TikTok e sicurezza nazionale degli Stati Uniti: dalla richiesta di disinvestimento al bando totale nel Montana

TikTok, piattaforma sviluppata dalla startup cinese ByteDance, è accusata dall’amministrazione Biden di compromettere la sicurezza nazionale per via della asserita condivisione di dati dei circa 150 milioni di utenti statunitensi con il Partito Comunista Cinese. Shou Zi Chew, CEO di TikTok, nega ogni connessione con il PCC, ma conferma la sussistenza di un rischio generalizzato di intromissione del governo cinese nell’ecosistema digitale della piattaforma. I timori sollevati dal governo statunitense sono confluiti in proposte normative mirate a tutelare la privacy dei cittadini americani, fino alla recente adozione nello Stato del Montana di un inedito bando totale di alcune applicazioni sviluppate da Pechino. 

 

La società ByteDance è stata fondata nel 2012 dal team di Yiming Zhang e Rubo Liang, che, dopo aver sviluppato la app Toutiao per la condivisione di notizie, nel 2016 hanno creato Douyin, piattaforma per la condivisione di brevi video disponibile esclusivamente in Cina. TikTok, applicazione analoga a Douyin, è stata sviluppata dalla società nel 2017 e unita nel corso dell’anno seguente alla piattaforma Musical.ly, social network cinese immesso sul mercato nel 2014 e acquisito da ByteDance per circa 800 milioni di dollari. 

 

TikTok è completamente separata da Douyin: una piattaforma non ha infatti accesso ai contenuti dell’altra. Douyin, soggetta alle censure del governo cinese, è dotata di funzionalità aggiuntive rispetto alla sua versione internazionale, consentendo ad esempio di avviare ricerche basate sui volti delle persone che compaiono nei video per trovare altri contenuti che le ritraggono, nonché effettuare acquisti, prenotare hotel e visitare virtualmente negozi e ristoranti. 

 

Uno studio canadese pubblicato nel 2021 ha evidenziato che la raccolta di dati su TikTok tramite tracker di terze parti è in conflitto con il Regolamento Generale sulla Protezione dei Dati (GDPR). TikTok e Douyin condividono molte parti del proprio codice sorgente, potendo essere considerate quasi identiche. ByteDance ha sviluppato entrambe le apps partendo da un codice comune e applica diverse personalizzazioni in base alle esigenze del mercato: specifici parametri sono codificati anche su TikTok, ma semplicemente disattivati. Il sistema è quindi configurato in modo tale da permettere l’attivazione di funzioni nascoste potenzialmente lesive della privacy degli utenti. 

 

Al fine di proteggere la sicurezza nazionale, il Committee on Foreign Investments in the United States (CFIUS) nel mese di marzo 2023 ha raccomandato la cessione delle quote cinesi di ByteDance, pena il bando federale di TikTok. Il 60% delle azioni di TikTok sono di proprietà di investitori globali, il 20% dei dipendenti e il restante 20% di ByteDance, che però godrebbe di un diritto di voto maggiore. 

 

Il CFIUS, istituito nel 1975 dalla presidenza Ford, guidato dal Dipartimento del tesoro e da sette agenzie federali, ha il compito di monitorare le transazioni che portano al controllo straniero di società americane, nonché le transazioni che interessano settori strategici e che riguardano immobili situati nelle vicinanze di strutture governative, per determinare se tali operazioni possano ledere la sicurezza nazionale. 

 

Si tratta della prima minaccia di bando della piattaforma emessa dal governo Biden, che in un primo momento si era discostato dalla politica del predecessore Donald Trump. Nel 2020, infatti, Trump aveva firmato un ordine esecutivo per bandire l’uso di TikTok negli Stati Uniti, a meno che ByteDance non avesse ceduto TikTok, ordine poi revocato da Biden nel 2021, non appena eletto Presidente (sulla vicenda e sul ruolo del CFIUS, si veda QUI). 

 

Nel 2019 il CFIUS aveva chiesto alla società cinese di gaming Kunlun di cedere a proprietari statunitensi l’app di incontri Grindr, accusata di aver fornito ad alcuni ingegneri in Cina l’accesso ai dati personali di milioni di americani, compresi messaggi privati e informazioni relative allo stato di salute. 

