Afebbraio 2021, la giunta militare del Myanmar ha ripreso il controllo del Paese con un colpo di Stato. L’esercito, anche noto con il nome di Tatmadaw, ha incarcerato i principali leader del partito di maggioranza, represso nel sangue le proteste, arrestato i manifestanti e gettato il Paese in una guerra civile che è sempre più grave.

La violenza ha invaso sia le strade sia il mondo digitale: giovani membri dell’esercito hanno iniziato a postare video su TikTok in cui minacciano la popolazione. Il premio Nobel del 1991 Aung San Suu Kyi, tornata alla guida del Paese nel 2011, si trova agli arresti domiciliari in attesa di essere processata.

I documenti del bilancio di previsione del Dipartimento di Information Technology and Cyber Security (ITCSD) del Ministero dei Trasporti e Comunicazioni (MOTC) del Myanmar mostrano come tra le tecnologie a disposizione della giunta militare ce ne siano diverse anche di provenienza europea, nonostante l’embargo vigente nei confronti del Paese. I documenti sono stati forniti dagli attivisti del gruppo Justice for Myanmar a Lighthouse Reports (LHR) e analizzati da IrpiMedia in un’inchiesta congiunta con LHR, The Intercept, Al Jazeera e OCCRP. L’ITCSD era intenzionato ad acquistare una tecnologia prodotta dall’azienda italiana SecurCube. Secondo l’azienda, contattata in precedenza da Il Manifesto, non ci sarebbe stata alcuna vendita diretta ma è possibile sia finito qualcosa grazie a rivenditori terzi.

Nel XXI secolo la gestione dei conflitti e la repressione interna del dissenso poggiano sempre più spesso sulle tecnologie per la sorveglianza digitale. Le armi da fuoco sono quindi affiancate da strumenti digitali che permettono di individuare gli oppositori, smascherare la loro rete di contatti, conoscere ogni loro movimento e hackerare i dispositivi per sottrarre documenti e foto.

Alcune di queste tecnologie sono considerate beni dual-use, ovvero che possono essere utilizzati sia per scopi civili sia militari. Per questo motivo devono essere soggette a stretti controlli sull’esportazione ed è prerogativa delle Autorità nazionali concedere o meno la licenza per l’export alle singole aziende che ne fanno richiesta. L’incessante sviluppo tecnologico, però, rischia di allargare ancora di più le crepe della già complessa regolamentazione sulle tecnologie dual-use, con il rischio che molte tecnologie possano passare inosservate eludendo ogni controllo, malgrado ci sia il rischio di abusarne.

L’Europa ha aggiornato nel 2018 il proprio regolamento concernente le restrizioni nei confronti del Myanmar, espandendo l’embargo non solo alle tecnologie dual-use ma anche a tutta una serie di strumenti che potrebbero essere utilizzati per favorire la repressione interna. Stando al regolamento, tecnologie simili a quella di SecurCube non dovrebbero finire in Myanmar. Il Ministero dei Trasporti e delle Comunicazioni collabora attivamente con il Ministero degli Interni birmano, come IrpiMedia ha potuto ricostruire grazie a presentazioni pubblicate online e ripercorrendo la storia delle repressioni digitali nel paese. Il Ministro degli Interni è scelto direttamente dal capo dell’esercito secondo quanto previsto dalla nuova Costituzione del Myanmar del 2008.

L’occhio dell’antenna: cosa fa la tecnologia di SecurCube e cosa ne pensa la Commissione Europea

Nel bilancio previsionale del MOTC relativo agli anni 2019-2020, all’interno di una lista di tecnologie per l’attività forense sugli smartphone, è indicato il prodotto BTS Tracker dell’azienda italiana SecurCube.

Il BTS Tracker è costituito da un’antenna, un’app per smartphone, un’applicazione sul web e un software per pc desktop. L’antenna permette di monitorare le frequenze radio e misurare la potenza del segnale per aiutare le forze dell’ordine nelle attività di indagine. Secondo pagine dei rivenditori e brochure pubblicate online, oltre a rilevare la posizione delle celle telefoniche ufficiali, il BTS Tracker individua anche fonti di segnali più deboli: in alcuni casi questi segnali potrebbero provenire da strumenti per la contro-sorveglianza ma anche da semplici sistemi per potenziare il segnale della rete telefonica. Sistemi del genere si usano ad esempio nelle cantine o in quegli edifici dove il segnale della rete telefonica fa fatica ad arrivare. Questo potrebbe permettere di localizzare la posizione di chi usa questi strumenti soprattutto in uno scenario dove le forze di polizia devono affrontare attivisti e oppositori che cercano di nascondersi per evitare gli arresti.

