A due anni dalle rivelazioni dell’ex analista della CIA Edward Snowden, la Svizzera imbocca una strada discutibile: invece di dare un giro di vite alle intercettazioni di massa, le incentiva.

Diversi raggruppamenti politici, tra cui i partiti giovanili e le reti di attivisti, hanno già annunciato dei referendum in materia. Quando in autunno il Consiglio nazionale e il Consiglio degli Stati approveranno le due leggi dopo aver appianato le lievi divergenze, la Svizzera si ritroverà nel bel mezzo di un acceso dibattito sullo stato di polizia.

Ma andiamo con ordine

Era l’inizio del 2013 quando il ministro della Giustizia Simonetta Sommaruga presentò un progetto di legge per la revisione totale della LSCPT. Di divertente in tutto ciò c’era solo il nome della legge nella sua versione tedesca (Büpf). Dietro quel nome buffo si celavano infatti novità destinate a sollevare polemiche: il campo di applicazione della legge sarebbe stato ampliato, i dati sulle comunicazioni conservati per un periodo di tempo più lungo e le autorità di perseguimento penale avrebbero ricevuto in dotazione nuovi mezzi e apparecchiature per facilitare l’intercettazione delle comunicazioni via cellulare, telefono e Internet.

Le critiche si erano già scatenate nella fase di consultazione del progetto. Tra tutti i partecipanti, circa un centinaio, solo quattro appoggiavano incondizionatamente la legge: i cantoni di Uri, Obvaldo e Ginevra e la Posta Svizzera. Tutti gli altri avevano espresso, in un modo o nell’altro, il proprio disappunto.

novità contestate

Essenzialmente le novità introdotte dalla LSCPT che sono oggetto di contestazione sono cinque: l’impiego dei trojan statali che consentono di introdursi nei computer, la legalizzazione dei cosiddetti IMSI-Catcher, in grado di manipolare e identificare i cellulari presenti entro un certo raggio d’azione, il prolungamento dei tempi di conservazione dei metadati, quelli che forniscono cioè informazioni su chi ha telefonato o scambiato e-mail con chi, quando, da dove e per quanto tempo, l’ampliamento del campo di applicazione della LSCPT e infine il collegamento con la Legge sul servizio informazioni.

1. I trojan statali: i trojan statali, o più cripticamente “Govware”, come preferiscono chiamarli le autorità, sono programmi di cui polizia e pubblici ministeri si servono per entrare nei computer dei sospettati alla ricerca di prove. Gli argomenti dei fautori della legge: dal momento che oggigiorno telefoni ed e-mail non sono il mezzo di comunicazione preferito dai criminali, che prediligono programmi e servizi criptati come Skype o PGP, la semplice intercettazione di telefonate ed e-mail non porterebbe a nulla. Per questo sarebbe necessario hackerare direttamente i PC dei sospettati. La disposizione ha attirato critiche non solo perché consente alle autorità di perseguimento penale di insinuarsi nella sfera privata dei sospettati, ma anche perché questo processo tecnologicamente complesso lascia aperte numerose falle. Sussiste ad esempio il timore che con un trojan statale siano raccolte anche grandi quantità di dati irrilevanti ai fini del procedimento penale. A ciò si aggiunge il problema che i fornitori tecnologicamente in grado di programmare un trojan statale nel rispetto dei paletti di legge sono molto pochi. Per finire, un trojan causa carenze nella sicurezza che rendono il sistema informatico vulnerabile anche da parte di terzi. Per essere più espliciti, il loro impiego è paragonabile a un’azione in cui la polizia apre un varco nelle pareti di casa di un sospettato per irrompere nell’abitazione e perquisirla senza poi però richiuderlo.

