Privacy Letters #82
Privacy sotto attacco, leak a NY, Chilling Effect e GrapheneOS
Dalla sequenza #82, cifrata ed inviata da punti ignoti della rete. I messaggi scampati:
Privacy e Giornalismo
ShinyHunters e il caso Madison Square Garden
Il “chilling effect” della sorveglianzajfla
Volkswagen blocca GrapheneOS
Quando la privacy diventa un’arma contro il giornalismo
Le leggi nate per proteggere i dati personali vengono sempre più spesso utilizzate per limitare inchieste, richieste di accesso alle informazioni e attività giornalistiche. Una contraddizione che sta emergendo in tutto il mondo.
Per anni il dibattito sulla privacy è stato relativamente semplice.
Da una parte c’erano cittadini e consumatori.
Dall’altra aziende, piattaforme digitali e governi.
La questione centrale riguardava la protezione dei dati personali da raccolte e utilizzi eccessivi.
Un obiettivo legittimo.
Necessario.
Fondamentale.
Ma con il passare del tempo è emersa una dinamica inattesa.
Le stesse norme nate per difendere la privacy stanno iniziando, in alcuni casi, a essere utilizzate contro un altro diritto fondamentale.
La libertà di informazione.
Secondo un recente rapporto della Free Press Alliance, giornalisti, editori e organizzazioni per la libertà di stampa stanno registrando un aumento dei casi in cui le leggi sulla protezione dei dati vengono impiegate per ostacolare inchieste, limitare l’accesso a informazioni di interesse pubblico o esercitare pressione sulle redazioni.
La domanda che emerge è scomoda.
Cosa accade quando due diritti fondamentali entrano in collisione?
Un conflitto che nessuno aveva previsto
Quando il GDPR entrò in vigore nel 2018, il suo obiettivo era chiaro.
Restituire ai cittadini un maggiore controllo sui propri dati personali.
Ridurre gli abusi.
Aumentare la trasparenza.
Responsabilizzare chi raccoglie informazioni.
Pochi immaginavano che, a distanza di anni, quelle stesse norme sarebbero finite al centro di controversie legate al giornalismo investigativo.
Eppure è esattamente ciò che sta accadendo.
In diversi Paesi, soggetti coinvolti in inchieste giornalistiche hanno iniziato a utilizzare strumenti previsti dalla normativa sulla privacy per contestare pubblicazioni, chiedere la rimozione di articoli o ostacolare l’accesso a documenti che potrebbero risultare imbarazzanti.
Formalmente si tratta di richieste legittime.
Sostanzialmente il risultato può essere molto diverso.
Il potere della burocrazia
Non sempre la censura assume forme evidenti.
Non servono divieti espliciti.
Non servono sequestri.
Non servono leggi speciali.
A volte è sufficiente rendere il lavoro giornalistico più complesso.
Più costoso.
Più rischioso.
Una richiesta legale.
Una contestazione formale.
Un procedimento amministrativo.
Un’istanza per la cancellazione di dati.
Singolarmente possono apparire strumenti ordinari.
Nel loro insieme possono trasformarsi in un potente meccanismo di pressione.
Soprattutto per le piccole redazioni.
Per i media indipendenti.
Per il giornalismo investigativo.
Il diritto all’oblio e il diritto alla memoria
Uno dei terreni più delicati riguarda il cosiddetto diritto all’oblio.
Un principio che consente agli individui di richiedere la rimozione di informazioni obsolete o non più rilevanti.
L’idea è comprensibile.
Nessuno dovrebbe essere perseguitato per sempre da informazioni irrilevanti o sproporzionate.
Ma cosa accade quando quelle informazioni riguardano figure pubbliche?
Politici.
Imprenditori.
Funzionari.
Persone che esercitano potere.
In questi casi emerge una tensione inevitabile.
Da una parte il diritto alla privacy.
Dall’altra il diritto della collettività a conoscere fatti di interesse pubblico.
Non esiste una risposta semplice.
Ed è proprio questo il problema.
Chi decide cosa è di interesse pubblico?
Ogni volta che una richiesta di rimozione viene presentata, qualcuno deve prendere una decisione.
Un giudice.
Un’autorità garante.
Una piattaforma.
Un motore di ricerca.
Una redazione.
La domanda è sempre la stessa.
L’informazione possiede ancora rilevanza pubblica?
