, il GEAN aveva reso possibile costruire un sofisticato sistema di protezione della privacy all’interno di un gigantesco sistema di sorveglianza che non aveva precedenti. Il covid ci aveva costretto ad istituire un meccanismo di sorveglianza di massa ma noi lo avevamo realizzato (al contrario di altri paesi come la Cina) rispettando la privacy e non scendendo a compromessi con i nostri regimi democratici. Prova passata. Tutto bene? Non proprio.
Non solo una questione di sovranità digitale, ma di diritti e democrazia
Perché nella fretta di combattere la nostra lotta senza quartiere al virus, non abbiamo avuto il tempo di riflettere attentamente su quello che stavamo facendo e sulla portata dell’aiuto che Google e Apple ci stavano dando. Abbiamo affrontato brillantemente tutte le questioni (oltremodo complesse) riguardanti la privacy, ma ci siamo dimenticati di affrontare il tema di fondo dell’infrastruttura che doveva permettere di proteggere la privacy “by design”. Allora non c’era tempo per farlo. Un tema fondamentale che non avevamo pressoché discusso.
Tutte le questioni irrisolte
Irrisolta c’era tutta una serie di questioni delicatissime come quella della sovranità digitale dei paesi europei e della stessa Unione europea (che ora non controllano un’infrastruttura cruciale da cui dipende la privacy di milioni di cittadini europei), quella della tutela dei diritti fondamentali dei nostri cittadini (privacy, diritto alla salute, libertà), il rispetto dello Stato di diritto (la questione dei controlli che il sistema prevede su chi può prendere scelte determinanti per le libertà di tutti), i rapporti pubblico-privato (l’alleanza tra attori pubblici, Stati e organizzazioni internazionali, e attori privati) dove alcuni attori, Google e Apple, si trovano ora a detenere un potere enorme controllando di fatto tutti (o quasi) i cellulari a livello mondiale e avendo di default la possibilità di consentire di avviare un sistema di tracciamento della popolazione. Improvvisamente ci scopriamo vulnerabili.
Perché serve una riflessione pubblica
Quando abbiamo accettato l’aiuto di Google e Apple abbiamo forse anche svenduto le nostre libertà? Il dubbio. Chi di fatto aziona il sistema che attiva la sorveglianza di massa in Europa? L’Unione europea? Gli Stati europei? O qualche multinazionale con sede a Mountain View o Cupertino in California, società che, ad esempio, un giorno potrebbero agire perché costrette per una ragione qualsiasi da un’agenzia di intelligence straniera (ad esempio americana)? È possibile attivare questa sorveglianza di massa solo per ragioni sanitarie o per anche qualunque altra ragione? Insomma molte questioni aperte, la maggioranza delle quali saranno pure infondate, e frutto di un eccesso di scrupolo, ma su cui è arrivato il momento di avviare una riflessione pubblica. O come dicono Niels Dijk e Kjeti Rommetveit, al momento della “privacy by design” (ciò che loro chiamano “techno-regulation”) deve ora seguire (in ritardo, a dire il vero) un momento di “participation by design”, di discussione pubblica sul design dell’infrastruttura che sorregge tutte le applicazioni di contact tracing (“reflection”).
Le app di tracciamento dei contatti erano state create per dare ai paesi il tempo necessario per sviluppare i vaccini contro il covid-19 e hanno svolto un ruolo cruciale nella lotta contro il virus mantenendo il distanziamento sociale quando un vaccino ancora non era pronto[3]. Poi sono arrivati i vari vaccini Pfizer, Moderna, Astrazeneca, (e di contro i No-vax), e le app di contact tracing che ci hanno salvato durante una delle fasi più acute e drammatiche dell’emergenza sanitaria sono finite in pensione. Ma le infrastrutture sono rimaste nei nostri telefonini, dormienti, non si sa mai che accada di nuovo di dover affrontare un’altra emergenza, una pandemia che virologi, tra l’atro, danno per certa, considerato il sovraffollamento mondiale, gli intensi scambi e gli ininterrotti flussi di animali e persone che si registrano a livello globale e le maglie lasche dei cordoni sanitari che facilmente si possono determinare in qualunque parte del mondo, con inevitabili ripercussioni, poi, a livello mondiale. Come si è visto con il covid nato (a seconda delle tesi) da un mercato o da un super-centro di ricerca nel campo della virologia con sede a Wuhan (Nesi 2024).
