L’iniziativa di hacktivism di MonitoraPA ha fatto parlare di sé da ben prima della segnalazione al Garante, al punto da destare inevitabili curiosità nei più. Sebbene i media mainstream insegnino che è sufficiente avere una felpa con cappuccio e giovarsi della luce del monitor nella penombra per essere un hacker, vista la stagione particolarmente calda ho preferito evitare vestizioni propiziatorie e ho scelto di contattare direttamente il gruppo tramite i canali pubblicati sul loro sito per chiedere la disponibilità per un’intervista.
Intervista che per coerenza di metodo e stile, ha assunto una forma “distribuita” in quanto riporta i commenti di chi ha voluto aderire all’invito – come anonimo o tramite nickname per ciascun autore – nel rispondere a qualche domanda per infosec.news. Con questa modalità si confida di poter rendere ai lettori un mosaico dei punti di vista dei singoli partecipanti perché possano ottenere una maggiore chiarezza sulla vicenda.
Eccoci qui. Partiamo subito con la domanda che si sono fatti tutti: chi ve l’ha fatto fare?
«Il desiderio per una società democratica e auto determinata, libera da influenze straniere, le cui leggi vengano rispettate e in cui vige una giustizia digitale.» amreo
“Inizia tutto con io che entro nel gruppo dopo che qualcuno lo aveva segnalato in qualche gruppo dedicato alla privacy in cui sono (se non erro nel gruppo di Privacy Bene Comune). Entro nel gruppo e mi metto ad osservare un po’ cosa si pone di fare il progetto e mi piace. Noto allora che si possa migliorare alcuni link nel README.md e faccio una proposta di modifica (Pull Request, PR) per sistemarli in modo tale che funzionassero correttamente. La PR viene accettata istantaneamente, ne faccio un’altra. Accettata. Poco dopo arriva Fabio e puff, mi fa co-amministratore del repository di codice. A me, che non avevo fatto nulla, dovevo ancora finire di leggere la documentazione presente e praticamente ero appena entrato. Io un po’ stupito mi dico “ah figo vabbè dai vediamo come va a finire non mi porterà via tanto tempo”…. Ed eccoci qui. Mesi di lavoro, ore spese a debuggare codice, a leggere messaggi, opinioni, critiche, bozze di testi, idee pazzerelle ed una buona dose di divertimento. In pratica: chi me l’ha fatto fare? È iniziato tutto un po’ per caso e poi me ne sono innamorato (sia grazie alle persone che vi partecipano che all’idea bellissima dietro al progetto) :D» ~ _Zaizen_
«Ho tre figlie e sono profondamente preoccupato per il loro futuro, per il futuro della società cibernetica in cui vivranno. Non voglio che vengano ridotte ad ingranaggi di sistemi che non comprendono. Voglio che siano padrone del proprio destino. MonitoraPA è un primo passo per realizzare una società cibernetica davvero democratica, alla cui costruzione cui tutti possano partecipare alla pari.» ~ Giacomo Tesio
«Il tema dei web tracker è qualcosa che l’utente medio non conosce: nel 99% dei casi, se non si hanno competenze tecniche o da utente evoluto, non ci si rende neanche conto di cosa succede dietro il browser. Noi pensiamo di visitare un sito informativo, o leggere un blog che racconta delle nostre passioni, o acquistiamo un prodotto su un e-commerce e contemporaneamente i nostri dati personali vanno alle Big Tech che ci profilano e ci fanno arrivare pubblicità mirate e costruiscono enormi database dove si sa tutto di noi. Se l’utente medio non è in grado di contrastare questo fenomeno o quantomeno ridurlo, l’attivismo civico può farlo.» Pietro
«Un buon cittadino dovrebbe guadare con senso critico quel che lo circonda, se trova qualcosa che non va capire se ci può essere una soluzione, segnalare e suggerire possibili soluzioni, mettersi anche in prima persona per aiutare a risolvere. Così sta facendo MonitoraPA» anonimo
«Perché tutte le forme di “monitoraggio civico” esistenti (ambiente, trasparenza, anticorruzione, integrità elettorale, etc) sono limitate dalla proporzionalità delle forze attivistiche messe in campo rispetto al risultato, mentre grazie ad un approccio “automatizzato” è possibile creare un virtuoso risultato asimmetrico dell’azione sociale, seguendo ovviamente un approccio da “hacker”, che realizzi un nuovo modo e metodo che rimanga con noi negli anni, non una iniziativa la cui forza si affievolisca dopo una prima campagna né che sia nelle mani di una singola entità (resilienza organizzativa).» Naif
In parole semplici, comprensibili anche da chi non ha una preparazione da hacker, mi dite qual è il problema di Google Analytics?
