- L’agenzia europea che dovrebbe combattere il crimine ha raccolto una montagna tale di dati da far pensare che svolga compiti di sorveglianza di massa ricalcando così i passi dell’Nsa. L’opacità è grande, e sono pochissimi gli europei consapevoli di essere finiti nel database pur non avendo commesso reati. L’attivista olandese a cui è capitato racconta che essere schedato è un’esperienza terribile.
- In questo DataGate all’europea la battaglia per tutelare i nostri diritti è in mano al garante europeo per la privacy, che infatti 10 gennaio rende pubblica la sua decisione di ordinare a Europol di cancellare la parte di dati trattenuta in modo illegittimo.
- Questa inchiesta di Domani è svolta in collaborazione con The Guardian (Regno Unito), Der Spiegel (Germania), Mediapart (Francia), News24/7 (Grecia). Questa rete di testate europee la pubblica in simultanea. La produzione dell’inchiesta è sostenuta da un finanziamento di IJ4EU - European Journalism Center in collaborazione con Lighthouse Reports.
L’agenzia di polizia dell’Unione europea, Europol, sarà costretta a cancellare una parte significativa di un enorme archivio di dati personali che ha accumulato illegalmente negli ultimi anni. A ordinarlo è lo European Data Protection Supervisor (Edps), il garante europeo per la protezione della privacy. A finire sotto i riflettori del garante è quella che gli esperti descrivono come una «montagna di big data», contenente miliardi di informazioni. Dati sensibili estratti da inchieste sulla criminalità organizzata, da operazioni di hackeraggio di piattaforme telefoniche criptate o ancora da controlli su richiedenti asilo che non hanno commesso alcun reato.
Secondo documenti interni, le banche dati di Europol contengono almeno 4 petabyte di dati. Per farsi un’idea, è l’equivalente del contenuto di tre milioni di CD-Rom o di un quinto del materiale digitale raccolto nella Library of Congress degli Stati Uniti, tra le biblioteche più grandi del mondo. Secondo esperti di privacy, un tale volume di informazioni fa pensare che Europol svolga compiti di sorveglianza di massa, ricalcando i passi della National Security Agency (Nsa), l’agenzia di polizia statunitense che - come rivelato nel 2013 dal whistleblower Edward Snowden - spiava illegalmente cittadini innocenti.
Disseminati tra questi 4 quadrilioni di dati personali, ci sono i dati di 250mila persone implicate o collegate a inchieste sul terrorismo, e di migliaia di altri individui che, per motivi diversi, erano parte della loro rete di contatti. Si tratta di informazioni accumulate negli ultimi sei anni, in seguito a una serie di operazioni di polizia.
Il 10 gennaio il garante Ue rende pubblica la sua decisione di ordinare ad Europol di cancellare una parte di questi dati, trattenuti in modo illegittimo. L’agenzia avrà tutto il 2022 per farlo, separandoli da altri che detiene legalmente. Quello che oppone le due autorità dell’Ue è un conflitto inusuale, che vede la piccola autorità per la privacy contrapporsi a una sempre più potente agenzia di polizia, destinata a diventare un riferimento per l’impiego di algoritmi e intelligenza artificiale nelle questioni di sicurezza europee.
«Le forze dell’ordine hanno bisogno degli strumenti, delle risorse e del tempo per analizzare dati che ricevono in modo legale» ha detto a Domani Ylva Johansson, la commissaria Ue per gli Affari interni, aggiungendo che «in Europa, la piattaforma che sostiene le polizie nazionali, impegnate in questo compito sovrumano, è Europol».
Tra i vertici dell’Ue ci sono però divergenze fondamentali su quali equilibri mantenere tra esigenze di privacy e di sicurezza. E nel mondo ovattato delle istituzioni dell’Unione, la presa di posizione del garante è percepita come un elemento radicale, che alza la posta in gioco in un dibattito che riguarda il futuro della privacy nel continente.
