Come nascono i Panama Papers

Chat criptate, dozzine di redazioni coinvolte su più continenti e un ente non-profit: le tecnologie e le istituzioni che hanno reso possibile il più grande leak della storia del giornalismo.

Era il 1971 quando Daniel Ellsberg fotocopiò settemila pagine di documenti ‘top secret’ sulla guerra del Vietnam, dando il via allo scoop del New York Times passato alla storia come Pentagon Papers. Quasi mezzo secolo dopo, quello che era stato il più grande leak della storia del giornalismo ha suggerito il nome per i Panama Papers, lo scandalo che sta scuotendo il mondo della finanza e della politica. Ma le similitudini si esauriscono nel nome: in questo lasso di tempo, nel mondo del giornalismo, è cambiato tutto.

Se le settemila pagine dei Pentagon Papers fossero state in digitale, avrebbero occupato circa 20 megabyte, una dimensione che si potrebbe tranquillamente archiviare su una chiavetta USB. Nel caso dei Panama Papers, come noto, si parla di 2,6 terabytes: una quantità di dati che si fa fatica anche solo a immaginare e che fa impallidire (almeno da un punto di vista prettamente quantitativo) qualunque leak al quale abbiamo assistito negli ultimi anni.

Il Cablegate di WikiLeaks ammontava a 1,7 giga; i LuxLeaks che hanno coinvolto il Lussemburgo arrivavano a 4 giga; gli Offshore Leaks sono arrivati a 260 giga. Nel caso dei Panama Papers stiamo ragionando proprio su un’altra scala; su una mole di dati e documenti tale che sarebbe stata impossibile da elaborare con i metodi tradizionali.

Le dimensioni di Panama Papers in confronto a quelle dei leak precedenti.

E infatti, già adesso, è chiaro come lo scandalo che ha coinvolto la società panamense Mossack Fonseca sia un caso di studio perfetto per tutto quel che riguarda il data journalism, le tecniche di cifratura dei dati e l’utilizzo della tecnologia al servizio del giornalismo d’inchiesta.

Basta dare un’occhiata ai software che si incontrano studiando il lavoro fatto dai 400 giornalisti che hanno collaborato con lo Süddeutsche Zeitung e l’ICIJ: Nuix, Signal, Threema, Onionshare, PGP e altro ancora. Tutte tecnologie che hanno il loro punto di forza nella sicurezza e senza le quali i Panama Papers, semplicemente, non sarebbero potuti esistere.

Anzi: probabilmente la fonte che ha poi trasferito i dati non avrebbe nemmeno mai preso contatto con il giornalista della SZ Bastian Obermayer. La loro comunicazione è infatti iniziata solo grazie alla sicurezza garantita dalle chat crittografate. Non si sa con precisione quale sia stata utilizzata per la prima presa di contatto, ma dalle parti di Wired si ipotizza che possa trattarsi di programmi che chiunque di noi può tranquillamente scaricare sullo smartphone, come Signal o Threema (di cui Obermayer fornisce la chiave già sul suo profilo Twitter e nella pagina dei contatti), che utilizzano la cifratura end-to-end per impedire a server e hacker di leggere messaggi di cui solo il mittente e il ricevente possiedono le chiavi.

Per estrema sicurezza, Obermayer e la sua fonte hanno cambiato spesso la chat criptata attraverso la quale comunicare, ogni volta cancellando tutti i loro scambi precedenti e cambiando le parole d’ordine per la presa di contatto (in cui alla domanda “c’è il sole?” si rispondeva “sulla luna sta piovendo”. “Oppure altri non-sense di questo tipo”, ha spiegato il giornalista di SZ).

I due hanno parlato anche attraverso le classiche email. “Classiche” solo fino a un certo punto, in verità, visto che erano cifrate attraverso il sistema PGP (pretty good privacy), un programma di crittografia a chiave pubblica che si basa sulla generazione di una coppia di chiavi: una “segreta” e l’altra “pubblica”. Il programma è reso disponibile per scambio di mail, per esempio, dal servizio Enigmail per Mozilla Thunderbird ed è interessante vedere come anche in questo caso Obermayer abbia inserito la sua chiave pubblica PGP nel profilo Twitter e nella pagina dei contatti, per facilitare la vita di chi volesse contattarlo al riparo da sguardi indiscreti.