Allora non c’era tempo per discutere e valutare attentamente l’impatto di decisioni che hanno consentito di salvare la vita di milioni di persone. Ma una volta diradata la nebbia che in situazioni di emergenza a volte limita la lucidità del decisore politico (ricordate la fila dei camion militari con le bare dei morti da covid che uscivano da Bergamo?), alcune riflessioni possono ora essere fatte in maniera più serena. E non ci lasciano tranquilli.
Perché queste infrastrutture ormai accompagnano di default tutti i nostri telefonini e la decisione o meno di tracciarci nella nostra vita quotidiana, non dipende più nemmeno (solo) dagli Stati, né dall’Unione europea, né ancora dalle autorità sanitarie nazionali e mondiali (l’Oms), ma da due multinazionali che controllano tutta l’infrastruttura. Soggetti che lavorano (giustamente) per i loro interessi privati ma che si trovano a gestire un elemento che riguarda di fatto tutti (e che per questa ragione avrebbe forse dovuto essere pubblico) senza che, tra l’altro, sia previsto alcun controllo pubblico da parte di una ben specifica istituzione o un ente ben determinato. Perché se è vero che gli Stati se vogliono avviare per qualunque ragione (che potrebbe anche non essere necessariamente sanitaria)[4] un sistema di monitoraggio di massa devono poi rivolgersi a Google e Apple, queste potrebbero, in astratto, attivarsi anche per altre ragioni e persino per conto di soggetti che non necessariamente corrispondono agli Stati o almeno non a quelli europei. Come è anche successo in passato. Il controllo di questa infrastruttura risulta quindi cruciale e viene ad interessare aspetti che riguardano la sovranità digitale dell’Europa (chi controlla le infrastrutture digitali del vecchio continente?), ma anche lo Stato di diritto che si basa appunto sull’equilibrio dei poteri presupponendo che non vi sia un potere, nemmeno quello economico, o quello tecnologico, sottratto agli altri.
Essendo una misura eccezionale, la sorveglianza di massa richiede garanzie eccezionali affinché non sia usata per finalità che contrastino con lo Stato di diritto. In questo senso, Brownsword (2020), proprio in piena pandemia, ha a suo tempo invitato a ripensare la nostra stessa idea di Stato di diritto nell’era tecnologica in quanto lo strapotere del potere tecnologico deve in qualche modo essere bilanciato con gli altri tradizionali poteri (esecutivo, legislativo e giudiziario) ed essere sottoposto ad una qualche forma di controllo appunto per evitare che questo possa bypassare gli altri tre sovrastandoli.
Mai sottovalutare lo strapotere tecnologico
L’esperienza recente ci invita a non sottovalutare lo strapotere tecnologico nel campo del digitale può avere sulle nostre libertà e sul modo in cui le decisioni vengono prese nelle nostre democrazie. Il caso di Edward Snowden[5] ci ricorda in fondo che già in passato i cittadini, non solo europei e degli Stati Uniti, sono stati oggetto di un capillare sistema di sorveglianza anche se per combattere il terrorismo. Inoltre il controllo dei dati non rappresenta mai solo una questione che si esaurisce nel campo ristretto della privacy, come se in gioco fosse solo il fatto che qualcuno possa impicciarsi della nostra vita privata. Come il caso Cambridge Analytica[6] ci ha mostrato, ma tracciare le persone può avere un impatto sulle nostre libertà e a volte sul funzionamento stesso dei meccanismi democratici.
