La tecnologia europea per i militari del Myanmar

Nel 2011 l’esercito birmano, il Tatmadaw, ha iniziato la transizione democratica cedendo parzialmente il potere al governo civile. Da quel momento il Myanmar ha visto una crescita costante dell’accesso a internet nel paese. Insieme alla possibilità di connettersi e comunicare online con il mondo intero, la tecnologia ha però offerto anche un modo all’esercito per mettere in atto nuove forme di repressione. Secondo un recente report di Facebook, il Myanmar si trova al terzo posto fra gli stati che controllano l’utilizzo del social network, anche con account gestiti dall’esercito o dalla polizia. Il governo birmano però non si è fermato a Facebook: negli stessi anni, la fame di sorveglianza del governo è cresciuta ancora più velocemente, come mostrano centinaia di pagine di documenti sui budget governativi, condivisi da Justice for Myanmar con il consorzio giornalistico Lighthouse Reports (Lhr) e analizzati in un’inchiesta congiunta con IrpiMedia, The intercept, Occrp e Al Jazeera. Splinternet, così la rete viene fatta a pezzi Questi documenti mostrano chiaramente come il Tatmadaw voglia trasformare il Myanmar in uno stato di sorveglianza. L’occidente – inclusa l’Europa – giocano un ruolo di rilievo nell’offrire queste tecnologie, malgrado un embargo inasprito nel 2018 che dovrebbe riguardare anche gli strumenti digitali, oltre alle armi tradizionali. Le aziende europee e statunitensi si trovano così a fare concorrenza a Cina e Russia, entrambe già nella sfera di influenza tecnologica del paese. Oppressione digitale La diffusione di internet tra la popolazione birmana è passata da circa l’1 per cento nel 2011 al 43 per cento nel 2021. Dal primo febbraio, il paese è tornato però sotto lo stretto controllo della giunta militare che ha ordinato blocchi nella connessione internet e arresti nei confronti di chi critica sui social il regime militare e supporta i manifestanti. Secondo i documenti, il ministero degli Interni (Moha) e quello dei Trasporti e delle comunicazioni (Motc) hanno stanziato decine di milioni di dollari per l’acquisto di una vasta gamma di strumenti che potrebbero essere utilizzati sia per combattere la criminalità informatica sia per sorvegliare le comunicazioni. Più di 40 aziende occidentali sono presenti nelle pagine dei bilanci che si riferiscono a un periodo che va dal 2018 al 2021, tra queste c’è anche un’azienda italiana. Seppure non sia possibile verificare la vendita effettiva di tutti questi prodotti da parte delle aziende o di loro rivenditori, i documenti dimostrano un piano preciso per ammodernare l’arsenale di tecnologie a disposizione del governo e delle autorità. Per alcune di queste tecnologie sono stati effettivamente indetti bandi di gara e c’è stata l’aggiudicazione ad alcuni rivenditori locali. Alcune aziende hanno confermato le vendite, mentre le inchieste di altre testate giornalistiche hanno dimostrato che alcune delle tecnologie sembrerebbero essere già in uso. La tecnologia ha da sempre giocato un ruolo fondamentale nella repressione in Myanmar. Durante il periodo in cui il premio Nobel Aung San Suu Kiy era al governo, le autorità hanno sottoposto la popolazione Rohingya che vive nello stato del Rakhine a un blackout di internet iniziato a giugno 2019 e durato per più di un anno, colpendo circa un milione e mezzo di persone che si trovano in una zona di guerra. Inoltre, la polizia birmana ha già dimostrato di poter abusare di tecnologie forensi simili a quelle presenti nel budget, in particolare contro i giornalisti. Nel 2017 due giornalisti di Reuters sono stati arrestati mentre stavano lavorando sulle violenze ai danni della popolazione Rohingya. La polizia ha usato strumenti per estrarre dati dai cellulari dei giornalisti e analizzare documenti e dettagli del loro lavoro, secondo quanto ricostruito dal Washington Post. I rischi di abuso Nel budget dei due ministeri, a fianco di prodotti tecnologici per implementare la sorveglianza delle telecomunicazioni – ma non riconducibili a specifiche aziende –, ci sono prodotti per l’informatica forense molto noti fra gli addetti ai lavori. Come il software MacQuisition di BlackBag Technologies, utilizzato