Il 18 marzo 2026, il direttore dell’FBI Kash Patel ha dichiarato davanti alla Commissione Intelligence del Senato una cosa che i difensori della privacy denunciano da anni: l’agenzia compra i dati di localizzazione degli americani dai data broker commerciali, senza alcun mandato giudiziario. Non è una rivelazione — è la conferma ufficiale di una pratica che nel mondo della sicurezza informatica e dell’attivismo digitale era già un segreto di Pulcinella. La differenza è che stavolta Patel non ha nemmeno provato a mascherare la cosa: «Utilizziamo tutti gli strumenti disponibili», ha dichiarato con una franchezza quasi provocatoria, specificando che l’acquisto di informazioni commerciali è «coerente con la Costituzione e le leggi sull’Electronic Communications Privacy Act». Fermati un attimo a digerire questa frase, perché è molto più inquietante di qualsiasi ammissione di illegalità. Il punto non è che l’FBI violi la legge — il punto è che la legge glielo permette.
Tu vai al bar, apri Google Maps per controllare un indirizzo, scarichi un’app per il meteo, giochi a un puzzle durante la pausa pranzo. Ogni volta il tuo telefono trasmette la tua posizione esatta a decine di aziende che non hai mai sentito nominare — Gravy Analytics, Babel Street, X-Mode, e una galassia di intermediari il cui intero modello di business è trasformare i tuoi movimenti quotidiani in merce vendibile. Quelle aziende impacchettano quei dati e li rivendono al miglior offerente, che molto spesso è il governo degli Stati Uniti. Il senatore Ron Wyden l’ha chiamata «una scorciatoia scandalosa intorno al Quarto Emendamento», e ha ragione — ma è una definizione ancora troppo gentile. Quello che sta succedendo è il matrimonio perfetto tra capitalismo della sorveglianza e stato di polizia: l’industria privata costruisce l’infrastruttura di tracciamento, lo stato la compra al dettaglio. Non serve un mandato se puoi comprare i dati al supermercato.
Il supermercato della sorveglianza: Babel Street, Venntel e il prezzo dei tuoi movimenti
Per capire come funziona questo mercato devi guardare la filiera e — detto senza mezzi termini — è più efficiente di qualsiasi catena logistica di Amazon. Le app gratuite sul tuo smartphone raccolgono dati GPS con una precisione che farebbe invidia a un satellite militare. Non parliamo solo di Google Maps o Facebook: parliamo di app per il meteo, giochi casuali, torce elettriche, scanner di QR code — software apparentemente innocuo che integra SDK pubblicitari nel suo codice sorgente. Quegli SDK catturano la tua posizione e la trasmettono ad aziende di aggregazione come Gravy Analytics, che la impacchettano e la rivendono a broker specializzati. Da lì i dati arrivano a società come Venntel — sussidiaria di Gravy Analytics — e Babel Street, che li trasformano in prodotti di «location intelligence» accessibili a chiunque abbia il budget necessario. Agenzie pubblicitarie, fondi di investimento e naturalmente il governo degli Stati Uniti: FBI, DIA, ICE, Dipartimento della Difesa. Tutti clienti regolari, tutti con contratti milionari.
I numeri danno la misura del fenomeno. L’FBI ha firmato con Babel Street un contratto da 27 milioni di dollari per 5.000 licenze del software Locate X — uno strumento che permette di eseguire query di tipo geofence su centinaia di milioni di dispositivi contemporaneamente. Vuoi sapere chi era presente a una manifestazione di protesta il 15 del mese scorso? Chi ha visitato una clinica abortiva in Texas? Chi frequenta una moschea specifica ogni venerdì? Locate X te lo dice in pochi secondi, senza che nessun giudice debba approvare nulla, senza che la persona sorvegliata riceva la benché minima notifica. È sorveglianza di massa industrializzata, resa possibile non da una legge draconiana o da un colpo di stato, ma dal fatto che hai premuto «Accetta» su ventisette pagine di termini di servizio scritti apposta per non essere letti. Il tuo consenso — estorto con il design ingannevole delle interfacce, sepolto sotto strati di legalese incomprensibile — è il lasciapassare che rende tutto questo perfettamente legittimo agli occhi della legge.