“Sorveglianza pandemica” e casi di fallimenti sistemici nel campo della sorveglianza
La pandemia rappresenta un caso se vogliamo tutto sommato positivo di sorveglianza sanitaria. Durante l’emergenza da covid19 quando un virus sconosciuto attraversava il mondo mietendo milioni di vittime c’è stata una netta limitazione dei nostri diritti fondamentali: la nostra possibilità di circolare liberamente, di incontrare persone, di decidere liberamente su aspetti cruciali relative alla nostra salute, di proteggere la nostra vita privata sono stati fortemente limitati per un periodo di tempo non breve, ancorché (fortunatamente) limitato. Tuttavia la risposta che ha chiamato in causa tanto paesi non-democratici come la Cina o la Russia, quanto le nostre democrazie, ha visto risultati ben diversi dove tutto sommato le democrazie non solo sono riuscite a preservare lo Stato di diritto (che dà, non a caso, la possibilità in caso di emergenza di sospendere le regole o limitare i diritti fondamentali), ma hanno anche consentito di farci uscire tutti dall’emergenze pandemica.
Perché se è un fatto che i regimi di sorveglianza attuati in Cina non sono riusciti a limitare la circolazione del virus (con continue ondate restrittive che si sono alternate in maniera schizofrenica man mano che le nuove varianti prendevano piede), mentre dall’altra i vaccini sviluppati in Cina e Russia si sono dimostrati tutt’altro che efficaci, i sistemi di sorveglianza attuati nella maggioranza dei paesi democratici hanno consentito di salvaguardare il più possibile la privacy delle persone raggiungendo un equilibrio accettabile tra tracciamento, distanziamento sociale e tutela dei dati personali, mentre sono stati i vaccini di Pfizer e Moderna sostanzialmente a consentirci di chiudere l’emergenza e a farci uscire da una delle crisi più drammatiche degli ultimi anni.
Il covid-19 per certi versi è stato un formidabile motore di innovazione, perché ci ha spinto a sviluppare ulteriormente tanto le tecnologie digitali di cui avevamo bisogno, anche per supportare il sistema di “sorveglianza pandemica” necessario ad uscire dalla pandemia (Lyon 2021, 244) e a realizzare i vaccini di ultima generazione (i vaccini a RNA messaggero di Pfizer e Moderna) che fino allora erano solo in fase di studio (Ruggiu 2021).
In particolare, la pandemia ci ha costretto a mettere in piedi un eccezionale sistema di sorveglianza epidemiologica che da una parte ha limitato fortemente sì alcuni diritti fondamentali (in primis, libertà di circolazione, diritto alla salute) ma in un quadro, come si è visto, di sostanziale protezione della privacy. Non è avvenuta la temuta profilazione di massa per ragioni sanitarie. Non siamo stati schedati. E questo, come abbiamo visto, proprio grazie al contributo di due multinazionali private come Google e Apple che hanno creato l’infrastruttura che ha consentito alle applicazioni di contact tracing che utilizzavano il sistema Bluetooth di funzionare. Senza saremmo andati incontro allo scenario cinese fatto di controlli capillari da parte delle autorità volte contenere il più possibile il virus cancellando totalmente le nostre libertà. Non limitandoli e basta.
Il regime di “sorveglianza pandemica” e altri regimi
Il regime di “sorveglianza pandemica” quindi, per quanto senza precedenti era nel solco della nostra tradizione democratica perché rispettava sostanzialmente i diritti fondamentali dei cittadini europei e lo Stato di diritto, che si è trovato compresso, sospeso, ma mai cancellato del tutto.
Va detto però che in un passato non proprio lontano abbiamo conosciuto regimi di sorveglianza che ancorché volti ad affrontare un’emergenza (il terrorismo) non hanno avuto scrupoli a violare i diritti fondamentali e lo Stato di diritto e che per questo hanno portato a diverse condanne tanto delle corti nazionali, quanto delle corti internazionali.
