Riccardo Coluccini , oltre a essere collaboratore di Motherboard Italia, è anche membro del centro Hermes per la Trasparenza e i Diritti Umani Digitali con il quale sta portando avanti un progetto sul monitoraggio delle tecnologie di sorveglianza da parte del governo italiano, valutando sia l’aspetto tecnologico che legale di tali strumenti.
A livello internazionale, l’Italia è famosa per tre motivi eterogenei: una sublime arte culinaria, una produzione artistica impareggiabile e un’assetata schiera di aziende che vendono tecnologie di sorveglianza. Area SpA, Hacking Team, IPS intelligence, e RCS sono i nomi delle aziende più famose, finite sui giornali di mezzo mondo o per essere state hackerate o per aver venduto — o affermato di poter vendere — tecnologie di sorveglianza a governi che violano sistematicamente i diritti dei propri cittadini.
Videos by VICE
Dal 2 al 5 agosto, a Padova, durante l’Italian Hacker Camp (IHC) — un evento organizzato da diverse comunità hacker italiane per condividere il sapere, discutere e ritrovarsi faccia a faccia — presenterò i risultati di un’analisi che volge lo sguardo all’uso di queste tecnologie per la sorveglianza all’interno del perimetro nazionale, individuando le specifiche tecnologie utilizzate e mostrando che ci sono altri attori che si contendono la vendita insieme alle quattro aziende già citate.
Partendo dai dati pubblici presenti sui registri delle gare d’appalto dei vari Ministeri è stato possibile mettere in piedi un database di oltre 60 aziende italiane.
Infatti, partendo dai dati pubblici presenti sui registri delle gare d’appalto dei vari Ministeri — che devono essere pubblicati nel rispetto della normativa anticorruzione (legge n. 190/2012) — è stato possibile mettere in piedi un database di oltre 60 aziende italiane. Per ognuna di queste aziende è indicata la fonte che ne ha permesso l’individuazione — ad esempio un bando per la vendita di sistemi di intercettazione per la Procura oppure sistemi per l’analisi forense dei dispositivi. Un’anteprima del database è consultabile qui.
Fra le varie aziende spiccano alcune che vengono riconosciute nei bandi come rivenditori ufficiali di aziende estere. È il caso infatti dell’azienda CPM Elettronica che in un bando della Guardia di Finanza viene indicata come unico rivenditore ufficiale sul territorio italiano dei prodotti dell’azienda inglese CellXion, un leader mondiale nella vendita dei dispositivi noti come IMSI-catcher.
Secondo quanto riportato dal giornalista Joseph Cox, CellXion ha venduto questo tipo di dispositivi per un importo superiore al milione di sterline alla polizia britannica. Gli IMSI-catcher sono dei sistemi che simulano le celle telefoniche a cui si connettono i nostri cellulari per comunicare. In questo modo è possibile costringere tutti i cellulari di una determinata area a connettersi ad essa, rivelare il codice identificativo dell’utente sulla rete (IMSI) e poter così monitorare la presenza o meno della persona che si sta cercando.
Si tratta infatti di un sistema a strascico, in cui tutte le persone presenti nell’area di azione dell’IMSI-catcher finiscono con l’essere monitorate
In alcuni modelli di IMSI-catcher è persino possibile intercettare le chiamate e i messaggi, e inoltre secondo quanto riportato in alcune mail rivelate dopo l’attacco ad Hacking Team, CellXion avrebbe la possibilità di iniettare del codice nei dispositivi connessi alla rete 3G.
In Italia, CPM Elettronica ha venduto gli IMSI-catcher sia alla Guardia di Finanza che alla Polizia. In un bando (qui il PDF) vengono persino indicati i modelli esatti dei sistemi prodotti da CellXion, che si possono vedere nella figura seguente:
I dispositivi in questione sono presenti anche in una brochure ottenuta e pubblicata online da Privacy International, un’organizzazione britannica che si occupa di diritti digitali. Dal bando di gara, però, si fa riferimento al sistema OPTAVIA2, aggiornamento del sistema UGX PENTA, che è assente nella brochure di Privacy International. Rimane quindi fondamentale capire quali nuove capacità offra questo sistema.
Inoltre, a livello legale, in Italia sembra esserci un vuoto riguardo l’impiego di questi dispositivi e i rischi per la privacy dei cittadini. Si tratta infatti di un sistema a strascico, in cui tutte le persone presenti nell’area di azione dell’IMSI-catcher finiscono con l’essere monitorate — in alcuni casi è stato appurato che gli IMSI-catcher possono creare dei disservizi alla rete quando c’è bisogno di chiamare i servizi di soccorso. Restano anche forti dubbi sulle modalità di impiego di questi dispositivi: viene richiesto un mandato per utilizzarli e monitorare la posizione degli indagati?
Durante Italian Hacker Camp, inoltre, verranno anche discusse le risposte alle richieste FOIA inviate riguardo il sistema di riconoscimento facciale in dotazione alle forze dell’ordine e sistemi di intercettazione del traffico internet che riportano alla mente quanto rivelato recentemente negli Stati Uniti riguardo la collaborazione fra NSA e l’operatore telefonico AT&T.
L’Italia sembra quindi essersi munita di un avanzato e capillare sistema di sorveglianza che copre ogni aspetto delle nostre attività, dal traffico internet ai nostri spostamenti, passando per il monitoraggio del nostro volto. Purtroppo, però, le garanzie legali e il rispetto per la nostra privacy non sembrano ancora all’avanguardia.
Segui Riccardo su Twitter: @ORARiccardo