Software e hardware del BTS Tracker – Foto: Facebook/SecureCube

Prima del ritorno al potere della giunta militare, il Myanmar è stato al centro di una dura repressione nei confronti della popolazione Rohingya, un gruppo etnico di religione musulmana che vive in Myanmar e Bangladesh. La repressione militare ha costretto centinaia di migliaia di persone a fuggire dal Myanmar per finire in campi profughi in Bangladesh e le uccisioni e violenze contro i Rohingya hanno spinto le autorità internazionali a parlare di genocidio.

La possibilità di abusare di una tecnologia digitale, soprattutto se non dual-use, dipende moltissimo dalle condizioni in cui viene usata. Basti pensare che persino i social network possono giocare un ruolo cruciale: il Presidente della U.N. Independent International Fact-Finding Mission on Myanmar (con il mandato di stabilire i fatti delle presunte violazioni dei diritti umani e gli abusi da parte delle forze militari e di sicurezza in Myanmar, ndr) ha dichiarato che Facebook ha giocato «un ruolo determinante» nel genocidio dei Rohingya.

In Myanmar, però, la repressione già si era spinta oltre in passato: nel 2017 due giornalisti di Reuters erano stati arrestati dalla polizia con l’accusa di aver violato le leggi sul segreto di Stato durante il loro lavoro sulle atrocità contro la minoranza musulmana Rohingya. Come riportato dal Washington Post nel 2019, e dal giornale indiano Mizzima nel 2018, la polizia ha esaminato i dati contenuti nei cellulari dei giornalisti sfruttando la tecnologia per l’estrazione forense prodotta da Cellebrite, azienda con base in Israele e che è già stata al centro delle critiche delle associazioni per i diritti umani perché utilizzata da regimi autoritari contro attivisti politici.

Nel caso del BTS Tracker, SecurCube precisa sul proprio sito che il prodotto non è usato per «intercettare le comunicazioni» ma per costruire una mappa con tutte le fonti che emettono un segnale cellulare nell’area circostante: un occhio che vede le onde elettromagnetiche. L’app e il software per pc permettono di gestire le misurazioni e il sito web permette di analizzare i dati raccolti. Come descritto in uno studio del 2016 pubblicato da Nicola Chemello, CEO dell’azienda, una volta individuata la cella telefonica più probabile a cui il cellulare di un sospetto si è connesso quando era sulla scena del crimine, le forze dell’ordine possono chiedere all’operatore telefonico di fornire i dettagli su tutti i cellulari che erano connessi alla cella. A quel punto si può risalire facilmente all’identità del sospetto.

Nel 2018, alla luce delle continue violazioni dei diritti umani, incluse le violenze e gli stupri da parte dell’esercito nello Stato del Rakhine ai danni dei Rohingya, il Consiglio dell’Unione europea inasprisce l’embargo contro il Myanmar: insieme ai beni a duplice uso sono incluse anche tutta una serie di tecnologie digitali per il monitoraggio delle comunicazioni che possono essere usate «a fini di repressione interna» sia dall’esercito che da ogni altro ramo del Governo. Tra le categorie indicate, vi sono anche tecnologie per il «monitoraggio delle frequenze radio».

Secondo una portavoce della direzione generale della Stabilità finanziaria, servizi finanziari e Unione dei mercati dei capitali della Commissione Europea, contatta via email da IrpiMedia, questa categoria si riferisce a quegli strumenti di «contro-sorveglianza passiva, destinati ad esempio a contrastare i mezzi di intercettazione segreta dei canali radio». Vi rientrano quindi anche sistemi «per misurare la potenza del segnale delle torri cellulari, anche quando tali sistemi consentono di individuare con precisione la posizione di qualcuno che utilizza femtocelle/stazioni base portatili». Femtocelle e stazioni base portatili sono strumenti che possono essere usati per potenziare il segnale cellulare. La tecnologia venduta da SecurCube rientrerebbe nelle tecnologie per il monitoraggio delle frequenze radio.

La portavoce sottolinea però che «per quanto riguarda le informazioni complete su ciò che può e non può essere esportato e sulle specifiche tecniche delle merci, solo le autorità nazionali competenti possono fornire una risposta».