Il vaso scoperchiato da Edward Snowden
Vi ricordate di Edward Snowden? Edward Snowden[7] era un ex-agente della CIA che il 13 giugno 2013 rivelò a un giornalista del Guardian che dopo l’attentato alle Torri gemelle dell’11 settembre 2001, il Presidente degli Stati Uniti d’America Gearge W. Bush in forza del Patriot Act (del 24 ottobre 2001) aveva avviato un programma di sorveglianza di massa dentro e fuori gli Stati Uniti che non aveva precedenti (Lyon 2014). Questo programma, poi confermato dall’amministrazione Obama, consentiva la National Security Agency (NSA) di richiedere l’accesso ai database dei maggiori provider telefonici e internet provider monitorando le comunicazioni di milioni di cittadini americani e non, nonché, sottoponendo ad intercettazione le comunicazioni di diversi leader di paesi alleati (tra cui l’allora Consigliere della Germania, Angela Merkel), le sedi istituzionali delle maggiori organizzazioni internazionali (UE, ONU) e le ambasciate di 38 paesi, non tutti ostili agli Stati Uniti. In forza di queste informazioni milioni di individui nel mondo sono stati profilati e sulla base di questi profili si sono avute diverse violazioni dei diritti negli Usa e in Europa perché in base a come si era stati classificati si poteva verificare il mancato rinnovo della patente, il mancato acquisto di un biglietto aereo, il divieto di entrata in un paese, l’espulsione, l’arresto e la detenzione arbitrari, sino alla tortura. Programmi analoghi furono messi in atto anche da servizi segreti di altri paesi come Canada e Gran Bretagna.
Il caso Abu Omar
Sulla base di queste politiche di profilazione di massa gli Stati Uniti e i suoi alleati hanno infatti avviato la pratica illegale dei rapimenti mirati di sospetti terroristi (cd. “extraordinary rendition”) da interrogare all’estero in paesi dove si poteva praticare la tortura. Il caso più noto in Italia è il caso Abu Omar (Hassan Mustafa Osama Nasr il suo vero nome), imam della moschea di Viale Jenner, rapito a Milano il 17 febbraio 2003 da un gruppo di agenti della Cia aiutati dal SISMI guidato allora da Nicolò Pollari, portato nella base militare di Aviano (a Vicenza) e poi in quella di Ramstein in Germania per essere infine trasferito nelle carceri egiziane dove fu interrogato e torturato sino al suo rilascio. I 23 agenti coinvolti compresi gli agenti della Cia furono condannati in Italia e il nostro paese fu condannato dalla Corte europea dei diritti dell’uomo (App. no. 44883/09 del 23 febbraio 2016). Altro caso famoso di errore sulla base del database costruito dalla NSA sulla scorta del Patriot Act è quello di Khalid El Masri cittadino tedesco-libanese rapito dalla polizia macedone per ordine della Cia e poi torturato in Afghanistan che portò alla condanna della Macedonia da parte della Corte di Strasburgo del 13 ottobre 2012 (App. no. 39630/09) e alle scuse ufficiali della Cia. Si erano sbagliati.
In quali limit potrebbe attivarsi una nuova sorveglianza di massa?
Ora tenuto conto che il sistema di sorveglianza avviato durante la pandemia è avvenuto sostanzialmente nel rispetto dello Stato di diritto e dei nostri diritti fondamentali, non si può non notare come l’architettura del GEAN crei di fatto la possibilità di avviare un sistema di sorveglianza di massa legale nel caso in futuro si presenti nuovamente un’emergenza. Siamo sicuri che questa possibilità sia limitata al campo sanitario? Che ci siano dei limiti ben precisi in cui possa attivarsi?
