Colombia sorvegliata da Hacking Team e altre aziende

Colombia sorvegliata da Hacking Team e altre aziende

BOGOTA’ – Le comunicazioni della Colombia sono state spiate da diversi sistemi di intercettazione e con l’aiuto di aziende occidentali come anche la Hacking Team, società milanese. Una sorta di “Datagate colombiano”, scrive Carola Frediani sul Secolo XIX, come emerge da due rapporti che sono stati pubblicati nell’ultima settimana e in cui si dimostra che le comunicazioni colombiane sono state intercettate massivamente e indiscriminatamente.

Tra i clienti di Hacking Team, scrive la Frediani, anche la Dea, agenzia antidroga statunitense, che si sarebbe avvalsa del suo sistema di spionaggio Rcs per monitorare l’ambasciata di Bogotà:

“Subito dopo l’attacco infatti, dalle comunicazioni interne di Hacking Team sulla DEA, l’agenzia antidroga statunitense, indicata tra i clienti della società milanese, era già emerso un dettaglio interessante. Ovvero che non solo la DEA usava il software spia all’estero, in Colombia, nell’ambasciata americana di Bogotà, ma anche che impiegava un’altra tecnologia, fornita da altre aziende, per rastrellare le comunicazioni internet in maniera massiccia. «Abbiamo incontrato la persona [della DEA, ndr] che si occupa del sistema qui in Colombia – scrive nel giugno 2015 un dipendente di Hacking Team in una comunicazione interna – Ci ha detto che ha bisogno del nostro supporto tecnico perché hanno comprato un altro strumento di intercettazione (qualcosa che riceverà tutto il traffico dei provider internet colombiani) e lo metteranno nella stanza dove attualmente si trova Rcs, per cui devono spostare Rcs in un altro posto dentro l’ambasciata».

Che la DEA fosse un cliente di Hacking Team era già stato rivelato qualche mese prima daMotherboard, ma che l’agenzia Usa lo utilizzasse a Bogotà, e soprattutto che parallelamente avesse messo in piedi un sistema per intercettare il traffico internet del Paese, era indubbiamente una prima novità.

Ma ora si sono aggiunti due rapporti della Ong britannica Privacy International che tratteggiano un Paese ben avviato sulla strada della sorveglianza di massa, un caso studio in negativo del monitoraggio indiscriminato. Uno “Stato ombra” costruito dalla polizia colombiana, al di fuori della legge. E in questa costruzione appare preminente il ruolo, come al solito, di molte aziende occidentali, alcune delle quali abbiamo già visto esezionato in precedenti articoli su La Stampa.

«L’industria della sorveglianza è la linfa delle attività di sorveglianza statali in tutto il mondo», scrive Privacy International nel secondo rapporto, focalizzato sul settore privato, uscito questa notte. «Aziende come Verint Systems, NICE Systems, Pen-Link, Komcept, Hacking Team, e i loro partner colombiani (…) facilitano la sorveglianza di Stato. Perciò sono in parte responsabili della liceità dell’utilizzo delle loro tecnologie e dell’impatto che hanno sui diritti umani».

La Colombia non è nuova a scandali legati alle intercettazioni, scrive il Secolo XIX. Basti pensare a quando il Das, dipartimento amministrativo di sicurezza, sorvegliò e molestò oltre 600 figure pubbliche:

“Il famoso scandalo del DAS rivelò che giornalisti, attivisti e membri dell’opposizione erano il target di sorveglianza selettiva e persecutoria”, conferma Maria Juliana Soto, della Ong per i diritti digitali in America Latina Digital Rights LAC.

Il salto di qualità è avvenuto nel 2007, quando la polizia (Direzione di investigazione criminale o DIJIN) ha acquistato PUMA, una piattaforma unica di monitoraggio e analisi del traffico telefonico e internet collegata direttamente all’infrastruttura dei provider attraverso delle sonde che copiano grandi quantità di dati e li mandano al DIJN. Non si trattava dell’unico sistema: anche un altro ramo della polizia, la Direzione di intelligence o DIPOL, aveva già acquistato nel 2005 un suo sistema di sorveglianza automatizzato e di massa delle comunicazioni, noto come IRS: poteva intercettare fino a 100 milioni di metadati e 20 milioni di sms al giorno. Ma PUMA resta il sistema più potente e sofisticato, scrive Privacy International. E soprattutto, una simile sorveglianza di massa non è mai stata autorizzata dalla legge colombiana.