In teoria il criterio sembra ragionevole.
In pratica può diventare estremamente soggettivo.
Ciò che per una persona rappresenta una violazione della privacy può costituire per un giornalista un’informazione essenziale per comprendere il comportamento di una figura pubblica.
La linea di confine è sottile.
E spesso contestata.
La privacy come strumento reputazionale
Negli ultimi anni alcune organizzazioni per la libertà di stampa hanno osservato una tendenza crescente.
L’utilizzo delle normative sulla protezione dei dati non tanto per difendere la privacy quanto per gestire la reputazione.
La differenza è significativa.
Proteggere la privacy significa limitare l’esposizione indebita di informazioni personali.
Gestire la reputazione significa tentare di controllare la percezione pubblica di determinati eventi.
Le due cose non coincidono sempre.
E quando vengono confuse, il rischio per il giornalismo aumenta.
Perché l’informazione pubblica può diventare vulnerabile a richieste che, pur formalmente legittime, producono effetti simili alla censura.
Un problema globale
La questione non riguarda soltanto l’Europa.
In molte parti del mondo normative sulla protezione dei dati, sulla sicurezza informatica o sulla tutela della reputazione online vengono utilizzate per limitare l’attività giornalistica.
A volte con motivazioni genuine.
Altre volte come strumenti di pressione politica.
Il risultato è che il rapporto tra privacy e libertà di espressione sta diventando uno dei temi più complessi dell’era digitale.
Perché entrambe rappresentano diritti fondamentali.
Entrambe meritano tutela.
Entrambe sono essenziali per una società democratica.
La falsa scelta
Spesso il dibattito viene presentato come una scelta obbligata.
Privacy o libertà di stampa.
Protezione dei dati o trasparenza.
Diritti individuali o interesse pubblico.
Ma questa impostazione è fuorviante.
Una democrazia sana ha bisogno di entrambe le cose.
Ha bisogno di cittadini protetti dagli abusi nella raccolta dei dati.
E ha bisogno di giornalisti capaci di indagare il potere.
Il vero obiettivo non dovrebbe essere stabilire quale diritto sia più importante.
Dovrebbe essere trovare un equilibrio che impedisca a uno di diventare uno strumento contro l’altro.
La sfida del prossimo decennio
L’intelligenza artificiale, la profilazione automatizzata e l’espansione delle normative digitali renderanno questo equilibrio ancora più difficile.
Sempre più informazioni saranno considerate dati personali.
Sempre più contenuti saranno generati, archiviati e analizzati digitalmente.
Sempre più controversie nasceranno attorno alla loro pubblicazione.
Per questo motivo il conflitto tra privacy e libertà di espressione non è destinato a diminuire.
Al contrario.
Diventerà una delle questioni centrali delle democrazie digitali.
Perché proteggere la privacy è fondamentale.
Ma anche il diritto di raccontare ciò che il potere preferirebbe tenere nascosto.
E una società che perde una di queste due libertà finisce inevitabilmente per indebolire anche l’altra.
Lo stadio diventa un database: il leak ShinyHunters e il caso Madison Square Garden
C’è un punto in cui la sorveglianza smette di essere una funzione di sicurezza e diventa qualcos’altro: un’infrastruttura permanente di identificazione e classificazione delle persone.
Il recente attacco rivendicato dal gruppo ShinyHunters contro Madison Square Garden Entertainment si inserisce esattamente in questa zona grigia.
Secondo le ricostruzioni emerse, il gruppo avrebbe sottratto e diffuso circa 45 GB di dati interni, dopo un presunto mancato pagamento di un riscatto. Tra le informazioni compromesse non ci sarebbero solo dati dei clienti, ma anche elementi legati a sistemi di riconoscimento facciale utilizzati per il controllo degli accessi agli eventi.
Non si tratta quindi di un semplice data breach. È qualcosa di diverso: una fuga di infrastrutture di sorveglianza.
Il punto critico: non i dati, ma il sistema
La maggior parte delle violazioni di dati segue uno schema ormai familiare: email, password, numeri di telefono, informazioni di pagamento.
Questo caso è diverso.
Qui non parliamo solo di persone che hanno acquistato un biglietto, ma di:
log di riconoscimento facciale
sistemi interni di valutazione del rischio
classificazioni dei visitatori
correlazioni tra identità e comportamento negli spazi fisici
In altre parole, non è stato sottratto solo un database. È stato sottratto un modello operativo di controllo delle persone.
