“Azioni straordinarie” per un “caso particolare”: John Frank, capo dell’ufficio legale di Microsoft e vicepresidente della multinazionale, decide di scrivere sul blog aziendale per spiegare al pubblico la versione di Redmond su quanto accaduto nella vicenda che ha visto l’arresto di un ex-dipendente per aver diffuso informazioni riservate sul codice sorgente di Windows. Nel corso dell’indagine interna Microsoft ha deciso di avvalersi anche delle informazioni custodite nella casella Hotmail di un utente (oggi il servizio si chiama Outlook.com): e lo ha fatto sfruttando le pieghe dell’accordo sottoscritto per l’utilizzo del prodotto, convinta di essere legalmente autorizzata a farlo.
Le informazioni contenute nel comunicato di Frank forniscono più dettagli su quanto successo. A quanto si apprende dalla ricostruzione offerta, lo sviluppatore infedele Alex Kibkalo aveva inviato informazioni riservate a un blogger francese (fino a questo punto ancora privo di una identità pubblica): quest’ultimo si era rivolto a un altro intermediario, per ottenere la conferma che il codice in suo possesso fosse autentico. A quel punto questo intermediario (anche lui anonimo, per ora), si è rivolto a una sua conoscenza a Redmond per capire che cosa avesse tra le mani: il suo interlocutore era niente di meno che l’allora capo della divisione Windows Steven Sinofsky , il quale resosi conto del problema ha dato il la alle verifiche interne. Siamo nel settembre del 2012, e il team Microsoft Trustworthy Computing Investigations (MTCI) inizia le sue indagini: prima interrogando l’intermediario, poi risalendo al blogger che gli aveva passato il materiale e decidendo quindi di avere accesso alla sua email ( dopo aver consultato l’ufficio legale ).
Nel corso delle indagini il MTCI scopre che effettivamente tra Kibkalo e il blogger sono intercorse delle comunicazioni: all’interno di queste i due prendevano via Messenger accordi su come scambiarsi informazioni, Kibkalo inviava un link al proprio storage SkyDrive (oggi OneDrive) per consentire all’altro di scaricare alcune patch per Windows 8 (che non era ancora stato rilasciato al pubblico), gli forniva altro codice relativo anche all’ Activation Server SDK (il meccanismo attraverso il quale si possono attivare le copie dei prodotti Microsoft tramite un codice), e addirittura potrebbe aver fornito al blogger le credenziali di accesso a server interni al campus di Microsoft. Microsoft convoca e interroga anche Kibkalo, che pare ammetta tutto , ma sarà solo a luglio del 2013 che Microsoft comunicherà i risultati della propria indagine interna all’FBI : da quella denuncia sarebbe poi scaturito l’arresto avvenuto ieri, a marzo 2014.
In tutta questa ricostruzione ci sono alcuni punti che hanno fatto drizzare le antenne agli osservatori d’Oltreoceano , sempre molto attenti alla privacy e alle azioni delle grandi multinazionali del Web che controllano le informazioni personali di milioni di clienti. La decisione di accedere alla casella Hotmail del blogger francese è senz’altro il punto nodale della vicenda: all’epoca del fatto, settembre 2012, Microsoft non aveva chiesto e dunque certo non aveva ottenuto alcuna autorizzazione da parte di un giudice per farlo . Ma, si giustifica Microsoft , un giudice non può emettere un mandato che autorizzi un’azienda a perquisire sè stessa: i server che contengono le caselle Hotmail sono già di Microsoft, che dunque può agire come meglio ritiene con il loro contenuto. Redmond decise di sondare il contenuto della posta elettronica privata di un suo cliente, avvalendosi di alcune clausole contenute nel contratto di servizio sottoscritto all’attivazione che consentono di farlo. Laddove ci sia concreto sospetto che il contenuto della corrispondenza possa rivelare informazioni utili a garantire la sicurezza dei cittadini, o comprenda materiale in violazione dei diritti di Microsoft o dei suoi clienti, l’azienda può avere accesso alla casella: una clausola che fino a oggi nessuno pensava sarebbe mai stata sfruttata.
Microsoft invece l’ha fatto, scatenando gli strali dei più garantisti tra gli addetti ai lavori. E l’uscita di John Frank sul blog aziendale implicitamente pare confermare che forse in questo caso Microsoft si sia spinta un po’ oltre: sebbene come spiegato nel dettaglio ci fossero i presupposti legali per compiere questo gesto (che poi ha condotto a un arresto, segno che evidentemente dove c’era fumo c’era anche arrosto), a Redmond hanno deciso comunque di rivedere le policy interne per meglio garantire in futuro i propri clienti . I termini di servizio non cambieranno ma, oltre a un doppio parere da parte di due team interni indipendenti, Microsoft chiederà anche il parere di un ex-giudice federale sulla solidità delle basi legali per una ispezione di un account. Se una qualunque di queste tre parti dovesse dare parere negativo, d’ora in avanti non si procederà all’apertura della posta altrui. Infine, eventuali azioni di questo tipo saranno inserite (in formula aggregata) nel rapporto semestrale di trasparenza che oggi comprende già il numero di richieste di informazioni giunto da enti governativi, nato anche sulla scia dello scandalo Datagate.
Resteranno in vigore delle eccezioni a queste regole, in particolare per gli account aziendali dei dipendenti, o quelli personali dei dipendenti aperti sui servizi di Microsoft. Paradossalmente , il caso di Alex Kibkalo sembra essere un paradigma di queste situazioni: il dipendente infedele ha utilizzato esclusivamente servizi Microsoft per tentare di danneggiare la sua azienda , una vicenda davvero insolita che ha facilitato il compito degli investigatori alla ricerca della prova del suo tradimento. Di certo la questione rende chiaro ancora una volta il grande potere che le grandi aziende ICT vantano nei confronti dei propri clienti: tutte le informazioni private sono a portata di clic dentro i datacenter aziendali, ed è solo questione di fiducia e buonsenso ritenere che la riservatezza sarà garantita. Salvo cause di forza maggiore.
Luca Annunziata