 

Kunlun aveva acquisito la quota di maggioranza nel 2016 per 93 milioni di dollari e aveva rilevato le restanti quote di Grindr nel 2018, non sottoponendo le transazioni all’esame del CFIUS. Nel 2020 la partecipazione di Kunlun, pari al 98,59% è stata venduta alla San Vicente Acquisition LLC, un consorzio di investitori nei settori della tecnologia, dei media e delle telecomunicazioni. I dirigenti e i dipendenti principali di Grindr hanno continuato a detenere l’1,4% delle azioni. Il CFIUS era già intervenuto per bloccare le acquisizioni da parte di offerenti cinesi di due piattaforme statunitensi, MoneyGram e AppLoving, attive l’una nel settore del trasferimento di denaro e l’altra nel marketing su dispositivi mobili. 

 

L’amministrazione Biden si è occupata di TikTok per motivi di sicurezza nazionale sin dall’ordine esecutivo del 9 giugno 2021, che, oltre a revocare i provvedimenti adottati da Trump avverso ByteDance e altre società cinesi, ha imposto alle agenzie federali un’attenta supervisione sulle applicazioni sviluppate da potenze straniere per informare costantemente il Presidente di eventuali pericoli che queste possano rappresentare in termini di sicurezza. Il successivo «No TikTok on Government Devices Act», approvato dal Senato all’unanimità il 14 dicembre 2021, ha proibito l’uso di TikTok sui dispositivi governativi in ambito federale, con eccezioni relative all’applicazione della legge e alle operazioni di intelligence. 

 

Il 15 settembre 2022 la Casa Bianca ha pubblicato un ordine esecutivo del Presidente Biden perché il CFIUS assicurasse «robust reviews of evolving national security risks». L’ordine ha ampliato i fattori di cui il Comitato deve tener conto nello svolgimento delle proprie attività che sono indice di turbativa alla supremazia tecnologica statunitense in numerose aree, tra cui della intelligenza artificiale, rischi di cybersecurity e rischi connessi a dati sensibili dei cittadini americani, nella specie la deanonimizzazione dei dati aggregati originariamente non identificabili. 

Sul piano nazionale, più di trenta Stati hanno bandito l’uso di TikTok su dispositivi governativi, così come numerosi atenei hanno deciso di escludere TikTok dalla copertura Wi-fi del campus e sui computer forniti dall’università. 

 

Nel mese di dicembre 2022, il senatore repubblicano Marco Rubio ha proposto il «Averting the National Threat of Internet Surveillance, Oppressive Censorship and Influence and Algorithmic Learning by the Chinese Communist Party Act (ANTI-SOCIAL CCP) Act», che consentirebbe al Presidente di bloccare e vietare ogni transazione realizzata da qualsiasi social media sotto l’«influenza sostanziale» di Paesi quali Cina e Russia, impedendo a TikTok di operare negli Stati Uniti. 

 

Il 25 gennaio 2023 il senatore repubblicano Josh Hawley ha introdotto un’altra proposta di legge per bandire TikTok negli Stati Uniti, successivamente respinta dal Senato. È stato poi presentato alla Camera dei Rappresentanti il «Deterring America’s Technological Adversaries (DATA) Act», che consentirebbe al Segretario al tesoro di vietare ai cittadini statunitensi di effettuare transazioni con soggetti che, secondo il Segretario, forniscono o possono trasferire dati sensibili provenienti dagli Stati Uniti a entità straniere soggette alla giurisdizione, alla direzione, alla proprietà, al controllo o all’influenza del governo cinese. 

 

Il 7 marzo 2023 è stato presentato al Senato il «Restricting the Emergence of Security Threats that Risk Information and Communications Technology (RESTRICT) Act», proposto dal senatore democratico Mark Warner e dal senatore repubblicano John Thune, che, se approvato, autorizzerebbe il Segretario al commercio a limitare o vietare i prodotti e i servizi digitali provenienti da Paesi ritenuti «avversari». 

 

Per discutere sui rapporti tra il social network e il Partito Comunista Cinese, Shou Zi Chew, amministratore delegato di TikTok dal 2021, ha testimoniato il 23 marzo 2023 davanti alla House Committee on Energy and Commerce, la più antica commissione permanente della Camera dei Rappresentanti. 

 

Alla domanda se ByteDance sarebbe disposta a cedere TikTok a proprietari statunitensi, nel caso in cui fosse richiesto dal Dipartimento del Tesoro, Chew ha sostenuto che i timori espressi dal governo statunitense non saranno fugati dal mutato assetto proprietario dell’azienda, considerando che le applicazioni statunitensi realizzano a loro volta lesioni alla privacy degli utenti e non sono in grado di garantire la sicurezza dei dati, per cui non può dirsi che TikTok si discosti dalle pratiche realizzate da altre piattaforme. 