Secondo Chloé Berthélémy, esperta di protezione dei dati per la rete European Digital Rights, Europol sta seguendo i passi della Nsa statunitense, pur con risorse tecnologiche molto inferiori. «La capacità di Europol di raccogliere grandi quantità di dati e di accumularli in quella che possiamo definire una ‘montagna di big data’ sta trasformando l’agenzia in una sorta di buco nero», ha spiegato.
Europol e i suoi sostenitori, ai vertici delle istituzioni di Bruxelles, negano però ogni irregolarità e ritengono anzi che l’annuncio del garante sia una testimonianza del funzionamento del sistema. Omettono però di aver fatto tutto il possibile per ritardare la decisione dell’Edps. Ora che il dado è tratto, Europol ha dichiarato al team di questa inchiesta che il garante probabilmente interpreta la legge in modo poco flessibile. «Il regolamento di Europol - ha comunicato l’agenzia, in un curioso ragionamento giudiziario - non può essere inteso come un requisito impossibile da rispettare [dalla stessa Europol]».
La decisione del garante arriva in un momento cruciale: l’Ue è infatti nella fase finale di un lungo negoziato per modificare il Regolamento di Europol, accrescendone incredibilmente i poteri. L’obiettivo è anche di legalizzare retrospettivamente la «montagna di dati», utilizzandone il contenuto come base per sviluppare nuovi sistemi di analisi tramite l’intelligenza artificiale.
Nata nel 1999 per coordinare forze di polizia nazionali, Europol ha visto crescere fondi, ruolo e aspettative a partire dal 2015, quando, dopo l’attacco al Bataclan di Parigi, è stata presentata come una soluzione al terrorismo jihadista ed ha iniziato a ricevere e immagazzinare dati personali da Stati, forze di polizia e organizzazioni internazionali.
Sulla carta, Europol è vincolata ad un regolamento che definisce nel dettaglio quali dati personali può registrare e processare e per quanto tempo. Si tratta di dati di sospetti, testimoni ed informatori, che abbiano una rilevanza in casi di terrorismo o criminalità internazionale. Ma spesso, secondo Edps, questo trattamento dei dati è stato lasciato al caso.
L’esperienza di essere schedato
Le dimensioni e l’origine di una parte significativa dei dati presenti nella ‘montagna’ la rendono evidentemente poco trasparente. Sono pochissimi i cittadini europei che, pur non avendo commesso reati, hanno scoperto di essere finiti in questo database e nessuno sembra essere riuscito ad ottenere informazioni dettagliate su quali dati siano effettivamente registrati. Tra di loro c’è l’attivista olandese Frank van der Linde. Uno dei rari fili visibili in una matassa altrimenti indistinguibile di dati.
Van der Linde, le cui esperienze con la polizia sono limitate all’aver forzato una finestra per entrare in un edificio da usare come dormitorio per persone senza dimora, è stato rimosso nel 2019 da un registro olandese di potenziali terroristi su cui tenere gli occhi aperti. Un anno prima si era però trasferito a Berlino. Senza che lo sapesse, la polizia olandese lo aveva comunque segnalato ai colleghi tedeschi e a Europol. L’attivista lo scoprirà per caso, accedendo ad alcuni file personali consegnatili dal comune di Amsterdam.
Quando chiede alle autorità olandesi di aiutarlo a rimuovere i dati, si trova di fronte ad un muro. Chiede allora ad Europol che, nel giugno 2020, gli risponde di non avere nessuna informazione a cui fosse «autorizzato ad accedere». L’attivista si rivolge così all’Edps.
Van der Linde, che aspetta risposte da oltre un anno, è convinto che i suoi dati convivano con quelli di centinaia di migliaia di persone. Criminali, sospetti, testimoni, vittime e persone legate, in modo generico, all’ambiente o alla località frequentati da uno di loro.
«Mi inquieta quanto sia facile finire registrati in un archivio di questo tipo, quanto la polizia abbia l’abitudine di scambiare dati personali oltre i confini, e quanto sia difficile essere rimossi da queste banche dati una volta che ci si finisce» dice Van der Linde.
