Come i funzionari stabiliscono la schiavitù digitale per i cittadini

2024 Autore: Seth Attwood | [email protected]. Ultima modifica: 2023-12-16 16:08

Fino a poco tempo fa, ai russi i pass digitali per spostarsi in città sembravano un elemento selvaggio di una distopia cyberpunk. Oggi è una realtà, del resto: da ieri a Mosca sono diventati obbligatori per la circolazione con i mezzi pubblici. Come è successo, perché molti paesi hanno creato sistemi di controllo digitale per la circolazione dei cittadini e se tale sorveglianza si fermerà dopo la fine della pandemia - in un nuovo materiale dei ricercatori del Center for Advanced Management Solutions.

Contesto generale

La tendenza generale nella risposta dei paesi all'epidemia di coronavirus è quella di rafforzare il controllo sui cittadini. Sulla base dell'analisi dei dati di operatori mobili, banche, forze dell'ordine, lo stato calcola i contatti delle persone infette e monitora anche il rispetto dei cittadini con l'autoisolamento e la quarantena. Molte pubblicazioni su questo argomento sollevano questioni di privacy e rispetto dei diritti dei cittadini, dipingendo un quadro desolante di una “società di sorveglianza”.

Abbiamo raccolto diversi episodi dell'introduzione di misure speciali di controllo digitale da parte di diversi stati e abbiamo cercato di comprendere i rischi che tali misure comportano a causa del fatto che l'accesso alle informazioni sulla circolazione e sulla vita personale dei cittadini è fornito a più dipartimenti burocratici contemporaneamente.

Israele: polizia, agenzie di intelligence, Ministero della Salute

Quello che è successo?

Il 19 marzo il governo israeliano ha introdotto la quarantena parziale in tutto il Paese. Come parte delle misure provvisorie di pochi giorni prima, il 15 e il 17 marzo, le autorità hanno emesso due ordini di emergenza che hanno ampliato i poteri della polizia per condurre perquisizioni e hanno anche permesso al servizio di sicurezza israeliano (Shin Bet) di utilizzare la sorveglianza digitale per combattere l'epidemia di coronavirus.. …

Chi esercita il controllo e come?

Tutti i cittadini del Paese contagiati dal coronavirus, così come coloro che ne sono entrati in contatto, sono posti in quarantena obbligatoria di due settimane. Nel quadro degli ordini di emergenza, la polizia, come misura provvisoria, sarà in grado di determinare l'attuale geolocalizzazione di queste persone a spese dei dati delle torri cellulari senza un'ulteriore decisione del tribunale. A loro volta, i servizi speciali potranno accedere non solo alla posizione attuale di una persona, ma anche alla storia dei suoi spostamenti. Inoltre, il Ministero della Salute israeliano ha rilasciato una propria applicazione per smartphone che aggiorna continuamente i dati sulla posizione delle persone infette ricevuti dalle forze dell'ordine e avverte l'utente se è vicino a loro.

Da un lato, ciò consente non solo di verificare quanto coscienziosamente una persona rispetti il regime di quarantena, ma anche di identificare una cerchia approssimativa di contatti con altre persone che potrebbero anche essere infettate. Ma d'altra parte, in tempi normali, tali tecnologie di "densità di tracciamento digitale" vengono utilizzate solo per catturare criminali e terroristi.

Tali poteri straordinari delle forze di sicurezza dureranno fino a metà giugno, dopodiché tutti i dati ricevuti devono essere distrutti. Tuttavia, il Ministero della Salute potrà prolungare di due mesi il periodo di conservazione dei dati così raccolti per ulteriori ricerche.

Corea del Sud: autocontrollo di polizia e civile

Quello che è successo?

Nel febbraio 2020, la Repubblica di Corea è diventata uno dei paesi in più rapida crescita per l'epidemia di coronavirus.

