62 Britton Street London, EC1M 5UY Great Britain T +44 (0) 207 242 2836 info@privacy.org www.privacyinternational.org 28 February 2014 Ministro Federica Guidi Ministero dello Sviluppo Economico Via Vittorio Veneto 33, 00187 ROMA Italy Gentile Ministro, cc. Roberto Maroni, Presidente della Regione Lombardia. cc. Amedeo Teti, Direzione Generale per la politica commericale internazionale, Ministero dello Sviluppo Economico Le scrivo per informarla su dei recenti studi di Privacy International riguardanti la vendita ed export di tecnologie di sorveglianza sviluppate da una società italiana, la Hacking Team Srl, e sul possibile uso che alcuni governi ne stanno facendo per facilitare politiche di repressione interna, violando al contempo I diritti umani. Privacy International Privacy International è riconosciuta come la più importante organizzazione non governativa nel Regno Unito nel campo della protezione del diritto alla privacy a livello internazionale, con particolare esperienza nel campo del commercio internazionale di tecnologie di sorveglianza. Siamo spesso chiamati per audizioni parlamentari e governative a livello mondiale e abbiamo fornito consulenze e report a varie organizzazioni intergovernative, tra cui il Consiglio d Europa, il Parlamento dell Unione Europea, l Organizzazione per la Cooperazione e lo Sviluppo Economico e le Nazioni Unite. "Hacking Team", Remote Control System ; Da Vinci ; Galileo Hacking Team Srl è una società con sede a Milano, specializzata nello sviluppo e vendita di tecnologie di sorveglianza per governi in tutto il mondo. La lista di tecnologie di sorveglianza personalizzate di Hacking Team include i loro prodotti di prima linea Remote Control System, Da Vinci e Galileo. Questi sono progettati per attaccare gli strumenti elettronici di uno o più soggetti in via remota o locale, utilizzando svariati metodi mentre la vittima sta navigando l Internet, apre un file, riceve un SMS, o attraversa un confine con il proprio portatile. 1 Le brochures e i video pubblicitari della Hacking Team 1 https://www.documentcloud.org/documents/409278-147-hackingteam-rcs.html#document/p2/a68016 PI is a UK registered charity no. 1147471 and a non-profit private limited company Companies House no. 4354366
dei prodotti Remote Control System, Da Vinci 2 e Galileo 3 mostrano che un governo acquirente può monitorare fino a centomila target attraverso una sola interfaccia di facile utilizzo. L uso di sofisticati software maligni è costruito in modo da aggredire un computer o un cellulare della vittima e da permetterne la copia di file da disco rigido, la registrazione di chiamate su Skype, email, messaggistica istantanea e la possibilità di accendere videocamera e microfono senza che la vittima possa accorgersene. Hacking Team crea in modo specifico i suoi prodotti in modo da oltrepassare misure di sicurezza quali il criptaggio, il non essere rintracciabile da parte della vittima mentre i suoi dati vengono segretamente estratti; tali prodotti possono essere utilizzato dall estero, usando sistemi operative quali Microdoft, Blackberry, Apple OS, and Android. Secondo il fondatore e direttore di Hacking Team, la società esegue vendite a livello mondiale con un modello flessibile di prezzo, vendendo pacchetti che permettono dalle 500 alle 5000 vittime, con prezzi che variano da 200,000 a 1,000,000 a seconda della scelta. 4 Le tecnologie della Hacking Team sono state rinvenute in più di 40 paesi. L inadeguata o la totale assenza di norme che permettano l uso di queste teconologie, aumenta le possibilità di governi oppressivi di sopprimere diritti e libertà fondamentali. Dei report precedenti indicano che le tecnologie della Hacking Team sono state usate per attaccare, tra gli altri, anche dissidenti e giornalisti. 5 Nove paesi dove l utilizzo di tecnologie della Hacking Team è stato riportato sono definiti autoritari nell Economist s 2012 Democracy Index. 6 Altri due governi utilizzatori, Egitto e Turchia, hanno recentemente soppresso in modo brutale dei movimenti di protesta. 7 Nuovi paesi interessati Mentre delle prove precendenti hanno dimostrato che la tecnologia della Hacking Team è usata per attaccare ed infettare cittadini vincitori di premijornalisti in Marocco e attivisti di diritti umani negli Emirati Arabi Uniti, ci sono nuove prove che le stesse tecnologie sono state utilizzate contro giornalisti etiopi, 8 ed adottate, tra gli altri, dai governi di Azerbaijan, Egitto, Etiopia, Kazakhstan, Malesia, Nigeria, Oman, Arabia Saudita, Sudan, Turchia e Uzbekistan. 