Un artificiere dell’esercito americano durante una missione in Afghanistan nel 2011 (Umit Bektas / Reuters)

Il Foglio Innovazione

Siamo nell'èra dell'antiterrorismo di massa

Daniele Raineri

Ormai siamo più sorvegliati di Bin Laden: aziende che vendono sistemi di riconoscimento facciale da usare per strada, emiri che fanno shopping di software di sorveglianza avanzati. Così l’intelligence ci è finita nel telefono

Negli ultimi cinque anni è successo un cambiamento che riguarda campi che un tempo erano separati: lo spionaggio, l’antiterrorismo e noi. Alcuni strumenti di guerra non convenzionale prima erano usati in modo micidiale per scovare, fermare e colpire i cattivi. Per esempio i terroristi che progettano un attentato oppure che vogliono passare attraverso una città senza farsi individuare oppure ancora i laboratori dove si lavora a un programma atomico clandestino. Oggi gli stessi strumenti sono diventati di uso comune. Dove prima erano applicati in modo selettivo, ora sono utilizzati sulla massa. Se prima ci voleva una ragione molto seria per usarli, adesso che sono finiti nelle mani di molte più persone non c’è più bisogno di una ragione seria – basta che ci sia la voglia. Di solito gli articoli che trattano queste cose parlano di “lento scivolamento” verso qualcosa, ma come vedremo in questi casi non c’è nulla di lento. Mentre scrivo alla televisione passa lo spot di un nuovo telefono Apple che avverte: “In questo momento, ci sono più informazioni private sul telefono che a casa… La tua posizione, i tuoi messaggi, la tua frequenza cardiaca dopo una corsa… Pensaci”. Si tende spesso a mettere in guardia da qualche imprecisato rischio che si correrà in futuro, ma di nuovo: il futuro non c’entra molto qui, queste cose sono già successe – oppure stanno succedendo in questo momento.

 

Prendiamo Clearview, una piccolissima azienda che ha scritto un software di riconoscimento facciale molto migliore di altri in circolazione. In teoria abbiamo già visto tutti almeno un film in cui una squadra antiterrorismo cerca un sospetto e lo becca all’aeroporto perché un computer confronta la sua foto con le immagini delle telecamere di sicurezza e lo riconosce con un beep di trionfo. Bene, evviva, chi potrebbe mai dire di no a questa cosa? In pratica il riconoscimento facciale può creare un sacco di guai. Molta gente è scocciata dal fatto che la polizia municipale potrebbe associare il suo nome e cognome a ogni passo che ha fatto minuto per minuto sotto le migliaia di telecamere di sicurezza che ci sono nelle strade. Per questo motivo molte città americane hanno discusso la questione e hanno promesso che diventeranno “zone free dal riconoscimento facciale” e che non lo useranno (quindi non collegheranno questi software al sistema di telecamere di sicurezza che c’è in ogni città).

 


Secondo Citizen Lab, il governo messicano usa contro i giornalisti gli stessi strumenti usati per catturare i narcos 


 

Intanto però arriva Clearview, che ha fatto due cose per polverizzare i suoi concorrenti. Ha scritto un algoritmo che è molto bravo a riconoscere le facce e ci riesce anche se indossi un cappello o se parte del tuo volto è coperta oppure se l’immagine è presa da una telecamera di sorveglianza messa troppo in alto – che è la maledizione dei programmi di riconoscimento facciale, aspettiamoci che le abbassino tutte molto presto. Seconda cosa, ha raccolto tutte le immagini che abbiamo messo sui social media come Facebook, Instagram e Twitter – anche se i social media hanno vietato esplicitamente questo tipo di pratica, raccogliere immagini altrui senza chiedere il permesso. Poi i tecnici di Clearview con le immagini che hanno preso dai social media e anche da migliaia di altri siti (YouTube incluso) hanno creato un archivio immenso che rimane sempre a disposizione del loro super algoritmo. Quando sottoponi un’immagine all’algoritmo, quello va a ripescare la stessa faccia nel database e ti dice chi è la persona nella foto. La giornalista del New York Times che dopo mesi di tentativi è riuscita a intervistare quelli di Clearview ha scoperto foto di se stessa che nemmeno sapeva esistessero, perché l’algoritmo le aveva trovate in giro e le aveva associate al suo nome. (Siete stati a un concerto? Siete passati dietro a un turista coreano che si faceva un selfie? Siete stati in un locale mentre qualcuno scattava un foto o faceva un video? L’algoritmo macina in silenzio miliardi di immagini, cataloga i volti e mette tutto nella sua pancia, in attesa che gli serva come materiale di paragone per riconoscimenti facciali futuri. Pare che l’archivio di Clearview sia il più grande fra quelli di cui conosciamo l’esistenza).