È probabile che i primi materiali dei Panama Papers siano stati inviati attraverso mail cifrate, ma è impossibile immaginare che tutti gli oltre 2 terabyte di documenti siano stati spediti così. Più facile inviare grandi quantità di dati (anche se siamo sempre nell’ordine dei gigabyte) attraverso i siti di file sharing. Ma voi vi fidereste a inviare materiale sensibile con WeTransfer? Infatti, i giornalisti solitamente si affidano a TrueCrypt (il programma utilizzato anche da Edward Snowden, ma che la comunità di SourceForge oggi raccomanda di abbandonare a causa “di problemi di sicurezza non risolti”), Tresorit o OnionShare: servizi di trasferimento dati anonimi e sicuri che spesso si appoggiano al deep web di Tor. Ma forse, e più semplicemente, si è deciso di utilizzare l’approccio più classico immaginabile: l’invio fisico di hard disk contenente tutto il materiale.

Fin qui, le comunicazioni e l’invio di dati. Ma una volta che avete ricevuto una quantità tale di dati che richiederebbe un’intera biblioteca, come fate ad analizzarli? Tanto più che in questo caso stiamo parlando di scansioni, pdf, passaporti, documenti firmati: tutto materiale non “trattabile” sui computer. Ed è qui che entra in gioco uno strumento che ha giocato un ruolo essenziale: OCR (optical character recognition), un sistema di riconoscimento ottico dei caratteri che trasforma, per esempio, delle scansioni in un testo digitale (ma non senza errori).

In questo modo, tutti i documenti diventano trattabili e indicizzabili. Sarà banale, ma senza OCR sarebbe stato impossibile frugare in quell’oceano di dati. A questo punto, entra in gioco la software company che ha creato Nuix: un programma utilizzato anche dagli investigatori internazionali per ordinare e indicizzare tutto il materiale a disposizione. Una sorta di Google, ma in cui i dati sono conservati su server privati non connessi al mondo esterno, come ha spiegato Carl Barron, uno dei dirigenti della compagnia, a Wired.

I documenti vengono prima schedati, ordinati e indicizzati, con tutti i metadata necessari. Così, se in una mail trovate, per esempio, il nome di Vladimir Putin, potete utilizzare Nuix per trovare gli altri documenti in cui compare il nome del presidente russo.

Come spiegato nell’editoriale della Süddeutsche Zeitung in cui è stato raccontato il lavoro compiuto, “i giornalisti hanno poi compilato una lista di importanti politici, criminali internazionali e sportivi molto famosi (tra gli altri). L’elaborazione digitale ha reso possibile ricercare tra i documenti i nomi di questa lista”.

Resta ancora un problema non secondario. Finora abbiamo parlato di 2,6 terabyte di dati. Ma a cosa corrispondono precisamente? Su questo aspetto, i dati sono precisissimi: 4,8 milioni di email, tre milioni di voci conservate nei database, due milioni di PDF, un milione di immagini e 320mila documenti di testo. In pratica, tutta l’attività di Marek Fonseca degli ultimi 40 anni (dal 1977 al 2015).

Un lavoro sterminato insomma, anche con l’ausilio di tutte le tecnologie di cui abbiamo parlato, e che infatti è durato più di un anno (il contatto della fonte con Obermayer è avvenuto sul finire del 2014) e che non poteva essere svolto dalla sola redazione di SZ.

Se c’è una cosa che, dai tempi di WikiLeaks, è sempre più evidente, è che una sola redazione, un solo team di giornalisti non può affrontare un lavoro che sempre di più si basa sull’analisi di una quantità sterminata di dati. Oggi anche il team Spotlight del Boston Globe, di cui parla il film premio Oscar, avrebbe dovuto condividere onori e oneri con qualcun altro.

Così, SZ si è rivolta all’ICIJ (International consortium of investigative journalism): la non-profit di cui è partner e che è stata fondata da Chuck Lewis all’interno del Centre for Public Integrity di Washington. Con ICIJ collabora un numero impressionante di testate: El Mundo, Le Monde, l’Espresso, il New York Times, il Washington Post, il Guardian e parecchie altre sparse ai quattro angoli del globo. Con il risultato che in breve tempo erano al lavoro sull’inchiesta 400 giornalisti, appartenenti a 100 testate di 80 paesi diversi, coordinandosi tra loro attraverso una chat e un forum appositi (e ovviamente cifrati) che permettevano di vedere chi fosse connesso e dove e di chiedere aiuto ai giornalisti della giusta nazionalità per analizzare un documento in una lingua sconosciuta o che riguardava personaggi di un determinato paese.

