Battaglia legale fra il maggiore internet exchange al mondo e i servizi segreti tedeschi (che ne intercettano il traffico)

L’Internet Exchange di Francoforte – operato da DE-CIX – è il più trafficato al mondo, gestendo picchi fino a 6,4 Terabit al secondo. Per rendere l’idea, durante i momenti di maggior traffico l’exchange consuma più elettricità dell’intero aeroporto di Francoforte.

Nel 2009 il DE-CIX ricevette l’ordine di dare accesso al Bundesnachrichtendienst (BND, i servizi segreti tedeschi) al traffico Internet che passava per l’exchange. L’azienda ha ottemperato agli obblighi, consentendo l’installazione all’interno delle fibre ottiche di apparati (dei prismi) che duplicano il traffico, deviandolo verso i server dei servizi segreti.

Da subito DE-CIX ha iniziato le proteste formali e le azioni legali per stabilire la legittimità di tali operazioni. I principali problemi nascono dal fatto che la legge tedesca vieterebbe l’ascolto di tutto il traffico, ponendo il limite legale al 20%, e non consentirebbe l’intercettazione generalizzata del traffico dei cittadini tedeschi. L’azienda fa riferimento anche a un parere legale del 2016 dell’ex presidente della Corte costituzionale federale tedesca Hans-Jürgen Papier, disponibile qui (in tedesco).

Nel settembre 2016 DE-CIX ha portato il governo tedesco in tribunale, davanti alla Corte amministrativa di Lipsia, che tuttavia nel maggio di quest’anno ha respinto le azioni legali dell’internet exchange, consentendo ai servizi segreti di continuare a intercettare le comunicazioni (i legali del BND hanno specificato di avere appositi filtri per eliminare il traffico dei cittadini tedeschi; evidentemente si “limitano” a spiare il traffico che transita da e per l’estero).

Ora DE-CIX, che oltre all’hub di Francoforte gestisce altri 13 exchange in tutto il mondo (fra cui uno a Palermo) ha portato la questione alla Corte costituzionale tedesca di Karlsruhe, che dovrà quindi pronunciarsi sulla legittimità delle intercettazioni di massa operate in Germania.

Ho iniziato a interessarmi di cybersecurity dal 1989, quando ho "trovato" il mio primo virus. Dal 1992 me ne occupo professionalmente: per oltre un decennio come collaboratore di testate specializzate (fra cui PC Professionale), poi come consulente del Ministro delle Comunicazioni su aspetti di sicurezza delle reti, quindi con collaborazioni sui medesimi temi con Telespazio (gruppo Finmeccanica). Oggi mi interesso di nuove tecnologie (AI) e cyber warfare. Sono socio fondatore del chapter italiano di Internet Society, membro dell'Associazione Italiana esperti in Infrastrutture Critiche (AIIC) e della Association for the Advancement of Artificial Intelligence (AAAI). Dal 2006 lavoro per ESET, dove ricopro il ruolo di Operations Manager. Il blog è personale.