per l’estrazione e analisi di dati dai computer Apple, e strumenti dell’azienda Cellebrite, una delle più famose produttrici di tecnologie per l’estrazione di dati dagli smartphone. Cellebrite ha sede in Israele, ha acquistato BlackBag nel 2020, e i suoi prodotti sono stati usati in passato da regimi autoritari anche contro attivisti politici, come in Bahrain. Gli stessi prodotti di Cellebrite sono stati usati contro i due giornalisti di Reuters. Secondo quanto riportato dal New York Times, Cellebrite avrebbe interrotto la vendita al Myanmar nel 2018 e applicato la stessa decisione per BlackBag dopo l’acquisto dell’azienda. Sempre per quanto riguarda l’estrazione di dati, troviamo Magnet Axiom e Magnet Axiom Cloud, prodotti da Magnet Forensics che ha sedi in Canada e negli Stati Uniti, e Cognitech, che offre strumenti per elaborare e analizzare video ripresi dalle telecamere a circuito chiuso o da telefoni e dispositivi portatili. L’Italia è presente con SecurCube e il suo prodotto Bts Tracker che offre un sistema di monitoraggio delle frequenze radio, capace di individuare la posizione e l’area coperta dalle celle telefoniche. È uno strumento utile nelle indagini di polizia ma che in realtà potrebbe essere usato anche per individuare la posizione di persone che usano sistemi per potenziare il segnale cellulare, ad esempio nelle cantine o nelle stanze dove arriva poco segnale. Nel budget sono inclusi diversi strumenti prodotti dall’azienda svedese Micro Systemation Ab (Msab). Il software Xry permette di bypassare le password di protezione degli smartphone, estrarre e analizzare i contatti, le foto, i documenti, le chat e ogni altra informazione presente sul dispositivo. Il software Xry Cloud permette di copiare dati salvati in remoto su cloud come Dropbox o Google Drive, ma anche di scaricare tutte le chat di Facebook e altri social network, senza che sia necessario essere in possesso dello smartphone dell’indagato. «Il problema centrale è che, a seconda di come questa funzione viene implementata, questa tecnologia potrebbe consentire alle forze dell’ordine di intercettare gli account online delle persone dopo che il loro telefono è stato restituito, a loro insaputa» ha spiegato John Scott-Railton, ricercatore del Citizen Lab, un gruppo di ricerca che analizza e monitora le tecnologie di sorveglianza. Uno dei rischi, secondo Scott-Railton, è che questo tipo di tecnologia «finisca per essere usata a fianco della tortura e di altre gravi violazioni dei diritti umani», anche se non ci sono prove che tutte le tecnologie incluse nei documenti del budget siano al momento utilizzate in Myanmar. Un altro caso simile è quello dell’azienda statunitense Oxygen forensics che ha la capacità di acquisire dati da migliaia di dispositivi diversi, inclusi quelli protetti da password. Rispondendo alle nostre domande, l’azienda ha confermato la vendita di una licenza, con fatture registrate nel 2019 e nel 2020. Il direttore generale dell’azienda, Lee Reiber, ha ribadito che l’azienda ha rigide misure di controllo per valutare gli acquirenti, misure che l’azienda richiede che siano adottate anche dai propri partner sparsi in tutto il mondo. In questo e in altri casi sarebbe coinvolta sempre l’azienda birmana MySpace International, la stessa che aveva importato il software di Cellebrite nel caso dei giornalisti di Reuters. L’azienda si sarebbe aggiudicata bandi per dispositivi di cybersicurezza, come sistemi di prevenzione di attacchi informatici contro i siti web e di scansione della rete, ma anche per tecnologie forensi. Un bando di gara che risale all’ottobre 2020 riguarda tecnologie di BlackBag e Msab ed è stato pubblicato sul sito del Bureau of Special Investigation, i servizi di intelligence nazionali del Myanmar. I prodotti indicati corrispondono a quelli presenti nei documenti di budget del Moha per gli anni 2020-2021. Il documento dell’aggiudicazione è stato caricato online a gennaio 2021. MySpace International ricopre un ruolo importante nel collegare le aziende occidentali al Myanmar, come dimostrano pagine web archiviate del loro sito ora non più raggiungibile. Nella pagina dei fornitori, MySpace International annovera infatti Msab, Cellebrite, e