Il modello Madison Square Garden: sicurezza o profiling?
Il sistema di gestione degli accessi utilizzato nello stadio non si limita a verificare identità.
Integra tecnologie biometriche e processi di analisi che possono associare un volto a:
precedenti segnalazioni interne
livelli di rischio
criteri di esclusione o attenzione
Questo cambia il significato stesso dell’accesso a uno spazio pubblico.
Non si tratta più di “sei chi dici di essere”, ma di:
“sei autorizzato a essere qui, in base a una valutazione continua del tuo profilo”.
Il leak come rivelazione
Ogni violazione di dati ha due livelli: quello immediato e quello strutturale.
Il livello immediato riguarda i dati esposti.
Il livello strutturale riguarda ciò che quei dati rivelano.
In questo caso, la rivelazione è chiara: lo spazio fisico non è più solo uno spazio fisico. È un ambiente informativo dove ogni ingresso, volto e movimento può essere registrato, analizzato e classificato.
Il leak mostra che la sorveglianza non è un’aggiunta al sistema. È il sistema.
La biometria come identità irreversibile
A differenza di altri dati, la biometria non può essere cambiata.
Un’email può essere sostituita. Una password può essere rigenerata. Un documento può essere rinnovato.
Un volto no.
Questo rende i sistemi di riconoscimento facciale particolarmente sensibili: quando vengono compromessi, il rischio non è solo temporaneo, ma potenzialmente permanente.
Il problema non è il singolo incidente
È facile interpretare episodi come questo come eventi isolati.
Ma la loro rilevanza è strutturale.
Si inseriscono in una tendenza più ampia:
espansione della sorveglianza nei luoghi pubblici
normalizzazione del riconoscimento facciale
centralizzazione dei dati biometrici
esternalizzazione della sicurezza a sistemi privati
Ogni passaggio viene giustificato come miglioramento della sicurezza o dell’efficienza.
Ma l’effetto cumulativo è diverso: la trasformazione degli spazi pubblici in ambienti continuamente leggibili.
Il paradosso della sicurezza
I sistemi progettati per aumentare la sicurezza generano una nuova forma di vulnerabilità.
Più dati vengono raccolti per controllare l’accesso:
più aumenta il valore del sistema come bersaglio
più cresce l’impatto di una violazione
più si estende la superficie di esposizione
La sicurezza non elimina il rischio. Lo riorganizza.
Quando il controllo diventa esposizione
C’è un’asimmetria fondamentale nei sistemi di sorveglianza moderni.
Per chi li implementa, i dati sono strumenti di gestione.
Per chi li attacca, sono un archivio di vulnerabilità.
Questo significa che ogni espansione del controllo digitale comporta anche un’espansione del rischio sistemico.
Conclusione: lo spazio pubblico come infrastruttura dati
Il caso Madison Square Garden non riguarda solo un attacco informatico.
Riguarda il modo in cui gli spazi pubblici stanno cambiando natura.
Non sono più soltanto luoghi fisici, ma sistemi ibridi dove accesso, identità e comportamento vengono continuamente tradotti in dati.
Il problema non è solo che questi sistemi possano essere violati.
Il problema è che, per funzionare, devono esistere nella forma di enormi raccolte di informazioni sensibili.
E quando un sistema richiede questo livello di esposizione per operare, la domanda non è più se verrà attaccato.
La domanda è quando.
Il “chilling effect” della sorveglianza: quando il controllo riduce la democrazia
C’è una forma di sorveglianza che non si misura solo in dati raccolti, telecamere installate o sistemi biometrici attivi.
È una forma più sottile, meno visibile e per questo più difficile da contestare: l’effetto che la sorveglianza ha sul comportamento delle persone prima ancora che venga esercitata.
Questo è il punto centrale di una serie di analisi recenti delle Nazioni Unite sulla crescita delle tecnologie di sorveglianza digitale e sul loro impatto sui diritti fondamentali. Il concetto chiave è quello di chilling effect: un raffreddamento progressivo della libertà di espressione, associazione e partecipazione democratica.
La sorveglianza come ambiente, non come evento
Uno degli elementi più rilevanti emersi nei rapporti ONU è il cambiamento di prospettiva:
la sorveglianza non è più descritta come una pratica eccezionale o mirata, ma come un ambiente permanente.
