La vostra privacy è in vendita: La NSA spia gli americani acquistando informazioni dai broker di dati.

I broker di dati fanno milioni vendendo i vostri dati ai servizi segreti e alle forze dell'ordine. Il capitalismo della sorveglianza è qui.

The NSA is spying by buying your personal information.

I vostri dati vengono venduti al miglior offerente dai broker di dati. Rivelazioni sorprendenti hanno rivelato che i migliori offerenti sono l'NSA e l'FBI. Il governo degli Stati Uniti sta attivamente acquistando le vostre informazioni per spiarvi e perseguire cause penali contro di voi, il tutto senza un mandato. Il capitalismo della sorveglianza è diventato la norma negli Stati Uniti d'America. #spiareacquistare


La distopia è adesso

Il senatore Ron Wyden ha pubblicato una lettera e documenti declassificati del direttore dell’NSA, il generale Paul Nakasone (esercito statunitense) e i contenuti sono sconvolgenti. La NSA ammette apertamente di raccogliere dati dai cittadini statunitensi acquistandoli da losche società di intermediazione dati. Ciò significa che i soldi guadagnati con le tasse vengono spesi dall’intelligence e dalle forze dell’ordine per raccogliere i vostri dati online da fonti che non dovrebbero averli. L’industria dei broker di dati è composta da società losche che vendono i vostri segreti al miglior offerente, una pratica commerciale viscida nel migliore dei casi, ma il fatto che il governo degli Stati Uniti sia un cliente molto ricercato è disgustoso e inaccettabile. Wyden si spinge fino a definire illegale questa pratica in seguito a recenti cause giudiziarie contro importanti società di intermediazione dati.

Ogni app che aprite, sito web che visitate, messaggio che inviate o chiamata che fate viene registrato, raccolto e organizzato in un prodotto ordinato e venduto come un materasso a buon mercato. La vostra identità e la vostra storia online sono state mercificate e sono un prodotto da vendere alle agenzie pubblicitarie, oltre che allo sguardo vigile dello Zio Sam. Il capitalismo di sorveglianza è diventato una realtà negli Stati Uniti, non solo nelle aziende private ma anche nel settore pubblico.

Questo non è normale e non va bene.

Uncle Sam's watchful eye is following you by gathering your metadata. Uncle Sam's watchful eye is following you by gathering your metadata.

Capitalismo di sorveglianza

Il termine “capitalismo della sorveglianza” è stato introdotto nel discorso corrente dalla filosofa e scienziata sociale Shoshana Zuboff attraverso una serie di articoli e interventi. Il suo approccio indica le aziende del web2.0, come Google e Facebook, come pioniere della raccolta di massa dei dati degli utenti e della loro trasformazione in un prodotto vendibile. Questa sorveglianza di mercato della popolazione, una volta disponibile per l’acquisto, può essere venduta alle agenzie di intelligence e alle forze dell’ordine come una scappatoia attualmente legale che non si qualifica tecnicamente come sorveglianza domestica. Si tratta piuttosto dell’acquisto di un insieme di dati che altrimenti sarebbe disponibile per chiunque possa permettersi di acquistarlo.

Gli utenti finali di servizi come Google Search, Amazon o Facebook trovano il loro comportamento catalogato meticolosamente in database facili da interrogare senza il loro pieno consenso informato. Cliccando sulla casella “Accetto i termini e le condizioni” quando si creano nuovi account o ci si iscrive a nuove piattaforme di social media, gli utenti rinunciano ai loro diritti. Questo è ovviamente lo scenario migliore da parte dei siti web. A causa della scarsa o nulla legislazione sulla protezione della privacy negli Stati Uniti, soprattutto se paragonata al GDPR dell’UE, i cittadini non hanno alcun controllo su ciò che accade ai loro dati. Nel caso dei broker di dati, essi non sono tenuti a informare le persone che possono essere profilate dalle loro piattaforme, né sono tenuti a rivelare come hanno raccolto le informazioni contenute in questi profili.