La Federal Trade Commission ha provato a mettere un freno. A gennaio 2025 ha finalizzato un ordine contro Gravy Analytics e Venntel, vietando loro di vendere dati di localizzazione sensibili — quelli che rivelano visite a strutture sanitarie, luoghi di culto, sedi sindacali, rifugi per vittime di violenza domestica. Ma l’ordine gratta appena la superficie di un problema strutturale, e un dettaglio tragicomico lo dimostra meglio di qualsiasi analisi giuridica: pochi giorni prima che il provvedimento diventasse effettivo, Gravy Analytics ha subito un data breach massiccio che ha esposto la posizione di milioni di utenti. L’azienda che doveva smettere di vendere i tuoi dati non era nemmeno capace di proteggerli. Non è un fallimento del mercato — è il mercato che funziona esattamente come è stato progettato: estrarre valore da ogni frammento della tua esistenza, finché qualcosa non esplode. E anche dopo, perché le multe costano sempre meno dei profitti.
Il meccanismo è costruito per essere opaco, e l’opacità è il suo scudo migliore. Tu non sai quali app vendono i tuoi dati. Non sai a quali broker arrivano. Non sai chi li compra né per quale scopo. La catena di custodia dei tuoi movimenti è talmente frammentata che nessun singolo attore si sente responsabile: l’app dice «noi vendiamo solo a partner pubblicitari», il broker dice «noi forniamo solo dati aggregati», l’FBI dice «noi compriamo solo informazioni commerciali disponibili a chiunque». Ed è proprio qui che il capitalismo della sorveglianza e lo stato di polizia diventano indistinguibili: l’industria privata crea l’infrastruttura di tracciamento per profitto, lo stato la acquista per controllo. Nessuno dei due ha il minimo interesse a fermare il gioco. Come abbiamo già analizzato parlando di algoritmi e punteggi sociali, la sorveglianza non è un effetto collaterale del capitalismo digitale: ne è il pilastro portante, il modello di business su cui tutto il resto si regge.
Carpenter è morta: la scappatoia legale che ha ucciso il Quarto Emendamento
Nel 2018 la Corte Suprema degli Stati Uniti, con la sentenza Carpenter v. United States, aveva stabilito un principio che sembrava una vittoria storica per i diritti civili: per accedere ai dati storici di localizzazione cellulare di un cittadino americano, il governo ha bisogno di un mandato. La decisione scriveva nero su bianco che la raccolta massiva di informazioni sulla posizione di una persona costituisce una «perquisizione» ai sensi del Quarto Emendamento — e quindi richiede una causa probabile e l’approvazione di un giudice. I difensori della privacy avevano festeggiato, le organizzazioni per i diritti civili avevano parlato di svolta epocale. Il problema, come spesso accade quando ci si fida troppo delle istituzioni, stava nei dettagli.
La Corte aveva scritto la sentenza con un linguaggio chirurgicamente restrittivo, specificando che il precedente si applicava solo alle richieste di dati rivolte direttamente ai gestori telefonici — cioè quando il governo ordina a Vodafone o AT&T di consegnare lo storico dei tuoi spostamenti. I dati acquistati da broker commerciali, quelli comprati sul libero mercato come qualsiasi altra merce? Non rientrano nella sentenza. Nessuno li ha menzionati, nessuno li ha regolamentati. E l’FBI lo sapeva perfettamente, perché è esattamente in quello spazio grigio che ha costruito il suo programma di acquisto dati. La scappatoia è di una semplicità che toglie il fiato: se l’FBI chiede i tuoi dati a T-Mobile, serve un mandato; se compra informazioni ancora più dettagliate — orari precisi, percorsi casa-lavoro, soste di dieci minuti davanti a un ambulatorio — da Babel Street, non serve assolutamente niente. Nessun giudice, nessuna causa probabile, nessuna notifica, nessun limite temporale. Il Quarto Emendamento, quello che dovrebbe proteggere i cittadini da «perquisizioni e sequestri irragionevoli», si aggira con una carta di credito governativa.
