Guerre di Rete - La campagna italiana dei lavoratori tech

E poi le campagne per riprendersi la faccia. L'export di cybersorveglianza. La crittografia nell'Ue.

Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
N.87 - 13 novembre 2020

Oggi si parla di:
- Alziamo la testa, la campagna italiana dei lavoratori tech
- Riprenditi la faccia, la campagna europea sul riconoscimento facciale
- Nuovi criteri Ue sull’export di cybersorveglianza
- Ue e la crittografia: che vuole fare?
- Ue e il training a polizie
- Parler, nuovi social vecchie conoscenze
- altro

Questo numero della newsletter, anche per cambiare un po’ visto che nelle ultime settimane siamo stati molto concentrati sulle elezioni americane, parte da una serie di spunti e notizie di attivismo a sfondo tech.

“Alziamo la testa”, parte la campagna italiana dei lavoratori tech
E in particolare apriamo con una mobilitazione per i diritti dei lavoratori tecnologici che è appena stata lanciata in Italia. Si chiama Alziamo La Testa, ed è la campagna della sezione italiana di Tech Workers Coalition, una coalizione di lavoratori del mondo tecnologico come programmatrici, sistemisti, designer, grafici, project manager, tester e tutte le altre figure direttamente collegate alle attività di sviluppo. “Una forza lavoro fondamentale per lo sviluppo economico e tecnologico del paese - scrivono i firmatari della lettera-manifesto -  che in Italia conta oltre trecentomila persone, tra lavoratori dipendenti e autonomi”.  E continua: “Il settore informatico italiano, tanto depredato dalle aziende tech straniere quanto vittima dell’arretratezza della nostra classe dirigente e imprenditoriale, pone il lavoratore di fronte a problemi specifici”. Tra questi sono citati il body rental non autorizzato (la pratica di “affittare” lavoratori del settore ICT ad altre aziende), la questione dei salari “tra i più bassi in Europa”, le università che “si appiattiscono sulla domanda delle grandi aziende di lavoratori poco qualificati”, e la “grande consulenza che assorbe competenze, bandi e appalti senza investire nulla sul territorio, soffocando la nascita di un tessuto produttivo sano”.
Ma c’è anche una parte propositiva. La campagna chiede infatti RAL e scatti di carriera trasparenti, formazione garantita nel contratto, una tecnologia meno schiacciata su interessi a breve termine, società cooperative e orizzontali.

“Questa campagna è principalmente di sensibilizzazione, una chiamata alle armi”, spiega a Guerre di Rete un portavoce che preferisce non essere nominato. “In Italia manca l'humus su cui costruire un movimento di protesta o di sindacalizzazione, sia sul piano meramente culturale che sul piano organizzativo: i tech worker sono divisi, deboli. Quindi formare questo humus e connetterlo a realtà già esistenti in altri settori è la priorità, sono le fondamenta su cui poi costruire altro”.
Tra le iniziative in cantiere ci sono: campagne dedicate agli studenti; una sul tema remote working e relativi diritti; una dedicata ai tech worker creativi (grafici, copywriter, designer ecc). E poi: produzione di materiale educativo per i lavoratori tech su come organizzarsi, sindacalizzarsi; mappatura del settore e anche delle aziende che forniscono software a regimi dittatoriali e corpi militari, principalmente nell'ambito della sicurezza.
Qui il sito della campagna italiana. Qui la pagina Facebook.

