Proton

La Sezione 702 del Foreign Intelligence Surveillance Act è diventata famigerata come giustificazione legale che consente ad agenzie federali come la NSA, la CIA e l’FBI di effettuare intercettazioni senza mandato, raccogliendo i dati di centinaia di migliaia di cittadini statunitensi ogni anno.

Nell’aprile 2024, il Congresso degli Stati Uniti ha approvato il (nuova finestra)Reforming Intelligence and Securing America Act(nuova finestra), estendendo la Sezione 702(nuova finestra) fino al 2026 ed espandendo notevolmente la definizione(nuova finestra) dei fornitori di servizi di comunicazione che possono essere obbligati a facilitare la sorveglianza. Un emendamento che avrebbe richiesto un mandato prima di effettuare la sorveglianza sugli americani è fallito con un pareggio di 212-212 voti(nuova finestra) alla Camera dei Rappresentanti e un voto di 58-34(nuova finestra) al Senato.

La Sezione 702 è solo uno dei modi in cui il governo degli Stati Uniti può spiare le persone senza un mandato. È importante comprendere come funzionano le leggi sulla sorveglianza negli USA, poiché tanti giganti tecnologici (e i dati che raccolgono) sono soggetti alla legge statunitense. I loro requisiti modellano le politiche di grandi aziende tecnologiche come Google, Apple, Meta e Microsoft, e quindi hanno un impatto significativo su internet.

Questo articolo esamina alcune delle leggi e politiche di contrasto più importanti negli Stati Uniti e come influenzano la privacy online.

Il tribunale FISA
La scappatoia della Sezione 702
Lettere per la sicurezza nazionale
La sorveglianza del governo USA tramite le Big Tech
Acquisto di informazioni personali
Questo influenza Proton?

Il tribunale FISA

Prima di poter parlare della Sezione 702, dobbiamo spiegare FISA e il tribunale FISA.

Nel 1978, il Congresso ha approvato il Foreign Intelligence Surveillance Act(nuova finestra) (FISA), vietando a CIA e NSA di operare all’interno degli Stati Uniti. Ha anche creato un tribunale speciale e segreto, noto come tribunale FISA(nuova finestra) (o Foreign Intelligence Surveillance Court o FISC), che esamina le richieste del governo federale di condurre sorveglianza elettronica su sospetti terroristi e spie all’interno degli USA.

Ci sono diversi problemi con il tribunale FISA. Prima di tutto, opera in quasi totale segretezza(nuova finestra), emettendo ordini giudiziari sigillati alle aziende che le costringono a rivelare segretamente le informazioni dei loro utenti, come il contenuto e i metadati dei loro messaggi e email, o affrontare conseguenze legali. Le aziende che ricevono tale ordine non possono riconoscere pubblicamente di averlo ricevuto fino a che non siano passati sei mesi. E le aziende non possono condividere nemmeno versioni redatte degli ordini(nuova finestra) che ricevono. Tutto questo segreto rende difficile, se non impossibile, un efficace controllo.

Questo segreto esaspera anche il secondo problema, ovvero che i critici affermano che il tribunale FISA non è altro che un timbro di gomma(nuova finestra) per il programma di sorveglianza del governo. Dato che il suo ruolo è prevenire l’eccesso di potere governativo, ci si aspetterebbe che il tribunale approcci ogni richiesta con scetticismo. Eppure, nel 2022, ha respinto solo sette delle 354 richieste. Nel 2021, ha respinto quattro delle 456 richieste. Puoi vedere le statistiche complete nella tabella qui sotto.

AnnoApplicazioniOrdini concessiOrdini modificatiOrdini negati in parteApplicazioni negate
202235424987167
2021456318113204

La buona notizia, relativamente parlando, è che anche se ciò sembra essere per lo più un esercizio pro forma, le richieste FISA sono diminuite negli ultimi anni. Sfortunatamente, ciò potrebbe essere dovuto al fatto che agenzie governative statunitensi come l’FBI possono sfruttare molto più facilmente la Sezione 702 per spiare gli americani.