«Il problema è che gli stati uniti richiedono per legge la sorveglianza di massa sui cittadini non statunitensi da parte delle aziende statunitense, anche se i server si collocano fuori dal territorio USA o sul suolo europeo. Ciò implica, nel caso di google analytics, che le agenzie di spionaggio come NSA vengano a sapere tutte le attività che compiono i visitatori dei vari siti web se su tali siti è presente Google Analytics. Il problema non è finito perché Google, e anche le altre big tech, possiede un enorme quantitativo di dati e di tecnologie che consentono mediante tecniche statistiche di de-anonimizzare le identità dei visitatori.»amreo
«Avete presente le agenzie a 3 lettere? Quelle negli USA che pare siano sti super fricchettoni fortissimi in informatica? Beh, è un dato di fatto siano MOLTO interessati ai dati delle persone e questo obiettivo gli è molto più facile da perseguire mentre operano con aziende con sede USA o ancora meglio se sono direttamente in territorio USA. Uno di questi casi è Google il quale con il suo collezionare dati in quantitativo esorbitante diciamo che torna molto “utile” a questi enti (e a se stesso ovviamente, giusto per poter migliorare il proprio monopolio). Senza entrare nel quadro normativo o dettagli tecnici direi che questo è il problema di analytics, il rendere la profilazione degli utenti qualcosa di molto più di un numero ma un vero strumento di sorveglianza.» ~ _Zaizen_
Google Analytics invia a Google dati personali di miliardi di persone, tracciando ogni singola attività che svolgono su tutti i siti e tutte le App in cui è installato. Questo pone due problemi. Il primo e nettamente più grave, è quello che Google attraverso i profili cognitivo-comportamentali di milioni di cittadini italiani, non si limita a orientarne gli acquisti verso alcuni prodotti invece di altri, ma ne influenza in modo invisibile e senza assumersene alcuna responsabilità pubblica, le opinioni politiche e culturali attraverso molti software, da GNews, ai risultati di ricerca su Google etc… decidendo cosa ciascun “utente” deve vedere e cosa no. Inoltre, per il semplice fatto di controllare il software eseguito nei datacenter (e sui cellulari) di tutto il mondo, Google ha accesso ad una quantità inimmaginabile di dati personali che deve fornire, nei termini della legge USA, alle agenzie governative USA che ne fanno richiesta. Questo ovviamente è incompatibile non solo con la dignità e la libertà individuale dei cittadini europei, ma con la sovranità dei nostri popoli che non deve essere sottoposta a questa inquietante influenza ostile.» ~ Giacomo Tesio
«Il problema non è legato particolarmente a Google Analytics, ma all’intero ecosistema di Google che negli anni ha raccolto (e sta ancora raccogliendo) tutta una serie di dati degli utenti di internet ed oggi, con estrema facilità, ha la possibilità di correlare questi enormi metadati per ottenere informazioni rivendibili nel mercato della pubblicità online (e non solo). Siamo partiti da Google Analytics perchè lo abbiamo considerato come uno degli strumenti più diffusi online, ed è la fonte principale – seppur non l’unica – da cui Google raccoglie dati personali degli utenti.» Pietro
«Con i nostri dati che Google sta ricevendo, fattura miliardi di euro. A parte questo, Google ha la sede negli USA e in qualunque momento l’NSA può richiedere i nostri dati, anche se fossero su server europei.» anonimo
Ma alcuni dicono che Google Analytics 4 abbia risolto questi problemi…
«Per come funziona internet (nello specifico i protocolli IP+TCP) l’invio del proprio indirizzo ip completo è sempre necessario per poter comunicare con google, anche se “mascherato” dal proprio router di casa o del proprio fornitore di connettività.»amreo
«E magari tra quei “alcuni” c’è pure chi ha giusto qualche piccolo interesse nel far si che GA sopravviva a ciò che sta succedendo perchè è parte del loro guadagno se non interamente. Purtroppo spiegare esattamente perchè GA4 non risolve il problema richiede un po’ di tecnicismo, per questo consiglio la lettura dell’allegato tecnino inviato pure al garante. Poi ovviamente se si hanno dubbi, il gruppo Telegram/Matrix è il posto perfetto per chiarirli» ~ Zaizen_
«Fumo negli occhi. Lo abbiamo scritto nelle FAQ http://monitora-pa.it/faq.html#ga4 e nell’allegato tecnico.
