Oggi abbiamo chiesto al Ministro della Giustizia degli Stati Uniti d’America di intervenire in prima persona per consentire a Microsoft e ad altre aziende di condividere pubblicamente informazioni più complete su come gestiamo le informazioni richieste dai governi relative a nostri clienti per ottemperare ad esigenze di sicurezza nazionale. Riteniamo che ai sensi della Costituzione degli Stati Uniti ci sia garantita la libertà di condividere un maggior numero di informazioni pubblicamente, eppure il Governo Statunitense ce lo sta impedendo.. Ad esempio, siamo ancora in attesa da parte degli uffici preposti del Governo, delle risposte alla richiesta che abbiamo presentato al tribunale il 19 giugno nella quale abbiamo chiesto l’autorizzazione a pubblicare il numero relativo al volume di richieste di dati che riceviamo allo scopo di garantire la sicurezza nazionale. Ci auguriamo che il Ministro della Giustizia faccia quanto in suo potere per cambiare questa situazione.
Fino a quando ciò non accadrà, comunicheremo tutte le informazioni che possiamo attualmente condividere. E’ importante sottolineare che ci sono notevoli inesattezze nelle interpretazioni dei documenti governativi trafugati di cui i media hanno parlato la scorsa settimana. Abbiamo chiesto nuovamente al Governo di avere il permesso di discutere i problemi sollevati da questi nuovi documenti ma hanno rifiutato la nostra richiesta. Nel frattempo abbiamo riepilogato di seguito le informazioni che possiamo condividere in risposta alle accuse riportate:
Outlook.com (in precedenza Hotmail): non forniamo ad alcun Governo accesso diretto a messaggi di posta elettronica o messaggistica istantanea. Punto. Come tutti i provider di servizi di comunicazione, siamo a volte obbligati a soddisfare le richieste lecite dei governi di condividere contenuti di specifici account a seguito di un ordine del giudice o di un mandato di perquisizione. Ciò accade negli Stati Uniti e in altri Paesi in cui archiviamo i dati. Quando riceviamo tale richiesta, la analizziamo e, se obbligati, la soddisfiamo. Non forniamo ad alcun governo le capacità tecniche per accedere al contenuto degli utenti direttamente o autonomamente. I governi devono necessariamente disporre di un atto formale di un tribunale per ottenere da noi informazioni specifiche sugli account identificati.
Non sorprende che rimaniamo soggetti a tali tipi di obblighi legali quando aggiorniamo i nostri prodotti e quando rafforziamo le misure di crittografia e sicurezza per meglio proteggere i contenuti sul Web. È stato detto che la recente divulgazione di documenti del governo degli Stati Uniti sia dipesa dall’aggiunta della codifica HTTPS al servizio di messaggistica istantanea di Outlook.com, che è stata invece progettata per rendere più sicuri i contenuti trasferiti in rete. Per essere chiari, non diamo ad alcun governo la possibilità di effettuare illegalmente la decodificazione, né forniamo al governo le chiavi di decodificazione. Quando siamo obbligati per legge a soddisfare richieste di accesso a materiale codificato, estraiamo i contenuti specifici dai nostri server, dove si trovano in uno stato non codificato, e li forniamo all’agenzia governativa specifica.
Omettendo i dettagli tecnici, tutte le informazioni nei recenti documenti governativi divulgati indicano due cose. Innanzitutto, Microsoft intendeva discutere con il governo in merito ai requisiti di conformità, come indicato la scorsa settimana, in nessuno di questi confronti Microsoft ha fornito o ha accettato di fornire ad alcun governo accesso diretto ai contenuti degli utenti o la possibilità di violare la nostra codificazione. In secondo luogo, questi confronti si sono invece incentrati su come Microsoft potrà soddisfare i continui obblighi a conformarsi alla legge fornendo informazioni specifiche in risposta a richieste legalmente valide del governo.
SkyDrive: rispondiamo allo stesso modo alle richieste del governo legalmente valide per i dati archiviati in SkyDrive. Tutti i provider di questi tipi di servizi di archiviazione hanno sempre avuto l’obbligo legale di fornire i contenuti archiviati quando ricevono richieste legalmente valide. Nel 2013 abbiamo modificato i nostri processi per essere in grado di continuare a essere in linea con le crescenti richieste legali dei governi di tutto il mondo. Nessuna di tali modifiche ha fornito ad alcun governo accesso diretto a SkyDrive. Né essi hanno cambiato il fatto che ancora occorre essere in possesso di un mandato del tribunale per richiedere i dati dei clienti. Il processo utilizzato per fornire i file di SkyDrive è lo stesso nel caso di un mandato di perquisizione istruito dai preposti organi giurisdizionali o nel caso di risposta a un ordine di sicurezza nazionale, negli Stati Uniti o altrove.