 

Dopo avere fatto tutto questo, Clearview ha cominciato a vendere i suoi servizi alle agenzie di sicurezza americane, dall’Fbi alle polizie locali di molte città. Sono già seicento e di sicuro altre agenzie stanno acquistando il pacchetto in questo momento. Per ora i poliziotti lo usano per risolvere casi difficili, ma non si vede perché non dovrebbero usarlo in situazioni più ordinarie. Una manifestazione. Una telecamera piazzata all’angolo di una via. Già questo è un passaggio che mette ansia, non si parla più di caccia al terrorista, si parla della nostra vita di tutti i giorni. Il numero di persone che hanno accesso all’algoritmo e all’archivio cresce come è ovvio che succeda ai clienti di un buon prodotto. Ma non è ancora nulla, e qui si arriva al punto. Clearview ha creato una versione del suo programma che funziona in realtà aumentata, con un paio di occhiali – quindi va bene anche su un telefonino. In pratica punti gli occhiali oppure la telecamera del tuo telefonino sui passanti e l’algoritmo ti dice in tempo reale le identità delle persone che stai inquadrando. Puoi salire sul treno e sapere chi sono tutti i passeggeri nel tuo vagone. Ora, Clearview ha deciso di fermare questo tipo di evoluzione e gli occhiali che identificano tutte le persone nel tuo campo visivo per ora resteranno soltanto un prototipo. Ma quanta tecnologia è stata inventata per poi rimanere in un cassetto? Nessuna. E quanto tempo ci metteranno queste cose per finire in mano ai privati? Se non lo faranno quelli di Clearview, ci penseranno altri. Se un produttore cinese di telefonini vendesse questa tecnologia come optional di un nuovo modello, è plausibile dire che riscuoterebbe un certo successo di mercato. Dal telefono di oggi che si sblocca perché riconosce la tua faccia al telefono che ti dice come si chiama la persona al tavolo accanto. Se ancora non sapete come questa cosa potrebbe diventare pericolosa, c’è di sicuro qualcuno che lo sa già adesso e non vede l’ora di avere l’accesso a questo nuovo potere.

 

Questo è uno dei modi in cui la tecnologia di sicurezza che in teoria era ottima contro i terroristi si espande tipo blob e tocca anche chi si illudeva di restarne fuori. C’è anche un altro percorso e passa dal Messico e dalle ricche nazioni arabe del Golfo, che hanno grosse responsabilità. Prendiamo il Gruppo Nso, che è una società israeliana specializzata nella sorveglianza dei telefonini. “La nostra tecnologia ha contribuito a fermare crimini orrendi e attacchi terroristici in tutto il mondo – dice una sua dichiarazione ufficiale che dovrebbe rassicurare gli scettici – non tolleriamo un uso sbagliato dei nostri prodotti e rivediamo i nostri contratti a intervalli regolari per assicurarci che non siano usati per altro che non sia la prevenzione e le indagini che riguardano il terrorismo e i criminali”. Il Gruppo è nato dall’idea di due amici di scuola israeliani, Shalev Hulio e Omri Lavrie, che nel 2008 decisero di creare un’applicazione civile della tecnologia sviluppata dall’Unità 8200 (è il reparto dell’intelligence israeliana che si occupa di intercettazioni e comunicazioni, l’equivalente della National Security Agency americana). A loro il New York Times ha dedicato un articolo nel 2019 che è stato scritto da una squadra dei migliori giornalisti specializzati in questioni di intelligence e fa rizzare i capelli. In pratica i due hanno un’idea molto legittima e tranquilla: perché non dare ai proprietari di telefonini un modo per mettersi in contatto con il servizio assistenza in caso di problemi e lasciare che siano i tecnici a risolvere a distanza il problema? I tecnici si collegano al telefonino come se l’avessero in mano, prendono il comando della situazione e fanno quello che devono fare.