Un’irrequietezza condivisa da tempo dal garante europeo. In una prima comunicazione, del settembre 2019, il garante sosteneva infatti che i dati acquisiti da Europol fossero poi immagazzinati senza i necessari controlli, ovvero senza verificare che i titolari di quei dati appartenessero alle categorie per cui l’agenzia è autorizzata a conservare informazioni sensibili. Certo l’accesso a questi dati è strettamente sorvegliato e una parte importante della ‘montagna’ è composta da dati trattenuti e usati in modo legale. Ma la parte restante?
Prendersi gioco del sistema
Il garante ritiene che gli sforzi di Europol di rispondere alle sue osservazioni del 2019 non siano stati sufficienti e, nel settembre 2020, avvia quindi una procedura formale di ammonimento, chiedendo di trovare una soluzione in tempi rapidi.
Al cuore delle preoccupazioni dell’Edps c’è il fatto che «i titolari dei dati rischiano di essere ingiustamente collegati ad attività criminali all’interno dell’Ue, il che può danneggiare potenzialmente la loro vita personale e famigliare, la libertà di movimento e di impiego che questa garantisce».
Nasce qui un conflitto, registrato da una serie di documenti interni, ottenuti tramite richieste di accesso agli atti, che mostrano come Europol abbia cercato di prendere tempo, mentre il garante insisteva sul fatto che non avessero risolto la «violazione legale». L’agenzia di polizia sembra così attendere l’approvazione del suo nuovo regolamento per ottenere una copertura di pratiche adottate per sei anni senza una vera base legale.
Un conflitto che ha innervosito la Commissione europea, tanto da spingere Monique Pariat, direttrice generale per gli Affari interni, ad organizzare un incontro prenatalizio, a dicembre 2021. Fonti vicine all’incontro dicono che il garante sia stato invitato a «smorzare» ogni critica pubblica dell’operato di Europol.
Il garante, Wojciech Wiewiórowski, ha detto a Il Domani che l’incontro di dicembre è stato «l’ultimo momento per Europol per aggiungere alcune informazioni che non erano state aggiunte nelle ultime risposte alla nostra lettera».
L’incontro però non ha offerto risposte alle inquietudini di Wiewiórowski sulla legalità della registrazione dei dati, quindi, ha proseguito, «non c’era altro modo di risolvere il problema: dovevamo adottare una decisione di cancellare tutti quei dati trattenuti da più di sei mesi».
Per Niovi Vavoula, ricercatrice alla Queen Mary University di Londra, «la nuova legislazione è un modo di prendersi gioco del sistema: Europol e la Commissione hanno cercato ex-post di rettificare il fatto di aver detenuto questi dati per anni, illegalmente». Ma la legge, spiega, «non funziona così, non puoi cambiare le norme per riparare passate condotte illegali».
Le preoccupazioni degli esperti non si limitano però alla durata del trattenimento dei dati personali. Europol, dicono, mira alla sorveglianza di massa.
Nel giugno 2021, durante un dibattito interno della Commissione Libertà civili, Giustizia e Affari interni del Parlamento Ue, alcuni eurodeputati hanno paragonato Europol alla Nsa. A sorpresa, Wiewiórowski ha sottoscritto il paragone, spiegando come Europol usi argomenti simili a quelli usati dall’agenzia Usa per difendere quelle operazioni di raccolta di dati e di sorveglianza rivelate da Snowden.
«Dopo lo scandalo Prism – dice Wiewiórowski ai deputati riferendosi al programma di sorveglianza statunitense – la Nsa disse che non stavano processando dati ma solo raccogliendoli, e che li avrebbero usati solo se neccessari per delle inchieste». Un approccio che, per il garante, «non risponde alle norme europee sulla gestione dei dati personali».
Eric Topfer, un esperto di sorveglianza del German Institute for Human Rights, sostiene che con il nuovo regolamento, la cui approvazione avverrà nei prossimi mesi, l’agenzia potrà ottenere dati personali da banche, compagnie aeree, società private e servizi di email. «Se Europol dovrà solo chiedere alcune tipologie di informazioni per averle servite su un piatto d’argento, questo significa che ci stiamo avvicinando al modello della Nsa» spiega.
La fine delle comunicazioni criptate?
