Turchia, tutti i cittadini sotto sorveglianza
Da quasi due anni l’Autorità per le telecomunicazioni e le tecnologie informatiche, ente ministeriale turco, richiede ai fornitori di servizi Internet i metadati di tutto il traffico dei loro clienti. A rivelare questa operazione di sorveglianza di massa un’inchiesta del giornalista Doğu Eroğlu
Un’investigazione del giornalista Doğu Eroğlu per il portale turco Medyascope rivela i documenti attraverso cui, a partire dal dicembre 2020, l’Autorità per le telecomunicazioni e le tecnologie informatiche (BTK), che dipende dal ministero dei Trasporti e Infrastrutture, richiede a 313 fornitori di servizi Internet (ISP) i log di tutto il traffico dei loro clienti. Ogni ora.
I metadati raccolti non riguardano il contenuto delle comunicazioni, a patto che siano protette da crittografia, quanto piuttosto il come, quando e dove avviene una certa comunicazione. Coinvolgono tutto il traffico effettuato attraverso computer e dispositivi mobili da circa 88 milioni di utenze, da un anno e mezzo ad oggi: i siti web consultati, le applicazioni di messaggistica usate, gli indirizzi IP coinvolti e ai quali può corrispondere una geolocalizzazione e un indirizzo fisico, la data e l’ora di inizio e fine di ogni comunicazione, la quantità di dati scambiati, ma anche l’eventuale uso di VPN, soluzioni software molto utilizzate in Turchia per aggirare la censura e proteggere in parte il proprio anonimato online. Ogni log è accompagnato da nome e cognome, permettendo così di tracciare, quasi in tempo reale, le abitudini digitali e i contatti sociali di ciascun cittadino. 11 terabyte di dati raccolti quotidianamente da BTK, secondo i documenti analizzati. Una mole enorme.
I metadati rappresentano spesso una fonte anche più preziosa del contenuto stesso. Aiutano la profilazione di ciascun cittadino, specialmente se aggregati con altri dati. Già nel 2018 BTK aveva chiesto ai fornitori di inoltrare all’autorità i dati personali relativi ad ogni utenza: non solo nome e cognome, data di nascita, codice fiscale, ma anche professione, iscrizione alle camere di commercio per le persone giuridiche, numero di passaporto, nome dei genitori, utenze telefoniche collegate, attuali e precedenti.
A questa richiesta gli ISP, oltre 200 riuniti sotto una comune associazione, si sono opposti in tribunale, con un giudizio che però non è stato ancora pronunciato. Temono che acconsentire alle richieste di BTK si traduca per loro in una violazione del dovere di confidenzialità, stabilito dalla legge di protezione dei dati personali.
“Ma nel caso dei log sul traffico dati, gli ISP temono ancor di più che disobbedire significhi ritorsioni economiche da parte dell’autorità da cui dipendono per l’accesso al mercato.” spiega Eroğlu.
Una sorveglianza di massa, preventiva e indiscriminata, che produce un’enorme massa di dati che viene accantonata perché in futuro potrebbe servire. Ma per cosa? “Non conosciamo nulla degli scopi specifici di questa raccolta dati” continua Eroğlu. Tanto meno ci sono informazioni su come questi dati vengano conservati, con chi vengano condivisi, chi vi abbia accesso, chi sia responsabile della loro supervisione. “È il prossimo passo di questa indagine”.
Secondo il parlamentare repubblicano Onursal Adıgüzel, che già a giugno scorso aveva cominciato a fare luce sullo scandalo BTK in una serie di Tweet, una delle lettere confidenziali che l’autorità ha inviato ai fornitori parla di “ottenere informazioni più dettagliate in merito alle attività che si svolgono su Internet nell’ambito delle finalità forensi e preventive”.
La costruzione di uno o più dataset collegati a questa raccolta dati può rispondere a diverse esigenze, che vanno dall’analisi statistica alla raccolta di intelligence. Ma c’è anche chi sostiene che “la rivelazione che un’agenzia governativa sta raccogliendo i dati di tutti gli utenti Internet turchi richiama alla mente lo scandalo Cambridge Analytica” ha affermato Yasir Gökçe, esperto legale di sicurezza informatica e consulente per la sicurezza delle informazioni consultato dal quotidiano Ahval, secondo cui questi dati possono essere usati per profilazione e campagne di marketing politico in vista delle prossime elezioni del 2023.
“I sospetti circa l’attività di sorveglianza di massa c’erano da anni” continua Eroğlu. Oggi sappiamo almeno in parte come questo avviene, per quello che è stato già battezzato il BTK-gate.
“Un’attività del tutto illegale” sostiene Eroğlu, con cui verrebbero violati contemporaneamente la legge sulla protezione dei dati N. 6698, gli articoli del codice penale come il 135, che dispongono i casi di acquisizione di dati personali da parte dell’autorità pubblica, l’articolo 20 della costituzione che tutela il diritto alla privacy.
Sullo sfondo resta la legge 5651, la cosiddetta “Legge Internet”, che agli articoli 6 e 10 definisce i doveri degli ISP in materia di conservazione dei dati degli utenti (tra un minimo di sei mesi e un massimo di due anni), la loro trasmissione alle autorità, i rapporti di collaborazione tra ISP e autorità nell’ambito della cybersicurezza nazionale e le sanzioni per inadempienza. Menzionato anche un obbligo per gli ISP di tutela della confidenzialità delle informazioni, ed è qui che può risiedere uno dei profili di illegalità rispetto alle informazioni non anonimizzate che BTK ha richiesto.
“Anche perché tali richieste dati devono essere sostenute da una richiesta di un giudice” conclude Eroğlu, sottolineando così uno degli aspetti più critici dello scandalo BTK-gate: la totale assenza di supervisione giudiziaria. Di fatto “tutti i cittadini sono trattati come potenziali colpevoli” continua Adıgüzel, con buona pace della presunzione di innocenza.
Uno scandalo figlio di una cultura politica dilagante, che non appartiene purtroppo soltanto alla Turchia, e che dall’11 settembre 2001 promuove un approccio al tema della sicurezza come indissolubilmente legato ad un controllo pervasivo, in tempo reale, preventivo, e talvolta addirittura predittivo, di tutti i cittadini.
Il progetto DJAS è co-finanziato da Open Society Institute in cooperazione con OSIFE/Open Society Foundations. La responsabilità dei contenuti di questa pubblicazione è esclusivamente di Osservatorio Balcani e Caucaso Transeuropa.
Questo progetto ha ricevuto finanziamenti dal programma di ricerca e innovazione Horizon 2020 dell’Unione europea in virtù della convenzione di sovvenzione Marie Skłodowska-Curie n. 765140.