Tempi duri per i sostenitori statunitensi della privacy online. Il 18 aprile scorso, infatti, è stato approvato per la seconda volta alla Camera dei Rappresentanti il disegno di legge definito CISPA, acronimo di Cyber Intelligence Sharing and Protection Act, un intervento normativo che si propone come strumento di sostengo per le forze dell’ordine statunitensi nella lotta alle minacce criminali online, facilitando l’acquisizione di dati web, altrimenti riservati, per ragioni investigative e permettendo dunque di assicurare la sicurezza dei networks da eventuali attacchi cibernetici. Il CISPA permetterà alle società del settore privato di ispezionare i dati utente personali dei residenti negli Stati Uniti per identificare potenziali minacce cibernetiche, andando poi a condividerle con altre imprese e con il governo degli Stati Uniti, senza il vincolo di un mandato giudiziale. Facebook, Google, Twitter sono solo alcune delle aziende tech che saranno chiamate a condividere con il governo federale qualsiasi file trasmesso dagli utenti che venga ritenuto una potenziale cyber minaccia ed è proprio per questo che in molti hanno affibbiato al CISPA il nomignolo non troppo affettuoso di “Privacy Killer”. Un provvedimento normativo, dunque, che s’insinua in un preciso momento storico in cui il tema della cyber warfare e delle minacce cibernetiche ad opera non solo di hackers ma anche di imprese e governi stranieri è sempre più pressante e si conferma come la nuova sfida che i governi di tutti i paesi, Stati Uniti in primis, devono affrontare per tutelare e garantire la sicurezza pubblica.
Il disegno di legge CISPA venne presentato per la prima volta alla Camera dei Rappresentanti il 30 novembre 2011 dal repubblicano Mike Rogers, uno dei suoi più fervidi sostenitori. Non senza polemiche e pressioni, il 26 aprile 2012, riuscì a passare la votazione della Camera ottenendo una notevole maggioranza ma dovette scontrarsi con la bocciatura del Senato e con il veto posto dal Presidente Obama, il quale riteneva che tale disegno di legge fosse sprovvisto delle necessarie tutele alla riservatezza e alle libertà civili dei cittadini. I Repubblicani ci hanno riprovato nel febbraio del 2013, riproponendo il progetto di legge alla Camera che, nuovamente, l’ha approvato il 18 aprile con una maggioranza di 288 voti favorevoli contro 127 contrari. Ora il destino del CISPA è nelle mani del Senato in cui il partito democratico vanta una maggioranza risicata: forse proprio per questo motivo, temendo un’opposizione stentata da parte degli esponenti del partito dell’asinello, il presidente Obama ha già minacciato un veto qualora non vengano introdotti alcuni emendamenti ritenuti fondamentali per la tutela della privacy. Secondo Rogers e gli altri autori del progetto di legge, gli emendamenti finora presentati hanno affrontato la maggior parte delle criticità relative alla privacy che erano state mosse da più fronti: in particolare, viene garantito un controllo maggiore dei dati da parte delle società prima che questi vengano consegnati alle autorità statunitensi che li hanno richiesti. Tuttavia resta possibile l’ipotesi per cui il CISPA s’ingolfi nuovamente in Senato come accadde nell’aprile dell’anno precedente1. A preoccupare,infatti, è il suo carattere “in negativo”: di fronte a una cyber-minaccia, qualunque violazione della privacy non sarà perseguita, inoltre la definizione di minaccia riportata nel testo del CISPA è talmente vaga che permette alle istituzioni di acquisire informazioni senza limiti, aggirando il normale iter legislativo. Per di più, le società non hanno l’obbligo di rimuovere dati non rilevanti per le indagini, sottoponendo, dunque, anche i file non potenzialmente “pericolosi” al controllo delle autorità.
