La CIA punta ai dati delle app per smartphone

Il Direttore dell'Intelligence Nazionale (DNI) Avril Haines, che supervisiona 18 agenzie distinte che compongono la più ampia “comunità dell'intelligence” - tra cui la CIA, l'FBI e l'NSA - ha rilasciato un “quadro politico per le informazioni disponibili in commercio”. Non si tratta solo della prima conferma pubblica da parte di un funzionario del governo statunitense del fatto che le entità di spionaggio degli Stati Uniti acquisiscono ampi dati su privati cittadini da intermediari terzi, ma l'ammissione di questa resa è profondamente delicata. Pur stabilendo limiti all'uso di queste informazioni da parte delle spie, i dettagli sono vaghi o inesistenti.

Le “informazioni disponibili in commercio” (CAI) si riferiscono ai dati raccolti sulle persone, in genere dai loro smartphone e dalle app che utilizzano, venduti da terzi. Grazie a vari giochi di prestigio e allo sfruttamento spietato di scappatoie normative, l'intelligence statunitense ha ottenuto informazioni non accessibili ai cittadini medi, che di solito richiederebbero un mandato di perquisizione approvato dal tribunale per accedervi. Tuttavia, acquistando questi dati da intermediari privati, le agenzie di spionaggio possono ancora affermare che questo spionaggio è “open-source”, basato su documenti “pubblicamente disponibili”.

Una fonte particolarmente ricca di informazioni personali è costituita dai dati raccolti dalla pubblicità digitale. Gli spazi pubblicitari nelle app e nei siti web vengono venduti nelle borse di offerte in tempo reale (RTB) e i dati sulla posizione e altri dati sugli utenti sono spesso inclusi come bonus, per garantire un targeting ottimale degli annunci. Molti broker di dati si fingono inserzionisti per “raschiare” le inserzioni alla ricerca di informazioni sugli utenti, prima di rivenderle a scopo di lucro. Il valore di questi dati e gli scopi maligni a cui possono essere destinati sono enormi.

Ad esempio, un appaltatore dell'intelligence ha sfruttato i dati raccolti dall'app di incontri Grindr per tracciare i movimenti dei dipendenti governativi gay. I dati RTB sono stati utilizzati anche da gruppi anti-aborto per tracciare le donne che visitano le cliniche Planned Parenthood negli Stati Uniti. Più positivamente, i dati RTB hanno contribuito a costruire un dossier sui soci del trafficante di bambini Jeffrey Epstein, rintracciando i proprietari di dispositivi smartphone che hanno visitato la sua isola privata fino a indirizzi negli Stati Uniti e in altri Paesi.

Attributi personali

Come osserva il quadro di Haines, “le entità commerciali stanno raccogliendo e aggregando quantità senza precedenti di dati personali” attualmente, “da una varietà di fonti”. Queste includono “telefoni cellulari, automobili, elettrodomestici e altri dispositivi personali”. Queste informazioni vengono poi rese disponibili “a una serie di acquirenti diversi, tra cui enti a scopo di lucro e non, avversari stranieri e organizzazioni nazionali e transnazionali”. La “comunità dell'intelligence” statunitense, ammette il direttore, si avvale abitualmente dell'opportunità di “accedere, raccogliere ed elaborare” queste informazioni sui dati personali.

Le informazioni sui dati personali sono utilizzate abitualmente “per perseguire gli imperativi della missione e le informazioni forniscono spesso un valore critico per l'intelligence”, sostiene Haines. Tuttavia, “questi set di dati possono rivelare dettagli e attività personali sensibili e intime”, ammette. L'ammessa ricchezza di dati a cui la CIA e altri possono accedere su privati cittadini tramite intermediari terzi è a dir poco inquietante. Per esempio:

“Attributi personali, condizioni o identificatori riconducibili a una o più persone specifiche degli Stati Uniti, [tra cui] razza o etnia, opinioni politiche, credenze religiose, orientamento sessuale, identità di genere, informazioni mediche o genetiche, dati finanziari o qualsiasi altro dato la cui divulgazione avrebbe un potenziale simile di causare un danno sostanziale, imbarazzo, disagio o ingiustizia alla persona o alle persone descritte dai dati”.