9 Nel Sudan, attualmente soggetto a misure restrittive sul commercio d armi da parte dell UE, è stata riportata la presenza di tecnologie di sorveglianza della Hacking Team. 10 Importanti organizzazioni per la tutela dei diritti umani hanno elencato svariate violazioni ed espresso preoccupazione riguardo al deterioramento della libertà di espressione, associazione e riunione 2 http://www.youtube.com/watch?v=r63crbnle2o 3 http://www.youtube.com/watch?v=v1yb-wwwaeq! 4 http://espresso.repubblica.it/attualita/cronaca/2011/12/02/news/noi-i-padri-del-cyber-007-br-1.37951 5 https://citizenlab.org/2012/10/backdoors-are-forever-hacking-team-and-the-targeting-of-dissent/#2; https://citizenlab.org/2014/02/hacking-team-targeting-ethiopian-journalists/ 6 https://portoncv.gov.cv/dhub/porton.por_global.open_file?p_doc_id=1034! 7 http://www.theguardian.com/world/2014/jan/26/egypt-49-killed-protests-third-anniversary-uprising; http://www.amnesty.org/en/news/turkey-accused-gross-human-rights-violations-gezi-park-protests-2013-10-02 8 https://citizenlab.org/2014/02/hacking-team-targeting-ethiopian-journalists/ 9 https://citizenlab.org/wp-content/uploads/2014/02/sun_noon_world1.jpg! 10 http://eur-lex.europa.eu/lexuriserv/lexuriserv.do?uri=oj:l:2011:188:0020:0023:en:pdf Page 2
in alcuni dei suddetti paesi 11, rivelando dettagli di svariati abusi di diritti umani, 12 tra i quali l arresto arbitrario 13, detenzione senza processo, 14 e tortura. 15 E perciò completamente irresponsabile da parte di un azienda vendere e continuare rapporti di affari in modo consapevole con clienti che possono ed in effetti usano la sua tecnologia senza alcun controllo legale e con l intenzione di sopprimere i diritti fondamentali dei loro cittadini. Tale pratica è anche contraria ai Principi Guida ONU sul Business e i Diritti Umani, i quali sottolineano le responsabilità sia delle aziende che degli stati dove tali aziende hanno sede, ed in modo particolare verso quelle aziende che ricevono fondi dai governi. 16 Le tecnologie di sorveglianza sviluppate da società come la Hacking Team permettono l acquisto da parte di governi per azioni sorveglianza di massa in modo arbitrario contro intere popolazioni, la qual cosa è sia sproporzionata e non necessaria, ma pone anche serie domande riguardo alla legalità di tale uso. Le nostre preoccupazioni sono in linea con il recente rapporto al Consiglio sui Diritti Umani delle Nazioni Unite da parte del Relatore Speciale sulla Libertà di Espressione ed Opinione, Frank La Rue. Il suo rapporto afferma che la tecnologia intrusiva crea tali nuove sfide verso le concezioni tradizionali di sorveglianza, che non possono essere riconciliate con le normative esistenti in tema di sorveglianza ed accesso ad informazioni private ; lo stesso documento afferma anche che gli Stati devono prendere misure per prevenire la commercializzazione di tecnologie di sorveglianza, avendo particolare riguardo alla ricerca, sviluppo, commercio, esportazione, ed uso di tali tecnologie e al contempo considerare la loro abilità nel facilitare violazioni sistematiche di diritti umani 17 E stato riportato che nel 2011 un altra società produttrice di tecnologie di sorveglianza, la AREA Spa, sia stata costretta a cancellare un contratto col governo siriano, dato che questo avrebbe dato al regime del Presidente Bashar al-assad il potere di intercettare, analizzare e catalogare praticamente ogni singola email diretta verso il paese. 18 Il Governo Italiano ha preso subito iniziativa in conformità coll articolo 8 del Regolamento CEE 428/2009, 19 il quale predispone che uno stato può imporre un sistema di licenze per ragioni di sicurezza pubblica o motivi relativi a diritti umani. Il Governo italiano ha agito in questo caso per accertarsi che la sua politica di export fosse in linea con le obligazioni internazionali sui diritti umani applicabili all Italia. A seguito dei più recenti rapporti riguardanti la Hacking Team, i quali dimostrano l ammontare della proliferazione a livello globalle della sua 11 http://www.hrw.org/world-report/2014/country-chapters/azerbaijan 12 http://www.hrw.org/world-report/2014/country-chapters/sudan, http://amnesty.org/en/region/sudan/report-2013 13 http://amnesty.org/en/region/malaysia/report-2013 14 http://www.hrw.org/world-report/2014/country-chapters/saudi-arabia 15 http://amnesty.org/en/region/uzbekistan/report-2013! 16 http://www.ohchr.org/documents/publications/guidingprinciplesbusinesshr_en.pdf 17 http://www.ohchr.org/documents/hrbodies/hrcouncil/regularsession/session23/a.hrc.23.40_en.pdf 18 http://www.bloomberg.com/news/2011-11-09/syrian-monitoring-project-may-end-as-italy-firm-weighs-options.html 19 http://eur-lex.europa.eu/lexuriserv/lexuriserv.do?uri=oj:l:2009:134:0001:01:it:html Page 3