Quello del CISPA sembra essere un argomento scottante per l’opinione pubblica statunitense che si è spaccata in due sulla ragion d’essere del provvedimento normativo. Sin dalla sua prima apparizione nella Camera dei Rappresentanti, il CISPA è stato aspramente criticato dai difensori della privacy e dai garanti delle libertà civili come l’Electronic Frontier Foundation o l’American Civil Liberties Union ma anche da gruppi decisamente più conservatori quali il Competitive Enterprise Institute Liberty Coalition o l’American Conservative Union. Tutte queste associazioni concordano nel ritenere che il CISPA contiene troppi pochi limiti sul come e quando il governo statunitense, o le agenzie preposte, possano intervenire per monitorare la navigazione internet di qualsiasi individuo e temono che esso diventi un mezzo per garantire lo spionaggio indiscriminato piuttosto che un mezzo per perseguire gli hackers e sventare possibili attacchi cibernetici. Dunque sono tante le società nordamericane che hanno espresso i loro dubbi e hanno deciso di esporsi per contrastare la legge.
Tra i nomi delle aziende tech che più hanno osteggiato la legge CISPA vi sono Reddit, Craigslist, Namecheap, Firefox, Automattic (una parent company di WordPress) e soprattutto Facebook, la quale da marzo ha deciso di non supportare più il CISPA. Tra di esse sicuramente l’opinione comune è che il CISPA rappresenti una breccia nella riservatezza dei singoli cittadini, la cui navigazione e i cui file potrebbero essere oggetto di indagini e spiati, ad esempio, dal FBI. Si tratta di intrusioni a scopo investigativo e al fine di tutelare la sicurezza pubblica, ma sono pur sempre intromissioni nella privacy dell’utente che non tutti i cittadini sono pronti a subire. È proprio per questo motivo che molti esponenti delle suddette aziende sono dell’idea che il CISPA andrà a minare la fiducia che il singolo cittadino ripone nel mezzo informatico e nell’azienda tech di cui è utente (pensiamo ai milioni di iscritti del colosso cibernetico Facebook) e, in mancanza di questo rapporto fiduciario, tutte le aziende del settore ne risentiranno drasticamente. L’ufficio stampa della Competitive Enterprise Institute fa sapere che:
nonostante le nobili intenzioni del disegno legge, esso rischia di espandere oltremodo il potere federale, minando la libertà individuale e danneggiando la competitività del settore tecnologico statunitense2.
Una forte opposizione da parte della società civile è arrivata per mano dell’American Civil Liberties Union, la quale ha definito il CISPA una legge dai difetti incolmabili. Tutti sappiamo come il diritto alla privacy e alla riservatezza sia considerato come una garanzia essenziale per le libertà civili dei cittadini in Europa e ancora di più, se possibile, negli Stati Uniti in cui il rispetto della privacy è un diritto sacrosanto di ogni cittadino. Proprio per questo molti concordano nel ritenere che il CISPA sia una palese violazione del IV Emendamento che cita:
The right of the people to be secure in their persons, houses, papers, and effects, against unreasonable searches and seizures, shall not be violated, and no warrants shall issue, but upon probable cause, supported by oath or affirmation, and particularly describing the place to be searched, and the persons or things to be seized3.
Senza ombra di dubbio, è proprio in virtù di ciò che circa 850 mila cittadini hanno firmato la petizione online promossa dal Avaaz.org e dal titolo “Save the Internet from the US”, una dimostrazione significativa di quanto siano a cuore i diritti digitali agli utenti americani e non solo e che oggi rischiano di essere messi all’angolo dal progetto normativo di Rogers. Come si è detto fin qui, il CISPA ha riscosso molte critiche e si è ritrovato al centro di vere e proprie battaglie per la tutela della privacy ma ha saputo anche ottenere il sostegno di aziende e lobby particolarmente influenti come Microsoft, Google, IBM, Apple e la Camera di Commercio statunitense4che considerano il provvedimento normativo un essenziale passo in avanti nella protezione del cyber spazio, soprattutto alla luce del fatto che c’è stata testimonianza di alcune minacce cibernetiche provenienti da Iran e Cina5. Secondo alcuni esponenti Repubblicani che hanno avallato il CISPA, sono più di 800 le compagnie statunitensi che sostengono apertamente o indirettamente il disegno di legge.
