NewsInternet

L’Europa ha pagato corsi per insegnare come spiare i cittadini online

Fondi comunitari sono stati usati dall’agenzia Cepol per formare le forze dell’ordine in Africa e nei Balcani alla sorveglianza digitale

Hacker (Getty Images)Quando pensiamo ai finanziamenti dell’Unione europea, immaginiamo bandi che favoriscono la crescita dei cittadini degli Stati membri in molti settori, dall’agricoltura all’educazione fino ad arrivare a temi più complessi come la trasparenza. Ma l’organizzazione non governativa inglese Privacy international, impegnata nella tutela della riservatezza delle informazioni, ha però recentemente pubblicato centinaia di documenti ottenuti grazie all’accesso agli atti (Foia) che mostrano come l’Unione europea sia attiva anche nel finanziamento di tecnologie di spionaggio, sorveglianza e tracciamento, soprattutto in paesi extra-europei.
Dopo un anno di negoziati che hanno visto l’organizzazione opporsi con gli organismi dell’Ue a seguito della richiesta di accesso del settembre 2019,  abbiamo la possibilità di ricostruire un’immagine molto più chiara delle attività di formazione svolte da Cepol, Agenzia europea per la formazione delle forze dell’ordine e dei funzionari operativa dal 2006 e con quartier generale a Budapest, in Ungheria. Abbastanza sconosciuta, Cepol organizza giornate di formazione nelle principali capitali rivolte alle agenzie di sicurezza in Africa e nei Balcani. Nel fitto programma ampio risalto è dato alle tecniche di spionaggio e tracciamento dei cittadini su internet e sui social media attraverso strumenti di sorveglianza che, seppur basilari e conosciuti, minano ancor di più i diritti umani (e digitali) dei cittadini di questi paesi. 
Per esempio, nel 2018 il progetto Eu/Mena Counterterrorism Training Partnership 2 ha portato Cepol a collaborare con le autorità di paesi come Algeria, Giordania, Libano, Marocco, Tunisia e Turchia su tematiche come la sicurezza informatica, il contrasto all’estremismo online e al terrorismo. Il budget del progetto ammontava a 6,5 milioni di euro. Il finanziamento dell’agenzia per l’anno successivo è stato di 9 milioni di euro. 

A scuola di sorveglianza

Molti paesi della penisola balcanica non fanno parte dell’Unione europea. Sono Stati nei quali attivisti, giornalisti e cittadini non sono tutelati dagli stessi diritti che tutelano un cittadino europeo e per questo le tecniche di sorveglianza hanno un impatto molto maggiore. Il rapporto sul Montenegro realizzato nel 2019 da Amnesty International, per esempio, evidenzia un alto livello di corruzione e numerosi attacchi ai diritti umani della popolazione da parte della polizia. Ma non solo: sotto la formazione di Cepol ricadono anche il Kosovo e la Bosnia Herzegovina. 
Le tecniche di sorveglianza insegnate riguardano soprattutto l’open source intelligence (Osint), l’utilizzo di malware e trojan, attacchi man-in-the-middle attraverso la rete wifi e la creazione di profili falsi sui social media per attività investigativa illecita. 
Diapositiva realizzata da Cepol per la conferenza “Effective financial Investigations against organised criminal groups – Gathering of evidence and its challenges”, avvenuta nel maggio 2019 a Budua, Montenegro

Spionaggio sui social

L’Osint è una branca dell’intelligence che prevede la ricerca, la raccolta e l’analisi di dati e informazioni pubbliche allo scopo di colmare il gap informativo su un individuo, un gruppo di individui o un’organizzazione. Possiamo facilmente immaginare quanto questa attività sia divenuta per le forze dell’ordine sempre più cruciale in un’epoca scandita dall’utilizzo di internet e dei social media.
Le informazioni ottenute tramite queste fonti aperte non sono del tutto affidabili (pensiamo per esempio ai possibili profili falsi sui social media o ad articoli di giornale non verificati) ma giocano un ruolo importante nelle investigazioni soprattutto perchè non prevedono il coinvolgimento della persona attenzionata. Internet è sicuramente la fonte aperta più rilevante, soprattutto se la penetrazione di questo mezzo nella vita quotidiana dei cittadini è molto alto: in Montenegro, secondo le slide di Cepol – che si basa sui numeri di Statista – gli utenti su internet nel 2018 erano 439.624 su una popolazione di 629.355 (dato 2019). 
L’intelligence su fonti aperte può essere fatta utilizzando informazioni provenienti da account e profili Instagram, Facebook, Twitter e di tutti i social network o siti nei quali registriamo informazioni anche molto semplici e poco dettagliate di noi stessi. Nella formazione sono spiegate alcune tecniche che richiedono poco sforzo (come per esempio la scannerizzazione del codice a barre di un biglietto aereo) ma che forniscono, unitamente ad altro, informazioni utili a tracciare un individuo. Queste azioni vengono svolte attraverso server dedicati che monitorano anche 24 ore su 24 i target individuati, estrapolando e memorizzando dati che poi vengono analizzati sia da agenti della polizia sia in maniera automatica dai computer.
Diapositiva realizzata da CEPOL per la conferenza “Effective financial Investigations against organised criminal groups – Gathering of evidence and its challenges”, avvenuta nel maggio 2019 a Budua, Montenegro 
Diapositiva realizzata da CEPOL per la conferenza “Osint, Darknet et techniques d’investigation”, avvenuta nell’aprile 2019 a Zeralda, Algeria

