Si chiama CISPA, acronimo di Cyber Intelligence Sharing and Protection Act, ed è il famigerato disegno di legge statunitense lanciato lo scorso anno dai repubblicani Mike Rogers e Dutch Ruppersberger, dapprima approvato alla camera dei rappresentanti e poi arenatosi presso il senato degli Stati Uniti, anche a fronte della pubblica disapprovazione di facciata espressa da Barack Obama. Sembrava defunto per sempre e invece CISPA è tornato, leggermente modificato ma invariato nella sostanza, ed è stato ripresentato alla House of Representatives USA il 13 febbraio 2013, suscitando nuovamente le rimostranze e le preoccupazioni degli attivisti a difesa della libertà del web e della privacy individuale, esattamente come non più di un anno fa.

L’obiettivo della proposta di legge H.R. 264 è consentire alle aziende e al governo federale USA la condivisione di informazioni al fine di prevenire o contrastare attacchi informatici alle reti e via Internet, consentendo alle aziende di identificare ed ottenere informazioni sulle potenziali minacce ricercandole fra le informazioni private e sensibili dei cittadini, al fine di salvaguardare il proprio business e supportare la sicurezza nazionale. Grazie a CISPA, infatti, qualsiasi azienda statunitense potrà utilizzare non specificati sistemi di cyber security per identificare ed ottenere informazioni inerenti minacce cibernetiche con l’obiettivo di proteggere i propri diritti e proprietà. Le informazioni raccolte, quindi, potrebbero essere condivise con terze parti, fra cui il governo federale, a fronte di non ben precisate “necessità di cyber security”.

CISPA, però, contiene una serie di disposizioni assolutamente allarmanti per la salvaguardia della privacy individuale ed è stato scritto adottando una struttura e una terminologia pericolosamente vaghe e aperte a qualsiasi libera interpretazione. Inoltre, esso mette in primo piano le esigenze delle aziende e del governo rispetto ai diritti fondamentali del cittadino e non prevede alcuna restrizione d’uso dei dati sensibili condivisi all’insaputa del diretto interessato né alcun tipo di responsabilità pubblica.

Il fatto che i maggiori fruitori di questo scambio di informazioni con il governo federale siano il Department of Homeland Security (DHS), la National Security Agency (NSA) e il Federal Bureau of Investigation (FBI) fa pensare ad un vero e proprio programma di intelligence surveillance legalizzato e posto sotto diretto controllo militare, senza alcuna trasparenza o responsabilità civile e con la più totale immunità concessa alle aziende aderenti alle operazioni di monitoraggio, acquisizione e condivisione di informazioni.

In particolare, le disposizioni contenute nel CISPA diverrebbero effettive a scapito di qualsiasi altra legge, pertanto leggi ormai assodate come il Cable Communications Policy Act (1984), il Wiretap Act (1968), il Video Privacy Protection Act (1988) e l’Electronic Communications Privacy Act (1986) non sarebbero più applicabili al contesto a difesa dei diritti dei cittadini. Non bastasse questo, i dati acquisiti e condivisi in ambito CISPA sarebbero del tutto esenti dalle disposizioni del Freedom of Information Act (FOIA, 1967) e non potrebbero essere oggetto di richieste di accesso avanzate dai diretti interessati.

In aggiunta, CISPA prevede che il rapporto di condivisione e comunicazione avvenga esclusivamente fra aziende e governo, senza alcuna notifica al privato cittadino che verrebbe lasciato completamente all’oscuro sulle operazioni di monitoraggio e violazione della privacy che lo riguardano, anche qualora venisse in seguito riconosciuta un’effettiva violazione dei diritti di privacy individuale ai suoi danni.

Le erronee premesse e i pericoli derivanti

Il problema principale di CISPA è che le premesse sulle quali poggia l’intera struttura del disegno di legge sono profondamente errate. Innanzitutto la già citata vaghezza dei contenuti, che apre la strada alle più disparate interpretazioni, soprattutto a vantaggio del governo federale. Le aziende si vedrebbero garantito il potere di ottenere e condividere informazioni, anche sensibili, a fronte di due eventualità: necessità di cyber security ed esigenze di protezione dei propri diritti e proprietà.

Ma in che modo l’acquisizione e la condivisione di informazioni personali e sensibili potrebbero prevenire e difendere aziende e governo da attacchi cibernetici? Non si è mai sentito che un potenziale attaccante pubblichi informazioni inerenti un attacco informatico o qualsivoglia intenzione in tal senso, attivisti di Anonymous a parte. Oltretutto la sicurezza delle infrastrutture tecnologiche si ottiene con ben altri mezzi quali, ad esempio, l’allestimento di architetture web sicure, l’adozione di credenziali e di meccanismi di autenticazione robusti, la gestione e la prevenzione delle vulnerabilità, la ricerca, la formazione e l’educazione sulla sicurezza. Prova ne sia che la stragrande maggioranza di attacchi informatici verso le aziende avviene grazie a tecniche di social engineering e di spearphishing, oppure per mezzo di attacchi informatici e malware in grado di sfruttare vulnerabilità hardware e software, eventi che CISPA non indirizza minimamente.

