L'illusione che la "privacy svizzera" sia la migliore

tl;dr: Non perdete l'entusiasmo per la privacy in Svizzera. Con accordi di condivisione dei dati simili a quelli dell'UE, la Svizzera non può proteggervi se le autorità straniere richiedono i vostri dati.

Il nostro mondo è diventato completamente interconnesso attraverso vasti grovigli di cavi, server ronzanti e comunicazioni wireless. Dopo le rivelazioni di Snowden, su Internet e nella società in generale si sono diffuse varie voci su luoghi del mondo che operano al di fuori dello sguardo vigile dell'NSA, dei Five Eyes e dei Fourteen Eyes. Ma quanto sono vere queste affermazioni?

Esiste un datahaven nel mondo che offra davvero una protezione superiore dagli Stati nazionali o da altri attori di minacce persistenti avanzate?

La Russia sembra essere il luogo prescelto dai gruppi criminali di ransomware che cercano di eludere la giurisdizione legale degli Stati Uniti, le micronazioni hanno ventilato la possibilità di soluzioni off-shore per l'archiviazione e l'hosting dei dati, ma che dire della Svizzera e della privacy svizzera?

La piccola nazione montana è stata a lungo acclamata come un bastione di libertà per la privacy, in particolare nel settore bancario e finanziario, in quanto la Svizzera ha offerto servizi per aiutare le persone facoltose a eludere le leggi fiscali locali.

Ma può fare lo stesso quando si tratta di proteggere i dati online ed è davvero possibile per qualsiasi luogo del mondo sfuggire al leviatano della sorveglianza digitale?

Il modello di sicurezza svizzero è come il loro formaggio. Pieno di buchi.

Molte aziende orientate alla privacy con sede in Svizzera cercano di promuoversi partendo dalla premessa che, in qualche modo, questo piccolo Paese esiste in una bolla protettiva al di fuori della portata dei servizi segreti internazionali o delle forze dell'ordine. Al di là del fatto che questa affermazione è facilmente confutabile e che la privacy svizzera non è migliore di quella tedesca, ad esempio, e che ci sono numerosi esempi di collaborazione attiva del governo svizzero con le forze dell'ordine statunitensi, questa strana presunzione di protezione speciale persiste. A fronte di prove facilmente reperibili che dimostrano il contrario, viene da chiedersi: perché si pensa che la Svizzera sia un paradiso per i dati?

La risposta è triplice: la Svizzera non fa parte dell'UE, ha mantenuto una lunga storia di neutralità e si è guadagnata la reputazione di porto sicuro per l'accumulo di ricchezza e l'evasione fiscale attraverso il famigerato "conto bancario svizzero".

Esaminiamo questi elementi per determinare se supportano o meno la conclusione che i vostri dati sono davvero più sicuri se i server sono situati in Svizzera e quindi protetti dalla "privacy svizzera".

1. La Svizzera non fa parte dell'UE

Che ruolo ha il fatto che un Paese sia membro dell'UE nella sua cooperazione con le agenzie di intelligence globali come quelle degli Stati Uniti? In primo luogo, il fatto di trovarsi al di là del confine degli Stati Uniti aggiunge un elemento di sicurezza, in quanto le autorità americane non possono arrivare immediatamente nel vostro luogo di residenza e buttare giù la porta. Tuttavia, esistono diversi accordi bilaterali per lo scambio di informazioni tra l'UE e gli Stati Uniti. Alcuni singoli Paesi hanno una propria partnership specifica con le agenzie di intelligence Five Eyes.

Si potrebbe pensare che la Svizzera, non essendo membro dell'UE, non sia coinvolta in questo tipo di condivisione di dati, ma non è così. Il "Club de Berne" è un gruppo volontario di condivisione di informazioni tra tutti i 27 Paesi dell'UE, la Norvegia e, indovinate un po', la Svizzera. Fondato nel 1971, il gruppo condivide attivamente i dati raccolti per monitorare le minacce. In seguito agli attentati terroristici dell'11 settembre 2001, questo gruppo ha creato anche un programma secondario chiamato Counter Terrorism Group (Gruppo antiterrorismo ), che ha lo scopo di condividere l'intelligence per prevenire futuri attacchi terroristici in tutto il mondo. Le analisi di intelligence raccolte da questi gruppi confluiscono nel Centro di Intelligence e Situazione dell'Unione Europea, che collabora con il Regno Unito, membro dei Five Eyes.

La Svizzera è anche membro dell'Interpol e collabora attivamente con l'Europol, che condivide anche l'intelligence criminale con altri Paesi dell'UE e di Schengen. Il Paese lavora anche all'interno del Centro europeo per la criminalità informatica per combattere le attività criminali online. Un altro membro non appartenente all'UE di questo gruppo sono gli Stati Uniti d'America. Nonostante sia in contrasto con la narrativa online, questo non dovrebbe sorprendere perché è proprio così che funziona un ufficio di intelligence.