La scappatoia della sorveglianza senza mandato della Sezione 702

Nel 2008, il Congresso ha approvato il FISA Amendments Act(nuova finestra), che include la Sezione 702. Sebbene il tribunale FISA abbia i suoi problemi, la maggior parte delle richieste FISA sono almeno considerate individualmente da un giudice. Tuttavia, le richieste della Sezione 702, che sono un tipo di richiesta FISA, sono semplicemente approvate in gruppi, il che significa che le agenzie federali non devono presentare il caso per richieste specifiche(nuova finestra).

La Sezione 702 dà al governo degli Stati Uniti la possibilità di monitorare cittadini stranieri situati fuori dagli Stati Uniti senza un mandato; tuttavia, una “porta sul retro” permette la sorveglianza senza mandato di estendersi anche a persone negli Stati Uniti. La NSA (o qualche altra agenzia di tre lettere) può semplicemente nominare un cittadino straniero all’estero come obiettivo nominale. Se quella persona parla con un cittadino statunitense o qualcuno negli Stati Uniti, anche quelle comunicazioni vengono raccolte, anche se tale raccolta richiederebbe normalmente un’approvazione specifica da parte del tribunale FISA.

La Sezione 702 permette ad agenzie come la NSA di eseguire intercettazioni senza mandato su centinaia di migliaia di individui ogni anno. Questi dati vengono poi compilati in un unico enorme database ricercabile. A differenza delle richieste del tribunale FISA, il numero di richieste della Sezione 702 è massiccio, come si vede di seguito. (Tutte le tabelle qui sotto si basano sul Rapporto Annuale di Trasparenza Statistica 2023 del Direttore dell’Intelligence Nazionale(nuova finestra).)

Obiettivi della Sezione 702

20152016201720182019202020212022
94,368106,469129,080164,770204,968202,723232,432246,073

Data la prevalenza della sorveglianza della Sezione 702, ciò finisce per catturare illegalmente le comunicazioni di migliaia di cittadini statunitensi ogni anno. L’utilizzo di questo database da parte dell’FBI mostra un’agenzia che usa questo database per condurre una sorveglianza di massa senza un mandato. L’FBI ha avuto accesso a milioni di registrazioni di comunicazioni di cittadini statunitensi e persone che vivono negli Stati Uniti, inclusi manifestanti(nuova finestra), donatori politici(nuova finestra) e perfino un membro del Congresso degli Stati Uniti(nuova finestra).

Numero di termini di ricerca di persone statunitensi (numeri di telefono, indirizzi email, ecc.) che l’FBI ha utilizzato sui dati della Sezione 702, inclusi dati di contenuto e metadati

Dic. 2019 – Nov. 2020Dic. 2020 – Nov. 2021Dic. 2021 – Nov. 2022
852,8942,964,643119,383

Come dimostra ciò, la Sezione 702 ha essenzialmente dato al governo degli Stati Uniti la capacità legale di accedere a qualsiasi comunicazione desideri. Il governo ha utilizzato la Sezione 702 per stabilire PRISM(nuova finestra), uno dei programmi di sorveglianza di massa rivelati da Snowden, e costringere aziende come Yahoo!(nuova finestra) a partecipare. Continua a utilizzare la Sezione 702 per inviare richieste legali a società di tecnologia basate negli Stati Uniti (Google, Meta, Apple, ecc.) per raccogliere i dati dei loro utenti.

Sfortunatamente, nonostante gli abusi, il Congresso degli Stati Uniti non solo ha ripetutamente riautorizzato la Sezione 702, ma ora ha anche dato alle agenzie di spionaggio ancora più potere. Con l’ultima riautorizzazione, i tradizionali fornitori di comunicazioni come gli ISP e le aziende di posta elettronica potrebbero ancora essere obbligati a partecipare — oltre a chiunque abbia accesso fisico all’infrastruttura di comunicazione di un obiettivo. Questa lista potrebbe includere i proprietari di immobili, ristoranti che offrono WiFi, hotel e altri ancora. Ogni router pubblico che hai mai utilizzato potrebbe essere trasformato in un posto di ascolto della NSA.