IrpiMedia ha contattato l’Unità per le autorizzazioni dei materiali di armamento (UAMA) del Ministero degli Esteri (MAECI) per capire come interpreta il regolamento e se ritiene che il prodotto di SecurCube possa essere esportato in Myanmar. Alla nostra richiesta di chiarimenti, l’UAMA e la Segreteria Stampa non hanno ancora risposto.

LHR ha raccolto le testimonianze di persone detenute e poi rilasciate dalla giunta militare nei giorni delle proteste e altre persone che vivono nel Paese. Dalle informazioni raccolte emerge un generale timore che l’esercito possa essere in grado di individuare la posizione esatta delle persone che si stanno nascondendo per evitare gli arresti del regime.

Secondo le stime della Assistance Association for Political Prisoners (AAPP), un’organizzazione per i diritti umani che si occupa dei prigionieri politici in Myanmar e sta seguendo da vicino l’evolversi del colpo di Stato, al momento della scrittura di questo articolo ci sarebbero quasi duemila persone in fuga sulla cui testa pende un mandato di arresto—si va dalle accuse per aver partecipato e supportato le proteste fino all’iscrizione in quella che è chiamata “lista 505A” per le persone che hanno manifestato il proprio dissenso online, la lista prende il nome dal relativo articolo del codice penale birmano.

In Myanmar la repressione non è solo nelle mani dell’esercito

La scelta dell’Unione Europea di ampliare le tecnologie soggette all’embargo sembra voler tenere in considerazione il fatto che, di fronte all’evoluzione delle tecnologie digitali, la possibilità di abuso dipende moltissimo dalla struttura del paese che le vuole utilizzare. Il testo infatti parla esplicitamente di repressione interna «da parte del governo del Myanmar, enti pubblici, società o agenzie, o qualsiasi persona o entità che agisce per loro conto o sotto la loro direzione». Non solo l’esercito, quindi.

Nel caso del Myanmar, il Ministero dei Trasporti e delle Comunicazioni è stato infatti un soggetto attivo nella repressione della popolazione.

Secondo una presentazione rinvenuta online da IrpiMedia che si è svolta a giugno 2017, all’interno della Conferenza Regionale sul Cybercrime 2017 organizzata dal Dipartimento di Giustizia delle Filippine in collaborazione con l’organizzazione internazionale Consiglio d’Europa nell’ambito di un progetto congiunto con l’Unione Europea, il MOTC collabora con la polizia e il Ministero degli Interni birmano. La presentazione, che riporta il nome di una ufficiale del Dipartimento per il crimine organizzato transnazionale e risalente al 2017, delinea la situazione del crimine informatico in Myanmar, sottolineando le sfide e le soluzioni messe in atto dalla polizia. In una slide dove si sottolineano i partner che aiutano nelle indagini, è indicato anche il Ministero dei Trasporti e delle Comunicazioni.

Una slide della polizia birmana rinvenuta online

Queste slide sembrano essere una versione simile a quelle pubblicate dal Washington Post nel 2019, entrambe le presentazioni includono infatti fotografie di tecnologie prodotte da Cellebrite e altre aziende simili per l’estrazione forense.

Ma il MOTC non è solamente un gregario, si trova in prima linea per quanto riguarda la repressione digitale. Secondo un report di Open Technology Foundation dal titolo The Rise of Online Censorship and Surveillance in Myanmar il Ministero ha investito 4.6 milioni di dollari nel 2017 per costruire un Social Media Monitoring Team (SMM), una squadra di spie dei social. Secondo alcuni articoli della stampa locale, malgrado l’obiettivo iniziale del sistema fosse quello di bloccare l’hate speech e la disinformazione online, alla fine il SMM ha colpito maggiormente le piattaforme legate all’opposizione.

Lo stesso MOTC gestisce gli internet shutdown – le interruzioni di accesso alla rete in questo caso per mano delle autorità governative – che colpiscono duramente la popolazione birmana. Prima di questo golpe, il MOTC aveva già messo in piedi una delle sospensioni più longeve al mondo, durata per più di un anno a partire dal giugno del 2019. La censura ha colpito lo Stato del Rakhine, dove risiede la popolazione Rohingya. Lo shutdown è stato nuovamente inasprito in questi mesi e interessa l’intero Myanmar: la giunta ha ordinato la sospensione della connettività internet mobile, lasciando a disposizione solo le connessioni in fibra ottica. Questa scelta ha colpito duramente la vita delle persone che si trovano in aree rurali dal momento che, come riportano alcuni analisti, le connessioni via cavo si trovano principalmente nei grandi centri abitati come Yangon, la più grande (e famosa) città birmana. Inoltre, la maggior parte delle connessioni in fibra sono gestite da un’unica azienda, Mytel, nata come joint venture tra due aziende di Stato controllate rispettivamente dai Ministeri della Difesa vietnamita e birmano.