Nel caso di alcuni profili, che possono includere account di social media, questi possono essere raccolti da dati di violazione rubati o trapelati, che non sono informazioni acquisite legalmente ma sono generalmente rese pubbliche dagli hacker. Una volta resi pubblici, le agenzie di intermediazione dati li ripuliscono e li riconfezionano per la vendita. Si tratta semplicemente di una versione digitale della vendita di un pacchetto nuovo di zecca che è caduto per caso dal camion che vi precede. Questa zona grigia delle vendite ha fatto guadagnare a questo settore una reputazione tutt’altro che brillante, ma la domanda di dati ha reso più facile ignorare le 50 sfumature di sorveglianza che essi consentono.

Intermediari di dati

Le aziende che raccolgono e vendono dati su singole persone, aziende o altre informazioni disponibili al pubblico sono chiamate Data Broker o Information Broker. Queste aziende hanno un’ampia varietà di modelli e obiettivi. Ad esempio, i siti web di ricerca di persone come PeekYou godono di una reputazione poco chiara, mentre le agenzie di rating del credito come Experian sono comunemente accettate e integrate nel sistema finanziario. Ciò che accomuna queste aziende è la raccolta e l’archiviazione di tutti i dati su cui riescono a mettere le mani. Acxiom, un’altra società di analisi dei dati, sostiene attualmente di essere in possesso di oltre 2,5 miliardi di persone, quasi un terzo della popolazione mondiale.

Il business dei big data è iniziato con la nascita delle agenzie di rating negli anni ‘50, ma è esploso con l’aumento della disponibilità di accesso a Internet. Non passò molto tempo prima che i siti di ricerca di persone cominciassero a offrire informazioni disponibili pubblicamente e raccolte in modo ordinato a fronte di un piccolo compenso. All’inizio era simile a un elenco telefonico, ma l’introduzione delle società di social media e del web2.0 ha cambiato drasticamente la quantità e il tipo di dati che potevano essere raccolti. Improvvisamente, le persone di tutto il mondo riempivano i profili delle piattaforme di social media in crescita con informazioni quali date di nascita, relazioni, immagini e persino numeri di cellulare. Tutte queste informazioni venivano vendute dalle aziende tecnologiche agli intermediari di dati. Vi siete mai chiesti come facessero queste piattaforme a gestire le loro legioni di server senza richiedere il pagamento del servizio? Questa era la magia dietro la tenda. Per quello che sembrava niente, molti di noi, all’epoca adolescenti o giovani adulti, consegnavano tutto in cambio di un like.

Non erano solo le aziende a voler raccogliere e vendere informazioni, anche i servizi segreti e le forze dell’ordine erano ansiosi di entrare in possesso di queste informazioni liberamente disponibili. I casi giudiziari hanno portato a discussioni sullo status legale dell’uso di questo tipo di informazioni per perseguire casi criminali, spesso consentendo l’accesso senza richiedere un mandato di perquisizione. Questi casi sono stati a lungo decisi a favore delle agenzie governative in base a quella che è diventata nota come Dottrina delle terze parti.

The NSA's collection of metadata allows them to monitor what you are doing online. The NSA's collection of metadata allows them to monitor what you are doing online.

La dottrina dei terzi consente la sorveglianza senza mandato

Quando le argomentazioni legali cominciarono a raggiungere le aule dei tribunali di tutta l’America, un caso emblematico raggiunse la Corte Suprema in merito a ciò a cui le forze dell’ordine possono o non possono accedere senza un mandato di perquisizione. Nella causa Smith v. Maryland, la Corte ha stabilito che l’uso da parte della polizia di un pen register (un dispositivo che registra i numeri telefonici digitati) per monitorare le chiamate di un sospetto non è considerato una perquisizione e quindi non richiede l’ottenimento di un mandato. In seguito a questa decisione del 1979, questo tipo di osservazione dei clienti non costituiva una violazione del Quarto Emendamento; non solo, ma si stabilì anche che gli utenti di un telefono non hanno una ragionevole aspettativa di privacy perché questi dati sarebbero stati registrati e memorizzati da una compagnia telefonica.

Questa è stata la nascita della dottrina delle terze parti.