Le lettere di sicurezza nazionale sono un altro strumento di intercettazione senza mandato

Le lettere di sicurezza nazionale (NSL) permettono all’FBI di richiedere dati senza mai ottenere un mandato o sottoporre tale richiesta a revisione giudiziaria. Per superare lo standard interno dell’FBI per emettere un NSL, un agente dell’FBI deve solo attestare che le informazioni richieste sono rilevanti per la sicurezza nazionale.

Le NSL includono anche ordini di non divulgazione, impedendo alle aziende che le ricevono di divulgare la richiesta. Ancora una volta, il segreto che circonda le NSL rende difficile il controllo e quasi garantisce l’abuso. L’FBI permette che solo il 7% delle NSL esaminate sia reso pubblico, continuando un inutile velo di segretezza che quasi garantisce il loro uso improprio. Un audit interno dell’FBI(nuova finestra) ha scoperto oltre 1.000 violazioni in cui gli agenti dell’FBI hanno ricevuto più informazioni di quante legalmente consentito. L’ FBI usa un linguaggio ambiguo(nuova finestra) nelle sue richieste nel tentativo di ottenere dalle aziende più informazioni del dovuto piuttosto che rischiare una lunga battaglia con il Bureau.

Sebbene meno comuni delle richieste della Sezione 702, migliaia di NSL vengono inviate ogni anno alle grandi aziende tecnologiche.

Il governo degli Stati Uniti conduce spionaggio tramite le Big Tech

In molti modi, il governo degli Stati Uniti ha di fatto esternalizzato la sua sorveglianza alle grandi aziende tecnologiche e ai broker di dati. Poiché tutte le grandi aziende tecnologiche sono aziende americane, sono soggette a tutte le leggi statunitensi sopra menzionate. Combinando il fatto che tutte le grandi aziende tecnologiche hanno come parte critica del loro modello di business la raccolta di dati su larga scala, il governo degli Stati Uniti ha accesso diretto al più grande sistema di sorveglianza di massa mai concepito. Puoi vedere quanta dati il governo degli Stati Uniti richiede dalle grandi aziende tecnologiche e gli strumenti che utilizza per farlo esaminando i rapporti di trasparenza delle Big Tech.

Google(nuova finestra), Meta(nuova finestra) e Apple(nuova finestra) hanno tutti suddiviso le richieste FISA e NSL nei loro rapporti di trasparenza. A causa della segretezza che circonda questi strumenti, possono fornire solo intervalli approssimativi di quante richieste l’azienda ha ricevuto (possono fornire solo un intervallo di quanti account sono stati interessati e non possono divulgare queste informazioni fino ad almeno sei mesi dopo aver ricevuto la richiesta). Per semplicità, la tabella sottostante mostra il numero minimo assoluto di account che sono stati interessati dalla sorveglianza. Anche se probabilmente si tratta di una sottostima, rappresenta comunque un’invasione massiccia della privacy.

Sorveglianza assistita dalle aziende nel 2022

Richieste FISA (non-contenuto) Richieste FISA di contenutoNSL
Google50,000200,0003,000
MetaNA290,000500
Apple74,00068,0001,004
Le richieste che non riguardano il contenuto si riferiscono ai metadati. Le richieste di contenuti si riferiscono all’accesso a messaggi effettivi, email e altre comunicazioni.

In alcuni casi, queste aziende si oppongono all’eccesso di intervento del governo, ma purtroppo il sistema legale degli Stati Uniti non lascia molte opzioni a queste aziende.

Le agenzie statunitensi acquistano dati per evitare di richiedere mandati

La proliferazione del capitalismo di sorveglianza, inaugurato da Google e Facebook, ha anche portato all’ascesa dei broker di dati, che immagazzinano e vendono ogni tipo di informazioni personali sensibili, inclusi i dati sulla posizione. Questa enorme quantità di dati disponibili per la vendita significa che le agenzie governative statunitensi non hanno più bisogno di ottenere mandati per i dati, quando possono semplicemente acquistarli. I dipartimenti che sono stati sorpresi ad acquistare queste informazioni includono il Tesoro degli Stati Uniti(nuova finestra), l’NSA(nuova finestra), l’FBI(nuova finestra), il Dipartimento di Sicurezza Interna(nuova finestra), l’Immigrazione e Dogane(nuova finestra) e molti altri.