Le autorità sono state in grado in modo abbastanza rapido ed efficace di primo livello e quindi di ridurre il tasso di diffusione dell'infezione

Ciò è in parte dovuto al fatto che la Corea ha una vasta esperienza nella lotta all'epidemia: nel 2015 il paese ha dovuto affrontare un focolaio di sindrome respiratoria mediorientale (MERS), dopo il quale è stato sviluppato un intero sistema di misure epidemiologiche. Tuttavia, il fattore decisivo è stata l'organizzazione dell'invio di massa di notifiche su ciascun caso di infezione con informazioni dettagliate sulla persona infetta (età, sesso, descrizione dettagliata dei suoi movimenti e contatti recenti; in alcuni casi, è stato segnalato se la persona aveva una maschera, ecc.). Tale invio non sarebbe stato possibile senza un sistema potente e su larga scala di controllo digitale sui movimenti e sui contatti dei cittadini sudcoreani.

Chi esercita il controllo e come?

Nel Paese sono ora operativi diversi servizi che utilizzano i dati personali per fornire informazioni sulla diffusione del coronavirus. Ad esempio, il sito web della Coroniata pubblica informazioni sul numero totale di casi, nonché sulle zone in cui si sono registrati i maggiori focolai di infezione. La seconda risorsa, Coronamap, è una mappa che mostra quando e in quali luoghi sono stati registrati tutti i casi isolati di infezione. Il governo coreano ha anche rilasciato un'app per smartphone ufficiale per monitorare l'osservanza della quarantena delle persone infette.

La Repubblica di Corea ha un'infrastruttura digitale altamente sviluppata, quindi tracciare e verificare i dati non è un problema per il governo. Per migliorare l'accuratezza dell'analisi, oltre ai dati provenienti da ripetitori cellulari e GPS, vengono utilizzati i dati sulle transazioni effettuate con carte bancarie, vengono utilizzati sistemi di videosorveglianza cittadina e tecnologie di riconoscimento facciale.

Tale forzata "apertura", da un lato, mostra la sua efficacia nel contenere l'epidemia, ma, dall'altro, porta a effetti sociali negativi. Oltre al fatto che gli stessi contagiati dal contagio avvertono un senso di sorveglianza costante, nella zona di controllo cadono anche altre persone “casuali”.

Poiché ogni caso di infezione viene visualizzato su una mappa, alcuni coreani, pur non essendo infetti, ma corrispondenti ai "punti" tracciati, sono soggetti alla pressione dell'opinione pubblica.

Pertanto, i cittadini coreani proattivi si uniscono alla polizia e ai funzionari nella sorveglianza digitale reciproca.

Alternativa: Polonia vs Commissione europea

Nell'Unione europea, una delle prime applicazioni per il monitoraggio dei cittadini tenuti a rispettare una quarantena di 14 giorni è apparsa in Polonia. Le autorità richiedono l'installazione dell'applicazione da parte dei cittadini sani che sono entrati in contatto con persone infette o potenzialmente infette, nonché da tutti coloro che ritornano dall'estero. Dall'inizio di aprile, l'installazione dell'applicazione è diventata obbligatoria per legge.

L'applicazione Home Quarantine (Kwarantanna domowa) invia casualmente una notifica più volte al giorno con l'obbligo di caricare la propria foto (selfie) entro 20 minuti. Secondo il sito web del governo polacco, l'applicazione controlla la posizione dell'utente (tramite GPS) e utilizza anche il riconoscimento facciale. Se la richiesta di caricare una foto non viene soddisfatta, la polizia può venire all'indirizzo. Secondo il regolamento, il Ministero della Digitalizzazione conserverà i dati personali degli utenti per 6 anni dopo la disattivazione dell'applicazione (ai sensi del codice civile), ad eccezione delle foto che vengono eliminate immediatamente dopo la disattivazione dell'account.

Oltre alla Polonia, le proprie applicazioni sono apparse o hanno iniziato a essere sviluppate in altri paesi europei, ad esempio in Austria (con la partecipazione della Croce Rossa locale), Francia, Irlanda e Germania.