Casi come Smith v. Maryland sono stati citati direttamente dalla NSA come giustificazione legale per il monitoraggio e la raccolta di dati dei cittadini statunitensi. Nel 2012 il Maryland ha deciso che anche i dati di localizzazione dei telefoni cellulari non sono protetti dal Quarto Emendamento, perché l’uso di un telefono cellulare è volontario e gli utenti non possono aspettarsi che queste informazioni siano private. Questo assunto ha infine ricevuto una resistenza legale nella causa Carpenter contro Stati Uniti, in cui è stato stabilito che, contrariamente alla dottrina della terzietà, il governo ha bisogno di un mandato per ottenere i dati del telefono cellulare. La corte ha notato il rapporto simbiotico che esiste oggi tra le persone e i loro dispositivi, notando che sono diventati un’estensione del corpo umano e concludendo che “quando il governo traccia la posizione di un telefono cellulare ottiene una sorveglianza quasi perfetta, come se avesse attaccato una cavigliera all’utente del telefono”.

Il Quarto Emendamento è morto?

In una lettera di risposta al senatore Wyden, il sottosegretario alla Difesa per l’intelligence e la sicurezza Ronald Moultie afferma:

“Non sono a conoscenza di alcun requisito nella legge o nell’opinione giudiziaria degli Stati Uniti, compresa la decisione della Corte Suprema nella causa Carpenter contro gli Stati Uniti… che imponga al Dipartimento della Difesa di ottenere un ordine del tribunale per acquisire, accedere o utilizzare informazioni, come le informazioni sui dati personali, che sono ugualmente disponibili per l’acquisto da parte di avversari stranieri, aziende statunitensi e persone private, così come lo sono per il governo degli Stati Uniti”.

Statements made by USDISR Ronald Moultie Statements made by USDISR Ronald Moultie Statements made by USDISR Ronald Moultie Statements made by USDISR Ronald Moultie

Qui sta il problema. Ciò che l’NSA e l’FBI stanno facendo è discutibile, ma legalmente consentito e non sono tenuti ad ottenere mandati per effettuare acquisti da broker di dati. A meno che il Congresso degli Stati Uniti non si decida ad approvare una legislazione forte che limiti la vendita di dati personali in questo modo, non cambierà nulla. Se vi aspettate che questo accada da un giorno all’altro, non accadrà, a meno che i cittadini la cui identità è diventata una carta di scambio per le società di dati non si alzino e chiedano un’azione legale. Questo è possibile! America, sei capace di grandi cose! Fate sentire la vostra voce e reagite. Non lasciate che la vostra anima digitale venga venduta al miglior offerente. Potete scommettere che se la NSA sta acquistando questi dati, lo stanno facendo anche altre agenzie di intelligence e potreste essere presi di mira per questo motivo.

La vendita di dati personali da parte dell’industria dei broker di dati deve essere fermata.

Il parere conclusivo del giudice Roberts sul caso Carpenter potrebbe far brillare un raggio di speranza per coloro che desiderano mantenere la propria privacy di fronte a broker di dati invasivi e agenzie di intelligence affamate. Nella sua arringa conclusiva, Roberts sottolinea le differenze tra gli stadi iniziali delle telecomunicazioni e il ruolo sempre presente che la tecnologia svolge oggi: “A differenza del vicino ficcanaso che tiene d’occhio gli andirivieni, loro [le nuove tecnologie] sono sempre all’erta e la loro memoria è quasi infallibile. C’è un mondo di differenza tra i limitati tipi di informazioni personali trattati da Smith […] e l’esauriente cronistoria di informazioni sulla posizione raccolte casualmente dai vettori wireless oggi”.

Abbiamo bisogno di questa riforma. Non possiamo aspettarci che approcci alla tecnologia vecchi di un secolo siano in qualche modo rilevanti per il leviatano digitale che abbiamo scatenato. Queste politiche devono essere rivalutate sotto la consulenza e la guida di esperti nel campo della tecnologia e della privacy. Questa causa è sostenuta dalla Electronic Frontier Foundation e se volete contribuire a proteggere la privacy, merita il vostro sostegno. Nel frattempo, se state cercando un trattamento sicuro e privato per i vostri dati, dovreste iniziare a cercare altrove.

