Il 31 ottobre 2023, sul cellulare di alcuni leader dell’opposizione indiana e su quello di alcuni giornalisti, sono arrivate delle notifiche da parte di Apple, che avvertivano di un possibile attacco state-sponsored (leggasi: una campagna di spionaggio da parte di istituzioni governative) contro i loro iPhone. “Apple ritiene che siate vittime di un attacco sostenuto da uno Stato nazionale che sta cercando di compromettere l’iPhone associato con la vostra ID Apple”, si legge nella notifica, pubblicata su X da alcune delle persone che hanno ricevuto il messaggio. Anche se dall’azienda non è arrivata alcuna indicazione su chi potesse essere responsabile dell’attacco (alcuni giornalisti indiani hanno addirittura sottolineato la mancanza di trasparenza in merito), la veridicità dell’allarme è stata confermata a vari media. E tra gli attivisti e gli esponenti dell’opposizione indiana è scattato un campanello d’allarme: in molti sospettano, e non senza le loro ragioni, che dietro la possibile compromissione dei loro dispositivi ci sia il governo nazionale, guidato dal partito del primo ministro Narendra Modi.

La versione di Modi

Durante l’ultima riunione del G20 a Delhi, lo scorso settembre, Narendra Modi ha definito il suo paese un “laboratorio”. “Con la sua diversità, l’India è un laboratorio ideale. Una soluzione che ha successo in India può essere facilmente applicata ovunque nel mondo” , ha detto. 
Il governo del Bharatiya Janata Party (BJP, il partito conservatore di ispirazione etno-nazionalista indù) ha fatto dello sviluppo tecnologico e digitale uno degli assi portanti della sua ormai quasi decennale amministrazione. Dal 2014 a oggi, l’India ha vissuto quella che da molti è considerata una svolta autoritaria: a farne le spese sono stati soprattutto gli attivisti per i diritti umani, i giornalisti indipendenti e le minoranze, soprattutto quella musulmana. 

All’incontro con i ministri dell’economia digitale del G20, Modi ha parlato della piattaforma per l’identità digitale disponibile per più di un miliardo di utenti, di un basso costo della connessione dati per 850 milioni di persone, e di varie iniziative per l’inclusione finanziaria attravero soluzioni tecnologiche. La trasformazione digitale è stata una priorità del BJP e del governo sin dal 2015. Il quadro ottimista dipinto da Modi non tiene però conto dei numerosi lati oscuri della digital transformation del paese più popoloso del mondo. 

I blocchi di internet 

Dal 2016 l’India è stata responsabile del 58 per cento degli internet shutdown, i blocchi della rete, solitamente imposti da autorità governative come “armi di controllo e scudi di impunità” contro movimenti di opposizione politica, in base alla definizione e i dati  dell’organizzazione globale Access Now. Secondo la quale, nel 2022, su 187 blocchi di internet a livello globale, 84 sono avvenuti in India. Uno dei più recenti, quello nello stato del Manipur, nel nord-est del paese, è iniziato a maggio e continua tuttora (anche se in alcuni distretti la connettività sta lentamente tornando).

“Ci sono stati shutdown in vari stati indiani, anche in Punjab all’inizio dell’anno ad esempio”, racconta a Guerre di Rete Prateek Waghre, policy director di Internet Freedom Foundation, un’organizzazione indiana impegnata sul fronte dei diritti digitali. “In Manipur sta andando avanti da maggio. In altre parti del paese sono avvenuti blocchi più brevi; in generale tendono a essere locali e geograficamente disseminati in luoghi diversi. Non bisogna immaginare che tutta la nazione vada offline improvvisamente. Le città, dove opera il grande business, raramente vanno offline. Ovviamente la situazione potrà cambiare”.

Ma la diffusione dei blocchi della rete e la loro frequenza appare in diretta contraddizione con la retorica del governo sulla digitalizzazione dei servizi. “Molti servizi ai cittadini si stanno spostando online per il last mile delivery dei servizi”, continua Waghre. “C’è una spinta a digitalizzare il welfare e dall’altra parte una forte restrizione di internet attraverso gli shutdown. Questo ha un impatto sulla vita dei cittadini. Dal momento che le risorse vengono investite nella digitalizzazione, ci sono sempre meno mezzi per accedere ai servizi governativi senza ricorrere alla rete”. 