Tantissimi giornalisti al lavoro per un lungo periodo di tempo. Tanto che il direttore dell’ICIJ, Gerard Ryle, temeva che ci fossero dei leak sui leak, con il rischio di mandare tutto all’aria: “Qualche parola di troppo in effetti è uscita e c’è stata qualche indiscrezione sul fatto che si stava lavorando a un grosso scoop, ma niente di più”.

Un timore inevitabile, quando si lavora con centinaia di persone di decine di nazionalità, anche allo scopo di dare il giusto risalto ai diversi casi locali (dal padre di David Cameron in Inghilterra al nostro Luca Cordero di Montezemolo). Un approccio cooperativo, che permette di fare fronte alla crisi del giornalismo d’inchiesta, messo in ginocchio dai tagli al budget e dalla riduzione del numero dei corrispondenti all’estero, ma reso ancor più necessario dalla trans-nazionalità di determinate inchieste e, ovviamente, dalle mole di dati troppo grande per essere analizzate da una sola redazione.

I Panama Papers sono “in continuità con il modello collaborativo e internazionale che negli ultimi anni ha consentito la realizzazione di iniziative importanti come Swiss Leaks, Luxembourg Leaks e già, prima, il lavoro nato da WikiLeaks e proseguito con le testate di mezzo mondo attorno ai file del Cablegate forniti da Chelsea Manning”, spiega Philip Di Salvo sullo European Journalism Observatory.

Da WikiLeaks all’ICIJ. Con un’enorme differenza: se i valori alla base della società fondata da Julian Assange impongono di rendere pubblici tutti i documenti su cui si sono messe le mani – lasciando che così chiunque possa, volendo, analizzarli – nel caso dell’ICIJ non c’è traccia dei leaks veri e propri, ma bisogna accontentarsi delle inchieste condotte dai giornalisti che quei documenti hanno visionato.

Un filtro in più nei confronti dell’opinione pubblica. E una scelta che il direttore dell’ICIJ giustifica così: “Non siamo WikiLeaks, stiamo cercando di dimostrare che il giornalismo può essere fatto responsabilmente. Non abbiamo intenzione di diffondere tutti i documenti che abbiamo ricevuto, per non esporre al pubblico informazioni sensibili che riguardano privati cittadini”.

La cautela – che ai più è parsa doverosa – ha però suscitato qualche sospetto. In particolare dopo che alcuni giornalisti, tra cui Craig Murray, hanno sottolineato come i principali paesi fatti bersaglio di questo leak siano Russia, Cina, Iran e Siria: non propriamente i migliori amici dell’Occidente.

A questo punto, è bastato dare una scorsa ai finanziatori di ICIJ per ispessire la coltre di dubbi: Rockfeller Family Fund, W.K. Kellogg Foundation, Open Society Foundation di Geoge Soros, Ford Foundation, Carnegie Endowment. Un aspetto che ha dato subito fiato alle trombe dei complottisti, convinti che l’assenza di nomi di spicco statunitensi nei Panama Papers sia dovuta a una scelta ben precisa da parte dei giornalisti che hanno lavorato all’inchiesta; aspetto che – sempre secondo questa teoria – spiegherebbe anche la reticenza nel diffondere i leaks nella loro integrità.

O forse, come hanno sottolineato altri, tra cui Fusion, gli statunitensi hanno alternative molto più vicine a casa in cui creare società offshore (tra cui Delaware, Nevada, South Dakota, Wyoming), mentre gli accordi fiscali tra USA e Panama (vale a dire il Tax Information Exchange Agreement) rendono poco sicuro per gli americani avvalersi dei servizi di Mareck Fonseca.

Una cosa, comunque, è evidente: nella decisione di ICIJ di operare anche come filtro nei confronti del pubblico – contro chi avrebbe voluto che tutto fosse accessibile – e nell’utilizzo decisivo della crittografia e delle altre tecniche della protezione (contro le quali molti governi stanno conducendo un’evidente battaglia), il caso dei Panama Papers ha riportato di nuovo al centro della cronaca due delle questioni più urgenti e importanti che il mondo dell’informazione e dell’open internet stanno affrontando in questi anni: la protezione dei dati e la privacy.