Negli ultimi anni il tema della mobilitazione e sindacalizzazione dei lavoratori tech (per molto tempo refrattari a forme di organizzazione collettiva) è andato crescendo, specie all’estero. Ed ha seguito vari filoni: nella ricca Silicon Valley, ad esempio, si è posto l’accento sulla lotta alla discriminazione (di genere, razziale ecc) e al tema del controllo dell’uso finale dei prodotti (quando questi sono ad esempio venduti a committenti militari o agenzie governative che li usano per sorvegliare o reprimere). Ma, specie in altri territori, si sente molto anche il tema salariale, dell’aggiornamento professionale, del riconoscimento di diritti di vario tipo, inclusi quelli civili e politici, come in alcune proteste in India e Bielorussia. Più in generale si è vista una sfida ad alcune culture aziendali che non vedevano di buon occhio l’organizzazione interna dei lavoratori o la richiesta di più trasparenza e accountability. Il movimento è cresciuto a partire soprattutto dal 2018, e il Trumpismo, secondo alcuni osservatori, ha contribuito a spingerlo (insieme ad altri movimenti sociali, dal Metoo a Black Lives Matter). E un momento significativo sono state le proteste interne a Google nel 2018 per il progetto Maven, che doveva fornire al Pentagono una tecnologia di intelligenza artificiale (AI) per migliorare il riconoscimento di oggetti nelle immagini raccolte dai droni e che è stato poi abbandonato. L’azienda di Mountain View aveva deciso di non rinnovare il contratto e si era messa a lavorare a delle regole interne per proibire l’uso di tecnologie di intelligenza artificiale nelle armi. Ma proteste simili si sono viste in altre grosse aziende tech, come Microsoft (di questi temi ne avevo scritto in newsletter, ad esempio qua).

Come ha notato qualcuno, la tecnologia è estremamente importante per il capitalismo americano. E il fatto che un ampio numero di lavoratori tech stia iniziando a mobilitarsi su questi temi è un dato di interesse strategico. In quanto al futuro, tra i tavoli di lavoro dei tech workers c’è sicuramente il rapporto con quei colleghi di aziende tecnologiche che stanno in prima linea nella distribuzione del servizio, tutto il mondo della gig economy e non solo. 

RICONOSCIMENTO FACCIALE
I dati delle videocamere di Mosca venduti in rete, denunciano attivisti

Un’attivista russa ha risposto a un’inserzione sulla app Telegram che offriva accesso ai dati raccolti dalle videocamere di sorveglianza di Mosca con la funzionalità del riconoscimento facciale. Ha pagato 200 euro e inviato una foto di una persona (in realtà era lei) su cui voleva avere informazioni. Le sono arrivate una ottantina di fotogrammi di se stessa colta in giro per la città, con data e localizzazione. Con oltre 100mila videocamere, Mosca ha uno dei più estesi sistemi di videosorveglianza, divenuto pienamente operativo quest’anno. Ma gli attivisti denunciano che il sistema verrebbe anche usato per sorvegliare dissidenti politici, e che sarebbe a rischio di abusi. La polizia sta indagando sulla vicenda. - Reuters

Il riconoscimento facciale rivoltato contro la polizia in Francia
Un artista italiano ha creato un database di volti di poliziotti e ci ha tappezzato Parigi. "Con Capture Police il mio obiettivo è dimostrare che il riconoscimento facciale è così pericoloso che può essere utilizzato anche contro la polizia stessa." - scrive Vice Italia

E la legge che vorrebbe proibire la diffusione di immagini sui poliziotti
Intanto proprio in Francia i giornalisti sono in rivolta contro una proposta di legge che renderebbe illegale diffondere foto o video che identifichino la polizia o i gendarmi “con l’intento di danneggiarli”. Tale intento - dicono i critici - sarebbe difficile da provare o meno nel caso di giornalisti che stiano riprendendo manifestazioni, scontri o altre operazioni di polizia. La preoccupazione è che la legge possa anche portare a perquisizioni e intercettazioni dei dispositivi e delle comunicazioni dei reporter. - Guardian