 

La soluzione ai rischi ventilati dall’amministrazione Biden risiederebbe nel Project Texas: parte di questo comporta la memorizzazione dei dati personali degli utenti statunitensi di TikTok nell’infrastruttura cloud di Oracle, multinazionale del settore informatico con sede ad Austin. Il piano, una volta completato, garantirebbe l’archiviazione dei dati di utenti americani negli Stati Uniti, presso un’azienda americana, sotto la supervisione di personale americano e accessibili solo da TikTok. I nuovi dati raccolti sono archiviati di default sul cloud di Oracle e la transizione dei dati esistenti dovrebbe essere completata entro il 2023. 

 

Il rischio che i dati degli utenti rimangano accessibili al CCP fino a quando non saranno trasferiti nell’infrastruttura cloud sarebbe privo di fondamento, in quanto TikTok è un’azienda completamente svincolata dal controllo governativo. Chew non ha smentito le preoccupazioni riguardo alla presenza all’interno del gruppo aziendale di un’entità sussidiaria di ByteDance in cui il governo cinese avrebbe investito, ma ha riferito che TikTok avrebbe impedito l’accesso ai dati statunitensi per i dipendenti dell’entità in questione. 

 

Nonostante il Project Texas preveda alcune eccezioni di ampia portata che consentono ai dati statunitensi di lasciare abitualmente il Paese, Chew ha chiarito che quasi tutti i dati «non pubblici» sono costituiti da insiemi di dati aggregati e anonimizzati, classificati come dati protetti. 

 

TikTok sta realizzando un’iniziativa simile al Progetto Texas in Europa con il nome di Project Clover: fra il 2023 e il 2024 saranno allestiti tre data center deputati alla conservazione dei dati degli utenti europei, di cui due a Dublino e un terzo in Norvegia, nella regione di Hamar, che utilizzerà esclusivamente energia rinnovabile. In attesa del completo trasferimento dei dati degli utenti europei, questi continueranno a essere conservati prevalentemente a Singapore e negli Stati Uniti. I data center saranno supervisionati da un ente indipendente da TikTok – ma che non sarà Oracle – con il compito di limitarne l’accesso. 

 

Chew ha anche affermato che l’algoritmo impiegato da TikTok nella costruzione dell’esperienza statunitense è completamente supervisionato da Oracle. Mentre alcune parti del codice sorgente che non toccano l’interfaccia con l’utente sono state frutto di una collaborazione globale che ha coinvolto anche ingegneri cinesi, il codice principale è stato scritto da dipendenti di TikTok. Il CEO ha aggiunto che TikTok sta implementando verifiche di terze parti sul codice sorgente per dimostrare l’impegno dell’azienda verso la trasparenza e ogni nuovo codice viene esaminato da un team statunitense che ne garantisce la sicurezza. 

 

Chew ha sottolineato che TikTok non promuove né rimuove contenuti per conto del governo cinese e ha ribadito l’impegno della piattaforma nel vietare qualsiasi interferenza governativa. La distribuzione di contenuti dei media statali cinesi è chiaramente etichettato per avvertire gli utenti che si tratta di contenuti sponsorizzati. Il CEO ha però confermato che il PCC potrebbe essere in grado di manipolare i dati presenti nell’ecosistema digitale di TikTok, con possibili ripercussioni al di fuori della Cina. 

 

Il 17 maggio 2023 il governatore repubblicano Greg Gianforte dello Stato del Montana ha firmato il Senate Bill 419, disponendo il primo ban di TikTok in uno Stato americano. Il divieto, che entrerà in vigore dal 1° gennaio 2024, è rivolto anche alle piattaforme Telegram, WeChat e Temu, con multe fino a 10.000 dollari al giorno per i gestori di store online che ne manterranno la disponibilità, mentre gli utenti non saranno punibili. TikTok ha presentato ricorso presso il Tribunale distrettuale del Montana, sostenendo che il divieto sarebbe incostituzionale per violazione del primo emendamento e della commerce clause, che limita l’autorità degli Stati di emanare leggi che gravino indebitamente sul commercio interstatale ed estero. 

Licenza Creative Commons
Quest’opera è distribuita con Licenza Creative Commons Attribuzione 4.0 Internazionale