Il disegno di legge sostenuto da Rogers è, di fatto, un emendamento al National Security Act del 1947 che, dato il periodo storico in cui fu redatto, non conteneva disposizioni relative al crimine cibernetico, quindi fu necessario rimetterci mano per inserire delle norme che prendessero in considerazione le minacce che l’era tecnologica aveva portato con se. Il CISPA nasce con l’intenzione di definire il concetto di minaccia cibernetica e fornire delle procedure che consentano al governo federale e al Direttore dell’Intelligence di poter condividere con aziende del settore privato e individui eventuali informazioni circa minacce cibernetiche potenzialmente pericolose.
Secondo quanto riporta il testo del Cyber Intelligence Sharing and Protection Act of 2013, il governo federale potrà condurre azioni di sicurezza cibernetica al fine di determinare una sorta di consapevolezza condivisa che consenta l’attuazione di operazioni integrate per proteggere, prevenire, mitigare e rispondere a eventuali incidenti cibernetici. Sarà compito del Presidente designare un ente all’interno del Dipartimento per la sicurezza nazionale e del Dipartimento di giustizia che riceveranno tutte le informazioni relative ad eventuali minacce o crimini cibernetici e che dovranno occuparsi di stabilire procedure apposite per assicurare che l’informazione relativa alla minaccia cibernetica venga condivisa con le agenzie governative in tempo reale e facilitare la condivisione, la collaborazione e l’interazione tra il governo federale, lo Stato, i governi locali e gli enti che si occupano di cybersecurity6.
Il testo della legge CISPA stabilisce inoltre che il Segretario della sicurezza nazionale, il Procuratore Generale, il Direttore dell’Intelligence e il Segretario della Difesa stabiliscano congiuntamente e periodicamente delle procedure che regolino la ricezione e l’utilizzo delle informazioni ritenute importanti ai fini della definizione di una minaccia cibernetica. Il testo del CISPA è stato modificato in alcune parti in vista della seconda votazione alla Camera e nel testo emendato è presente una specificazione che secondo Rogers e compagni dovrebbe mitigare le critiche di quanti coloro sostengono che la privacy sia messa in discussione dal provvedimento normativo. È specificato, infatti, che tali procedure debbano minimizzare il più possibile l’impatto sulla privacy e sulle libertà civili dei cittadini e includere dei requisiti che tutelino la riservatezza dell’informazione contenente una minaccia cibernetica e associata ad una persona non meglio specificata.
Annualmente, l’ispettore generale del Dipartimento di sicurezza nazionale, in consultazione con l’ispettore dell’intelligence e del Dipartimento della Difesa sarà chiamato a sottoporre alle commissioni del Congresso un rapporto contenente una rassegna relativa alle informazioni condivise con il governo federale e una lista delle agenzie e dei dipartimenti che hanno ricevuto le informazioni incriminate o che hanno collaborato alla ricezione di quest’ultime. Sarà invece compito dell’Ufficio per i diritti civili e del Dipartimento per la sicurezza nazionale sottoporre annualmente al Congresso un rapporto in cui si valuti l’impatto delle attività condotte per limitare le minacce cibernetiche sulla privacy e sulle libertà civili dei cittadini.
Dal testo del disegno di legge emerge con prepotenza il tema della sicurezza nazionale a tutti i costi; meccanismi, procedure, interazioni sono dispositivi pensati per facilitare una reazione immediata da parte delle autorità statunitensi in presenza di minacce cibernetiche o presunte tali. L’utilizzo di termini vaghi come quello di “minaccia cibernetica” è pensato ad hoc per consentire una libertà d’azione pressoché illimitata, infatti il testo del CISPA riporta che per minaccia s’intende il tentativo di danneggiare o disturbare un sistema cibernetico o di appropriarsi di informazioni governative o di rubare la proprietà intellettuale di aziende private o di singoli cittadini. Dunque, in nome della lotta al cyber crime e della sicurezza nazionale, si è ricorsi ad un disegno di legge draconiano che riduce drasticamente la libertà individuale, prevedendo addirittura forme di censura. Sarà interessante vedere come andrà a finire e se i cittadini d’America si tireranno indietro di fronte a questo controverso disegno legge di orwelliana memoria.