In questo contesto, la Commissione europea ha proposto di presentare un'applicazione paneuropea per il monitoraggio della diffusione del coronavirus in conformità con le raccomandazioni speciali per il suo sviluppo, basate sulla legge sulla protezione dei dati personali nell'UE

Tra i principi elencati della futura applicazione sono indicati l'efficienza nell'utilizzo dei dati da un punto di vista medico e tecnico, il loro completo anonimato e l'utilizzo solo per creare un modello della diffusione del virus. Per ridurre il rischio di perdita di dati personali, gli sviluppatori di applicazioni dovranno aderire al principio del decentramento: le informazioni sui movimenti di una persona infetta verranno inviate solo ai dispositivi delle persone che potrebbero potenzialmente contattarlo. Separatamente, è stato sottolineato che le misure intraprese dovrebbero essere giustificate e temporanee.

La scadenza per la presentazione delle proposte per l'attuazione di queste misure è il 15 aprile. Inoltre, entro il 31 maggio, gli Stati membri dell'UE dovranno informare la Commissione europea delle azioni intraprese e renderle disponibili per la revisione tra pari da parte dei membri dell'UE e della Commissione europea. La Commissione europea valuterà i progressi compiuti e pubblicherà periodicamente rapporti a partire da giugno con ulteriori raccomandazioni, inclusa la rimozione delle misure non più necessarie.

Russia: Ministero delle telecomunicazioni e delle comunicazioni di massa, operatori mobili e regioni

Quello che è successo?

Da fine febbraio a inizio marzo, dopo l'introduzione di misure per contrastare la diffusione del coronavirus, sono comparsi in Russia i primi casi di rafforzamento del controllo sulla popolazione con mezzi tecnici. Secondo Mediazona, gli agenti di polizia si sono avvicinati al trasgressore della quarantena con una fotografia, probabilmente scattata da una fotocamera, collegata a un sistema di riconoscimento facciale. Mikhail Mishustin ha incaricato il Ministero delle telecomunicazioni e delle comunicazioni di massa di creare entro il 27 marzo un sistema per tracciare i contatti dei pazienti con infezione da coronavirus sulla base dei dati degli operatori cellulari. Secondo Vedomosti, il 1° aprile questo sistema era già funzionante. Parallelamente, le entità costituenti della Federazione Russa hanno iniziato a sviluppare le loro soluzioni. A Mosca, all'inizio di aprile, hanno lanciato un sistema di monitoraggio per i pazienti con coronavirus utilizzando l'applicazione Social Monitoring e hanno anche preparato l'introduzione di pass con codici speciali (il decreto sulla loro introduzione è stato firmato l'11 aprile). Nella regione di Nizhny Novgorod, la prima delle regioni, è stato introdotto il controllo tramite codici QR, in Tatarstan - tramite SMS.

Chi esercita il controllo e come?

Il controllo digitale copre principalmente i cittadini infetti o in quarantena ufficiale. Per tracciare i loro spostamenti, il ministero delle telecomunicazioni e dei mezzi di comunicazione richiede "dati di numeri e date di ricovero o data di quarantena". Questi dati vengono trasmessi agli operatori cellulari, che monitorano il rispetto delle condizioni di quarantena. Il trasgressore delle condizioni riceve un messaggio e, in caso di violazione ripetuta, i dati vengono trasferiti alla polizia. Secondo Vedomosti, i funzionari responsabili nelle entità costitutive della Russia inseriranno i dati nel sistema. Allo stesso tempo, Roskomnadzor ritiene che l'uso di numeri senza specificare indirizzi e nomi degli abbonati degli operatori cellulari non violi la legge sui dati personali.