2. Gli IMSI-Catcher: gli IMSI-Catcher sono dispositivi che funzionano come degli aspirapolvere. Solo che invece di aspirare lo sporco aspirano dati. Sono infatti in grado di identificare un utente di telefonia mobile in un raggio compreso fino a un chilometro. Questi dispositivi, che adesso sono talmente piccoli da poter essere riposti in uno zaino, funzionano come un’antenna alla quale si agganciano i telefoni cellulari presenti nelle vicinanze. In questo modo è possibile identificare il numero di registrazione internazionale univoco (International Mobile Subscriber Identity, IMSI) di ogni utente. In base all’equipaggiamento di cui si dispone, è possibile non solo identificare il numero IMSI, ma anche manipolare i cellulari e registrare le conversazioni.
Gli IMSI-Catcher possono essere utili se impiegati nella ricerca di persone scomparse, ma contribuiscono certamente anche a un controllo a tappeto. Con un IMSI-Catcher è possibile, ad esempio, sorvegliare tutti i partecipanti a una manifestazione. Nell’ambito dei regimi autoritari questi dispositivi sono quindi particolarmente amati perché permettono di identificare i dissidenti e procedere contro di loro. Nonostante l’impiego degli IMSI-Catcher non sia stato finora ancora disciplinato dalla legge, la Polizia giudiziaria federale ricorre già al loro impiego. Anche la Polizia cantonale di Zurigo ne ha acquistati due l’anno scorso. Ma di che modelli si tratti e chi sia la società fornitrice è un segreto che la Polizia non intende rivelare.

3. La conservazione dei metadati: l’aspetto più criticato è l’estensione della conservazione dei cosiddetti metadati. I metadati consentono di sapere con chi, quando, per quanto tempo e da quale luogo un utente telefona o utilizza la posta elettronica. Già oggi le società di telecomunicazioni come Swisscom, Sunrise o Orange sono tenute per legge a conservare questi dati per un periodo di sei mesi. In futuro questo termine verrà esteso a un anno. Le autorità possono esigere questi dati nell’ambito di un procedimento penale. La principale critica sta proprio in questo: le informazioni vengono memorizzate senza che sussista un sospetto o una ragione, bensì nell’eventualità che in futuro qualcuno diventi perseguibile. In un’intervista in cui si è parlato di conservazione dei metadati, l’incaricato federale della protezione dei dati Hanspeter Thür ha dichiarato che si tratta di una questione spinosa dal punto di vista dei diritti fondamentali, perché così viene istituito il sospetto generale. Infatti, la conservazione dei metadati è una pratica diffusa come misura di sorveglianza preventiva, poiché i dati potranno essere valutati solo a posteriori e dopo che un giudice avrà emesso un provvedimento coercitivo. Il punto è che la sorveglianza non ha inizio nel momento in cui i dati vengono analizzati, ma già dalla loro raccolta.
Diverse corti costituzionali in Austria e Germania e la stessa Corte di giustizia dell’Unione Europea (CGUE) hanno dichiarato la conservazione dei metadati una violazione gravissima dei diritti fondamentali giudicandola illegale. In Germania diversi tentativi di introduzione della conservazione dei metadati sono falliti sotto la pressione dell’ampio dissenso. Al momento il governo è in procinto di discutere una proposta che prevede la conservazione dei dati per un periodo di dieci settimane. Sebbene, in confronto alle leggi europee analoghe, la legislazione svizzera in materia di conservazione dei metadati tuteli maggiormente lo stato di diritto, Digitale Gesellschaft (Società Digitale), una realtà che riunisce reti di gruppi e attivisti politici, insieme al giornalista e responsabile agli studi della scuola di giornalismo MAZ Dominique Strebel e al consigliere nazionale dei Verdi Balthasar Glättli, ha inoltrato al Tribunale amministrativo federale un ricorso contro la conservazione dei metadati. L’obiettivo è che venga dichiarato illegale non solo l’allungamento dei tempi di conservazione dei dati da sei a dodici mesi ma anche la conservazione dei dati in sé. Il ricorso è ora al vaglio del Tribunale amministrativo federale. I promotori dell’iniziativa hanno annunciato di essere pronti, se necessario, a portare la sentenza, attesa entro l’anno, davanti alla Corte europea dei diritti dell’uomo di Strasburgo.
Balthasar Glättli si è battuto per anni nei tribunali affinché i metadati che lo riguardavano non fossero resi pubblici. L’anno scorso è stato lui stesso a metterli a disposizione del portale on-line watson.ch per dimostrare quanto i metadati svelino di una persona. Nonostante i contenuti delle comunicazioni non siano stati esplicitati, era comunque possibile seguire nel dettaglio gli spostamenti compiuti da Glättli nell’arco di sei mesi, sapere dove aveva dormito, con chi aveva parlato e la frequenza e gli orari in cui si era scambiato SMS con la compagna.