La stretta contro i media indipendenti

Anche fare informazione libera in India è sempre più difficile. Secondo Reporter senza Frontiere, “con una media di tre o quattro giornalisti uccisi ogni anno per il loro lavoro, l’India è uno dei Paesi più pericolosi al mondo per i media. I giornalisti sono esposti a ogni tipo di violenza fisica, compresa quella della polizia, ad attacchi da parte di esponenti politici e rappresaglie mortali di gruppi criminali o funzionari locali corrotti. I sostenitori dell’Hindutva, l’ideologia che ha generato l’estrema destra indù, sferrano attacchi online a tutto campo contro qualsiasi opinione in conflitto con il loro pensiero”.

“Esistono altre modalità con cui si mette il bavaglio ai media indipendenti”, commenta ancora Prateek Waghre, “Ad esempio attraverso le leggi sui finanziamenti esteri o le clausole fiscali”. Un caso del genere è quello di NewsClick, un portale di notizie indipendente, che è stato oggetto di un raid della polizia con l’accusa di percepire finanziamenti provenienti dalla Cina. “Questi casi instillano paura anche in altri giornalisti e media. Le possibili ripercussioni aumentano i rischi di fare giornalismo. In più, prima che vengano prese delle decisioni in merito alle accuse, può passare tantissimo tempo. L’intero processo diventa parte della punizione. Non è solo un modo per andare contro a specifici giornalisti e attivisti, ma anche per lanciare un messaggio ad altre organizzazioni o gruppi dissidenti”. 

La legge sulla protezione dei dati personali del 2023 

Ad agosto di quest’anno il Parlamento indiano ha approvato il  “Digital Personal Data Protection Act, 2023”, conosciuto anche con il nome di Data Act o con la sigla DPDP. Si tratta di una delle legislazioni più controverse nell’attuale panorama della governance digitale mondiale. Si applica a tutti i cittadini indiani e le organizzazioni che intendono raccogliere e processare i loro i dati, comprese organizzazioni straniere che operano con i dati di cittadini indiani. Pone limiti precisi all’uso dei dati personali: devono essere raccolti con consenso esplicito della persona e possono essere utilizzati solo per uno scopo molto chiaro . La legge è arrivata dopo un processo lungo sei anni, al termine del quale la Corte Suprema del Paese ha espresso la necessità di “un regime ben strutturato” per la gestione dei dati personali. 
Lo scopo della legge è in linea di massima simile a quello della legge europea nota come GDPR (General Data Protection Regulation). Ci sono però alcune differenze, ad esempio nel modo in cui è regolato il trasferimento di dati all’estero, per cui il GDPR ha clausole molto più severe. “La legge non limita attualmente il trasferimento di dati personali al di fuori dell’India. Inverte il paradigma tipico delle disposizioni sul trasferimento internazionale dei dati in leggi come il GDPR, presumendo che i trasferimenti possano avvenire senza restrizioni, a meno che il governo non limiti specificamente i trasferimenti a determinati Paesi (blacklisting) o non emani qualsiasi altra forma di restrizione”, spiegano l’avvocata esperta di privacy Raktima Roy e la vice-presidente di Global Privacy Gabriela Zanfir-Fortuna. 

La sorveglianza di stato

Secondo molti esponenti della società civile indiana, il DPDP non fa abbastanza per proteggere i cittadini dal rischio della sorveglianza di Stato. Le istituzioni statali sono infatti esenti dalla maggioranza degli obblighi sull’utilizzo dei dati personali sotto esclusivo consenso dei titolari, nel caso si servano di essi per “l’adempimento da parte dello Stato o di qualsiasi suo strumento di qualsiasi funzione in base a qualsiasi legge in vigore in India o nell’interesse della sovranità e dell’integrità  dell’India o della sicurezza dello Stato”, come espresso nel Capitolo II, articolo 7 comma c del testo.Si tratta di una formulazione molto ampia, che lascia molta discrezionalità nell’applicazione. 

“All’esecutivo è dato un grande margine di manovra sul tipo di esenzione che vuole attribuirsi. Il governo ha in questo modo grande discrezionalità e controllo”, continua a spiegare Prateek Waghre. “In più, molti aspetti della legislazione devono ancora essere oggetto di norme future”. 
La legge arriva in un contesto in cui la sorveglianza di Stato è già una realtà. Il governo Modi ha utilizzato lo spyware Pegasus per tracciare e sorvegliare i dispositivi personali di oltre 300 oppositori politici, secondo quanto rivelato dal consorzio di media che ha gettato luce sull’uso dello spyware israeliano a livello globale. Il governo si è rifiutato di cooperare con l’inchiesta, citando ragioni di “sicurezza nazionale”.  Secondo un’inchiesta del Financial Times, il governo del BJP starebbe valutando accordi commerciali con diversi competitor di Pegasus per proseguire le sue attività di sorveglianza. L’allarme lanciato dagli oppositori politici del governo il 31 ottobre a seguito dei messaggi ricevuti da Apple su una possibile campagna di sorveglianza e hacking non pare quindi ingiustificato, dato il contesto di impunità dello Stato e repressione delle voci di dissenso. 