Oltre a queste misure, a Mosca viene monitorata la geolocalizzazione dei pazienti tramite l'applicazione Social Monitoring installata su smartphone appositamente rilasciati ai cittadini. Per confermare l'informazione che l'utente è a casa, accanto al telefono, l'applicazione richiede periodicamente di scattare una foto

Secondo il capo del Dipartimento di tecnologia dell'informazione di Mosca (DIT), il trasferimento dei dati sull'utente è regolato da un accordo che firma quando sceglie l'opzione di trattamento a casa. Sono archiviati sui server DIT e verranno eliminati al termine della quarantena. Inoltre, il controllo viene esercitato su tutte le auto di coloro che sono obbligati a stare in quarantena ufficiale (pazienti e loro cari), nonché attraverso il sistema di videosorveglianza cittadino.

L'11 aprile il sindaco di Mosca ha firmato un decreto sull'introduzione di abbonamenti digitali per viaggiare a Mosca e nella regione di Mosca con i mezzi pubblici e privati. I pass hanno iniziato ad essere emessi il 13 aprile e sono diventati obbligatori il 15, possono essere ottenuti sul sito web del sindaco di Mosca, tramite SMS o chiamando il servizio informazioni. Per emettere un abbonamento, è necessario fornire i dati personali, incluso il passaporto, il numero dell'auto o l'abbonamento ai trasporti pubblici (carta Troika), nonché il nome del datore di lavoro con TIN o itinerario di viaggio. Il pass non è necessario per muoversi a piedi in città, fatte salve le restrizioni precedentemente introdotte.

I pass per controllare la circolazione dei cittadini sono stati introdotti anche in altre regioni russe:

Il 30 marzo, il governatore della regione di Astrakhan Igor Babushkin ha firmato un ordine su pass speciali durante la quarantena. Il 13 aprile è stata lanciata nella regione una piattaforma elettronica per il rilascio degli abbonamenti. Le domande vengono presentate su un sito Web speciale, un pass con un codice QR viene inviato all'e-mail del richiedente. Il governatore ha anche incaricato di controllare i pass precedentemente rilasciati secondo gli elenchi forniti dalle organizzazioni.

Nella regione di Saratov il 31 marzo è stato introdotto un sistema di pass. Inizialmente, è stato stabilito che gli abbonamenti per i cittadini lavoratori saranno rilasciati in forma cartacea con la necessità di certificazione nelle amministrazioni. Il primo giorno, ciò ha portato a code, di conseguenza, il lancio del sistema di accesso è stato ritardato. Il governo regionale ha aggiunto la possibilità di ottenere i pass per via elettronica. L'introduzione dei pass è stata rinviata altre due volte.

Il 31 marzo, il Tatarstan ha approvato la procedura per il rilascio dei permessi per la circolazione dei cittadini. I permessi vengono rilasciati tramite un servizio SMS: prima è necessario registrarsi e ricevere un codice univoco, quindi inoltrare una richiesta per ogni movimento. Il decreto definisce i casi per i quali non è richiesta l'autorizzazione. Per i cittadini che lavorano, viene fornito un certificato del datore di lavoro. Dopo il lancio, sono state apportate modifiche al servizio: il 5 aprile è stato limitato l'elenco dei dati necessari per la registrazione e il 12 aprile è stato aumentato l'intervallo tra il rilascio dei permessi per contrastare gli abusi del sistema.

Nella regione di Rostov, il 1 aprile il governatore Vasily Golubev ha introdotto l'obbligo per il rilascio di certificati ai dipendenti delle organizzazioni che continuano a operare durante l'epidemia. Il 4 aprile è stato rafforzato il controllo delle auto all'ingresso di Rostov-sul-Don, il che ha portato a molti chilometri di ingorghi. Il 7 aprile, Rostovgazeta.ru ha riferito che le autorità regionali stanno valutando la possibilità di introdurre uno "smart pass".

Nella regione di Nizhny Novgorod, il meccanismo di controllo è stato approvato dal decreto del governatore Gleb Nikitin il 2 aprile. La domanda di abbonamento viene effettuata utilizzando il servizio "Carta di un residente della regione di Nizhny Novgorod" su un sito Web speciale o tramite un'applicazione mobile per dispositivi Apple, nonché chiamando l'help desk. Dopo aver esaminato la domanda, il richiedente riceve un pass sotto forma di codice QR per uno smartphone o un numero di domanda. Per le persone giuridiche esiste una procedura per il rilascio delle conferme che possono operare nei giorni non lavorativi a causa dell'epidemia.