Nonostante le loro ripetute affermazioni che l'esistenza al di fuori dell'UE offra in qualche modo una maggiore protezione dei dati, questo non è affatto vero. Il governo svizzero raccoglie e condivide dati con gli Stati membri dell'UE, il Regno Unito e gli Stati Uniti, quindi i dati conservati all'interno dei loro confini non sono più sicuri di quelli conservati in Francia o in Germania. L'idea che il confine nazionale svizzero offra una forma speciale di privacy è un'illusione.

2. La Svizzera mantiene la neutralità politica

In seguito alle conseguenze di un grave furto di dati presso l'NDB (Servizio Federale di Intelligence) svizzero, un rapporto della Reuters ha mostrato che la Svizzera ha collaborato direttamente con le agenzie di intelligence degli Stati Uniti e del Regno Unito. Ciò non sorprende se si considera che anni fa il governo svizzero ha dichiarato di aver ricevuto 9000 dati unici e di averne condivisi 4500 con più di 100 agenzie di intelligence straniere. Ciò contraddice la vuota affermazione, più volte ripetuta, che la Svizzera riesca in qualche modo a operare in isolamento politico.

La neutralità non significa nemmeno che l'intelligence svizzera operi all'interno del proprio Paese. Il programma Onyx, premiato con il "Big Brother Award", che intercetta dati telefonici, Internet e fax, è dislocato nelle splendide località montane di Leuk, Zimmerwald e Heimanschwand. Il sistema Onyx raccoglie questo traffico in base a determinate parole chiave richieste dalle agenzie di intelligence dopo l'approvazione di terzi indipendenti. La NDB sostiene di non raccogliere il traffico interno, ma qualsiasi traffico con destinazione oltre il confine svizzero è un gioco da ragazzi, anche se inviato da un cittadino svizzero. Questa pratica non è unica e l'NDB svizzero opera in modo simile ad altre agenzie di intelligence nazionali.

Stazione di raccolta dati del programma Onyx

Questa raccolta di traffico transfrontaliero significa che se vi connettete a un servizio svizzero da fuori della Svizzera, i vostri dati vengono attivamente raccolti e condivisi con altre agenzie di intelligence in tutto il mondo.

Alla faccia del valore della "privacy svizzera".

3. Le banche svizzere aiutano attivamente i cittadini stranieri a nascondere il denaro

Le prime leggi che proteggono le istituzioni finanziarie svizzere dalla condivisione dei dati dei clienti sono state istituite nel 1713 a Ginevra. Queste leggi consentivano a persone e società facoltose di tutta Europa di nascondere denaro al di fuori del proprio Paese, evitando così di pagare le tasse. Questa pratica divenne accettata e, combinata con la neutralità politica della Svizzera, la nazione divenne una destinazione bancaria privilegiata per il riciclaggio di denaro e l'evasione fiscale.

Questa cortina di segretezza è caduta nel 2018, quando la Svizzera è diventata parte attiva del Common Reporting Standard (CRS), che richiede ai Paesi membri di condividere le informazioni sui conti finanziari dei clienti stranieri. Ciò significa che ogni stagione fiscale le banche e le istituzioni finanziarie sono tenute a trasmettere le informazioni relative ai clienti non nativi che sono tenuti a pagare le tasse in un altro Paese. Attualmente sono 38 le nazioni che partecipano al CRS, tra cui gli Stati Uniti, l'intera Unione Europea, la Norvegia, il Regno Unito, il Canada, l'Australia, la Nuova Zelanda, il Giappone, la Corea del Sud e Israele. Alcune di queste nazioni dovrebbero saltare all'occhio visto che sono membri dei programmi di intelligence Five Eyes e Fourteen Eyes.

Stazione di sorveglianza di Leuk

Poiché tutte queste informazioni vengono convogliate verso i Paesi che gestiscono il più grande e completo apparato di intelligence del mondo, il semplice fatto di avere una banca situata in Svizzera non significa nulla. Nell'era digitale, i confini fisici degli Stati sovrani hanno un potere deterrente minimo quando si tratta di proteggere i dati.

Crittografia e localizzazione

Con tutti questi accordi globali di condivisione dell'intelligence, ci troviamo a vivere in un mondo in cui non esiste un unico luogo in cui sia sicuro "nascondere" i propri dati. Quindi non lasciatevi ingannare dalla promessa di una privacy svizzera.

Non importa dove archiviate i vostri dati, se diventate abbastanza interessanti è probabile che le vostre informazioni finiscano nelle mani delle forze dell'ordine o delle agenzie di intelligence attraverso una sorveglianza diretta o una spinta legale a condividere i dati disponibili. Anche le strutture sicure con reti protette dall'aria sono vulnerabili a queste minacce avanzate persistenti, come dimostrano i (presunti) cyberattacchi statunitensi e israeliani all'impianto nucleare iraniano con Stuxnet.