Il 12 marzo 2026, Wyden ha presentato il Government Surveillance Reform Act insieme al repubblicano Mike Lee e ai rappresentanti Warren Davidson e Zoe Lofgren — un disegno di legge bipartisan che vieterebbe al governo di acquistare dati personali dai broker senza mandato, riformerebbe la controversa Sezione 702 del FISA e imporrebbe alla corte segreta FISC di pubblicare le proprie sentenze in forma redatta. Il tempismo non è casuale: la Sezione 702 — quella norma che autorizza la sorveglianza senza mandato delle comunicazioni straniere ma che nella pratica intercetta milioni di americani — scade il 20 aprile 2026. Centrotrenta organizzazioni della società civile hanno firmato una lettera congiunta chiedendo al Congresso di chiudere la scappatoia dei data broker, e la Electronic Privacy Information Center ha formalmente appoggiato il disegno di legge. Sulla carta, tutti i presupposti per una riforma ci sarebbero. Peccato che la carta, in politica, valga meno di un contratto con Babel Street.
Facciamo un passo indietro e guardiamo la realtà in faccia, perché la storia ha un pattern preciso che sarebbe ingenuo ignorare. Ogni volta che il Congresso americano ha avuto l’opportunità di limitare la sorveglianza governativa, ha scelto di ampliarla. La Sezione 702 è stata rinnovata nel 2024 con un’espansione che la Electronic Frontier Foundation ha definito «senza precedenti nella storia della sorveglianza americana», estendendo l’obbligo di cooperazione a provider internet, data center e servizi cloud. Il Patriot Act, nato come misura temporanea dopo l’11 settembre, è diventato permanente. Il programma PRISM della NSA, denunciato da Snowden nel 2013, non è stato smantellato: è stato legalizzato. La sorveglianza di massa negli Stati Uniti non è un bug del sistema democratico — è una feature bipartisan che sopravvive a ogni cambio di amministrazione. Patel, nominato da Trump, compra i dati esattamente come facevano i suoi predecessori sotto Obama e Biden. L’apparato di sicurezza nazionale ha una logica interna che trascende la politica elettorale, e quella logica dice sempre la stessa cosa: più dati, su tutti, per sempre. Chi crede che il Congresso possa invertire questa tendenza crede anche che il piromane possa fare il pompiere — con tutta la buona volontà del mondo. Come abbiamo scritto analizzando la polizia predittiva, il controllo algoritmico non è una deviazione dal sistema: ne è l’evoluzione naturale.
L’Europa non è al sicuro: Tykelab, GDPR e la sorveglianza senza confini
Se stai leggendo da questo lato dell’Atlantico pensando «problema americano, noi abbiamo il GDPR», preparati a una doccia fredda. L’Europa ha il suo mercato della sorveglianza — meno visibile forse, ma altrettanto pervasivo — e l’Italia ci gioca un ruolo da protagonista che pochi conoscono e ancora meno denunciano. Tykelab, controllata dalla milanese RCS Lab — azienda che vende tecnologia di intercettazione a forze dell’ordine e servizi di intelligence su scala globale — è stata scoperta da un’inchiesta congiunta di Lighthouse Reports, Irpimedia e Der Spiegel a inviare decine di migliaia di richieste per tracciare la posizione di telefoni cellulari in Libia, Malesia, Pakistan, Nicaragua, Iraq, Grecia, Portogallo e Italia. La tecnica sfrutta vulnerabilità nel protocollo SS7 delle reti telefoniche, lo stesso protocollo che le nostre procure usano quotidianamente per le intercettazioni. Nel 2022 il Threat Analysis Group di Google ha identificato Hermit, uno spyware sviluppato proprio da RCS Lab, attivo su dispositivi Android e iOS in Italia e Kazakistan. Non parliamo di un caso isolato o di una mela marcia: l’Italia è uno dei maggiori esportatori mondiali di tecnologia di sorveglianza, un primato industriale di cui nessuno va particolarmente fiero ma che pochi — soprattutto nelle istituzioni — hanno interesse a smantellare.