Riprenditi la faccia, la campagna internazionale (e italiana ) sul riconoscimento facciale
E’ stata lanciata una campagna europea sul riconoscimento facciale, Reclaim Your Face, Riprenditi La Faccia. Chiede che i governi diano spiegazioni sulle ragioni dietro l’adozione di tecnologie col riconoscimento facciale; e che sia messa al bando la sorveglianza biometrica di massa. Ci sono alcune petizioni in varie lingue tra cui anche l’italiano, la campagna è infatti sostenuta in Italia dall’associazione Hermes. E ci sono richieste puntuali anche all’Italia, al governo e al Garante: “Chiediamo trasparenza su dove e come queste tecnologie vengono utilizzate e la possibilità di esprimere la nostra opposizione a questa tecnologia distopica. Come coalizione intereuropea della società civile e della popolazione, chiediamo ai nostri paesi di rivelare e rifiutare l’uso della sorveglianza biometrica che potrebbe avere un impatto sui nostri diritti e sulle nostre libertà nei nostri spazi pubblici. Chiediamo al Garante di monitorare l’uso di sistemi di riconoscimento biometrico da parte dei comuni italiani; chiediamo al Garante di chiudere nel più breve tempo possibile l’istruttoria aperta ormai da due anni sul sistema SARI Real-Time e sospendere il sistema; chiediamo ai comuni di Torino e di Udine di pubblicare la valutazione d’impatto sulla privacy (DPIA) dei sistemi biometrici che hanno intenzione di installare; chiediamo al Ministero dell’Interno di pubblicare tutte la valutazioni degli algoritmi utilizzati, dei numeri sull’utilizzo del sistema, e di tutti i dati relativi alla tipologia di volti presenti nel database usato da SARI; chiediamo a tutte le città metropolitane di impegnarsi a sospendere ogni eventuale progetto di riconoscimento facciale/biometrico avviato e vietare l’introduzione di tali tecnologie nel contesto pubblico cittadino”.

STRUMENTI
Consigli di autodifesa digitale

Le app di messaggistica da usare, quelle per le manifestazioni, come disattivare la geolocalizzazione e altri accorgimenti
La versione tradotta in italiano da Riccardo Coluccini del documento creato da @cryptoharlem e @sa0un.
Il PDF scaricabile.

SORVEGLIANZA
(Timido) giro di vite Ue sull’esportazione di tecnologie di sorveglianza
Nuove regole sull’esportazione di tecnologie di sorveglianza - inclusi spyware e strumenti per il riconoscimento facciale - sono state approvate dal Parlamento europeo e dal Consiglio. Si tratta di un accordo informale che deve essere ratificato da Consiglio e Parlamento (quindi ancora non operativo). In base a tale accordo sono previsti nuovi criteri per concedere o rifiutare licenze di esportazione su alcuni prodotti che possono essere usati anche per violare diritti umani fuori dall’Unione europea. Le nuove regole prevedono infatti di aumentare l’importanza dei diritti umani nei criteri per le licenze; e di rafforzare l’obbligo per gli Stati membri di fornire dati sui controlli all’export di questi prodotti, aumentando la trasparenza sul settore, riferisce Europarl.
L’obiettivo principale delle nuove regole è accrescere la trasparenza sulle esportazioni dai vari Stati. “I governi devono o rivelare destinazione, prodotti, valore e decisioni sulle licenze per l’export di cybersorveglianza o rendere pubblica la decisione di non rivelare quei dettagli”, scrive MIT Technology Review. Detta così sembra una cosa ben poco risolutiva (dato che possono anche non rivelarli quei dettagli, appunto) ma sempre secondo il MIT Technology Review lo scopo è di rendere più semplice la possibilità di mettere pressione sui governi. Le regole prevedono anche che gli Stati debbano considerare “il rischio di utilizzo di tali tecnologie in connessione con la repressione interna di uno Stato o con la messa in atto di serie violazioni dei diritti”, ma anche questo è non vincolante. Insomma, resta da vedere quanto queste nuove regole (chiaramente frutto di compromessi al ribasso dopo anni di discussioni) potranno fare la differenza. Anche perché la loro efficacia, la loro applicazione, rimane nelle mani dei singoli governi.
Se l’Europa ha fatto comunque un piccolo passo avanti (non quello che volevamo ma un passo in avanti, ha commentato una ex parlamentare europea che si è occupata del tema, Marietje Schaake), dopo anni di critiche e autocritica su come la propria industria della cyber sorveglianza non avesse freni nel vendere pressoché a chiunque (qualunque Stato), vale la pena sottolineare come oggi alcuni importanti attori della cybersorveglianza (ad esempio Israele) appaiano sordi a questo genere di preoccupazioni, non ponendo particolari limiti all’esportazione di questo genere di prodotti. Gli avvocati di Amnesty International avevano infatti chiesto invano a Israele di revocare la licenza di esportazione alla società israeliana NSO Group che vende spyware ai governi, alcuni dei quali sono stati accusati da vari ricercatori di averli indirizzati contro attivisti e dissidenti (del tema ne ho scritto molto in newsletter ad esempio qua). Lo scorso anno funzionari delle Nazioni Unite avevano chiesto una moratoria sulla vendita, trasferimento ed export di spyware in tutto il mondo, ricorda Cyberscoop.

