C’è voluto praticamente un anno per passare dai primi colloqui formali - importanti, ma appunto preliminari - a un documento ufficiale che, sebbene non vincolante a livello legale, comunque indica le principali linee guida che i Governi dovrebbero seguire per un utilizzo minimamente accettabile dello spyware commerciale. È stato questo il percorso del cosiddetto Pall Mall Process: ufficialmente, e più descrittivamente, il “Code of practices for States, to tackle the proliferation and irresponsible use of commercial cyber intrusion capabilities”.

Il problema è noto. I Governi di tutto il mondo sono i principali utilizzatori dello spyware commerciale - ed è per questo che è importante che il Pall Mall Process li veda protagonisti - e in generale di strumenti digitali per il monitoraggio di persone e conversazioni. Per certi versi lo spyware è l’evoluzione moderna degli strumenti per le intercettazioni ambientali, quindi ci sono diversi scenari in cui un suo uso è lecito: tipicamente, nel contrasto della criminalità.

Il punto è che chi sviluppa lo spyware non è interessato agli usi che se ne fanno, deve semplicemente venderlo e vendere i servizi di spionaggio associati. Poco importa che sia per prevenire atti criminali, compierli, reprimere opposizioni, facilitare genocidi. Infatti lo spyware commerciale è stato a lungo un problema messo in evidenza quasi solo dalle organizzazioni umanitarie, è piuttosto recente l’idea che troppo spyware diventa anche una questione di sovranità e sicurezza nazionale.

Così, in questi ultimi anni diversi Stati e organizzazioni hanno cercato di formalizzare linee guida che mettessero un freno all’uso incontrollato dello spyware. Anche il Pall Mall Process mette in evidenza sin da subito questo aspetto: l’uso lecito (in senso politico-giudiziario, non certo etico) dello spyware resta e nessuno lo vuole eliminare, quello che non va bene è la combinazione della sua “proliferazione” e del suo utilizzo “irresponsabile”.

Bisogna quindi intendersi prima di tutto sui termini. L’uso “irresponsabile” è per il Pall Mall Process essenzialmente quello che va contro la sicurezza, i diritti umani, le libertà fondamentali e la stabilità del ciberspazio comune, oltre che ovviamente contro la legge internazionale e dei singoli Stati. La “proliferazione” è la diffusione incontrollata degli spyware (e simili) tra Stati e threat actor di altro genere, arrivando a una facilità di accesso che di fatto aumenta molto la possibilità di utilizzi irresponsabili.

Il Pall Mall Process è diventato un documento ratificato da una ventina di nazioni - compresa l’Italia, che è uno degli “assi” dello spyware commerciale - che, a voler semplificare ed essere un po’ cinici, riconoscono e sottoscrivono alcuni concetti chiave: che norme internazionali generiche per limitare i pericoli dello spyware ci sarebbero già ma nessuno le considera, che nessun Paese vuole una norma specifica davvero vincolante, che il massimo che si può fare al momento è impegnarsi tutti a un comportamento “educato” seguendo quattro macro-linee guida.

Quattro pilastri

Prima linea guida: Accountability. Chi usa gli spyware deve farlo in modo legale e responsabile, cosa che impone prima di tutto lo sviluppo di normative nazionali più stringenti sull’uso degli spyware e in particolare per il controllo delle loro esportazioni. Mettendo tra l’altro in campo strumenti che permettano effettivamente, a livello nazionale come internazionale, di punire gli sviluppatori di spyware (i quali, si sa, sono notevolmente sfuggenti) e di tutelare le loro vittime.

Il secondo pilastro del Pall Mall Process è definito Precision. Si intende con questo che ogni nazione deve (o dovrebbe) usare spyware solo per scopi ben identificati e senza andare oltre questi. Per essere sicuri di questo, ogni nazione dovrebbe (ragionevolmente) condividere con le altre le best practice su cosa sta facendo con lo spyware e in quali ambiti. E dovrebbe anche fare in modo che l’uso dello spyware da parte di un suo dipartimento o ente non sia un segreto per gli altri. La metaforica mano destra di una nazione, insomma, dovrebbe sapere cosa fa la sinistra. Non sempre è così. Anzi, normalmente è il contrario.

Ecco perché la terza linea guida del Pall Mall Process è Oversight: ogni nazione dovrebbe mettere in atto processi di due diligence e controllo tali da assicurare che le operazioni che prevedono l’utilizzo di spyware siano portate avanti in modo legale e responsabile, oltre che secondo principi di “rispetto della legge, necessità, proporzionalità, ragionevolezza”. Ma sullo sfondo resta il rischio - che norme specifiche dovrebbero contribuire a contenere - che chi impara a usare gli spyware a favore dello Stato poi lo faccia in maniera illecita una volta che non è più alle dipendenze dello Stato stesso.

Questo ultimo punto rimanda a una caratteristica importante e problematica del mondo spyware: è anche un sottobosco di organizzazioni, persone e relazioni più o meno lecite, più o meno ufficiali in cui oltre un certo limite diventa molto difficile orientarsi. Da qui la linea guida della Transparency: chi all’interno dei Governi usa lo spyware deve sforzarsi di delineare con precisione la supply chain degli strumenti che usa, per capire se - involontariamente, si presume - l’utilizzo di determinati strumenti non abbia creato una relazione indiretta con entità poco raccomandabili o persino del tutto illecite.

Premesso tutto questo, che ruolo e peso può avere il Pall Mall Process? Dipende. Il bicchiere è mezzo pieno o mezzo vuoto, come lo si vuole vedere. Certo le nazioni che lo hanno sottoscritto sono poche (ventuno: Austria, Danimarca, Estonia, Francia, Germania, Ghana, Giappone, Grecia, Irlanda, Italia, Kosovo, Lussemburgo, Moldavia, Olanda, Polonia, Regno Unito, Slovacchia, Slovenia, Svezia, Svizzera, Ungheria) rispetto alle oltre cento che si suppone usino regolarmente spyware commerciale. E mancano “grandi utenti” come USA, Russia o Cina e un “grande sviluppatore” come Israele.

Ma il fatto che il Pall Mall Process esista è di per sé già positivo, perché ufficializza un problema da risolvere a livello globale e lo inserisce in un contesto corretto: cercare un sistema volontario di pesi e contrappesi che non neghi l’uso lecito (e comunque inevitabile) dello spyware ma nemmeno che la situazione ormai è scappata di mano a tutti. Come se non bastasse, in uno scenario geopolitico che rende più complesso mettere insieme più nazioni intorno a un tavolo per fare in modo che si auto-regolamentino insieme.