Il GDPR dovrebbe rappresentare uno scudo, almeno sulla carta. È il regolamento sulla protezione dei dati più avanzato del pianeta, un modello a cui guardano legislatori di mezzo mondo. Ma il problema è strutturale e va oltre le buone intenzioni del testo normativo: il GDPR non regola specificamente i data broker come categoria, e l’enforcement è frammentato tra le diverse autorità nazionali, ognuna con priorità diverse e risorse quasi sempre insufficienti. Un’inchiesta giornalistica recente ha dimostrato quanto sia fragile questa protezione nella pratica: reporter europei hanno ottenuto facilmente — in alcuni casi gratuitamente — dataset contenenti circa 5.800 punti di localizzazione per 756 dispositivi presenti nel Parlamento Europeo e circa 2.000 «ping» da 264 dispositivi nella sede della Commissione Europea. Se puoi tracciare i movimenti quotidiani dei funzionari che hanno scritto il GDPR usando dati comprati liberamente sul mercato, la domanda sul valore reale di quel regolamento si pone da sola — e la risposta non è rassicurante. Il 4 marzo 2026 l’European Data Protection Board ha pubblicato uno studio di mercato sui data broker, commissionato all’autorità belga: un passo nella direzione giusta, certo, ma siamo ancora alla fase di «studio del problema» quando servirebbero interventi d’emergenza.
L’Italia ha poi una relazione particolarmente opaca con la sorveglianza delle comunicazioni, e non solo per via di Tykelab. Le procure italiane sono tra le più attive in Europa nell’uso delle intercettazioni telefoniche e ambientali, con numeri che non trovano paragone nel resto del continente — centinaia di migliaia di utenze sotto controllo ogni anno, un’industria che vale centinaia di milioni e coinvolge un ecosistema di aziende private che forniscono la tecnologia e gestiscono le infrastrutture di ascolto per conto dello stato. Questa enorme capacità di sorveglianza, costruita nel tempo con la giustificazione della lotta alla criminalità organizzata e al terrorismo, è diventata un apparato permanente la cui portata va ben oltre gli obiettivi originari. I data broker operano su scala globale, i dati attraversano giurisdizioni dove le protezioni europee non valgono nulla, e il GDPR si ferma ai confini dell’Unione — il che crea una zona grigia enorme in cui i tuoi movimenti possono essere raccolti, elaborati, rivenduti e finire nelle mani di chiunque, dall’FBI americana a un regime autoritario del Golfo Persico. Il problema che emerge, da Roma a Washington passando per Bruxelles, è sempre lo stesso: la protezione della privacy è affidata al soggetto che ha il maggiore interesse a violarla. Lo stato non è il tuo protettore, è il tuo primo sorvegliante. Come abbiamo discusso parlando di cybersicurezza e autodifesa digitale, la difesa della privacy non si può delegare a chi detiene il potere: va costruita dal basso, con strumenti che nessuna autorità può spegnere con un decreto.
La storia dell’FBI che compra dati di localizzazione non è una storia di abuso del sistema. È il sistema che funziona esattamente come è stato progettato. Il capitalismo della sorveglianza non è un difetto dell’economia digitale — ne è il modello di business fondamentale, quello su cui si reggono i profitti di un’intera industria che fattura miliardi. Lo stato non è un attore esterno che sfrutta una falla: è il cliente migliore, quello con il budget più grosso e meno scrupoli di tutti. Quando Patel dichiara che comprare i tuoi dati è «coerente con la Costituzione», sta dicendo la verità — e questa è la parte che dovrebbe toglierti il sonno.
La resistenza a tutto questo non verrà dal Congresso, dai tribunali o dalle autorità di regolamentazione europee. Non perché manchino le buone intenzioni — in alcuni casi, come con Wyden, ci sono — ma perché la logica del sistema punta sempre nella stessa direzione: più dati, più controllo, meno trasparenza. La resistenza può venire solo dal basso, e in parte sta già succedendo. Dall’uso quotidiano di VPN e Tor, da smartphone con GrapheneOS che tagliano fuori Google dal tuo dispositivo, da reti mesh comunitarie che non dipendono dai provider, da LLM locali che non trasmettono le tue conversazioni a server remoti, dal rifiuto consapevole di installare app che chiedono l’accesso alla posizione per venderti pubblicità di ristoranti nelle vicinanze. La sovranità tecnologica non è mai stata degli stati — che la usano per controllarti — ma delle comunità che costruiscono infrastrutture autonome, fuori dalla portata di Babel Street e dell’FBI.
Patel ha ragione su un punto, anche se non nel senso che intende: l’acquisto di dati è perfettamente legale. Ma legalità e giustizia non sono mai state la stessa cosa. In un mondo dove il tuo diritto alla privacy vale meno di una licenza software, la domanda non è se ti stanno sorvegliando. È cosa sei disposto a fare per sottrarti.