BlackBag. Nel caso di Msab, Mike Dickinson, responsabile dello sviluppo aziendale, ha dichiarato che dopo il golpe l’azienda «ha interrotto tutte le vendite al Myanmar». Un portavoce di Cellebrite ha dichiarato: «dal momento che Cellebrite non vendiamo a paesi sanzionati dai governi di Stati Uniti, Unione Europea, Regno Unito o Israele». E ha aggiunto inoltre che «nel periodo in cui Cellebrite ha venduto al Myanmar, prima del 2018, non era affiliata a MySpace International. Lo stesso vale per BlackBag». Password e paranoia La maggior parte di queste tecnologie può essere usata per aiutare la polizia durante le indagini ma, allo stesso tempo, può diventare un’arma fondamentale anche per reprimere il dissenso. Alcune persone che sono state catturate dalla giunta militare confermano che spesso insieme agli smartphone vengono richieste anche le password dei dispositivi. In alcuni casi le persone fermate hanno dovuto sbloccare i propri smartphone e lasciarli controllare. «Ci hanno chiesto di aprire i telefoni, di inserire le nostre password e di andare sul messenger di Facebook. Se erano presenti chat di gruppo, ci hanno chiesto in dettaglio se conoscessimo le persone lì presenti», ha raccontato una persona fermata in Myanmar che ha richiesto di rimanere anonima per paura di ritorsioni. A volte gli smartphone sono stati requisiti e restituiti solo in un secondo momento, dopo forti pressioni alla polizia. In un caso, secondo quanto riportato dai giornali locali, una persona sarebbe stata arrestata per il materiale rinvenuto sul suo smartphone dopo che era stato confiscato dalla polizia. Il timore di essere in uno stato di sorveglianza perenne induce anche la paranoia nella popolazione. In alcuni casi, quelli che sembrano arresti inspiegabili potrebbero essere in realtà collegati a informazioni presenti sulle dirette Facebook con le quali gli attivisti diffondono e monitorano l’evolversi delle proteste: piccoli dettagli presenti nell’inquadratura possono effettivamente permettere di identificare l’area in cui ci si trova. «Non uso più la stessa carta sim e ho anche ripristinato il telefono allo stato di fabbrica – racconta un’altra persona fermata durante le proteste –. Ora uso solo il computer per andare online, con quello stesso telefono uso solo il WiFi». Fondi europei La storia recente del Myanmar è costellata di abusi e violenze ma, malgrado l’embargo in vigore aggiornato dall’Unione europea nel 2018, e nonostante la persecuzione dei giornalisti nel 2017 e un genocidio tuttora in corso, le aziende occidentali sembrano disposte a ricoprire il ruolo di attore principale nell’espansione della sorveglianza birmana. Un’espansione che in parte potrebbe beneficiare anche dei fondi pubblici dell’Unione Europea, utilizzati per sviluppare alcuni degli strumenti che potrebbero essere finiti nelle mani del regime militare. Tra le aziende presenti nel budget che hanno ricevuto fondi europei troviamo la bielorussa Adani e la tedesca Qiagen. Entrambe presenti nel budget del Moha per gli anni 2019-2020. Qiagen ha confermato a The Intercept la vendita di due prodotti nel 2019 che sono utilizzati nelle attività forensi per la frantumazione di campioni, come ossa e denti per l’analisi del Dna. Queste tecnologie non sono soggette a restrizioni, secondo verifiche effettuate dall’autorità tedesca. L’azienda ha ricevuto circa 500mila euro tra il 2013 e 2015 nel progetto europeo Misafe, finanziato con i fondi europei del Fp7 Security. Adani invece offre scanner a raggi X e sistemi intelligenti per monitorare oggetti sospetti nascosti sul corpo delle persone. Nel budget sono inclusi anche software per il rilevamento di armi, sostanze stupefacenti ed esplosivi. Adani ha ricevuto circa 450mila euro di fondi europei tra il 2016 e il 2019 come membro nel progetto Mesmerise. La svedese Msab fa parte del consorzio che si è aggiudicato quasi 7 milioni di euro per il progetto Formobile, iniziato a maggio 2019. Lo scopo è di creare nuovi strumenti per l’acquisizione di dati precedentemente non disponibili, sbloccare gli smartphone, e produrre un nuovo standard di mobile forensics in collaborazione con le forze dell’ordine. I fondi europei hanno l’obiettivo di