Microsoft sfida il governo statunitense in una nuova ed eclatante battaglia legale, e ancora una volta (come nel braccio di ferro tra Apple e l’Fbi) al centro della discussione c’è il tema della privacy degli utenti. O più precisamente, in questo caso, del diritto a essere informati in merito a violazioni della loro privacy. Nel documento depositato in un tribunale di Seattle, l’azienda di Redmond accusa lo stato federale di violare due principi costituzionali: quello stabilito dal Quarto Emendamento, secondo cui un cittadino o azienda ha il diritto di sapere di essere oggetto di un’investigazione, e poi la libertà di parola difesa dal Primo Emendamento.
Le fondamenta legislative dell’attività di investigazione dell’Nsa, dell’Fbi, di altri enti governativi o forze dell’ordine statunitensi risiedono nell’Electronic Communications Privacy Act, norma risalente al 1986 e, secondo molte aziende tecnologiche,ormai obsoleta e inadatta a regolare l’accesso ai dati in un mondo tecnologicamente stravolto rispetto a quello degli anni Ottanta. “Le aziende non rinunciano ai loro diritti quando spostano le loro informazioni personali da uno storage fisico al cloud”, si legge nel documento. Il governo a stelle e strisce, al contrario, “ha sfruttato la transizione verso il cloud computing per espandere il suo potere di condurre investigazioni in segreto”.
La società di Satya Nadella non contesta la facoltà degli organismi governativi di chiedere accesso a email e altri dati di cittadini o aziende, conservati nel cloud, qualora sussistano validi motivi di indagine. Contesta, invece, il fatto che un po’ troppo spesso venga imposto il silenzio: ovvero il divieto di notificare questi controlli ai diretti interessati. La regola del silenzio vale se un tribunale emette un’ordinanza specifica o se chi conduce l’indagine ritiene che una notifica alle persone oggetto dell’investigazione possa comprometterne l’esito (per esempio, generando manomissioni di dati o la fuga di un criminale). Pur formalmente valida, questa regola secondo Microsoft verrebbe applicata con troppa facilità.
I numeri parlano: nel documento, infatti, si legge che nell’ultimo anno e mezzo Microsoft ha ricevuto 5.642 ordini di dare accesso ai dati sulla base dell’Electronic Communications Privacy Act, e in ben 2.576 casi con il divieto di informare gli individui o le aziende coinvolte. Qualora lo avesse fatto, avrebbe rischiato ingiunzioni o multe. La maggior parte delle richieste riguardavano privati cittadini e non contenevano indicazioni temporali sulla durata del divieto di notifica.
“Così come nel recente caso di Apple noi ci siamo schierati con loro, ci aspettiamo che altre compagnie tecnologiche stiano dalla nostra parte”, ha dichiarato in un’intervista telefonica il chief legal officer di Microsoft, Brad Smith. E le reazioni, in effetti, non si sono fatte attendere. Yahoo ha fatto sapere di supportare l’azione legale poiché essa evidenzia il problema dello spionaggio sui dati conservati nel cloud e quello della trasparenza delle richieste governative. Google non ha espresso un parere specifico sulla nuova azione legale, dicendosi però sostanzialmente allineata con la posizione del suo concorrente di Redmond.
Una solidarietà più esplicita è arrivata dall’operatore di cloud storage Box: “Supportiamo completamente lo sforzo di Microsoft di pretendere più trasparenza nelle richieste del governo in relazione ai dati e un pieno rispetto della protezione garantita dal Primo e dal Quarto Emendamento della Costituzione Statunitense”. Cinico, invece, il commento di D.J. Rosenthal, esperto di sicurezza ed ex membro del gruppo di cybersecurity dell’amminsitrazione Obama, secondo cui l’azione legale di Microsoft sarebbe “al cento per cento motivata da ragioni di business”, e nata con tempismo perfetto per cavalcare l’onda di difesa della privacy generata da Apple nella sua disputa con l’Fbi.
Se l’interpretazione del tempismo è soggettiva, quel che è oggettivo è che l’azione legale è giunta a un giorno di ditanza da una votazione del Congresso (passata con l’unanimità del panel di rappresentanti chiamati a decidere) su alcune riforme applicabili all’Electronic Communications Privacy Act. Con una modifica dell’ultimo minuto, è stato rimosso l’obbligo di notifica, da parte del governo, ai cittadini o aziende oggetto di un’indagine, con la sola eccezione dei service provider. Un altro passo, insomma, in direzione opposta alla privacy e al diritto all’informazione.