Il trattato di Maastricht, in cui per la prima volta faceva capolino la futura Europol, definiva l’agenzia come un facilitatore dello scambio di informazioni tra forze di polizia nazionali. Non si accennava alla possibilità di condurre operazioni. Negli ultimi sei anni però, l’agenzia, che ha il quartier generale all'Aja, si è trasformata completamente: il budget è più che duplicato, mentre dal 2018 il valore dei suoi software è quadruplicato. Le tensioni con l’Edps sono quindi l’ultimo capitolo di una storia che vede Europol spingere per un approccio tecnocratico, a scapito della privacy. Nel luglio 2021, la direttrice dell’agenzia, Catherine De Bolle, già a capo della polizia belga, scriveva su Politico che la necessità, da parte delle forze di sicurezza europee, di estrarre dati dagli smartphone, avrebbe prevalso sulla privacy. La polizia doveva poter accedere a tutte le comunicazioni criptate, da messaggerie come WhatsApp a sistemi più sofisticati, sosteneva lei.
De Bolle non citava le recenti rivelazioni su Pegasus, un sistema spyware con cui diversi governi hanno intercettato le comunicazioni di attivisti, giornalisti e avvocati, che nelle comunicazioni criptate cercavano privacy e protezione.
La posizione di Europol rispetto a tecnologie invasive di questo tipo era già emersa a inizio 2021, quando si scoprì che l’agenzia aveva utilizzato per anni il controverso programma Gotham, sviluppato da Palantir, azienda Usa dei big data.
Nel 2020, Europol aveva annunciato con entusiasmo la sua partecipazione a un’operazione di polizia franco-olandese, che aveva hackerato EncroChat, un servizio di telefonia criptata, arricchendo ulteriormente i database dell’agenzia. Per Europol ed Eurojust, agenzia di cooperazione giudiziaria dell’Ue, l’operazione - nome in codice Emma - era uno dei più grandi schiaffi alla criminalità organizzata della storia europea. Nel solo Regno Unito, a dicembre 2021 erano 2600 le persone arrestate. Per Nikki Holland, direttrice della National Crime Agency, la polizia criminale britannica, l’operazione equivaleva ad «avere un infiltrato dentro ogni grosso gruppo criminale del paese».
Europol aveva copiato i dati estratti da 120 milioni di messaggi, contenuti negli smartphone criptati distribuiti da EncroChat in tutto il mondo. Trentaduemila di questi cellulari erano localizzati in Europa, 2500 dei quali in Italia. La montagna di dati si era così arricchita di decine di milioni di registrazioni di chiamate, messaggi, fotografie, immagazzinati, esaminati e quindi trasferiti alle polizie di mezza Europa. Il numero e l’importanza delle operazioni che erano seguite, in particolare di sequestro di stupefacenti, avevano messo a tacere qualsiasi critica. Eppure l’operazione di hackeraggio, che aveva trasformato telefoni ritenuti ipersicuri in sofisticati sistemi di spionaggio, rivolti contro i loro stessi utilizzatori, ha più di una somiglianza con i malware utilizzati da Pegasus.
Tanto che a novembre 2021, un gruppo di avvocati tedeschi, francesi, svedesi, olandesi, britannici, irlandesi e norvegesi, si è radunato a Utrecht, nello studio di uno di loro, per parlarne. Tutti rappresentavano clienti accusati sull’onda dell’operazione Emma. E tutti ritenevano che i casi costruiti dalle procure dei loro paesi si basassero su dati parziali: l’origine delle prove portate in dibattimento era infatti confidenziale. «Poliziotti e pubblici ministeri hanno nascosto o deformato i fatti», sostiene l’avvocato tedesco Christian Lödden. «I nostri clienti non sono certo le migliori persone al mondo, ma forse per condannarne uno in più, stiamo perdendo qualcosa di cruciale per la democrazia».
Tra gli utilizzatori di EncroChat c’erano infatti anche non criminali, come avvocati, giornalisti e manager. Haroon Raza, avvocato olandese, è uno di loro e racconta di aver comprato un apparecchio EncroChat in un negozio di telefonia di Rotterdam. Appena saputo dell’hackeraggio, ha chiesto alle autorità olandesi di cancellare i suoi dati. «Ma per quanto ne so, sono ancora nei database di Europol, dove potrebbero rimanere per sempre».