potenziare le capacità di estrazione dei dati soprattutto da telefoni contraffatti prodotti in Asia, poiché questi dispositivi presentano una sfida per la polizia europea abituata a lavorare con telefoni standard iOS e Android. Come spiegato a The Intercept da Christian Hummert, un ricercatore forense e coordinatore del progetto Formobile, la maggior parte dei risultati del progetto finirà direttamente nei prodotti di Msab. Inoltre, la ricerca del progetto punta ad aggiungere nuove capacità al sistema di estrazione per i dati dal cloud. L’embargo dell’Europa La giunta militare continua a essere un’ombra presente in ogni diramazione del governo e l’esercito, come ha sottolineato l’Onu, si è macchiato di «uccisioni, stupri e stupri di gruppo, torture, spostamenti forzati e altre gravi violazioni dei diritti» nei confronti della popolazione Rohingya. È difficile comprendere quindi come alcune aziende abbiano potuto far finta di nulla di fronte a questi gravi segnali, negando la responsabilità che deriva dall’esportazione di tali tecnologie. In generale, «la responsabilità delle aziende è di essere trasparenti sulle capacità e sui danni potenziali, incluse le misure che adottano per prevenire e ridurre questi danni» ha spiegato Natalia Krapiva, consulente legale dell’associazione Access Now. L’Unione Europea ha ampliato l’embargo nei confronti del Myanmar nel 2018, aggiungendo a fianco dei beni a duplice uso anche quelle tecnologie e strumenti che possono facilitare il monitoraggio delle comunicazioni e di internet favorendo così la repressione interna. Abbiamo contattato una portavoce della direzione generale per la stabilità finanziaria, i servizi finanziari e l’unione dei mercati dei capitali della Commissione europea. Secondo lei, gli strumenti per l’estrazione di dati dal cloud potrebbero essere considerati un’apparecchiatura che rientra nell’embargo, «soggetta a una valutazione caso per caso». Inoltre sono sottoposti all’embargo anche strumenti per il monitoraggio delle radiofrequenze, come il prodotto dell’italiana SecurCube. La decisione finale, però, sottolineano dalla Commissione, è nelle mani delle autorità nazionali degli stati membri che si occupano di monitorare l’export di queste tecnologie. SecurCube ha dichiarato al Manifesto di non aver mai venduto direttamente all’esercito del Myanmar ma ha ammesso che alcuni suoi rivenditori sparsi per il mondo potrebbero averlo fatto. Sono dichiarazioni che sollevano ulteriori dubbi sull’effettivo controllo che queste aziende esercitano nei confronti dei propri rivenditori. Abbiamo inviato una richiesta di commento a SecurCube per capire se sia stata aperta un’indagine interna sui propri rivenditori, ma al momento della pubblicazione di questo articolo non abbiamo ricevuto risposte. Allo stesso modo, richieste di chiarimenti inviate al ministero degli Affari Esteri, l’autorità italiana che monitora l’export di queste tecnologie, non hanno trovato risposta. Il testo del regolamento europeo è parecchio chiaro sull’approccio che le autorità nazionali dovrebbero seguire: se ci sono «ragionevoli motivi per determinare che l’attrezzatura, la tecnologia o il software in questione sarebbero usati per la repressione interna dal governo di Myanmar, da enti pubblici, società o agenzie, o da qualsiasi persona o entità che agisce per loro conto o sotto la loro direzione», le tecnologie non dovrebbero essere esportate. «Leggendo il testo dell’embargo si deduce che copre tecnologie che potrebbero essere usate per l’oppressione interna e fondamentalmente tutto ciò che va ai militari o ai paramilitari – e questo rende l’embargo estremamente ampio», ha spiegato Pieter D. Wezeman, ricercatore dello Stockholm International Peace Research Institute (Sipri). Gli strumenti tecnologici permettono di penetrare nella vita digitale di attivisti e cittadini e «sfortunatamente, sappiamo da altri casi documentati (per esempio Cellebrite) che quando i regimi autoritari mettono le mani su queste tecnologie le usano per permettere ulteriori abusi dei diritti umani» ha concluso Scott-Railton. Questa inchiesta è parte di un progetto di collaborazione internazionale che coinvolge anche Al Jazeera, The Intercept e IrpiMedia