I vostri dati non sono al sicuro negli Stati Uniti

Con una protezione limitata dei vostri dati negli Stati Uniti, il mondo digitale interconnesso può giocare a vostro vantaggio consentendovi di conservare le vostre informazioni in modo sicuro nell’UE. L ‘UE ha una protezione della privacy e dei dati molto più forte grazie alle leggi GDPR. Non solo, ma in Europa hanno sede numerose aziende che rispettano la privacy e che si occupano di proteggere le vostre informazioni dagli occhi vigili degli intermediari di dati e delle agenzie governative.

Se siete alla ricerca di un ancoraggio sicuro per la vostra vita digitale, dovrete iniziare con un account di posta elettronica privato. Abbiamo creato una guida che confronta i provider di posta elettronica sicuri e privati, che potete consultare qui. Utilizzando la crittografia Ende-zu-Ende, che protegge i vostri dati dalle intercettazioni prima che lascino il vostro dispositivo, potete essere certi che il contenuto delle vostre comunicazioni sia al sicuro.

Cosa raccoglie la NSA

In seguito alla pubblicazione da parte di Wyden dei documenti non classificati dell’NSA, possiamo confermare, per loro stessa ammissione, che l’NSA sta acquistando le seguenti informazioni sui consumatori americani:

  • Informazioni associate ai dispositivi elettronici utilizzati fuori e talvolta dentro gli Stati Uniti.
  • Acquista e utilizza dati di netflow disponibili in commercio relativi a comunicazioni Internet nazionali e a comunicazioni in cui una parte si trova all’estero. Ciò include i record DNS che possono essere presenti nei prodotti di data broker.
  • Non acquista dati di localizzazione da telefoni di cui è noto l’uso negli Stati Uniti, con o senza ordine del tribunale.
  • Non acquista dati di localizzazione da veicoli di cui si conosce l’ubicazione negli Stati Uniti.

Le connessioni VPN non sono sicure

Raccogliendo i dati di netflow, le agenzie di intelligence e le forze dell’ordine sono in grado di ricostruire il traffico Internet, anche se il traffico viene gestito attraverso una VPN. Ciò significa che nascondersi dietro una VPN da sola non vi garantirà il completo anonimato durante la navigazione sul web o la connessione alle vostre applicazioni preferite. Ciò non significa che una VPN sia del tutto inutile, ma la sua capacità di proteggere l’utente è più limitata di quanto i fornitori di VPN vogliano far credere. È quasi impossibile evitare completamente la raccolta di dati da parte del vostro ISP, a meno che non iniziate a costruire la vostra infrastruttura. Anche l’utilizzo del browser Tor rivela al vostro ISP che state utilizzando Tor, nonostante il contenuto del vostro traffico di rete sia criptato.

L’UE offre sicurezza e tranquillità per i vostri dati

Un primo passo importante è cercare di trasferire la maggior parte della vostra vita digitale in Paesi con leggi più severe in materia di privacy. Naturalmente, non sarà possibile iniziare a utilizzare un ISP con sede in Germania se si vive in Iowa, ma scegliendo fornitori di servizi che offrono la crittografia Ende-zu-Ende per impostazione predefinita e che hanno una politica di zero-log, si può essere certi che i dati legati a voi siano almeno molto pochi. Tuta non tiene traccia delle informazioni IP di accesso che possono essere collegate ai singoli utenti, né registra l’attività dell’account. Se siete preoccupati per la vostra privacy, il passaggio a società con sede nell’Unione Europea è d’obbligo. Tuta sta per rilasciare un nuovo standard di crittografia in grado di proteggere i vostri dati dalla minaccia dei computer post-quantistici, che sarebbero in grado di violare rapidamente gli standard di crittografia attualmente utilizzati. Con l’introduzione della crittografia post-quantistica, i vostri dati saranno al sicuro dalla pratica “harvest first, decrypt later”, garantendo così un maggior grado di protezione per le vostre e-mail, i vostri calendari, le vostre informazioni di contatto e, presto, per tutti i dati che desiderate archiviare nel cloud.

Dove andremo a finire nella ricerca del completo anonimato online è ancora una questione aperta. Ma possiamo essere certi che la crittografia Ende-zu-Ende non andrà da nessuna parte.

Siate sicuri e buona crittografia.