Intanto l’Ue “esporta” training
A proposito di Unione europea e di tecnologie di sorveglianza esportate, c’è anche il tema del training fornito a forze di sicurezza e di polizia di una serie di Paesi dove sono registrate spesso violazioni dei diritti umani. In particolare - è la denuncia della ong Privacy International, che ha ottenuto molti documenti al riguardo -  l’Agenzia europea per il training delle forze di polizia (CEPOL) fornirebbe assistenza a una serie di Stati nei Balcani, in Nord Africa e in Medio Oriente su strumenti e know-how che possono essere usati anche per sorvegliare o infiltrare movimenti, dagli Imsi-catcher alla creazione di profili finti sui social a varie tecniche di intercettazione. La richiesta di Privacy è che la Commissione migliori le pratiche di valutazione del rischio e di due diligence su questi training, aumentando la trasparenza al riguardo e concentrando gli aiuti più sul sostenere e migliorare il sistema giudiziario e regolatorio di questi Paesi. Qui la documentazione di Privacy Int.
Qui altra documentazione sempre ottenuta da Privacy Int sull’uso di un sistema di identificazione biometrica per i migranti e il ruolo della società francese Civipol.
Qui la più vasta campagna con la richiesta di riformare i programmi Ue di aiuto allo sviluppo e cooperazione.

CRIPTOGUERRE
Che vuole fare l’Ue con la cifratura?

Il Consiglio Ue il 9 novembre ha pubblicato una bozza di risoluzione sulla cifratura, in cui si dice che l’Unione deve proteggere la crittografia forte ma anche assicurare che le autorità abbiano le capacità di esercitare i loro poteri investigativi. Si tratta di una dichiarazione di intenti, ancora da essere finalizzata nelle prossime settimane ma alcuni - come Euractiv Germany - temono possa portare a un attacco alla crittografia end-to-end, quella più sicura, in cui solo mittente e destinatario hanno le chiavi per cifrare e decifrare i messaggi e le piattaforme che li veicolano non possono leggerli (esempi di servizi di questo tipo sono Signal, Whatsapp, Telegram in modalità lucchetto ecc). La risoluzione si inserisce in un quadro che vede la Commissione europea con una posizione più decisa sul tema dell’accesso alle comunicazioni a fine di indagine, scrive Euractiv, riconoscendo però come ancora non sia chiaro quali soluzioni tecniche si vogliano proporre alle piattaforme. Ma le alternative non sono molte, se si intende per capacità di indagine l’accesso ai contenuti, e alla fine ricadono nell’ipotesi di una backdoor, una via d’accesso alternativa, magari con l’aggiunta di una terza chiave oltre a quelle ottenute da mittente e destinatario, che verrebbe resa disponibile alle autorità. Questo è uno scenario però sempre rigettato dalla maggioranza degli esperti di crittografia che considerano tali soluzioni un indebolimento pericoloso della protezione delle comunicazioni.
Tuttavia, secondo alcune interpretazioni, la risoluzione del Consiglio non sarebbe da leggersi come una dichiarazione di guerra alla crittografia, ma sarebbe più un atto dimostrativo per ottenere probabilmente maggiore collaborazione dalle piattaforme, senza necessariamente implicare una messa al bando di comunicazioni cifrate end-to-end. Tale ad esempio è la posizione di TechCrunch. In effetti se si guardano le dichiarazioni della Commissione europea sul tema, queste sembrano essere più bilanciate. “Gli Stati Membri hanno chiesto soluzioni per permettere alle autorità di accedere in modo legale a prove digitali, senza proibire o indebolire direttamente o indirettamente la cifratura, e nel pieno rispetto delle garanzie sulla privacy e il giusto processo in coerenza con le legge applicabile”. Quel direttamente o indirettamente sembra essere il piccolo bastione che ancora protegge la crittografia. Il riemergere del terrorismo in Europa (in Francia e Austria, ed è sulla stampa austriaca che è uscita la notizia) sta portando le autorità a cercare di facilitare e migliorare le proprie capacità di indagine. Che però riguardano un ambito ben più ampio dei messaggi cifrati end-to-end. Ma certo le ambiguità delle dichiarazioni di intenti restano, così come un quadro internazionale in cui alcuni attori vorrebbero effettivamente minare la crittografia end-to-end (ne avevo scritto qua).