La Svizzera è un bene per la privacy?

La Svizzera è generalmente considerata un paese favorevole alla privacy grazie alle sue solide leggi sulla protezione dei dati e alla sua reputazione di tutela dei conti bancari, su cui si basa in gran parte la buona reputazione del Paese in termini di protezione dei diritti alla privacy. Come la Germania, il piccolo Paese alpino della Svizzera dispone di una normativa completa che regola la raccolta, l'elaborazione e l'archiviazione dei dati personali, fornendo una solida base giuridica per la protezione della privacy. Tuttavia, occorre notare che la Svizzera ha leggi sulla conservazione dei dati, mentre la Germania non ne ha. Sebbene non sia perfetta per quanto riguarda i diritti alla privacy, la Svizzera ha un quadro giuridico solido per la protezione della privacy.

Leleggi sulla protezione dei dati del Paese sono molto simili a quelle tedesche per quanto riguarda i severi requisiti di sicurezza dei dati stabiliti nella Legge federale svizzera sulla protezione dei dati (Schweizer Bundesgesetz über den Datenschutz, DSG). L'indipendenza giuridica della Svizzera dall'Unione Europea, la sua neutralità politica e la sua storia di tutela dei diritti della privacy la fanno sembrare una scelta interessante per le aziende che cercano un ambiente operativo sicuro e attento alla privacy. Tuttavia, il quadro giuridico non è molto diverso da quello dell'Unione Europea o della Germania: il Regolamento generale sulla protezione dei dati (GDPR) dell'UE è una delle migliori legislazioni per la protezione dei dati ed è valido nell'UE e in Germania, ma non in Svizzera.

Svizzera vs. Stati Uniti

La Svizzera e gli Stati Uniti differiscono notevolmente nella loro legislazione sulla privacy, in particolare per quanto riguarda le attività delle agenzie di intelligence e le leggi sulla sorveglianza. La Svizzera, proprio come la Germania, ha leggi complete sulla protezione dei dati che danno priorità ai diritti individuali alla privacy e si oppone storicamente alla sorveglianza di massa, imponendo limiti legali più severi alle sue agenzie di intelligence, la NDB svizzera e la BND tedesca. Al contrario, gli Stati Uniti, attraverso leggi come il Foreign Intelligence Surveillance Act (FISA) e l'USA PATRIOT Act, concedono poteri di sorveglianza più ampi ad agenzie come la NSA e l'FBI. Il FISA è particolarmente preoccupante in termini di protezione della privacy delle persone, in quanto consente la sorveglianza di cittadini non statunitensi, potenzialmente anche di comunicazioni con cittadini statunitensi, sollevando preoccupazioni sulla privacy e sull'eccesso di potere.

Ad esempio, l'FBI ha abusato dell'FISA 702 milioni di volte attraverso ricerche "backdoor" senza mandato di chiamate, messaggi ed e-mail di cittadini americani. Con la recente ri-autorizzazione del FISA 702 fino al 2025, questa sorveglianza illegale di massa delle comunicazioni degli americani continuerà.

In sintesi, la Svizzera - proprio come la Germania - è generalmente considerata un luogo favorevole per la privacy, sia per il suo quadro giuridico che per l'impegno storico nella protezione dei diritti individuali alla privacy.

La posizione geografica non significa che i vostri dati siano al sicuro. Solo una forte crittografia può garantire questa tranquillità.

Invece di cercare santuari speciali per l'archiviazione, la scelta migliore è quella di criptare tutti i dati con una crittografia Ende-zu-Ende sicura. Se i dati finiscono nelle mani di un determinato attore di minacce, il contenuto effettivo rimane al sicuro, in quanto sarà in grado di visualizzare solo un miscuglio confuso di nonsense. Un'adeguata sicurezza operativa e una forte crittografia dovrebbero essere la norma quando si tratta di proteggere la vostra vita digitale. Oltre a scegliere servizi che proteggono i vostri dati con la crittografia, dovreste optare per quelli che attualmente perseguono nuovi modelli di crittografia che includono la segretezza perfetta in avanti e la crittografia post-quantistica. In questo modo potrete essere certi che i vostri dati non cadranno vittime della strategia "raccogli subito, decripta dopo".

In conclusione: Le leggi svizzere sulla privacy sono buone e sono molto simili alle leggi GDPR in vigore in Germania. Tuttavia, queste leggi non vi proteggono dai programmi di sorveglianza nazionali o internazionali. La crittografia Ende-zu-Ende è invece lo strumento migliore per proteggere i vostri dati.

Rimanete vigili e al sicuro. Buona crittografia!