tecnologia, invitiamo con urgenza il Governo italiano ad agire di nuovo secondo l articolo 8 del Regolamento CEE 428/2009 e di assicurare che lo stesso Governo adempi ai suoi obblighi internazionali sulla tutela dei diritti umani. Investimenti di soldi pubblici italiani nella Hacking Team Durante la nostra ricerca, abbiamo scoperto che la Hacking Team ha ricevuto fondi dalla Regione Lombarida. Nel 2007 la Hacking Team ha ricevuto 1.5 million da due capital venture funds. Uno dei fondi, Finlombarda Gestioni SGR Spa (FGSGR), 20 ha come unico azionista Finlombarda Spa, una agenzia finanziaria pubblica il cui unico azionista è la Regione Lombardia. 21 Finlombarda Spa crea, definisce e gestisce servizi finanziari per conto della Regione Lombardia, accomunando i profitti della Hacking Team insieme alle finanze pubbliche della Regione. Hacking Team è presente nella lista dei beneifciari del portfolio finanziario del NEXT Fund della FGSGR, 22 i cui investimenti hanno lo scopo, in linea con la best practice internazionale, di supportare start-up in alta crescita. Lo stesso fondo è dedicato a piccole e medie imprese appartenenti ai settori tecnologici ed innovativi. 23 FGSGR elenca anche il direttore del Venture Capital come membro del consiglio di amministrazione della stessa Hacking Team. Finlombarda Spa ammette di avere un codice di etica, 24 tuttavia noi vedremmo positivamente un chiarimento da parte del Governo italiano e della Regione Lombardia sulla adeguatezza nell investire risorse pubbliche in tecnologie che permettono i governi di sorveglianza in modo altamente instrusivo così da facilitarne l abuso di diritti umani. Allo stesso modo,vedremmo positivamente un chiarmento che il Governo italiano e / o la Regione Lombardia non beneficino in alcn modo dai collegamenti con la Hacking Team. Chiediamo quindi le seguenti domande a seguito delle rivelazioni dettagliate sulla proliferazione della tecnologia della Hacking Team: a) Può il Governo italiano chiarificare se l esportazione dei prodotti Remote Control System, Da Vinci o Galileo al momento necessitano di una licenza? i) Se così, può il Governo italiano fare chiarimenti se ha monitorato eventuali richieste di licenza della Hacking Team in relazione ai prodotti sopra citati? ii) Se nessuna licenza è richiesta, il Governo italiano farà un uso urgente dello strumento previsto dall articolo 8 del Regolamento CEE 428/2009 sul controllo delle esportazioni delle tecnologie a duplice 20 http://www.finlombardasgr.it/on-multi/home/attivitaefondi/next/artcatportfolio.611.1.20.2.html 21 http://www.finlombardasgr.it/on-multi/home/chisiamo/azionariato.html 22 http://www.finlombardasgr.it/on-multi/home/attivitaefondi/next/artcatportfolio.611.1.20.2.html 23 http://www.finlombardasgr.it/on-multi/home/attivitaefondi/next.html 24 http://www.finlombarda.it/chisiamo/codiceetico! Page 4
uso nei confronti dei prodotti della Hacking Team Remote Control System, Da Vinci, or Galileo, con particolare riguardo al fatto che tali tecnologie fanno sorgere gravi dubbi di violazione di diritti umani? b) Se le licenze per l export sono state approvate, il Governo renderà noti tutti i paesi verso i quali sono state approvate per l export i prodotti della Hacking Team Remote Control System, Da Vinci, or Galileo? c) Come parte all Accordo di Wassenaar sul Controllo delle Esportazioni di Armi Convenzionali e Prodotti e Tecnologie a Duplice Uso, 25 il Governo italiano controllerà se le categorie approvate nel dicembre 2013 4. A. 5 sui software intrusivi possano ora implicare che i suddetti prodotti della Hacking Team debbano essere soggetti a controlli per l esportazione, e renderà disponibili i risultati di tale controllo? d) Il Governo italiano e la Regione Lombardia controlleranno i meccanismi di finanziamento pubblico verso start-up tecnologiche? Investigheranno gli stessi sull uso di soldi pubblici nello sviluppo di tecnologie di sorveglianza di massa? Terranno in considerazione le implicazioni del finanziamento di Hacking Team alll luce degli impegni dei Principi Guida ONU su Business e Diritti Umani e) La Regione Lombardia renderò noto se sono state portate avanti procedure di due diligence ogni anno sugli investimenti fatti da Finlombarda Spa e se tali procedure considerano anche i vari impatti sui diritti umani? f) La Regione Lombardia continuerà a finanziare attraverso Finlombarda Gestioni SGR e Finlombarda Spa la Hacking Team alla luce dei rapporti riguardanti la loro tecnonlogia e come quest ultima faciliti abusi di diritti umani? g) Può il Governo italiano confermare che la Hacking Team non ha ricevuto alcun finanziamento pubblico, o donazione parte del "Fondo Innovazione Tecnologica (FIT)",dell attuale "Fondo per la crescita sostenible" o di altri programmi di finanziamento del Ministero dello Sviluppo Economico? Attendiamo con cortesia una vostra risposta. Cordiali saluti, Kenneth Page Privacy International 25 http://www.wassenaar.org/controllists/2013/wa-list%20%2813%29%201/wa-list%20%2813%29%201.pdf Page 5