In questo ambiente:
non è necessario essere realmente monitorati per modificare il proprio comportamento
basta la possibilità di esserlo
la percezione del controllo diventa sufficiente a produrre autocensura
Il risultato è una trasformazione silenziosa dello spazio pubblico digitale e fisico.
Il “chilling effect”: quando la libertà si contrae senza divieti
Il chilling effect non è una censura esplicita.
Non è un divieto formale, né una repressione diretta.
È qualcosa di più diffuso:
la riduzione spontanea dell’espressione per paura di conseguenze future.
Secondo le analisi ONU, questo effetto colpisce in particolare:
giornalisti e operatori dell’informazione
attivisti e difensori dei diritti umani
minoranze politiche o sociali
cittadini coinvolti in proteste o mobilitazioni
In tutti questi casi, la sorveglianza non deve intervenire attivamente per essere efficace: la sua sola esistenza produce conformità.
Democrazia e sorveglianza: una tensione strutturale
Il punto più delicato sollevato dalle Nazioni Unite riguarda il rapporto tra sorveglianza e processi democratici.
La democrazia presuppone tre condizioni fondamentali:
libertà di espressione
libertà di associazione
partecipazione pubblica senza timore di ritorsioni
Il problema è che i sistemi di sorveglianza digitale avanzata interferiscono con tutte e tre.
Quando le persone percepiscono di essere osservate:
evitano temi sensibili
riducono la partecipazione politica
limitano la collaborazione con altri individui o gruppi
Non serve una repressione esplicita. È sufficiente la consapevolezza di essere potenzialmente tracciabili.
L’espansione tecnologica: IA, biometria e profilazione
Le preoccupazioni non riguardano solo la sorveglianza tradizionale, ma anche l’evoluzione tecnologica recente.
Tra i fattori più critici vengono indicati:
sistemi di intelligenza artificiale applicati alla sicurezza
riconoscimento facciale e biometria su larga scala
profilazione automatizzata dei comportamenti
integrazione tra database pubblici e privati
Queste tecnologie non si limitano a osservare: interpretano, classificano e prevedono comportamenti.
E proprio questa capacità predittiva amplifica il chilling effect, perché rende la sorveglianza non solo retrospettiva, ma potenzialmente anticipatoria.
Dalla sorveglianza alla governance del comportamento
Uno degli aspetti più significativi evidenziati nei rapporti è il cambiamento di funzione della sorveglianza.
Non si tratta più solo di prevenire crimini o garantire sicurezza.
La sorveglianza diventa un meccanismo di:
gestione del rischio sociale
classificazione dei comportamenti
ottimizzazione del controllo degli spazi pubblici
In questo modello, le persone non sono più solo cittadini o utenti, ma unità di dati all’interno di sistemi di previsione e gestione.
Il problema invisibile: la normalizzazione
Il rischio più grande non è la sorveglianza in sé, ma la sua normalizzazione.
Quando le tecnologie di controllo diventano parte ordinaria dell’infrastruttura sociale:
perdono visibilità politica
diventano “standard operativi”
vengono accettate come inevitabili
È in questa fase che il chilling effect diventa più potente, perché non è più percepito come un’eccezione, ma come una condizione permanente.
Una forma di erosione lenta
Le Nazioni Unite descrivono questo fenomeno non come una rottura improvvisa, ma come un’erosione progressiva.
Non si tratta di un momento in cui la libertà scompare, ma di una sequenza di piccoli aggiustamenti:
meno esposizione pubblica di opinioni controverse
più cautela nei contenuti condivisi
riduzione della partecipazione a movimenti collettivi
aumento dell’autocontrollo comunicativo
Ogni singolo passo è spesso impercettibile. Ma nel tempo produce un cambiamento strutturale.
Conclusione: quando la libertà diventa condizionata
Il concetto di chilling effect mette in evidenza un punto fondamentale: la libertà non dipende solo da ciò che è formalmente permesso, ma anche dal contesto in cui le persone decidono se esercitarla o meno.
La sorveglianza digitale contemporanea non agisce soltanto attraverso divieti o interventi diretti.
Agisce attraverso la percezione, l’anticipazione e la paura delle conseguenze.
E questo la rende particolarmente difficile da affrontare con strumenti tradizionali di regolazione o diritto.