 

Il fatto è che negli stessi anni le agenzie di intelligence stanno fronteggiando il problema delle comunicazioni criptate fra telefonini. E’ quel messaggio che vedete all’inizio di una conversazione su WhatsApp (tanto per fare un esempio, ma vale lo stesso con Telegram e gli altri) che dice che lo scambio dei messaggi avviene attraverso pacchetti di dati criptati che sono illeggibili per chi li volesse intercettare. Di colpo, tutti hanno a disposizione comunicazioni blindate contro i tentativi esterni di violarle. E’ una meraviglia per chiunque voglia scambiarsi messaggi senza farsi più intercettare dalle forze di sicurezza. A quel punto la soluzione dei servizi di intelligence è semplice: che ci importa di intercettare i dati che un telefonino si scambia con un altro (tanto non possiamo leggerli) se invece possiamo prendere il controllo di un telefonino senza che il suo proprietario lo sappia? In fin dei conti, tra aggiustarlo a distanza e spiarlo a distanza non c’è molta differenza, bisogna soltanto cambiare il modo per attivare il software. Il Gruppo Nso ha scritto così un programma che si chiama Pegasus, che oggi ha probabilmente molte imitazioni e ancora più efficienti. “Quando queste società ti invadono il telefonino, ne diventano i padroni. Tu lo porti soltanto in giro”, dice Avi Rosen, un consulente israeliano specializzato nella sicurezza elettronica.

 

Pegasus dovrebbe essere un nome molto più celebre considerato quello che riesce a fare, ma resta confinato agli addetti ai lavori. Il primo cliente è il Messico, che paga 77 milioni di dollari per usarlo contro i cartelli della droga. Il risultato, ma non è una storia ufficiale, è l’arresto e l’estradizione negli Stati Uniti di Joaquín Guzmán Loera “El Chapo” – che come tutti sanno era il narcotrafficante più potente del mondo. Il problema è che il governo messicano usa Pegasus anche contro altri bersagli che non sono i narcos, come decine di giornalisti e di critici e anche contro gli investigatori internazionali che stanno indagando sulla sparizione di 43 studenti – secondo Citizen Lab, un laboratorio di ricerca che studia queste cose affiliato all’Università di Toronto. Alcuni bersagli messicani non sono terroristi o criminali, ma sono finiti pure loro sotto controllo. Del resto se hai il potere di sapere cosa succede sui telefonini della gente che ti infastidisce di più, che cosa ti trattiene – a parte la legge e l’etica? Inoltre il Messico non è un paese a tenuta stagna, non c’erano garanzie che Pegasus non avrebbe cominciato a circolare fuori dalle stanze segrete dove si fa la guerra ai narcos.

 


Gli esperti di politica che si vantavano dei messaggi WhatsApp mandati dal saudita Bin Salman si sono pentiti amaramente


 