Una maggiore sorveglianza e la condivisione di informazioni con gli organi federali non comporta necessariamente una maggiore sicurezza cibernetica, soprattutto in ottica di prevenzione. Inoltre la discrezione sull’attuabilità dei poteri concessi da CISPA è totalmente in carico alle aziende, senza alcun obbligo di notifica all’utente interessato e senza alcuna necessità di mandato giudiziario o altro tipo di autorizzazione preventiva.

Ciò significa che qualsiasi Internet Service Provider, servizio di hosting, servizio di storage in cloud o qualsiasi altro servizio che ospita dati personali e sensibili degli utenti potrebbe consegnarli a totale insaputa del proprietario al governo federale degli Stati Uniti. Un problema, quindi, che interessa anche noi utenti italiani, visto che praticamente tutti i grossi provider di servizi web hanno sede negli Stati Uniti, primi fra tutti Google, Facebook, Twitter, YouTube, Microsoft e Apple, e dato che buona parte di questi si sono schierati a favore dell’introduzione di CISPA.

L’evidenza delle reali intenzioni

Dunque, ricapitolando, un disegno di legge viene proposto al parlamento statunitense per motivi di sicurezza cibernetica e per difendere diritti e proprietà delle aziende, ma non tiene minimamente conto della sicurezza, dei diritti e della proprietà (anche intellettuale) dei cittadini. In aggiunta, come prevenzione e soluzione al problema degli attacchi informatici prevede l’acquisizione e la condivisione di informazioni personali private e sensibili fra aziende e governo, senza interessare minimamente il proprietario dei dati, invece che prevedere una campagna di sensibilizzazione delle aziende e dei dipendenti verso la comprensione dei principi cardine della sicurezza delle informazioni, magari spingendo verso l’adozione di misure di sicurezza più consone agli standard di settore e alle leggi e regolamentazioni vigenti.

Se il problema è la sicurezza cibernetica, allora un disegno di legge dovrebbe riguardare i più diffusi standard e le più avanzate metodologie disponibili nel settore della sicurezza delle informazioni, non l’acquisizione di informazioni private. Standard e metodologie come il governo della sicurezza (quante aziende, anche di grosse dimensioni, non hanno una vera e propria funzione di information security e nemmeno un CISO?), la gestione dei rischi, la gestione delle vulnerabilità, l’adozione di architetture sicure e di soluzioni di defense-in-depth, l’attuazione di processi di information security management e security awareness. Tutti concetti in merito ai quali uno dei più autorevoli enti a livello internazionale è proprio il National Istitute of Standards and Technology (NIST), agenzia federale statunitense che, mediante la Computer Security Division, sovrintende alla definizione e all’applicazione dei più aggiornati e riconosciuti standard di sicurezza.

Com’è noto,

se cammina come un’anatra, nuota come un’anatra e starnazza come un’anatra, molto probabilmente è un’anatra.

Se un disegno di legge ha l’obiettivo dichiarato di proteggere le reti, le proprietà e il business delle aziende e la sicurezza nazionale USA ma poi esso ignora del tutto la vasta e validissima letteratura già esistente sul tema e il suo unico effetto consiste nella riduzione e l’aggiramento dei diritti fondamentali dei cittadini, allora molto probabilmente esso è stato disegnato e proposto proprio per questo. In definitiva, come già denunciato su questo blog, CISPA va ad aggiungersi agli altri numerosi e svariati tentativi di censurare la libertà della rete e minare le libertà e i diritti individuali e costituzionali del cittadino.

Ecco perché diventa assolutamente opportuno condividere ed appoggiare le iniziative di contrasto promosse e avanzate dall’Electronic Frontier Foundation (EFF) e dalle altre organizzazioni a difesa della libertà individuale e della libertà della rete. Per maggiori informazioni su CISPA consiglio l’attenta consultazione delle domande più frequenti (FAQ) predisposte dall’EFF per spiegare in cosa consiste la nuova versione di CISPA e perché esso resti tuttora estremamente pericoloso. Infine, presso il sito istituzionale della Casa Bianca è stata avviata una petizione, indirizzata all’amministrazione Obama per chiedere l’abbandono del disegno di legge CISPA, alla quale possono partecipare i cittadini americani in possesso di un account whitehouse.gov.

Clicca qui per scaricare il PDF della proposta di legge CISPA

Ettore Guarnaccia