In estrema sintesi: se Google promette di scartare dei dati, per il semplice fatto che li riceve può essere costretta a girarli prima ad agenzie governative USA. Inoltre, Google è sempre in grado di deanonimizzare i dati personali che ottiene, correlandoli ai dati già in suo possesso.» ~ Giacomo Tesio
Assolutamente no, perché se prendo IP anonimizzati e ci aggiungo tutti gli atri dati che Google “colleziona” ottengo comunque una profilazione.» anonimo
Tornando all’iniziativa di hacktivism, alcuni hanno detto che nei modi avete minacciato gli enti pubblici, o che è sembrato un attacco diretto contro la PA. Cosa avete da dire a riguardo?
«Che le minacce di denuncia non sono minacce per legge.» Amreo
«Credo molti abbiano interpretato il primo messaggio come una minaccia in quanto era molto diretto su ciò che chiedevamo e posso capire alcuni siano un pochino stati spaventati da ciò che stava accadendo. Un giorno arrivi a lavoro che speri sia una giornata tranquilla ed invece c’è sto gruppo di hacker che si lamenta di Google Analytics e che ti vuole segnalare al garante se non lo togli. Nonostante tutto credo che ora in molti abbiano capito le nostre buone intenzioni e non siano più così spaventati come lo erano all’inizio» ~_Zaizen_
«Non abbiamo mai minacciato nessuno. Noi abbiamo chiesto di porre fine ad un trasferimento illecito ed abbiamo annunciato, secondo la procedura prevista, che il perdurare di tale trasferimento illecito avrebbe comportato la segnalazione al Garante. Segnalazione che abbiamo puntualmente inviato per 3230 PA.» ~ Giacomo Tesio
«La parola minaccia è un termine forte, che non ci appartiene. Nelle comunicazioni inviate alla PA abbiamo semplicemente segnalato che, per vari motivi tutti spiegati nel dettaglio, l’uso di Google Analytics non è a norma GDPR, anche in base alla sentenza Schrems II e a quanto già indicato dai garanti dei dati personali di Austria e Francia. Il messaggio forte e deciso che abbiamo voluto dare è che le nostre comunicazioni non sarebbero state pure segnalazioni, ma che in caso di inazione da parte della PA avremmo segnalato i vari casi al garante italiano, cosa poi avvenuta il 22 giugno.» Pietro
«Può sembrare dal di fuori, perché più o meno quel che è arrivato alle PA è stato: “se non levate GA sarete segnalati al Garante”. Personalmente credo che alcuni “super mega informatici” si aspettassero una risposta binaria: no non lo farò, si lo farò grazie, perché per loro è chiaro cosa fa GA e che non deve essere utilizzato. Invece il mondo analogico è molto più complesso e spesso bisogna essere meno diretti.» anonimo
Domanda: è stato un attacco o un colpo d’avvertimento verso Google?
«No, è un attacco verso la cultura dell’ignoranza digitale, della fuffa markettara (detto fumo) delle big tech, dell’immobilismo, omologazione, dei cuggini e dei dirigenti/decisori inadeguati. Google e gli altri giganti della tecnologia non ci temono» amreo
«Nessuno dei 2. Il lavoro fatto fino ad ora è iniziato da Google però non è mai stato l’unico obiettivo. Noi cerchiamo di tutelare i nostri diritti, di creare un futuro migliore dove il digitale sia libero e non uno strumento di sorveglianza.» ~_Zaizen_
«Noi esercitiamo semplicemente i nostri diritti cibernetici. Esigiamo il rispetto della Legge. Esigiamo che la Legge sia uguale per tutti. Esigiamo che il nostro Paese si comporti come uno stato di diritto.
Il nostro è un attacco al cinismo dilagante, alla connivenza, all’illegalità diffusa.
Trovo sempre molto triste chi ci accusa di estremismo e trovo vomitevole chi chi accosta ai talebani, perché dimostra di aver ormai accettato una inferiorità ed un’impotenza che è tutta solo nella sua mente. Si può ancora fare Politica! Si può ancora combattere per ciò che è giusto! Si deve!
Google è un cancro per la nostra società cibernetica. Un cancro ricco di metastasi.