Molti di questi dati richiederebbero normalmente un mandato per essere accessibili secondo il Quarto Emendamento, ma l’acquisto di dati è diventato un business da miliardi di dollari in cui il governo federale partecipa attivamente. E poiché questi broker di dati raccolgono le loro informazioni da decine di fonti, possono risultare impossibili da evitare.

Questo impatta Proton?

Proton si trova in Svizzera(nuova finestra), nota per la sua lunga storia di neutralità; si trova al di fuori delle giurisdizioni USA, UE e NATO; e non partecipa a nessun accordo vincolante di condivisione delle informazioni, come gli accordi Cinque Occhi, Nove Occhi o Quattordici Occhi(nuova finestra) o i programmi di intelligence della NATO(nuova finestra). La sede svizzera di Proton significa che non siamo soggetti a nessuna delle leggi statunitensi menzionate sopra in questo articolo.

Crediamo che questa neutralità sia importante per garantire che tutti gli utenti su Proton siano protetti, indipendentemente da considerazioni geopolitiche. L’uso di Proton della crittografia end-to-end(nuova finestra) garantisce ulteriormente che Proton non possa essere utilizzato per spiare per conto dei governi, poiché noi stessi non abbiamo accesso ai tuoi dati.

Abbiamo anche attivamente rafforzato le protezioni della privacy delle leggi svizzere a cui siamo soggetti. Ad esempio, nel 2021, abbiamo vinto un’importante causa giudiziaria(nuova finestra) che ha stabilito che i servizi email non sono fornitori di telecomunicazioni e quindi non sono soggetti ai loro requisiti di conservazione dei dati. Proton VPN(nuova finestra) è similmente protetto da obblighi di registrazione e non può essere costretto a registrare.

Nell’attuale ambiente legale, è impossibile per un fornitore di servizi statunitense offrire garanzie significative sulla privacy. Aziende in giurisdizioni neutrali come la Svizzera saranno sempre in grado di offrire maggiore privacy rispetto a un’azienda tecnologica americana.

Ma questo non significa che non valga la pena lottare per il diritto alla privacy. Se vivi negli Stati Uniti, dovresti sfidare i tuoi rappresentanti e senatori a bloccare il rinnovo della Sezione 702. Come ha mostrato l’ultima battaglia per il rinnovo, le persone ora chiedono la fine della sorveglianza di massa. Proton continuerà a unirsi alle loro voci.

Articoli correlati

The cover image for a Proton Pass blog comparing SAML and OAuth as protocols for business protection
en
SAML and OAuth help your workers access your network securely, but what's the difference? Here's what you need to know.
Proton Lifetime Fundraiser 7th edition
en
Learn how to join our 2024 Lifetime Account Charity Fundraiser, your chance to win our most exclusive plan and fight for a better internet.
The cover image for a Proton Pass blog about zero trust security showing a dial marked 'zero trust' turned all the way to the right
en
Cybersecurity for businesses is harder than ever: find out how zero trust security can prevent data breaches within your business.
How to protect your inbox from an email extractor
en
Learn how an email extractor works, why your email address is valuable, how to protect your inbox, and what to do if your email address is exposed.
How to whitelist an email address and keep important messages in your inbox
en
Find out what email whitelisting is, why it’s useful, how to whitelist email addresses on different platforms, and how Proton Mail can help.
The cover image for Proton blog about cyberthreats businesses will face in 2025, showing a webpage, a mask, and an error message hanging on a fishing hook
en
Thousands of businesses of all sizes were impacted by cybercrime in 2024. Here are the top cybersecurity threats we expect companies to face in 2025—and how Proton Pass can protect your business.