Il numero di morti in Myanmar dall’inizio delle repressioni nel 2021

Per una tecnologia come quella di SecurCube, che misura i segnali delle celle telefoniche dei diversi operatori e facilita le operazioni della polizia che precedono l’invio di richieste di dati sugli utenti connessi alla rete, il controllo del Governo sugli operatori dovrebbe essere un fattore da tenere in considerazione.

All’apertura del mercato interno, le aziende straniere si sono dovute adeguare alle richieste del governo. Telenor, azienda di telecomunicazioni norvegese che è entrata nel mercato birmano nel 2014, è una dei quattro operatori telefonici in Myanmar, assieme a Ooredoo del Qatar, Myanmar Posts and Telecommunications (MPT) e a Mytel. Telenor si trova nella situazione di dover accettare ordini di rimozione e blocco di pagine internet ma non poter più pubblicare i decreti ricevuti dal Ministero. Telenor sottolinea che, pur essendo tenuta a seguire gli ordini delle autorità, questa situazione sta avendo un impatto negativo sui diritti umani in Myanmar e ora si trova davanti a un dilemma sulla propria presenza nel Paese: a fronte di una perdita di Telenor Myanmar stimata in 6,5 miliardi di corone norvegesi—quasi 7 milioni di euro—per il 2021, l’azienda vede limitate prospettive di miglioramento in futuro.

L’editoriale

Il desiderio di controllare le telecomunicazioni è ulteriormente sottolineato da altre voci nel budget del MOTC analizzate da IrpiMedia. Si parla infatti di un sistema di intercettazione per traffico dati e telefonico, incluso il nome degli operatori telefonici che lo avrebbero dovuto installare. Sistemi che sembrano essere stati installati secondo quanto ricostruito da Reuters e secondo quanto confermato a LHR da una fonte che conosce le attività degli operatori telefonici in Myanmar. Una prima versione del sistema è presente nel budget del MOTC per gli anni 2019-2020, mentre quella che viene chiamata “fase due” è inclusa nel budget 2020-2021.

Il Myanmar sembra avere a tutti gli effetti le intenzioni di diventare uno Stato di sorveglianza. Intenzioni già emerse in passato quando l’azienda di sicurezza informatica Kaspersky ha rilevato la presenza di uno spyware in Myanmar a giugno 2019: si trattava di una nuova versione di uno spyware già noto e in grado di infettare sia smartphone Android che Apple per raccogliere dati relativi ai contatti, ai messaggi, alle posizioni GPS, e registrare anche le chiamate fatte con Skype o WhatsApp.

Premi Nobel, indifferenza e maglie del regolamento Ue troppo larghe

Nelle dichiarazioni rilasciate a Il Manifesto, SecurCube dichiara che nel 2019 «non c’era nessun vincolo che ci avrebbe impedito di vendere», un approccio che sembra essere stato adottato anche da un’altra azienda europea presente nei bilanci dei Ministeri del Myanmar. L’azienda svedese MSAB, contattata in precedenza dal New York Times, ha confermato che alcuni prodotti sono finiti in Myanmar negli anni passati. Successivamente l’azienda svedese ha chiarito in un post sul proprio sito di aver venduto quattro sistemi alla polizia «quando il premio Nobel per la pace Aung San Suu Kyi guidava il Paese». Secondo l’azienda quei sistemi non sono in grado di ricreare i file cancellati e non possono bypassare le password di blocco degli smartphone.

L’impressione è che MSAB e SecurCube stiano cercando di sminuire le capacità effettive dei propri sistemi e, allo stesso tempo, di giustificare le proprie scelte sulla base della presenza del premio Nobel per la pace nel 1991 Aung San Suu Kyi, come se si trattasse di una sorta di lasciapassare.

«Non sono sicura di quanto la leadership di Aung San Suu Kyi sia rilevante in questo caso, dato che lo scopo del regime di controllo delle esportazioni dell’Ue è quello di prevenire l’uso improprio delle tecnologie per le violazioni dei diritti umani all’estero – ha spiegato a IrpiMedia Natalia Krapiva, consulente legale dell’associazione Access Now -. Se guardiamo alla situazione dei diritti umani nel Paese sotto la sua guida, si nota che non è in buono stato e la persecuzione dei musulmani Rohingya avrebbe dovuto essere un’enorme campanello d’allarme».