Il 12 aprile, sullo sfondo della creazione di varie soluzioni digitali per il controllo degli accessi a livello regionale, il Ministero delle telecomunicazioni e delle comunicazioni di massa della Federazione Russa ha lanciato l'applicazione federale "State Services Stopcoronavirus" (disponibile per dispositivi Apple e Android) in un formato di prova. Secondo il ministero, l'applicazione può essere adattata alle condizioni di una regione specifica, ad eccezione di Mosca, dove è in vigore una soluzione diversa (vedi sopra). Senza le relative decisioni delle autorità regionali, l'applicazione del Ministero delle telecomunicazioni e dei mezzi di comunicazione di massa non è obbligatoria. La prima regione in cui verrà utilizzata questa soluzione sarà la regione di Mosca - lo ha annunciato il governatore Andrei Vorobyov la sera del 12 aprile.

Lo Stato proteggerà i dati personali?

Commento dello specialista della sicurezza delle informazioni Ivan Begtin

L'approccio europeo nel tentativo di soddisfare i requisiti legali per la protezione dei dati è generalmente corretto. L'UE dedica più attenzione e risorse a questi problemi rispetto alla Russia. Ma dobbiamo capire che nessuno è al riparo dal problema della fuga di dati, principalmente a causa del fattore umano. Ci sono già stati dei precedenti, ad esempio fughe di dati elettorali in Turchia, casi con società private. Ora, quando i sistemi vengono creati in fuga, non escluderei tale possibilità. Con i dati di "Gosuslug" questo non è ancora successo, ma, forse, ogni cosa ha il suo tempo.

Le ragioni possono variare. Diciamo la mancanza di sicurezza di un database a cui si accede da remoto. Gli hacker o gli specialisti della sicurezza possono rilevarlo e ottenere tutte le informazioni. Esistono servizi speciali Censys e Shodan che vengono utilizzati per cercare tali vulnerabilità tecniche.

Un'altra opzione è quando i dati vengono utilizzati in modo improprio con intento diretto. Cioè, le persone che hanno accesso ai database lo usano per estrarre benefici.

Ha senso monitorare diversi servizi per "sfondare" le persone. In Russia, ad esempio, ci sono circa cinque di questi servizi che offrono un servizio per il controllo delle persone

Cioè, non è necessario che l'intero database venga unito, ma le persone che hanno accesso remoto ad esso possono "prendere a pugni" le persone e vendere queste informazioni. Questo può essere fatto da dipendenti pubblici, appaltatori che hanno partecipato alla creazione di questi sistemi. Cioè, le persone che vi hanno accesso. In Russia, questo è abbastanza comune: se cerchi in Internet servizi di "punzonatura", puoi trovarne molti. Spesso si tratta di dati del Ministero degli affari interni, della polizia stradale, del Servizio federale di migrazione e di altre organizzazioni governative.

I timori che lo Stato possa mantenere l'infrastruttura di controllo sui cittadini non sono infondati. In linea di principio, tutti coloro che raccolgono dati non vogliono separarsene. Lo stesso vale per i social network: se arrivi lì, molto probabilmente, le informazioni su di te rimangono lì, anche se hai cancellato il tuo account. I servizi pubblici hanno un interesse molto ampio nella raccolta di dati sui cittadini e trarranno vantaggio dalla situazione attuale. Allo stesso tempo, anche su pressione delle organizzazioni pubbliche, si impegnano pubblicamente a cancellare i dati dopo la fine della pandemia. Tuttavia, la motivazione per preservare questa infrastruttura è molto alta da parte delle agenzie governative.

Perché sta succedendo?

