Sicurezza digitale

Non è la prima volta che il Servizio delle attività informative viola la legge

Di Andreas Fischer

29.1.2022

Il Dipartimento della difesa ha aperto un'indagine amministrativa in merito alle ricerche d'informazione in ambito cyber da parte del Servizio delle attività informative della Confederazione (SIC) (immagine illustrativa).
Keystone

Per anni il Servizio delle attività informative della Confederazione (SIC) ha agito tramite metodi illegali per monitorare hacker potenzialmente pericolosi. I responsabili della protezione dei dati temono che ciò non cambierà in futuro.

Di Andreas Fischer

29.1.2022

Apparentemente, il Servizio delle attività informative federale (SIC) ha sistematicamente ignorato per anni la legge. Durante la ricerca di attacchi informatici sono state ottenute informazioni per le quali non era disponibile alcuna autorizzazione.

Lo ha annunciato mercoledì il Consiglio federale, dopo essere stato informato lo stesso giorno dell'indagine amministrativa in questione dal Dipartimento della difesa.

Dal 2015 al 2020 i processi di approvazione prescritti sono stati quindi aggirati. L'unità cyber del SIC ha ottenuto informazioni soggette al segreto delle telecomunicazioni.

Tali misure sono consentite secondo la legge del Servizio delle attività informative e previa l'approvazione del Tribunale federale.

Tuttavia, tali autorizzazioni non sono state acconsentite. Come riporta il «Tages-Anzeiger», citando una persona vicina al dossier, ciò è accaduto un centinaio di volte nel periodo in questione.

Il Parlamento non vuole indagare sulla vicenda

Perché il SIC ha sistematicamente ignorato la legge? E come è possibile che un tale comportamento sia stato perpetrato in modo indisturbato da un ente pubblico per anni? 

L'Incaricato federale della protezione dei dati e della trasparenza (IFPDT) è stato sul vago nel rispondere alle domande di blue News: «L'incaricato ha preso atto del rapporto dell'indagine amministrativa dell'unità cyber presso il SIC» si legge in una nota scritta. «A seconda dell'esito dell'indagine amministrativa, l'IFPDT si riserva il diritto di prendere le misure necessarie».

L'IFPDT ha constatato che l'Autorità di vigilanza indipendente sulle attività informative (AVI-AIn) e la Delegazione delle commissioni della gestione (DELCDG) del Parlamento sono state informate sull'incidente e sulle misure adottate.

Nel frattempo, la DELCDG ha annunciato che non intraprenderà una propria ispezione. Si confida che i risultati dell'indagine amministrativa e dell'indagine interna al SIC forniranno informazioni sufficienti.

I difensori della privacy sono preoccupati

Il Chaos Computer Club Schweiz (CCC-CH) è scettico al riguardo: «Se il SIC ottiene dati illegalmente, in Svizzera non si prevedono gravi conseguenze», afferma Hernani Marques a blue News.

È anche difficile, soprattutto in ambito digitale, scoprire se ci siano effettivamente acquisizioni illegali di dati: «Ce ne si accorgerà solo a distanza di anni, se non mai».

Un altro problema è che «il concetto vago di chi rappresenta una minaccia crea spazio ad esempio per il monitoraggio di attivisti o politici», afferma Marques.

Che il SIC abbia registrato anche il traffico sui server, spesso utilizzati dagli hacker, secondo il CCC-CH ha dal punto di vista delle autorità senso. Ad esempio «quando la comunicazione avviene tramite un server, che è crittografato, ma non è presente sul server stesso, ma è in testo in chiaro o può essere convertito in testo in chiaro».

Non è la prima sorveglianza illegale in Svizzera

Con questi metodi investigativi, anche i privati non coinvolti possono essere presi di mira dagli inquirenti.

Ad esempio, Marques cita «la cosiddetta ricognizione via radio e via cavo, in cui le comunicazioni di massa sono schermate sulla base di termini di ricerca o altri schemi. A causa del modo in cui si usa la lingua, si può semplicemente rimanere intrappolati in una rete di sicurezza».

La comunicazione con terzi può anche essere monitorata sui telefoni cellulari delle persone sorvegliate utilizzando dei trojan di stato e dei software per la ricerca di parole chiave.

E che «il SIC condivida i dati con la polizia e la procura, è poco ma sicuro», dice Hernani Marques.

Secondo il CCC-CH, nessuno può garantire che i mezzi tecnici a disposizione del SIC non saranno più utilizzati illegalmente in futuro. «La Svizzera ha una storia di operazioni di sorveglianza di natura illegale», afferma Marques, riferendosi allo scandalo delle schedature negli anni '90 e alla costruzione di Onyx, un impianto d'intercettazione nel Vallese.

«Di norma, le pratiche illegali vengono successivamente legalizzate». Come ha fatto anche il Canton Zurigo, che si è procurato dei trojan statali prima che esistesse la base giuridica.

Insomma non si può scampare né la sorveglianza né gli attacchi informatici. «Il modo più efficace è proteggersi con mezzi tecnici», afferma Hernani Marques.

Ma l'economia dei dati, le password sicure e l'uso di alternative ai prodotti IT di colossi tecnologici statunitensi come Facebook, Google e Amazon aumentano anche la propria sicurezza, come si legge in una guida all'«autodifesa digitale».