Inoltre, la CAI può includere “dati che catturano le attività sensibili” di individui e gruppi target. Le “attività sensibili” sono definite come quelle che “per un lungo periodo di tempo stabiliscono un modello di vita; rivelano affiliazioni personali, preferenze o identificatori; facilitano la previsione di atti futuri; consentono attività di targeting; rivelano l'esercizio di diritti e libertà individuali”. Roba da far paura, ma il quadro di Haines non offre indicazioni chiare su come limitare l'acquisto e l'uso delle IAC da parte delle agenzie di intelligence statunitensi.

Tracciare gli utenti in tempo reale

Il documento sostiene che “ulteriori chiarimenti” proteggeranno la privacy dei cittadini, ma non ne offre alcuno nel suo contenuto. È inquietante anche il fatto che le stesse agenzie di spionaggio siano incaricate di formulare “salvaguardie adeguate alla sensibilità” delle informazioni sui dati personali che raccolgono e di redigere rapporti annuali sull'uso di questi dati. Non vi è alcun obbligo per i servizi di intelligence di cancellare i vecchi dati acquistati in nessun caso - anche se sono stati raccolti erroneamente - e, cosa più preoccupante, non vi sono restrizioni su quali informazioni possono o non possono essere acquistate.

Questo è particolarmente preoccupante, dato che è chiaro che alcune applicazioni per smartphone sono state disposte a prendere indicazioni da società private di intelligence e broker di dati su quali informazioni raccogliere sui loro utenti, che vengono poi trasmesse attraverso le terze parti alle entità di spionaggio statunitensi. È stato confermato che MuslimPro, che offre un calendario di preghiera giornaliero e una bussola che punta verso la Mecca, ha iniziato a tracciare surrettiziamente la posizione degli utenti su richiesta diretta di un broker, che ha poi venduto queste informazioni a clienti governativi.

Altri broker servono prevalentemente, o esclusivamente, organizzazioni statali. Tra questi, Babel Street - una “società di dati e conoscenza abilitata all'intelligenza artificiale” - che fornisce dati sulla posizione alle agenzie statunitensi, tra cui la DEA, l'ICE, l'IRS, i servizi segreti e il Dipartimento del Tesoro e la società di “comunicazioni integrate” Barbaricum. In un contratto da 5,5 milioni di dollari che l'ICE si è aggiudicato nel 2020 si fa riferimento alla sua capacità di “geolocalizzare gli individui al di là del geotagging standard”, “monitorare e analizzare tutte le attività dei social media” su ogni piattaforma, comprese “le reti di social media straniere/del dark web/deep web in TEMPO REALE [enfasi nell'originale]”.

Altrove, il contratto fa riferimento al modo in cui Barbaricum può creare “profili psicologici” degli obiettivi e “identificare se un utente ha cancellato messaggi e fornire contenuti da account cancellati e/o messaggi cancellati”. Prima della pubblicazione del “quadro politico” del Direttore dell'Intelligence nazionale, la portata delle attività di spionaggio della CAI da parte delle spie statunitensi era sconosciuta. Ricercatori indipendenti e gruppi di attivisti hanno dovuto ricostruire un quadro approssimativo a partire dai pochi documenti disponibili al pubblico.

Ora, alle stesse agenzie che per anni hanno usato e abusato dei dati degli utenti privati nella più totale impunità, viene affidata la responsabilità di elaborare le proprie politiche interne su ciò che è o non è accettabile intercettare, analizzare, sfruttare e agire. Abbiate paura. Abbiate molta paura.

Traduzione a cura di Costantino Ceoldo

Seguici su Telegram https://t.me/ideeazione

Il nostro sito è attualmente sotto manutenzione a seguito di un attacco hacker, torneremo presto su www.ideeazione.com