La reazione delle piattaforme al DPDP 

Un attore che ancora non abbiamo preso in considerazione sono le grandi piattaforme tecnologiche. Anch’esse hanno mostrato esitazione rispetto al DPDP, anche se a partire da posizioni e interessi piuttosto diversi da quella di attivisti, giornalisti e società civile. Attraverso la Asia Internet Coalition, un’organizzazione che ne rappresenta gli interessi nel continente, compagnie come Meta, Google, Apple e Microsoft hanno chiesto un’estensione del periodo di transizione per adeguarsi alle nuove norme. Alcune di esse, secondo il gruppo, risultano particolarmente complicate. La legge prevede l’istituzione di una serie di figure con particolari ruoli all’interno delle organizzazioni, come il consent manager, “che funge da unico punto di contatto per consentire a un Titolare (la persona che fornisce i dati personali ndr) di fornire, gestire, rivedere e revocare il proprio consenso attraverso una piattaforma accessibile, trasparente e interoperabile”. L’AIC ha indicato la necessità di un periodo piuttosto lungo (dai dodici ai diciotto mesi) per far sì che le aziende possano adeguarsi correttamente alle richieste regolatorie. 

I precedenti scontri sul rischio di censura

Non è la priva volta che le piattaforme social hanno sperimentato una frizione con il governo Modi: nel 2021, l’allora Twitter entrò in una guerra pubblica con il governo rispetto alle “Information Technology (Intermediary Guidelines and Digital Media Ethics Code) Rules”, note anche solo come “IT Rules”, regole che impongono alle piattaforme di censurare i contenuti che non rispettano una serie di linee guida molto vaghe (ad esempio sono sanzionabili i contenuti che “minacciano l’unità dell’India”), sempre sotto indicazione del governo.

Secondo l’Electronic Frontier Foundation: “L’India ha introdotto cambiamenti draconiani alle sue regole per gli intermediari online, rafforzando il controllo governativo sull’ecosistema dell’informazione e su ciò che è possibile dire in rete. Ha creato regole che mirano a limitare le società di social media e altri host di contenuti nell’elaborare le proprie politiche di moderazione, comprese quelle che rispettano gli obblighi internazionali in materia di diritti umani”.
Una definizione problematica è proprio quella di “intermediario”, che secondo le regole comprende anche le applicazioni di messaggistica, anche quelle che usano la crittografia end-to-end. Secondo la Global Network Initiative, una NGO che si occupa di privacy e libertà di informazione, “per garantire la tracciabilità dei messaggi (ai fini della censura, ndr) sarebbe probabilmente necessario un accesso eccezionale al contenuto dei messaggi, ossia un meccanismo che consenta all’azienda di decifrare i messaggi che viaggiano tra due parti. Ciò indebolirebbe drasticamente la sicurezza di tali comunicazioni, mettendo tutti gli utenti di tale servizio a rischio di sorveglianza da parte di altri governi e di attori non governativi con intenzioni maligne”. 

I deep-fake e la crittografia 

Molto recentemente si è riacceso il dibattito sul ruolo delle piattaforme in India, anche in vista delle elezioni del 2024. Secondo una fonte governativa, citata dal The Indian Express, il governo starebbe cercando di applicare le Regole del 2021 per fermare la diffusione di video deep-fake generati con l’intelligenza artificiale. “Ci sono stati segnalati video falsi di politici di tutti gli schieramenti, che riteniamo possano danneggiare l’integrità elettorale in India. Per questo motivo stiamo pensando di inviare un avviso a WhatsApp per risalire all’identità di chi ha creato per primo questi contenuti”, ha detto il rappresentante del governo alla testata. L’avviso in questione è detto first originator notice ed è normato dalla sezione 4 (2) delle “IT Rules”, che recita: “Un intermediario significativo di social media che fornisce servizi prevalentemente di messaggistica, deve consentire l’identificazione del primo autore delle informazioni sulle sue risorse informatiche, secondo quanto può essere richiesto da un’ordinanza giudiziaria emessa da un tribunale di giurisdizione competente”. In pratica, Whatsapp potrebbe trovarsi a dover stravolgere i suoi stessi protocolli crittografici , su ordine di un ente statale. Le implicazioni potrebbero essere molto gravi. Ha scritto Shougat Dasgoupta su Coda Story, nella rubrica Disinfo Matters “se questo dovesse accadere, le insidie per la privacy e le opportunità di sorveglianza di massa saranno significative e potrebbero avere un effetto molto più profondo su molti milioni di persone di quanto non abbiano fatto una manciata di video”. 