Il Gruppo Nso dice di avere un comitato etico che decide con chi fare affari e con chi no e che si basa sull’indice globale di trasparenza e di rispetto dei diritti umani dei paesi stilato, fra gli altri, dalla Banca mondiale. Non abbiamo venduto Pegasus alla Turchia, spiegano, perché mette in carcere giornalisti e dissidenti. E però, nota il team di giornalisti del New York Times, Messico e Arabia Saudita sono più in basso rispetto alla Turchia su quell’indice compilato dalla Banca mondiale ed entrambi sono clienti del gruppo. Citizen Lab dice che molti amici e conoscenti di Jamal Khashoggi, l’editorialista saudita attirato con l’inganno dentro il consolato saudita di Istanbul e fatto a pezzi con una sega nell’ottobre 2018, erano tenuti sotto sorveglianza con i software di hacking del Gruppo Nso e sospettano che anche Khashoggi lo fosse – ma è indimostrabile perché il suo telefonino è sparito. Si sa che Saud al Qahtani, l’uomo che per conto del principe erede al trono saudita Mohammed bin Salman sorvegliava Khashoggi, si era rivolto agli israeliani di Nso per acquistare i loro servizi – un segnale di disgelo fra arabi e israeliani molto interessante se non fosse stato fatto con così tanta discrezione. Nel 2013 gli israeliani di Nso hanno fatto un contratto con gli Emirati Arabi Uniti e nel giro di un anno il software è stato usato negli Emirati per spiare il telefono di Ahmed Mansoor, un attivista per i diritti umani. Quando la cosa è stata scoperta, la Apple ha dovuto scrivere un aggiornamento d’urgenza del sistema operativo per tappare la falla da cui gli hacker erano entrati nel telefono del dissidente – che oggi è in carcere con una condanna a dieci anni.

 

“Da tre anni molti esperti di politica si vantano con me di avere il numero personale di Mohammed bin Salman e di scambiarsi messaggini con lui via WhatsApp fin dal 2017. Mi hanno fatto pure vedere i video di deserti e montagne saudite che lui gli mandava in chat. Conclusione: tutti sono stupidi”. Bin Salman è il principe saudita che secondo le accuse uscite la scorsa settimana è riuscito a entrare nel telefonino di Jeff Bezos, il fondatore di Amazon, con un software spia tipo Pegasus che era nascosto dentro un video innocente. Glielo aveva mandato via WhatsApp. Bin Salman, o meglio la squadra di hacker dietro di lui, ha poi succhiato via il contenuto del telefonino di Bezos comprese le foto dell’amante e le chat con lei. A scrivere la cosa di prima – degli esperti che si vantavano di chattare con Bin Salman e di ricevere bei video – è un’analista del medio oriente che ha pensato quello che hanno pensato un po’ tutti. Quante volte e con chi Bin Salman ha fatto lo stesso trucchetto? Si dice persino che Bin Salman avesse un gruppo WhatsApp con Jared Kushner, il genero di Trump incaricato di seguire le faccende mediorientali, con un politico israeliano e con l’emiro Bin Zayed degli Emirati Arabi Uniti e che si chiamasse “il quartetto”. Avrà tentato di fare la stessa cosa anche con loro? Forse si sarà trattenuto, perché gli israeliani in pratica hanno inventato questo tipo di operazioni.

 

Alla fine del 2017 c’è stata una serie di dimissioni nello staff della Nso, formato da ex agenti d’intelligence specializzati in questo genere di operazioni. Il Gruppo si è insospettito, ha assoldato alcuni detective che hanno seguito i tecnici transfughi e hanno scoperto che si erano spostati a Cipro, a lavorare per una società rivale, l’emiratina Dark Matters (ironia della sorte, sono stati beccati con un lavoro di sorveglianza vecchio stile). La Dark Matters è privata, ma è anche un braccio dei servizi degli Emirati Arabi Uniti (la sede centrale è nello stessa torre dell’agenzia di sicurezza emiratina sull’autostrada tra Dubai e Abu Dhabi). Le due società in questi anni si sono fatte una competizione spietata per assoldare gli esperti migliori e a volte se li sono rubati a vicenda con stipendi enormi. L’idea che il business che muove questa gara sia fondato soltanto sulla prevenzione del crimine o del terrorismo è ingenua. L’idea che tutto questo lavoro per azzerare la privacy di persone normali resti contenuto in certe stanze governative e non sia un problema comune già in questo momento è ancora più ingenua.

  • Daniele Raineri
  • Di Genova. Nella redazione del Foglio mi occupo soprattutto delle notizie dall'estero. Sono stato corrispondente dal Cairo e da New York. Ho lavorato in Iraq, Siria e altri paesi. Ho studiato arabo in Yemen. Sono stato giornalista embedded con i soldati americani, con l'esercito iracheno, con i paracadutisti italiani e con i ribelli siriani durante la rivoluzione. Segui la pagina Facebook (https://www.facebook.com/news.danieleraineri/)