4. L’ampliamento del campo di applicazione: mentre la LSCPT attuale concerne le sole società di telecomunicazioni, in futuro saranno interessati dai provvedimenti di legge anche i semplici provider di posta elettronica e reti WLAN. Questo significa che anche i ristoranti e gli hotel che mettono a disposizione una rete aperta potranno essere obbligati a rendere pubblici i dati sulle comunicazioni. E specialmente per i provider più piccoli le eventuali conseguenze economiche potrebbero essere davvero serie.

5. L’accesso ai dati da parte dei servizi segreti: in questo caso non si tratta tanto di una novità controversa introdotta dalla LSCPT, quanto di una conseguenza diretta della legge in questione. Parliamo del pericoloso collegamento creato tra la LSCPT e la Legge sul servizio informazioni. Nonostante il ministro della Giustizia Simonetta Sommaruga non abbia mai perso occasione per ribadire che la LSCPT non deve essere confusa con la Legge sul servizio informazioni (LSI) e che nel caso della legge non si tratta di una forma di sorveglianza preventiva, i due strumenti legislativi sono strettamente correlati tra loro. Infatti, nel caso passassero entrambe le leggi sulla sorveglianza, in futuro anche i servizi segreti avrebbero accesso ai dati raccolti ai sensi della LSCPT. Sebbene questa intromissione nella sfera privata delle persone debba essere legalizzata anche ai sensi della Legge sul servizio informazioni e il Tribunale amministrativo federale la debba approvare, la legittimità di tale misura in termini di rispetto dello stato di diritto rimane altamente discutibile, dal momento che il sospettato non ha la possibilità di sapere se i servizi segreti lo stiano sorvegliando, né tantomeno di reagire presentando un ricorso.

Utilià non comprovata
La consigliera federale Sommaruga spiega che l’innovazione tecnologica ha reso necessaria l’introduzione di adeguamenti di legge. E che Internet non può essere lasciato in balia dei criminali. I sostenitori di una sorveglianza più serrata adducono sempre gli stessi reati che, a loro dire, senza un apparato di sorveglianza sviluppato non possono essere indagati. L’avvocato Martin Steiger, specializzato in tematiche digitali, ha definito questi reati i “cavalieri dell’apocalisse” di Sommaruga: traffico di stupefacenti, pornografia infantile, terrorismo e crimine organizzato.

Nel 2013 la rivista WOZ ha analizzato per la prima volta le statistiche sugli ordini di sorveglianza emessi in tutta la Svizzera, scoprendo che di questi quattro crimini, tre avevano rivestito un ruolo molto marginale. Nel 2012 le sorveglianze ordinate per traffico di droga costituivano circa il 40%. Degli oltre 10.000 ordini di sorveglianza complessivi, 41 casi appena riguardavano la pornografia infantile, 79 la criminalità organizzata e 239 il terrorismo.

Persino un sostenitore della linea dura come il procuratore capo del cantone di San Gallo Thomas Hansjakob, fervente promotore della LSCPT, in occasione di una tavola rotonda all’Università di Zurigo ha dichiarato che saranno stati all’incirca un centinaio di casi (circa 50 di pornografia infantile, e circa altrettanti di reati economici) sui quali, nella peggiore delle ipotesi, non sarebbe stato possibile indagare. Nulla di grave, secondo Hansjakob, il quale ha aggiunto di infuriarsi al pensiero che i dati, pur essendo stati conservati, non fossero accessibili.

Questa affermazione mette in luce un problema di fondo nel dibattito sull’ampliamento del campo di applicazione della sorveglianza, e cioè che è dettato da desideri e avidità invece che da necessità ed efficacia. Pertanto l’indispensabilità di introdurre questo ampliamento non è comprovata. L’istituto tedesco Max Planck, dopo aver analizzato l’efficacia dei metadati, è arrivato persino alla conclusione opposta. Uno studio pubblicato nel 2010 sostiene che, in un confronto con la situazione tedesca, non esistono prove che la memorizzazione dei metadati attuata in Svizzera da circa un decennio abbia contribuito in maniera sistematica al miglioramento delle indagini.

Per questo nel dibattito sulla LSCPT si preferisce far leva sulle affermazioni dei gruppi di interesse. Naturalmente i pubblici ministeri apprezzano il fatto di ricevere più informazioni, avere accesso a raccolte di dati più ricche e disporre di mezzi di sorveglianza più efficaci. Ma tutto questo è davvero necessario? E giustifica una violazione di tale gravità della sfera privata di tutti i cittadini e tutte le cittadine?

* Carlos Hanimann è redattore alla WOZ .