Il regolamento sulle telecomunicazioni

Gli sforzi per normare l’ecosistema digitale del Paese non sono finiti. Nel 2022 è stata pubblicata la bozza di una legislazione nota come “Telecom Bill”, che mira a regolare il settore delle telecomunicazioni. Il governo centrale, secondo quanto proposto nella bozza, avrebbe il potere di distribuire licenze a operatori di telecomunicazione che desiderino operare in India. La definizione molto ampia di “servizi di telecomunicazione” comprende anche email e piattaforme di messaggistica. Secondo Prateek Waghre: “Se gli operatori di servizi non si sottoporranno alle condizioni del governo per ottenere una licenza, potranno perdere la possibilità di operare nel Paese. Le condizioni potrebbero comportare, nel caso di applicazioni di messaggistica, anche un indebolimento della crittografia. Come nel caso di altre legislazioni, assistiamo a un’espansione del controllo e della discrezionalità dell’esecutivo”. 

La cooperazione tecnologica con l’UE 

L’importanza strategica dell’India come partner per lo sviluppo tecnologico non è passata inosservata all’Unione Europea. A febbraio 2023 UE e India hanno lanciato il Trade and Technology Council, un forum ministeriale per promuovere la cooperazione su varie tematiche, incluse quelle digitali. Secondo quello che si legge nel comunicato condiviso: “L’Unione europea e l’India sono impegnate ad approfondire il loro partenariato e a sfruttare i rispettivi punti di forza per accelerare lo sviluppo e la diffusione di tecnologie digitali avanzate che andranno a beneficio di entrambe le società e promuoveranno il progresso globale in linea con i nostri valori comuni. In quanto democrazie vivaci, economie di mercato aperte e società pluralistiche, l’Unione europea e l’India condividono valori fondamentali e hanno un interesse comune a garantire sicurezza, prosperità e sviluppo sostenibile in un mondo multipolare”

Il primo incontro ministeriale si è tenuto a Bruxelles il 16 maggio 2023. Nonostante i proclami di entrambe le parti, alcuni media hanno riportato delle frizioni rispetto alla tematica del flusso internazionale di dati. Secondo quanto scritto sulla testata Euractiv all’indomani dell’incontro ministeriale: “Sebbene i due Paesi condividano pubblicamente l’intenzione di avvicinarsi in settori digitali chiave, le divergenze stanno aumentando rispetto ai trasferimenti transfrontalieri di dati, una dimensione critica del commercio internazionale”. Dal punto di vista europeo la questione è se la legge indiana preveda un livello sufficiente di protezione dei dati, in linea con il GDPR. Su questa tematica, alcuni membri del Parlamento Europeo hanno espresso dei dubbi. La parlamentare dei Verdi Markéta Gregorová ha presentato un’interrogazione scritta alla commissione, il 6 ottobre 2023. “La Commissione è disposta a intraprendere una via bilaterale con l’India su una decisione di adeguatezza dei dati, come ha fatto in precedenza quando i requisiti di adeguatezza non erano soddisfatti?”, chiede Gregorova. “Quali garanzie sono proposte?”. Alla luce di una collaborazione sempre più stretta appare centrale per i cittadini europei e indiani, che siano messe in atto specifiche misure di protezione dei loro dati.

Una questione globale 

Quello che accade in India ha un’importanza globale, e non solo perché si tratta del Paese più popoloso della Terra. Ma poiché, per parafrasare le parole di Narendra Modi, osservando quello che avviene in India si possono portare alla luce questioni di governance digitale rilevanti in tutto il mondo. Un esempio è quello del rapporto tra Stati, piattaforme e disinformazione. In un momento storico in cui è molto forte la spinta regolatoria, soprattutto di fronte ai rischi dall’intelligenza artificiale, il caso indiano pone la questione di come preservare la società civile dalla censura arbitraria. Il contrasto ai discorsi d’odio e alla disinformazione rischia di essere strumentalizzato ai fini della sorveglianza ai danni di giornalisti e di coloro che esprimono dissenso, e di compromettere il diritto alla privacy di tutti i cittadini. Anche per le piattaforme stesse si pone una domanda fondamentale: quanto e come adeguarsi ai regolamenti dei vari governi intorno al mondo, anche di quelli con tendenze autoritarie? Quello che accadrà a New Delhi, soprattutto dopo le elezioni del prossimo anno, si rifletterà in Europa e nel resto del mondo.