Chiamate con Skype: così come con altri servizi, rispondiamo solo alle richieste del governo previste dalla legge e rispettiamo solo gli ordini di richieste in merito ad account o identificatori specifici. Nel resoconto della scorsa settimana sono state fatte accuse di un cambiamento specifico nel 2012. Noi continuiamo a ottimizzare e sviluppare le offerte Skype e abbiamo apportato diversi miglioramenti all’attività tecnica di back-end per Skype, come il passaggio del 2012 all’hosting interno dei “supernodi” e la migrazione di molto del traffico della messaggistica istantanea con Skype ai server nei nostri data center. Queste modifiche non sono state introdotte per dare maggiore accesso al governo a dati audio, video, di messaggistica o di altro tipo dei clienti. Guardando al futuro, con l’aumento delle comunicazioni voce e video basate su Internet, è chiaro che i governi avranno interesse a utilizzare (o a imporre) il proprio potere legale per garantirsi l’accesso a questo tipo di contenuti per indagare su crimini o monitorare attività terroristiche. Pertanto presupponiamo che tutte le chiamate, tramite Internet o tramite linea telefonica fissa o mobile, offriranno livelli simili di privacy e sicurezza. Anche in questi casi Microsoft mantiene il proprio impegno a rispondere solo a richieste legalmente valide per la comunicazione di informazioni su account utente specifici. Non forniremo ai governi accesso diretto o non vincolato a dati dei clienti o chiavi di codifica.
Posta elettronica aziendale e archiviazione dei documenti: se un governo ci richiede dati relativi a un cliente ”azienda”, facciamo in modo che il governo contatti il cliente direttamente e lo informiamo della richiesta, a meno che non sia vietato dalla legge. Non abbiamo mai fornito ad alcun governo dati di clienti “aziennda” o del settore pubblico per motivi di sicurezza nazionale. Per quanto riguarda le richieste di applicazione della normativa penale, nel Law Enforcement Requests Report abbiamo chiarito che in tutto il 2012 abbiamo soddisfatto solo quattro richieste relative a clienti aziendali o del settore pubblico. In tre di questi casi abbiamo avvisato i clienti della richiesta e questi ci hanno chiesto di fornire i dati. Nel quarto caso il cliente ha ricevuto la richiesta direttamente e ha chiesto a Microsoft di fornire i dati. Non diamo ad alcun governo la possibilità di decodificare illegalmente la codifica utilizzata tra i nostri clienti “azienda” e i relativi dati nella cloud, né forniamo al governo alcuna chiave di codifica.
In breve, quando i governi chiedono informazioni a Microsoft relative ai clienti, tentiamo di rispettare i nostri principi e di limitarci in ciò che divulghiamo e manteniamo il nostro impegno alla trasparenza. Tutto questo nel complesso determina quanto segue per tutti i nostri software e servizi:
Microsoft non fornisce ad alcun governo accesso diretto e non vincolato ai dati dei propri clienti. Microsoft estrae e fornisce solo i dati specifici che è obbligata a fornire sulla base dalla relativa richiesta.
Se un governo richiede dati di clienti, anche per scopi di sicurezza nazionale, deve seguire la procedura legale applicabile, ovvero deve presentare un ordine del giudice per i contenuti o un mandato per le informazioni sull’account.
Rispondiamo solo a richieste relative ad account e identificatori specifici. L’accesso ai dati dei clienti Microsoft è sempre limitato e regolato. I dati aggregati che siamo stati in grado di pubblicare mostrano chiaramente che solo una limitatissima parte, in termini percentuali, dei nostri clienti è stata oggetto di una richiesta del governo per motivi penali o di sicurezza nazionale.
Tutte queste richieste sono state analizzate direttamente dal team di comliance Microsoft per assicurare che fossero valide, in modo da rifiutare quelle non corrette ed essere certi di fornire solo le informazioni indicate nel mandato. Pur essendo obbligati a conformarci, continueremo a gestire il processo di conformità tenendo traccia degli ordini ricevuti, assicurandoci che siano validi e divulgando solo le informazioni indicate nel mandato.
Microsoft è tenuta a rispettare le normative applicabili approvate da tutti gli Stati del mondo, non solo dagli Stati Uniti, e tale obbligo prevede anche il dovere di divulgare i dati dei clienti in presenza di una richiesta legale. Operiamo in un mondo in cui le società e gli organi governativi gestiscono una mole impressionante di dati e sarebbe quindi un errore pensare che possano essere conservati solo negli Stati Uniti. Probabilmente gli organi governativi ottengono tali dati da diverse fonti e in diversi modi ma, quando richiedono informazioni a Microsoft, devono seguire le procedure legali previste.
Il mondo ha bisogno di una discussione aperta e trasparente su questi processi. Se il dibattito ha come oggetto le procedure attuate da tutti i governi, dovrebbe partire con quelle utilizzate negli Stati Uniti. In parte, questa è una considerazione ovvia alla luce delle ultime notizie, ma in verità affonda le radici nel passato. Gli Stati Uniti sono stati un modello per la tutela del diritto costituzionale della libertà di espressione. Noi vogliamo esercitare questo diritto. Dal momento che gli avvocati del governo degli Stati Uniti ci impediscono di condividere ulteriori informazioni con il pubblico, abbiamo bisogno che il Ministro della Giustizia confermi il contenuto della Costituzione.
Qualora dovessimo ricevere l’autorizzazione a condividere più informazioni, le pubblicheremo immediatamente.