CENSURA E SOCIAL MEDIA
I(nsta)ran

In Iran Instagram sta diventano uno spazio di libertà personale, in termini di costumi, specie per le donne; e di manifestazione politica. Il regime ha preso nota e sta iniziando a controllarlo di più - Rest of the world

AMAZON/UE
Indagine Ue su Amazon

La Commissione Ue ha annunciato l’avvio di una procedura e di un’indagine per violazione delle regole sulla concorrenza e possibile abuso di posizione dominante a carico dell’azienda di Jeff Bezos. Le accuse lanciate dalla commissaria per la Concorrenza Margrethe Vestager nei confronti dell’azienda sono due. Amazon userebbe a suo vantaggio dati riservati dei concorrenti; e favorirebbe chi usa i suoi servizi - Corriere

IMMUNI
In 7 regioni le segnalazioni dei positivi via Immuni non decollano
I dati del ministero della Salute mostrano che in alcune Regioni le segnalazioni attraverso l'app non vengono attivate. E così la macchina del contact tracing si ingolfa, scrive Wired

ELEZIONI USA
L’ascesa del social Parler, all’ombra dei Mercer
Dopo le elezioni presidenziali ha avuto un picco di download l’app del social media Parler, che si pone come un’alternativa a Twitter e Facebook, e che è diventata la nuova casa di conservatori e di campagne come Stop The Steal, che diffonde la tesi del tutto infondata (smentita perfino dagli stessi funzionari elettorali americani) che il risultato delle presidenziali a favore di Biden sia stato determinato da brogli. Ora il WSJ ha rivelato che tra i finanziatori dell’app ci sono Robert Mercer e la figlia Rebekah, gli stessi che hanno finanziato varie cause conservatrici e organizzazioni come Cambridge Analytica.
The Verge
(Ho parlato del ruolo dei social media e media nelle elezioni Usa su Radio3 qua, con altri ospiti).

Le elezioni sono state sicure e l’agenzia per la cybersicurezza ha combattuto la disinformazione. Quindi il suo capo va licenziato…
Il capo dell’agenzia americana per la cybersicurezza e la sicurezza delle infrastrutture (CISA), Christopher Krebs, figura molto rispettata e che ha lavorato a quanto pare bene per proteggere le elezioni da cyberattacchi si aspetta di essere licenziato a breve da Trump. Il motivo? Aver combattuto anche la disinformazione online sulle elezioni - Reuters
Per altro “le elezioni del 3 novembre sono state le più sicure nella storia americana”, ha ufficialmente dichiarato il CISA, insieme ad altri organismi interessati al tema. Sarà anche per questo che Krebs rischia il licenziamento?

CYBERSPIONAGGIO
Lazarus e APT28 sono vivi e lottano assieme a noi

Tre gruppi hacker molto pericolosi stanno prendendo di mira 7 società che lavorano ai vaccini, avvisa Microsoft. Si tratta di Fancy Bear (o APT28, i famosi russi autori di molti attacchi); Lazarus (i nordcoreani che ci hanno regalato l’infezione di Wannary nel 2017 e che prendono di mira banche e cambiavalute online), e di Cerium, a quanto pare una new entry nordcoreana. Non ci si annoia mai con questi gruppi. Vado ad aggiornare la mia mappa di APT (Advanced Persistent Threats), ovvero attacchi avanzati dietro ai quali possono esserci gruppi di cybercriminali o cyberspie particolarmente organizzati e con obiettivi specifici.
Zdnet

