Come promesso nei giorni scorsi dal leader della maggioranza repubblicana che tiene in scacco le due camere del Congresso americano, la controversa norma per la cyber-sicurezza nota come Cybersecurity Information Sharing Act (CISA) è stata approvata con uno schiacciante voto favorevole bipartisan. La norma non è ancora legge, e prima che il presidente Barack Obama (che supporta l’iniziativa) abbia modo di firmarla gli oppositori promettono di dare battaglia fino all’ultimo.
Incarnazione “rinnovata” di una proposta di legge precedente affossata dalle reazioni di pubblico e attivisti (CISPA), CISA garantisce in sostanza l’immunità legale alle aziende tecnologiche in caso di “indicatori di cyber-minaccia”: i colosso IT dovranno condividere i dati dei loro utenti con il Departement of Homeland Security (DHS), e da qui i suddetti dati potranno facilmente viaggiare verso le altre agenzie americane a tre lettere – National Security Agency (NSA) inclusa.
CISA è stata pensata per migliorare la cyber-sicurezza e la collaborazione tra pubblico e privato nel contrasto al crimine informatico, un principio lodevole che in pratica non garantisce sufficienti tutele alla privacy degli utenti dei summenzionati colossi IT: tutti gli emendamenti pensati per migliorare CISA in tal senso sono stati respinti, e qualora la legge venisse approvata in via definitiva l’intelligence avrebbe a disposizione un canale di accesso ai dati personali perfettamente legale e con ben poche restrizioni.
Il Senato americano ha approvato CISA con un voto favorevole di 74 a 21, nomi e cognomi dei senatori favorevoli e contrari sono a disposizione del pubblico e le reazioni all’iniziativa non si sono fatte attendere molto: il senatore democratico Ron Wyden ha definito CISA “un filo diretto con la NSA”, che per di più non farà granché per proteggere i cittadini americani dal cyber-crimine.
L’industria tecnologica si era schierata in misura maggioritaria contro CISA, una proposta in teoria lodevole ma in pratica non adeguata alla gestione degli enormi database di utenti che aziende come Microsoft, Amazon, Google, Apple e Facebook si trovano a gestire sui server americani e non.
Parlando di Facebook, in superficie il social network in blu aveva sottoscritto l’appello di Computer & Communications Industry Association (CCIA) per riformare CISA, ma a quanto pare la corporation avrebbe accolto con favore la proposta (e l’immunità legale prevista per le aziende “collaborazioniste”) a porte chiuse. Prevedibilmente, Facebook nega di essersi mai discostata dalla posizione comune espressa di CCIA.
Il Congresso americano sa bene di dover fare qualcosa per contrastare brecce informatiche sempre più numerose e gravi che colpiscono provider, aziende private e organizzazioni governative, chiosa EFF , ma la politica di Capitol Hill “ha deciso di fare la cosa sbagliata”. Prima di diventare legge, le due diverse versioni CISA (quella approvata dal Senato e quella della Camera dei rappresentati) dovranno ora essere armonizzate da un comitato comune. La guerra non è finita, promette EFF, e gli utenti sono invitati a scrivere ai rispettivi rappresentati per esprimere la loro contrarietà alla legge.
Alfonso Maruccia