Sei senatori statunitensi, tra cui Ron Wyden ed Elizabeth Warren, hanno inviato una lettera urgente al Direttore dell'intelligence nazionale avvertendo che gli americani che usano servizi VPN commerciali potrebbero perdere inconsapevolmente le protezioni costituzionali contro la sorveglianza ai sensi della legge federale sull'intelligence.
Cosa chiedono i senatori
I legislatori chiedono risposte su come le agenzie di intelligence statunitensi trattano il traffico internet proveniente da nodi di uscita VPN situati fuori dagli Stati Uniti. La preoccupazione principale: poiché una VPN instrada il traffico dell'utente attraverso server in altri paesi, i sistemi di sorveglianza possono classificare automaticamente quel traffico come "straniero", attivando autorità di raccolta mai destinate ai cittadini americani.
La lettera fa riferimento specificamente alla Sezione 702 del Foreign Intelligence Surveillance Act (FISA) e all'Ordine Esecutivo 12333, due dei quadri giuridici più ampi per la raccolta di dati sulle comunicazioni senza mandato.
Come funziona la Sezione 702 della FISA
La Sezione 702, riautorizzata dal Congresso nel 2024, consente alla NSA e ad altre agenzie di raccogliere le comunicazioni di soggetti stranieri senza mandati individuali. Tuttavia, include protezioni per le persone americane: i cittadini americani e i residenti permanenti non dovrebbero essere deliberatamente presi di mira. Il problema e che i sistemi automatizzati spesso non riescono a distinguere un cittadino americano che usa un server VPN a Francoforte da un vero cittadino tedesco che invia comunicazioni dalla stessa citta.
L'Ordine Esecutivo 12333 va ancora oltre: disciplina la raccolta di dati al di fuori degli Stati Uniti con vincoli giuridici ancora piu ridotti rispetto alla Sezione 702. Quando il traffico VPN di un americano transita attraverso un server in un paese straniero, tale traffico puo rientrare nella raccolta ai sensi dell'O.E. 12333, in cui le protezioni per le persone americane sono piu limitate.
Il problema della classificazione errata
I sistemi di raccolta dell'intelligence determinano l'origine geografica del traffico internet dall'indirizzo IP. Una VPN maschera il vero indirizzo IP dell'utente e lo sostituisce con quello del server VPN, tipicamente situato in un altro paese. I sistemi automatizzati possono quindi classificare questo traffico come straniero, privando l'utente delle protezioni costituzionali.
Portata del problema
L'utilizzo delle VPN negli Stati Uniti è cresciuto significativamente negli ultimi anni. Decine di milioni di americani usano servizi VPN per proteggere i loro dati sulle reti Wi-Fi pubbliche, mantenere la privacy e, sempre più, per la crescente consapevolezza delle pratiche di sorveglianza. Se le preoccupazioni dei senatori sono corrette, un gran numero di americani attualmente gode di meno protezioni legali di quanto credano.
Implicazioni per la privacy e la liberta di internet
La lettera arriva in un momento in cui il rapporto tra strumenti per la privacy e sorveglianza governativa e sotto intenso esame in tutto il mondo. In questo contesto, la preoccupazione che l'uso di una VPN - uno strumento commercializzato specificamente per la privacy - possa paradossalmente esporre gli utenti a una maggiore sorveglianza governativa e particolarmente significativa.
I difensori delle liberta civili sottolineano che questo e esattamente il tipo di conseguenza involontaria che si verifica quando le autorita di sorveglianza progettate per la raccolta di informazioni straniere vengono applicate senza adeguata trasparenza o supervisione. Gli utenti negli Stati Uniti e all'estero che si affidano alle VPN per proteggere le loro comunicazioni stanno seguendo da vicino questo caso.