SMART/REMOTE WORKING
La startup Remote, nata per facilitare l’assunzione di lavoratori collocati in altri Paesi e legislazioni da parte di aziende, ha raccolto 35 milioni di finanziamenti. Il lavoro del futuro sarà sempre più sganciato dalla sede delle imprese? Di certo la pandemia spinge in questa direzione - TechCrunch

CYBER ITALIA
Nasce l’Istituto italiano di cybersicurezza, nel nome dell’intelligence

“Una fondazione per la cyber-sicurezza, coordinata dal presidente del Consiglio Giuseppe Conte e dall’intelligence. Fra le pieghe della bozza di bilancio, all’articolo 96, viene annunciata la nascita dell’“Istituto italiano di Cybersicurezza” (IIC). La fondazione, di cui sono membri fondatori il premier, i ministri del Cisr (Comitato interministeriale per la Sicurezza della Repubblica) e il ministro dell’Università e della ricerca Gaetano Manfredi, si avvarrà del coordinamento del Dis (Dipartimento informazioni e sicurezza) Avrà due scopi principali. “Promuovere e sostenere l’accrescimento delle competenze e delle capacità tecnologiche, industriali e scientifiche nazionali nel campo della sicurezza cibernetica e della protezione informatica”. Ma anche “favorire lo sviluppo della digitalizzazione del Paese, del sistema produttivo e delle pubbliche amministrazioni in una cornice di sicurezza e il conseguimento dell’autonomia, nazionale ed europea, riguardo a prodotti e processi informatici di rilevanza strategica, a tutela dell’interesse della sicurezza nazionale nel settore”, scrive Formiche

APPROFONDIMENTI

Vivere con gli algoritmi
Anticipazione della versione italiana del rapporto 'Automating Society 2020'.
“In Finlandia, l’identificazione di fattori di rischio individuali correlati all’esclusione sociale dei giovani è automatizzata attraverso uno strumento sviluppato dal gigante giapponese Fujitsu. In Francia, i dati dei social network possono essere analizzati per addestrare algoritmi di machine learning che vengono impiegati per scovare frodi fiscali. L’Italia sta sperimentando la “giustizia predittiva”, che fa ricorso all’automazione per aiutare i giudici a individuare, nella giurisprudenza passata, tendenze utili a valutare il caso in esame. E, in Danimarca, il governo ha provato a controllare ogni click di tastiera e mouse sui computer degli studenti durante gli esami di fine anno, causando — anche qui — una considerevole protesta studentesca che ha portato all’abbandono del sistema, per il momento.” - su Valigia Blu 

CYBERCRIMINE
Boom di attacchi informatici alle aziende: "Dietro, clan transnazionali"
Crescono i reati online: pedopornografia, adescamenti, truffe e crimini finanziari, opera anche della criminalità organizzata. Intervista a Nunzia Ciardi, capo della Polizia postale -  Rosita Rijtano su La Via Libera

RITRATTI
Il folle anno di Elon Musk - Vanity Fair (inglese) 

SALUTI E CONTATTI
Se qualcuno vuole contattarmi in modo anonimo (o, quanto meno, con una maggiore probabilità di privacy e senza dover passare per una casella email o un account legato a un telefono) può farlo andando su https://contact.carolafrediani.org/#/ via Tor Browser (se da dentro la newsletter non si apre link basta riscriverlo nel browser).
È una piattaforma open source creata da Globaleaks (che ringrazio! in particolare un grande grazie a Giovanni Pellerano) che permette a giornalisti, media e organizzazioni (qua ce ne sono alcune) di ricevere segnalazioni e a chi segnala di proteggere la propria privacy (qui un articolo in inglese su chi sono, che fanno).
Oppure potete scrivermi una mail con PGP. O contattarmi solo su Signal +14783944294. O, se non avete particolari esigenze di privacy, molto semplicemente, rispondere a questa newsletter.

Ti è piaciuta la newsletter? Inoltrala a chi potrebbe essere interessato!
E’ gratuita, indipendente, senza sponsor, mandanti o agende altrui, e si diffonde col passaparola dei suoi stessi utenti.
Come viene fatta questa newsletter (e come leggerla)
Per iscriversi: https://guerredirete.substack.com/
Buona domenica!