Perché non limita solo le azioni.
Modifica la soglia stessa del comportamento possibile.
Volkswagen, GrapheneOS e il paradosso della “sicurezza incompatibile”
C’è una contraddizione sempre più evidente nel modo in cui molte aziende interpretano la “sicurezza” nei sistemi connessi: ciò che è tecnicamente più sicuro viene spesso trattato come un’anomalia, mentre configurazioni obsolete o meno protette vengono accettate senza problemi.
Il caso emerso negli ultimi giorni attorno all’app Volkswagen e GrapheneOS è un esempio emblematico di questa distorsione.
Il caso: login bloccato su GrapheneOS
Diversi utenti hanno segnalato che l’app Volkswagen (We Connect / Volkswagen App) non consente più l’accesso o il controllo remoto del veicolo su dispositivi con GrapheneOS, mentre continua a funzionare su:
versioni Android non aggiornate o prossime all’EOL
dispositivi stock non patchati da anni
ambienti Android privi di hardening avanzato
Secondo le segnalazioni tecniche raccolte, il problema sembra legato a un cambiamento nei controlli di integrità del dispositivo, probabilmente basati su Google Play Integrity API o sistemi di attestation del device.
In pratica: il sistema non valuta solo “se il dispositivo è sicuro”, ma se rientra in un perimetro di “certificazione attesa”.
Il punto critico: sicurezza ≠ conformità
GrapheneOS è progettato proprio per aumentare la sicurezza del dispositivo attraverso:
hardening del sistema operativo
mitigazioni avanzate contro exploit
controllo più rigoroso dell’esecuzione del codice
patch rapide rispetto ad Android stock
Eppure, in questo caso, queste caratteristiche sembrano essere interpretate come un segnale di “non conformità”.
Il risultato è paradossale:
un sistema operativo più sicuro viene escluso, mentre dispositivi più vecchi e potenzialmente vulnerabili restano compatibili.
Il ruolo delle API di integrità
Il problema non è Volkswagen in sé, ma un trend più ampio nell’ecosistema Android.
Le app che utilizzano meccanismi di attestation delegano la decisione di “affidabilità” del dispositivo a sistemi automatizzati che:
premiano solo configurazioni certificate
penalizzano OS non stock o modificati
non distinguono tra “modificato” e “più sicuro”
Questo crea un effetto collaterale rilevante: la sicurezza reale del sistema viene sostituita da una sicurezza dichiarata da un provider centrale.
Un problema che non riguarda solo GrapheneOS
Il caso Volkswagen non è isolato. Dinamiche simili sono già emerse in:
app bancarie
servizi di autenticazione governativa
piattaforme di streaming e DRM
La logica è sempre la stessa: ridurre il rischio di compromissione bloccando qualsiasi ambiente non standardizzato, anche quando è tecnicamente più robusto.
Ma questa strategia introduce un trade-off poco discusso:
più controllo sull’ecosistema, meno libertà di scelta per utenti avanzati e più fiducia implicita nei sistemi certificati.
Sicurezza difensiva o sicurezza burocratica?
Il punto centrale non è tecnico, ma filosofico.
La sicurezza moderna sta diventando sempre più:
meno basata su hardening reale
più basata su “liste di dispositivi fidati”
più dipendente da infrastrutture di attestazione esterne
In questo modello, un sistema come GrapheneOS — che riduce la superficie d’attacco reale — può essere penalizzato semplicemente perché non rientra nei parametri attesi da un ecosistema commerciale.
Implicazioni
Questo approccio solleva almeno tre problemi strutturali:
Disallineamento tra sicurezza reale e sicurezza percepita
Un device più sicuro può essere trattato come meno affidabile.Centralizzazione del potere di esclusione
Le API di attestation diventano gatekeeper di fatto.Degradazione dell’interoperabilità
Gli utenti più attenti alla sicurezza vengono progressivamente esclusi da servizi legittimi.
Conclusione
Il caso Volkswagen–GrapheneOS non è un bug isolato, ma un segnale coerente di una trasformazione più ampia: la sicurezza nei dispositivi mobili sta diventando sempre più un problema di conformità, non di robustezza tecnica.
E quando la conformità prevale sulla sicurezza reale, il risultato è controintuitivo: i sistemi più sicuri diventano quelli meno compatibili.