Ma è solo uno dei problemi cibernetici che gli hacker di Monitora PA intendono affrontare.» ~ Giacomo Tesio
«E’ stato solo un primo passo, la prima azione pratica di attivismo civico sui temi che ci stanno a cuore. Google è una azienda che ha l’obiettivo di guadagnare denaro; nessuno mette in discussione questo fatto, ma non può avvenire a scapito di chi regala i propri dati senza rendersene conto o a scapito di un regolamento europeo GDPR che – fino a prova contraria – dev’essere applicato senza eccezioni.» Pietro
«Verso chi? Google è solo un pretesto non ce l’abbiamo solo contro Google, stiamo difendendo la nostra privacy, tanti problemi potrebbero esserci anche con l’utilizzo di altri software che non sono di proprietà di Google.» anonimo
Dove pensate e dove sperate che porterà questa iniziativa?
«Probabilmente l’iniziativa porterà a un incremento della severità del garante nell’applicazione dei controlli, ma quello che spero è che portera ad avere le PA che rispettano la legge, che prendano decisioni con cognizioni e che si decidano di essere digitalizzate per bene, serie, autodeterminate, rispettose dei diritti e libertà digitali, giuste e infine orientate al software libero.»amreo
«Capire come sarà il mondo del digitale tra mettiamo caso 1 anno è impossibile. Si può dire una cosa però: MonitoraPA cercherà di essere presente con i progressi che farà e obiettivi. Magari le persone saranno diverse ma il progetto è nato come qualcosa a lungo termine. Io personalmente spero che il monitoraggio che facciamo noi e che faremo sarà copiato da altri, magari direttamente dagli stati e permetterà una maggiore tutela dei cittadini, meno cugggini che fanno le cose ed una maggiore cura nel prendere decisioni. Le possibilità sono infinite :D» ~_Zaizen_
«Fare previsioni è impossibile. Siamo solo ai primi passi di un lungo percorso. Monitora PA è progettato per durare decenni, per influenzare profondamente la società, per estendere lo spazio del pensabile, per rendere evidente i conflitti politici che si celano dietro ogni scelta informatica. Ma dove vogliamo andare è chiaro, anche se molti ci denigrano come fossimo illusi o visionari. Viviamo in una Società Cibernetica, vogliamo che sia Democratica. Vogliamo che ogni cittadino di questo Paese abbia gli strumenti culturali e tecnici per comprendere ed alterare il funzionamento degli automatismi che lo circondano. Vogliamo che possa partecipare attivamente alla loro progettazione, in modo da non doversi adattare a loro, diventando un ingranaggio, ma da adattarli a sé. Solo così potremo rendere la società cibernetica democratica. Ed in questo processo, la Scuola sarà persino più importante del Parlamento.» ~ Giacomo Tesio
«L’iniziativa è stata pensata e progettata per essere riutilizzabile e per stabilire una modalità di monitoraggio automatico e costante nel tempo. A mio modo di vedere qualsiasi risultato sarà positivo, anche solo il fatto che se ne parli e si discuta nelle community online genera automaticamente conoscenze e consapevolezze che fino a ieri non c’erano. E questo obiettivo possiamo già dire che è stato centrato. Così come è stato importante che, in seguito alle nostre segnalazioni, più del 50% delle PA interpellate abbiano tolto Google Analytics dai propri siti istituzionali, molto spesso sostituendolo con Web Analytics Italia che è il prodotto a norma GDPR indicato dall’AgID.» Pietro
«Non mi sono fatto alcuna aspettativa, così non potrò avere delusioni. Sono entrato nel gruppo / colletivo per supportarlo rispetto alle mie competenze, insomma bassa manovalanza.» anonimo«Il software crescerà con qualche dozzina di test automatizzati, il progetto misurerà in automatico gli indicatori producendo opendata, grafici e notifiche automatiche, i dati e il software stesso verranno impiegati in italia e all’estero anche al di fuori della PA (basti pensare all’OpenData dei Titolari del Trattamento che il Garante potrà fornire, e che in Francia il CNIL già fornisce), fra 12-24 mesi il servizio di monitoraggio sarà considerato una cosa “standard” e ambiti istituzionali inizieranno a farlo proprio come metodo (come già negli Stati Uniti per la verifica dell’HTTPS sui siti Federali o in Germania per i DB aperti senza password come misura di Cybersecurity). Se tutto ciò accadrà, non importa né come né quando, significa che il progetto avrà realizzato la massima espressione della sua azione sociale.” Naif
