Mentre il Congresso si avvia a rinnovare la Section 702 del Foreign Intelligence Surveillance Act (FISA), il dibattito sta iniziando a riguardare qualcosa di molto più familiare: gli strumenti che le persone usano per proteggersi online.

Le VPN(nuova finestra), usate da milioni di persone per mantenere privata la propria attività su Internet, instradano il traffico attraverso server in tutto il mondo. Ma questa funzione di base solleva una domanda che i legislatori stanno appena iniziando ad affrontare: cosa succede quando proteggere la tua privacy fa sembrare straniera la tua attività?

Una legge di sorveglianza che non è mai stata pensata per te

La Section 702 consente alle agenzie di intelligence statunitensi di raccogliere le comunicazioni degli stranieri all’estero senza mandato. In pratica, questo confine non ha mai retto.

Il sistema raccoglie regolarmente email, messaggi e chiamate di cittadini statunitensi quando interagiscono con obiettivi stranieri o transitano attraverso infrastrutture globali.

Gruppi per i diritti civili, legislatori e perfino tribunali esprimono da anni preoccupazioni sulla frequenza con cui questi dati vengono esaminati senza mandato. Ora la legge deve essere rinnovata di nuovo e la scadenza di aprile si avvicina rapidamente. E nonostante le ripetute prove di eccessi, a Washington c’è una spinta per estendere questi poteri con modifiche minime.

Il sostegno alla sorveglianza è bipartisan, ma lo è anche la reazione contraria. Jim Himes, il principale democratico della Commissione Intelligence della Camera, di recente si è trovato di fronte a manifestanti durante un’assemblea pubblica(nuova finestra) che esprimevano preoccupazioni sulla Section 702.

Il problema delle VPN che nessuno aveva previsto

Una nuova lettera(nuova finestra) di senatori tra cui Ron Wyden solleva un rischio diverso, che non esisteva quando fu scritta la Section 702.

Le VPN nascondono la posizione di un utente(nuova finestra) instradando il traffico attraverso server in tutto il mondo(nuova finestra). Ma secondo le attuali regole di sorveglianza, lo stesso comportamento può far sembrare uno statunitense uno straniero.

I legislatori si chiedono se le agenzie di intelligence trattino per impostazione predefinita il traffico VPN come «straniero», una classificazione che potrebbe privare gli utenti delle tutele costituzionali e inserirli nel sistema di sorveglianza della Section 702.

Un rinnovo senza riforma aumenta il rischio

Ci sono proposte sul tavolo per risolvere il problema. Mark Warner, che presiede la Commissione intelligence del Senato, ha dichiarato che i legislatori affronteranno le preoccupazioni legate all’ampliamento della definizione di “fornitori di servizi di comunicazione elettronica” (ECSPs).

Quell’ampliamento ha esteso la platea di chi può essere costretto ad assistere nella sorveglianza. Non si limita più alle telecomunicazioni o ai provider di posta. Può includere chiunque abbia accesso ai sistemi attraverso cui transitano i tuoi dati, dai servizi cloud alle reti WiFi pubbliche. La sorveglianza si avvicina all’infrastruttura di internet, aumentando il numero di luoghi in cui i dati possono essere raccolti ai sensi della Sezione 702.

La Government Surveillance Reform Act(nuova finestra), sostenuta da esponenti di entrambi i partiti, andrebbe oltre. Appoggiata da legislatori tra cui Ron Wyden e Mike Lee, la proposta di legge richiederebbe un mandato prima che le agenzie possano cercare nei dati degli americani raccolti ai sensi della Sezione 702 e chiuderebbe una scappatoia che consente al governo di comprare dati personali dai broker invece di rivolgersi al tribunale.

Questa scappatoia è importante perché informazioni che normalmente richiederebbero un mandato, come i dati sulla posizione o la cronologia di navigazione, possono essere acquistate sul mercato aperto senza alcun controllo giudiziario.

La proposta di legge annullerebbe anche alcuni dei cambiamenti recenti più controversi, compreso il modo molto ampio in cui il governo può costringere aziende o fornitori di infrastrutture ad assistere nella sorveglianza.

Questi cambiamenti prendono di mira un problema noto: sistemi di sorveglianza costruiti per l’intelligence estera sono stati rivolti verso l’interno attraverso scappatoie tecniche e interpretazioni estensive. Come ha avvertito Ron Wyden, gli americani resterebbero “sconvolti(nuova finestra)” nello scoprire come questi poteri vengano effettivamente usati.

Senza una riforma, queste falle restano aperte. E man mano che l’uso delle VPN diventa più comune, sempre più comportamenti ordinari rischiano di finire nella raccolta di intelligence estera.

La posizione di Proton

In Proton sviluppiamo strumenti che danno alle persone il controllo sui propri dati senza esporle a compromessi nascosti. La privacy non dovrebbe dipendere da come il tuo traffico viene classificato da un sistema di sorveglianza. Dovrebbe essere l’impostazione predefinita.

Usare una VPN ti protegge ancora. Crittografa il tuo traffico internet e impedisce al tuo provider, all’operatore di rete o a chiunque condivida la tua connessione di vedere cosa fai online. Questa protezione conta, e funziona. Ma la sola crittografia non corregge il modo in cui sono scritte le leggi sulla sorveglianza. Se la tua attività non rientra in quella protezione, o viene raccolta altrove, può comunque finire in sistemi come la Sezione 702.

Questo solleva anche un problema più ampio. La privacy non dovrebbe fermarsi ai confini nazionali. Le persone non dovrebbero essere oggetto di sorveglianza semplicemente perché non sono americane. Le tutele legali possono variare. Il principio no.

Mentre i legislatori discutono il futuro della Sezione 702, la posta in gioco va oltre la politica dell’intelligence. Definisce cosa significhi davvero la protezione nella pratica e chi la riceva.