Per garantire il controllo sulla diffusione dell'epidemia, le agenzie governative dei diversi Paesi stanno agendo in modo simile: stanno ampliando i propri strumenti per tracciare gli spostamenti e i contatti dei cittadini. Tali misure aggiuntive vanno oltre ciò che è considerato accettabile in tempi ordinari, ma queste azioni da parte dei governi hanno incontrato poca resistenza da parte dei cittadini. Ciò può essere spiegato dal concetto di cartolarizzazione di polizze.

La cartolarizzazione è un termine coniato originariamente dalla Copenhagen School of Security Studies Barry Buzan, Ole Wever e Jaap de Wilde. In un libro del 1998, definiscono la cartolarizzazione come "un'azione che porta la politica al di fuori delle regole stabilite del gioco e presenta la questione come qualcosa al di sopra della politica". La cartolarizzazione inizia con un attore (ad es. leader politico, governo) che utilizza termini relativi a sicurezza, minaccia, guerra, ecc., all'interno del discorso ordinario, e il pubblico accetta tale interpretazione. Il successo di una cartolarizzazione si compone di tre elementi:

l'uso della "grammatica di sicurezza" quando si presenta una domanda - cioè, a livello linguistico, presentandola come una minaccia esistenziale (nel caso di un'epidemia di coronavirus, questo è, ad esempio, l'uso di un vocabolario militarizzato e il confronto della lotta contro l'unica fila con i processi storici del Paese);

l'attore ha un'autorità significativa in modo che il pubblico percepisca la sua interpretazione e "intrusione nel discorso" (la leadership del paese, i professionisti medici, l'OMS);

la connessione della minaccia attuale con qualcosa nel passato che realmente rappresentava tale minaccia (l'esperienza di epidemie precedenti, anche storiche, ad esempio la peste in Europa, contribuisce alla percezione in quanto tale dell'epidemia attuale).

L'attenzione globale al problema del coronavirus funge anche da esempio di cartolarizzazione: i sondaggi in Russia e in altri Paesi mostrano un aumento dei timori per l'epidemia.

Le società accettano l'interpretazione degli attori della cartolarizzazione, legittimando così un allontanamento dalle consuete regole per combattere la minaccia, compresa l'introduzione di speciali controlli digitali che generalmente violano i nostri diritti alla privacy

Dal punto di vista della gestione delle crisi, la cartolarizzazione presenta chiari vantaggi. L'introduzione di misure di emergenza può accelerare il processo decisionale e l'attuazione e ridurre i rischi posti dalla minaccia. Tuttavia, il processo di cartolarizzazione è associato a conseguenze negative sia per il sistema della pubblica amministrazione che per l'intera società.

In primo luogo, l'introduzione di nuove misure di emergenza riduce la responsabilità delle autorità. Durante una crisi, gli strumenti di controllo civile, anche su nuove misure di sicurezza, possono essere limitati o semplicemente non ancora costruiti. La mancanza di responsabilità aumenta la probabilità sia di errori accidentali che di abusi deliberati da parte di funzionari di base. Ne sono un esempio le violazioni da parte degli ufficiali dell'intelligence americana, note grazie alla fuga di notizie organizzata da Edward Snowden. Utilizzando strumenti di controllo digitale che sono caduti nelle loro mani, un certo numero di dipendenti della NSA li ha usati per spiare i loro coniugi o amanti. Inoltre, nello stesso periodo, l'FBI ha abusato dell'accesso ai dati della NSA riguardanti cittadini americani, in molti casi senza una giustificazione legale sufficiente.

In secondo luogo, la cartolarizzazione di qualsiasi emissione è carica del rischio che alcune delle misure introdotte in via d'urgenza non vengano cancellate immediatamente dopo la fine del periodo di crisi e la normalizzazione della situazione

Un esempio è il Patriot Act, approvato negli Stati Uniti nell'ottobre 2001 dopo gli attacchi dell'11 settembre, che ha ampliato la capacità del governo di spiare i cittadini. I termini di azione di molte disposizioni della legge avrebbero dovuto scadere dalla fine del 2005, ma in realtà sono stati ripetutamente prorogati - e la legge con gli emendamenti è sopravvissuta fino ad oggi.