Come i sistemi di monitoraggio creati nel privato per fini commerciali possano avere conseguenze importanti dal punto di vista pubblico ce lo spiega bene il caso Cambridge Analytica[8]. Nel 2018 Christopher Wylie and Britney Kaiser rivelarono che una società inglese per cui avevano lavorato, la Cambridge Analytica costituita nel 2013 sulle ceneri di un’altra società, la Strategic Communication Laboratories che forniva consulenze all’esercito per realizzare forme di guerra ibrida, ad esempio, in Iraq (si applicavano le tecniche di microtargeting proprie del marketing per dissuadere sospetti aspiranti terroristi dal radicalizzarsi e combattere)[9], aveva profilato, senza autorizzazione, tramite Facebook, 87 milioni di persone nel mondo al fine di avviare delle campagne politiche iperindividualizzate in modo da influenzare, con la complicità della stessa Facebook (che sapeva ma non intervenne), il referendum della Brexit e le elezioni americane del 2016 che portarono all’elezione di Donald Trump (Cadwalladr, Graham-Harrison 2018). Si tratta di sistemi di monitoraggio di massa del tutto analoghi ai sistemi di sorveglianza pubblica istituiti dalle agenzie di intelligence che non a caso si servono delle tecnologie e delle conoscenze del settore privato, che possono (a volte) impattare sulle nostre libertà politiche e sul funzionamento stesso dei sistemi democratici. Si tratta di falle eccezionali, che accadono eccezionalmente, ma che danno un’idea del potenziale impatto del controllo dei dati sulle nostre libertà. In questo senso, l’esistenza stessa di un’architettura digitale che consente la sorveglianza globale potrebbe lasciare più di qualche interrogativo[10].
Conclusioni
Il fatto che il controllo di un’infrastruttura fondamentale come il GEAN da cui dipende la possibilità stessa di mettere milioni di persone sotto sorveglianza sia in mani di due giganti del digitale senza che questo sia stato adeguatamente discusso lascia sinceramente sorpresi. Come osservato, “[t]utto ciò rimanda a rilevanti quesiti sul tipo di potere che esercitano i colossi del web” (Ferrarese 2022). La pandemia è ampiamente alle spalle. Siamo tornati a vivere. Altri problemi sono all’orizzonte o fanno già parte del nostro presente (vedi Ucraina, Palestina, Cina, Russia, un ordine mondiale in definizione o regressione). Adesso possiamo finalmente avviare una riflessione seria sull’eredità che ci ha lasciato la pandemia: un’architettura digitale che coinvolge pressoché ogni dispositivo sul pianeta. E con questo ognuno di noi. Da una parte, c’è da comprendere la reale portata della questione in modo da ripulire il campo dalle preoccupazioni meno fondate e dalle ipotesi più suggestive. Dall’altra, c’è da verificare se esistano delle contromisure concrete che possano annullare i rischi che sembrano profilarsi sullo sfondo. Dobbiamo immaginare delle agenzie indipendenti che vengano a vegliare sull’uso che gli Stati, l’Unione europea e gli attori di mercato possono fare di questa infrastruttura? Dobbiamo valutare, ammesso che sia ora possibile, di attribuire il controllo di questa infrastruttura al pubblico? A chi? In quale modo, poi, questo potrebbe essere tecnicamente possibile? Se nel 2020 non abbiamo preso la decisione giusta, è possibile schiacciare il tasto rewind e risistemare tutto? Una serie di questioni aperte che potrebbero aiutarci ricostruire un rapporto di fiducia con le istituzioni e col privato che risulta oggi fortemente appannato.
* Questo lavoro è stato realizzato nell’ambito del “European Health Data Space and the Construction of the European Health Union” finanziato dall’Università degli Studi di Padova (2024SPGI1SIDPROGETTI-00044).
Bibliografia
Akinbi A., Forshaw M., Blinkhorn V., (2021). “Contact tracing apps for the COVID-19 pandemic: a systematic literature review of challenges and future directions for neo-liberal societies.” Health Information Science and Systems 9(1) https://www.ncbi.nlm.nih.gov/pmc/articles/PMC8042619/
Brownsword, R. (2020). “Law Technology and Society: In a State of Delicate Tension.” Notizie di Politeia, 36(137), 26-58.
