Europa, più di 900 milioni per un maxi-sistema di dati biometrici

L’agenzia Eu-Lisa sta creando uno dei più grandi database al mondo con impronte digitali e foto. I dati sui contratti assegnati dall’Unione mostrano appalti milionari

L’Unione europea spenderà oltre 930 milioni di euro per creare un database con milioni di dati biometrici delle persone che attraversano le frontiere comuni. A tanto ammontano tre contratti firmati da Eu-Lisa, l’agenzia europea che ha il compito di fornire le infrastrutture informatiche per la gestione dei confini, dei flussi migratori e della sicurezza interna.

Un nome poco conosciuto, quello dell’ente con sede a Tallinn, che però sta diventando sempre più potente, anche per via dell’alleanza d’acciaio con Frontex, l’agenzia che sorveglia i confini dell’Unione. A riprova di questa centralità di Eu-Lisa ci sono proprio le somme a sei zeri di tre dei contratti più recenti, siglati tra aprile e novembre del 2020 e ottenuti dall’europarlamentare del Partito pirata tedesco Patrick Breyer, che per l’Italia li ha condivisi con Wired.

Tripletta di appalti

Ad aprile 2020 Eu-Lisa ha assegnato un appalto da 302,55 milioni di euro per sviluppare la parte di biometria del Sistema di entrata e uscita (Entry exit system, Ees), ossia il programma di controllo automatico dell’identità delle persone extra-Ue che attraversano i confini comunitari, e il futuro Sistema condiviso di corrispondenza biometrica (Shared biometric matching system, Sbms). Ossia “uno dei più grandi sistemi biometrici al mondo”, come è stato descritto trionfalmente nella nota con cui Idemia e Sopra Steria, colossi francesi delle infrastrutture digitali per l’identità e la sicurezza, hanno annunciato di essersi aggiudicate l’appalto.

Il sistema condiviso di biometria Sbms integrerà, stando alle aziende, i dati di “oltre 400 milioni di cittadini di Paesi terzi con le loro impronte digitali e volti”. Oltre a servire il sistema di Ees, l’archivio biometrico connetterà, nei piani di Eu-Lisa, Sis, il sistema informatico che collega le autorità dei Paesi dell’area Schengen; Vis (per i visti); Eurodac (che contiene le impronte digitali di chi richiede asilo) e il futuro Ecris-Tcn, per lo scambio di informazioni su persone indagate, ricercate o condannate con Stati extra-Ue. Uno sconfinato archivio di dati personali e biometrici sotto il controllo dell’agenzia estone, che a luglio ha iniziato i primi test.

Ad agosto 2020 data il secondo appalto, frutto dell’alleanza tra Eu-Lisa e Frontex: 187 milioni per servizi informatici in un contratto quadro trasversale. In sostanza, l’agenzia si assicura una serie di fornitori a cui chiedere di lavorare, a seconda delle necessità, sulle varie infrastrutture digitali che coordina. Sono cinque i candidati, tutti colossi dell’informatica: oltre alla già citata Sopra Steria, ci sono la spagnola Everis, la francese Atos, le lussemburghesi Intrasoft ed European Dynamics. 

A novembre, infine, un nuovo contratto quadro da 442 milioni arruola un consorzio composto da Everis, Sopra Steria, la greca Hellenic telecommunications organization e la tedesca Cancom. In questo caso, il gruppo di aziende ha un diritto di prelazione sui lavori, che altrimenti passano ai successivi in classifica.

I tempi del progetto

Come ha spiegato in una lettera a Breyer il direttore per l’area Frontiere, interoperabilità e innovazione della Direzione generale migrazioni e affari interni della Commissione, Matthias Oel, “sono state prese tutte le misure per riuscire a rispettare le scadenze politiche per l’implementazione della nuova architettura di interoperabilità entro la fine del 2023”. A luglio sono partite le prime prove del Smbs, mentre nel primo trimestre del 2022 si conta di avviare i test dell’European search portal (Esp), che le autorità comunitarie potranno usare per interrogare tutti i database connessi. Frontex, alleata di Eu-Lisa, è tra le prime candidate. D’altronde l’Unione europea sta facendo della digitalizzazione dei controlli alle frontiere un pilastro della sua organizzazione. Il che spiega come l’agenzia di Tallinn, fondata nel 2014, sia diventata presto una delle più attive.

Nei suoi data center, collocati a Strasburgo, saranno in futuro convogliati tutti i dati personali, impronte digitali e fotografie di cittadini extra-Ue raccolti da compagnie aeree o di navigazione, quelli di richiedenti asilo e migranti, quelli di criminali e persone scomparse. Database spesso già esistenti (quello di Schengen risale al 1995), che Eu-Lisa ha il compito di mantenere, estendere e aggiornare. Se aggiungiamo ai 900 milioni degli ultimi contratti i costi per lo sviluppo di Ees e l’integrazione di Etias (il sistema di controllo dei viaggi nell’area Schengen), affidato a un consorzio guidato da Ibm, Atos e dall’italiana Leonardo nel 2017 per 142 milioni, si supera il miliardo di euro di investimenti.

Per quanto riguarda il contratto con Sopra Steria e Idemia, Eu-Lisa ha già assegnato attività per oltre 100 milioni di euro, mentre per gli altri due rispettivamente per circa 100mila euro e 1,3 milioni.

Attività dietro le quinte

Ma questi progetti restano nell’ombra delle attività della poderosa macchina burocratica della Commissione europea e delle sue articolazioni. “Per noi è sproporzionato che una somma di denaro tanto ingente sia investita nella sorveglianza”, spiega a Wired Breyer, che tuttavia ritiene che sia “poco realistica” un’inversione a U dalla direzione intrapresa: “La legislazione su questi progetti è opera del precedente parlamento ed è stata spinta dai partiti di estrema destra sulla scia delle crisi migratorie”. 

Qualche giorno fa 31 organizzazioni non governative, tra cui Amnesty international, European digital rights ed European network against racism, hanno scritto una lettera aperta agli europarlamentari per chiedere un passo indietro dalla strategia di espansione di Eurodac, siglata nel 2018, che prevede di includere nel database di identificazione di migranti e richiedenti asilo, oltre che le impronte digitali, anche fotografie, passaporti e dati della carta di identità e di trattenerli fino a cinque anni, contro gli attuali 18 mesi. Se oggi l’identificazione si ferma ai maggiori di 14 anni, un domani sarà estesa ai bambini fino a sei anni. Per le ong si tratta di un sistema “intrusivo, sproporzionato e invasivo della privacy”.

E sullo stesso Etias, che dovrebbe segnalare la potenziale minaccia di un viaggiatore sulla base dei precedenti, Breyer solleva l’allarme sui rischi connessi a questi sistemi. “Al momento ciò che possiamo fare è controllare molto da vicino gli sviluppi e l’evoluzione del progetto”, afferma. Che la Commissione europea, tuttavia, non ami la pubblicità sull’argomento la lascia intendere la modalità di risposta all’interrogazione dell’eurodeputato, depositata a maggio. Anziché arrivare dalla Commissione, le informazioni sono state fornite da Eu-Lisa. “Più dettagliate”, precisa Breyer, ma ad personam e non, come quando risponde il Palazzo, rese pubbliche a tutti. Un dettaglio da non sottovalutare.