Il penalista francese Robin BiNsard è convinto che si tratti di un’ennesima operazione di sorveglianza di massa. “La polizia ha smantellato un intero sistema di comunicazione ed è esattamente come se perquisissero tutti gli appartamenti di un quartiere per cercare prove di reato: è illegale e viola la privacy.”
Dal 2016, Europol conduce anche un programma di screening di massa negli hotspot per migranti in Grecia e Italia, raccogliendo i dati di decine di migliaia di richiedenti asilo, in cerca di presunti foreign fighters e terroristi. Secondo un rapporto di ispezione dell’Edps, in parte declassificato, questi “controlli di routine” di migranti che attraversano i confini dell’UE «non sono permessi e mancano di base legale». Anche questi screening potrebbero dunque aver ingrossato il volume della “montagna di dati” senza che ci sia alcun legame tra le persone registrate e la criminalità internazionale. Europol non ha voluto rivelare nessun dettaglio di queste operazioni.
Gli algoritmi e la montagna di dati
Una serie di documenti interni, letti da Il Domani, mostra come nella primavera del 2020, dopo che l’Edps aveva già sollevato i primi problemi, Europol stesse sviluppando dei programmi di analisi dei big data tramite intelligenza artificiale.
L’unico modo per far fruttare questa crescente “montagna di dati” era infatti l’utilizzo di algoritmi, in grado di analizzarli e filtrarli. Nell’ottobre 2020, poco dopo essere stata ammonita dall’Edps, l’agenzia si rivolge quindi al garante, chiedendo se avrebbero potuto sviluppare degli algoritmi, testandoli su quelli stessi dati che, secondo il garante, Europol deteneva illegalmente.
Europol specifica che gli algoritmi, che includevano sistemi di riconoscimento facciale, non avrebbero indagato su dati sensibili come condizioni di salute, etnia, orientamento sessuale o preferenze politiche. Ammette però che questi elementi sarebbero stati processati dagli strumenti sviluppati al suo interno dall’agenzia. «Riconosciamo che i risultati prodotti conterranno dati sensibili e il loro utilizzo sarà in linea con il Regolamento di Europol», rassicurava l’agenzia.
Nonostante le riserve dell’Edps, Europol decide però di proseguire con lo svilluppo di algoritmi, tanto che, nel gennaio 2021, come confermato da uno scambio di lettere, il garante comunica che avrebbe aperto una nuova procedura di ispezione. Solo a quel punto, nel febbraio 2021, Europol decide di frenare il programma. Rispondendo a Domani, Europol ha confermato di «non aver mai fatto uso di sistemi di apprendimento automatico per l’analisi operativa dei dati», e di non aver mai «sviluppato algoritmi».
Diversi segnali fanno pensare però che Europol tornerà presto sui propri passi. Ha infatti già avviato il reclutamento di esperti di intelligenza artificiale e analisi dati. Per la Commissione europea, c’è poi bisogno di una «capacità Ue di sviluppare strumenti tecnologici moderni per le forze dell’ordine, compreso lo sviluppo e la sperimentazione di algoritmi, nel pieno rispetto dei diritti fondamentali».
La forma e la forza crescenti di Europol stanno intanto mettendo in allerta i pochi deputati europei che si occupano di tecnologie e privacy, come la belga Saskia Bricmont, dei Verdi, per la quale «i compiti di Europol sono cruciali, ma eseguiti nel modo sbagliato: l’agenzia si è trasformata, nel nome della lotta contro criminali e terroristi, ma all’orizzonte non vedo che problemi».
Questa inchiesta di Domani è svolta in collaborazione con The Guardian (Regno Unito), Der Spiegel (Germania), Mediapart (Francia), News24/7 (Grecia). Questa rete di testate europee la pubblica in simultanea. La produzione dell’inchiesta è sostenuta da un finanziamento di IJ4EU - European Journalism Center in collaborazione con Lighthouse Reports.
© Riproduzione riservata