In compenso il sistema appare strettamente legato alle aziende occidentali. PUMA ha operato infatti utilizzando la tecnologia di due aziende israeliane, prima Verint e poi dal 2013, NICE Systems. Ha subito però uno stop nell’agosto 2014, quando il procuratore generale Montealegre ne ha contestato l’utilizzo proprio perché privo di sufficienti controlli.

Ma, scrive Privacy International, Hacking Team, oltre che vendere alle DEA, aveva anche due progetti con la polizia colombiana, “uno dei quali appare collegato al sistema di sorveglianza PUMA”. Il report si ferma qua nel dettaglio ma a giudicare dall’analisi dei documenti di Hacking Team pubblicati (ancora né confermati né smentiti dall’azienda) i due progetti/contratti si riferirebbero in un caso alla DIPOL, la già citata Direzione di intelligence della polizia: qui il contratto sarebbe passato attraverso l’azienda colombiana Robotec, partner di Hacking Team in diversi paesi latino-americani, da Panama all’Ecuador. Il secondo progetto appare invece essere per la Direzione nazionale della polizia, DIPON, e collegato proprio al programma PUMA. A giudicare dalle comunicazioni – che nel 2013 citano un’offerta per “soluzioni integrate per il SINGLE MONITORING AND ANALYSIS PLATFORM (PUMA)” – si tratterebbe infatti del programma descritto sopra. Le trattative – che passano attraverso l’israeliana NICE – si prolungano però per mesi, forse in conseguenza del rallentamento e dello stallo subito dal sistema di monitoraggio colombiano, su cui erano filtrate alcune informazioni e che era stato contestato dalla società civile.

Entrambi i contratti – il primo, quello col DIPOL, appare siglato effettivamente; il secondo sembra invece sul punto di andare in porto poco prima dell’attacco ad Hacking Team – «sono stati finanziati con fondi programmati per rafforzare PUMA, la Piattaforma Unica di Monitoraggio e Analisi che nel 2013 era già sotto pubblico scrutinio per le sue capacità invasive, e senza che allora sapessimo della sua relazione col software Rcs», scrive nel suo blog l’organizzazione per i diritti digitali in America Latina Digital Rights LAC. E poi ancora aggiunge: «Il fatto che, due anni dopo, le capacità di PUMA siano ancora oscure mostra la mancata trasparenza dei sistemi di intelligence», specie considerata la storia nazionale di abusi in materia.

Per Maria Juliana Soto di Digital Rights LAC, i rapporti usciti ora «mostrano come le agenzie di intelligence siano interessate ad espandere le loro capacità di sorvegliare i cittadini senza alcun controllo da parte dello Stato».

Interpellata per un commento, Hacking Team ha risposto di non poter «scendere nel dettaglio su come la sua tecnologia venga utilizzata perché i suoi clienti si affidano al suo software per condurre indagini confidenziali da parte delle forze dell’ordine. Divulgare qualsiasi dettaglio significherebbe chiaramente dare un vantaggio a criminali e terroristi».

«Certo che i governi hanno bisogno di usare strumenti di sorveglianza per individuare il crimine, nessuno lo contesta», commenta il responsabile della comunicazione di Privacy International, Matthew Rice. Ma aggiunge: «Se tutto questo è per combattere il crimine, perché non è ben chiaro quali siano i controlli usati per supervisionare simili strumenti e proteggerci da abusi? E perché questi sistemi di sorveglianza sono tenuti nascosti al pubblico? Perché non sembra esserci alcun un controllo sulla loro legalità?».

Parla della Colombia, ma le domande sono valide anche per molti altri Paesi”.