Da un’analisi dei report annuali sugli export pubblicati dal governo italiano, non risultano licenze rilasciate per esportare in Myanmar tra il 2017 e il 2019. Se quindi non c’è stata alcuna vendita diretta, potrebbero essere effettivamente coinvolte aziende terze.

In questo caso quindi saremmo di fronte a una triangolazione: l’azienda non ha venduto direttamente al Myanmar ma l’avrebbe fatto un suo rivenditore, espediente usato da aziende di armi tradizionali, come sottolineato da Rete Italiana Pace e Disarmo. Questo rende più difficile tracciare la vendita ma allo stesso tempo pone interrogativi importanti sul controllo esercitato dalle aziende sui propri rivenditori. Non sempre fingere di non sapere chi ha venduto un prodotto può essere sufficiente per essere esonerati da ogni responsabilità. Nel caso delle tecnologie digitali, infatti, quei sistemi potrebbero prevedere dei sistemi per disattivarli da remoto qualora fossero finiti nelle mani di un Paese sotto embargo.

Alcuni dei rivenditori di SecurCube sono presenti anche nel bilancio previsionale del MOTC, in particolare le statunitensi SUMURI e MediaClone. Entrambe queste aziende sono indicate come fornitori principali sul sito di MySpace International, azienda birmana già finita al centro di inchieste giornalistiche perché ha venduto i prodotti di Cellebrite utilizzati contro i giornalisti di Reuters arrestati dalla polizia in Myanmar nel 2017. Il sito non è più raggiungibile dopo le inchieste pubblicate negli scorsi anni ma è stata archiviata una versione della pagina. LHR e IrpiMedia hanno scoperto che MySpace International si è aggiudicata un bando di ottobre 2020 che include tecnologie prodotte da MSAB e BlackBag – azienda di proprietà di Cellebrite. Il bando è stato indetto dal Bureau of Special Investigation ovvero i servizi segreti nazionali del Myanmar.

IrpiMedia ha individuato dal sito di SecurCube alcuni documenti che spiegano le procedure di attivazione delle licenze per il software che gestisce l’antenna: chi attiva il software deve inviare un’email a SecurCube. Nei documenti è indicata anche un’app per gestire le misurazioni. Un riferimento alla stessa app è presente in un video di presentazione di settembre 2020 caricato su YouTube. Al momento però l’app sembra essere scomparsa sia dal sito del BTS Tracker che dal Play Store di Google.

IrpiMedia ha inviato una serie di domande a SecurCube per chiarire se sia stata avviata un’indagine interna sui propri rivenditori e, qualora i prodotti siano effettivamente stati venduti, se sia possibile rintracciare eventuali utenti registrati dal Myanmar che stanno utilizzando i sistemi e bloccare le licenze. Al momento della pubblicazione di questo articolo non abbiamo ancora ricevuto risposta. Richieste di commento sono state inviate anche a SUMURI e MediaClone ma anche in questo caso non abbiamo ricevuto risposta.

«Leggendo il testo dell’embargo si deduce che copre tecnologie che potrebbero essere usate per l’oppressione interna e fondamentalmente tutto ciò che va ai militari o ai paramilitari – e questo rende l’embargo estremamente ampio», ha spiegato a LHR Pieter D. Wezeman,  ricercatore dello Stockholm International Peace Research Institute (SIPRI).

Dopo cinque mesi dal colpo di Stato, l’attenzione internazionale sul Myanmar sembra scemare. Se le preoccupazioni per la sorveglianza digitale sembrano essere passate in secondo piano, per l’Europa però rimane il problema di come esercitare un controllo efficace sulle tecnologie digitali che possono aiutare a violare i diritti umani.

A marzo 2021 il Parlamento Europeo ha approvato nuove regole per la vendita e l’esportazione di beni a duplice uso, introducendo anche le tecnologie di sorveglianza digitale e strumenti come il riconoscimento facciale, e nuovi obblighi per le autorità nazionali.

Per Access Now e una coalizione di associazioni che si occupano di diritti umani, tra cui Amnesty International e Privacy International, il regolamento rischia però di essere un’occasione mancata, come sottolineano in un comunicato: «Gli Stati membri dell’Ue e la Commissione devono spingersi oltre il nuovo compromesso per rispettare gli obblighi internazionali in materia di diritti umani e garantire che la continua esportazione di sofisticati strumenti di sorveglianza da parte delle aziende dell’UE non faciliti le violazioni dei diritti umani delle persone in tutto il mondo».