Cadwalladr C., Graham-Harrison E. (17.03.2018) “Revealed: 50 million Facebook profiles harvested for Cambridge Analytica in major data breach.” The Guardian, https://www.theguardian.com/news/2018/mar/17/cambridge-analytica-facebook-influence-us-election
Ferrarese M.R., 2022, Poteri nuovi. Privati, penetranti, opachi. Il Mulino, Bologna.
Lyon D., 2014. “Surveillance, Snowden, and Big Data: Capacities, consequences, critique.” Big Data & Society, pp. 1-14.
Lyon D., 2021. Trust and Transparency in an Age of Surveillance. Routledge
Lyon D., 2022, Pandemic Surveillance. Polity press
Nesi C., 3.06.2024. “Damning new report finds China lab leak most likely source of COVID-19 —and blames US for pumping millions into the dangerous research.” New York Post
Ruggiu D., 2021. “Verso il vaccino: il contributo della tecnologia blockchain”, in AA.VV., Dentro l’emergenza: una lettura multidisciplinare. Padova University Press, Padova, pp. 172-176.
Ruggiu D., 2022. “App di contact tracing e principio di privacy by design”. In Le conseguenze della pandemia da covid-19. Una riflessione multi-disciplinare del Dipartimento di Scienze Politiche, Giuridiche e Studi Internazional, a cura di E. Pariotti, A. Varsori. Padova University Press, Padova, pp. 139-154.
Troncoso C., Payer M., Hubaux J.-P., Marcel Salathé, Larus J., Bugnion E., Lueks W., Stadler T., Pyrgelis A., Antonioli D., Barman L., Chatel S., Paterson K., Čapkun S., Basin D., Beutel J., Jackson D., Roeschlin M., Leu P., Preneel B., Smart N., Abidin A., Gürses S., Veale M., Cremers C., Backes M., Tippenhauer N.O., Binns R., Cattuto C., Barrat A., Fiore D., Barbosa M., Oliveira R., Pereira J., (2020). “Decentralized Privacy-Preserving Proximity Tracing.” arXiv, https://arxiv.org/abs/2005.12273
van Dijk Niels, Rommetveit Kjeti, 2024. Conference paper – “Privacy designs, infrastructural sovereignty and digital pandemic response-ability.” Paper presented at the EASST-4S 2024 Amsterdam: Making and Doing Transformations, Amsterdam, on 16 July 2024, https://nomadit.co.uk/conference/easst-4s2024/paper/83496
Weinberger S., 19.09.2005. “You Can’t Handle the Truth. Psy-Ops Propaganda Goes Mainstream.” Slate Magazine, https://slate.com/news-and-politics/2005/09/psy-ops-propaganda-goes-mainstream.html
[1] Cfr. https://www.google.com/covid19/exposurenotifications/ e https://developer.apple.com/exposure-notification/
[2] Cfr. https://www.wehealth.org/gaen
[3] Per una lettura critica delle app di contact tracing si veda invece Lyon 2022.
[4] Una esplicita policy di Google e Apple richiede espressamente che la tecnologia possa essere usata solo su richiesta delle autorità sanitarie. Cfr. https://www.wehealth.org/gaen
[5] Vedi il paragrafo successivo.
[6] Vedi il paragrafo successivo.
[7] Edward Snowden in seguito alle rivelazioni e all’incriminazione che ne è derivata si è rifugiato in Russia dove ha ottenuto la cittadinanza e rischia 34 anni di carcere negli Stati Uniti (se mai dovesse essere arrestato).
[8] Si veda anche l’inchiesta di Presa diretta del 10/02/2020: https://www.youtube.com/watch?v=cckZ6Eom2b
[9] Cfr. Weinberg 2005.
[10] David Lyon (2022, 44), per esempio, sottolinea come di fatto sia impossibile sapere se i regimi di sorveglianza costruiti durante la pandemia possano mai tronare in funzione una volta conclusa la pandemia.