Profili falsi

I social network vengono attivamente monitorati dalle forze dell’ordine attraverso diverse tecniche. Come spiegato in una sessione di training realizzata da Cepol nell’aprile del 2019 e indirizzata a colonnelli e comandanti della Gendarmeria nazionale algerina, le autorità sono addestrate all’utilizzo di profili falsi, anonimi e irrintracciabili che in gergo informatico sono chiamati sock puppets. A tutti noi è capitato di ricevere una richiesta di amicizia da un profilo apparentemente normale, ma che non appartiene alla nostra cerchia di amici o non contiene abbastanza elementi per farci capire chi possa essere. I profili anonimi e irrintracciabili sono utilizzati durante le investigazioni proprio allo scopo di entrare nella vostra cerchia intima e carpire informazioni .
Nella formazione Cepol fornisce informazioni pratiche molto dettagliate: suggerisce la creazione di più profili utilizzando sim diverse per account diversi, di postare al di fuori degli orari lavorativi (come fanno la maggior parte delle persone vere sui social network) e di interagire con altri utenti. In questo modo le autorità giudiziarie infrangono i divieti imposti sulla creazione dei profili dai termini di servizio delle piattaforme social (Facebook, Twitter), nonché le direttive europee in materia
 
Diapositiva realizzata da CEPOL per la conferenza “OSINT, Darknet et techniques d’investigation”, avvenuta nell’aprile 2019 a Zeralda, Algeria

“Il futuro è nel malware”

Il materiale ottenuto da Privacy International suggerisce dunque che Cepol stia facilitando abusi da parte delle agenzie di sicurezza di numerosi paesi. In Kosovo e Bosnia Herzegovina Cepol forma le autorità sull’estrazione dei dati e sull’utilizzo di malware e trojan da inoculare all’interno di dispositivi mobili o pc. Nel corso di formazione, tenuto dalla Policia nacional spagnola, si illustra la possibilità di accedere a dati dell’utente connessi al gps o alle immagini contenute in un telefono, così come l’utilizzo di software di analisi forense che permettono l’estrazione di dati presenti in server di terze parti (che solitamente vengono memorizzati per effettuare back up). In questo caso è impensabile la quantità di dati e informazioni che possono essere raccolte nel caso in cui la polizia riesca ad accedere a servizi in cloud come Dropbox e iCloud, utilizzati da milioni di utenti. Per garantire questo accesso, viene insegnato il funzionamento di software come Xry e Ufed, prodotti dalla svedese Micro Systemation e dalla israeliana Cellebrite. 
 
Diapositiva realizzata dalla Policia Nacional spagnola in una sessione di training alle autorità di intelligence e sicurezza bosniache sulle tecniche di contrasto al riciclaggio di denaroL’utilizzo di strumenti di hacking è fortemente consigliato da Cepol poiché velocizza il processo di acquisizione dei dati da parte delle forze dell’ordine che, altrimenti, dovrebbero richiedere rogatorie internazionali o la cooperazione di terze parti (aziende, altri governi) per accedervi. Malware e trojan sono una porta di accesso remoto a microfoni, videocamere e gps, ovvero alla vita quotidiana di milioni di cittadini. Diritti umani fondamentali come la libertà di espressione, di manifestazione, di parola, l’attivismo e l’attività giornalistica possono essere gravemente compromesse dal potere e dalle risorse economiche di uno stato utilizzate a questi scopi.                           
E nel caso in cui non fosse possibile avvalersi di malware o trojan, in Montenegro Cepol insegna anche come utilizzare strumenti di identificazione di telefoni cellulari presenti in una determinata area. Chiamato in gergo tecnico Imsi, identità internazionale di utente di telefonia mobile, è una riga di numeri (univoca) custodita all’interno delle sim card di ogni telefono. È molto prezioso proprio per la sua unicità poiché contiene il codice del paese in cui la sim è registrata, il codice di rete, che identifica lo stato, e il numero univoco dell’utente all’interno della rete del suo operatore telefonico. Una miniera di informazioni che torna molto utile alle forze dell’ordine per sapere se, ad esempio, il target sul quale si sta indagando è in una determinata area in un dato momento. Viene spesso utilizzato per controllare spostamenti e azioni durante manifestazioni o proteste. Inoltre, attraverso i cosiddetti Imsi catcher è possibile intercettare anche messaggi o chiamate scambiati tra due telefoni. 
Grazie al lavoro di Privacy International è dunque sotto gli occhi di tutti e (ora) in completa trasparenza il ruolo giocato dall’Unione europea nell’esportazione di strumenti, tecniche e software che permettono la sorveglianza di massa in paesi extra-Ue e non democratici. Informazioni che, anche alla luce delle ultime decisioni prese dal Parlamento europeo in merito all’esportazione di prodotti o tecnologie, inclusi strumenti di sorveglianza cosiddetti “dual use”, lasciano l’amaro in bocca. 
 
]]>

Potrebbe interessarti anche

leggi articolo completocliccando qui


Articolo Originale di Laura Carrer, pubblicato e leggibile in originale a questo indirizzo e qui citato a fini di diffusione. Tutti i diritti sono riservati all’autore e alla testata di riferimento.

Show More

Articoli Suggeriti per Te

Back to top button