Il Dipartimento della Sicurezza Interna statunitense ha ottenuto $165 miliardi di finanziamento annuale dalla legge fiscale 2025, di cui circa $86 miliardi destinati all’Immigration and Customs Enforcement, per espandere le capacità di sorveglianza AI su scala nazionale.
Il punto non è quanto spenda il governo americano — è che quei soldi comprano accesso ai dati che voi generate ogni giorno con telefono, auto, app e dispositivi indossabili, aggirando le garanzie costituzionali che dovrebbero proteggervi dalla sorveglianza AI senza controllo giudiziario.
L’ecosistema della sorveglianza AI
L’infrastruttura si regge su tre pilastri che si rafforzano a vicenda. Il primo è il capitalismo di sorveglianza: aziende raccolgono unilateralmente dati dalle attività quotidiane — le telecamere Ring dei vicini che filmano il marciapiede, i sensori dell’auto che registrano velocità, espressione facciale e battito cardiaco, lo smartphone che traccia posizione via GPS, Wi-Fi e Bluetooth — spesso senza alcuna relazione con il servizio fornito all’utente. Il secondo pilastro è il mercato dei data broker, intermediari che aggregano e vendono queste informazioni sul mercato commerciale, dove diventano una merce come un’altra. Il terzo è l’acquisto governativo: le autorità comprano i dati in blocco dai broker, sostenendo che l’acquisto commerciale non è soggetto alle stesse restrizioni della raccolta diretta di informazioni.
Anne Toomey McKenna, avvocata specializzata in privacy e sorveglianza elettronica che da anni ricerca e scrive sulle questioni legali legate all’uso dei dati, lo descrive con chiarezza nell’analisi pubblicata su The Conversation il 21 aprile 2026:
In buying your data in bulk on the commercial market, the government is circumventing the Constitution, Supreme Court decisions and federal laws designed to protect your privacy from unwarranted government overreach.
I contratti del Dipartimento della Sicurezza Interna si moltiplicano in modo coerente con questa strategia: sistemi di sorveglianza AI negli aeroporti, adapter per trasformare i telefoni degli agenti in scanner biometrici, una piattaforma AI che acquisisce tutti i dati dei call center 911 per costruire mappe geospaziali predittive — una forma di polizia predittiva (glossario) che usa i dati per anticipare dove, quando e come potrebbero verificarsi incidenti. Il Dipartimento ha inoltre speso milioni in software AI per analizzare sentiment ed emozioni nei post degli utenti online. L’FBI, intanto, ha confermato al Congresso il 18 marzo 2026 — attraverso il direttore Kash Patel — di acquistare regolarmente dati di localizzazione dei cittadini americani dai data broker.
La domanda che nessuno nei comunicati ufficiali si pone è semplice: se il Quarto Emendamento vieta le perquisizioni ingiustificate e la Corte Suprema richiede un mandato per tracciare la posizione tramite cellulare, comprare gli stessi dati da un broker non è aggirare la Costituzione con una transazione commerciale?
I limiti legali che non proteggono
Il quadro normativo americano offre tutele che sulla carta sembrano solide ma nella pratica si svuotano sistematicamente. Il Quarto Emendamento vieta le perquisizioni irragionevoli da parte del governo. La Corte Suprema ha stabilito che la polizia deve ottenere un mandato per perquisire il telefono di una persona o usare dati di localizzazione per tracciarla. Il Wiretap Act, parte dell’Electronic Communications Privacy Act, vieta l’intercettazione non autorizzata di comunicazioni elettroniche. Il problema è che queste tutele si applicano alla raccolta diretta — non all’acquisto commerciale di dati già aggregati.
I dati raccolti da dispositivi indossabili illustrano il vuoto normativo con particolare chiarezza. Battito cardiaco, variabilità cardiaca, ossigenazione del sangue, livelli di stress, variazioni neurologiche e persino onde cerebrali captate dagli auricolari costituiscono informazioni sanitarie sensibili. Ma non sono protetti da HIPAA, la legge federale sulla privacy sanitaria, perché le aziende tecnologiche non sono considerate fornitori di servizi sanitari e i wearable non sono classificati come dispositivi medici. Il “consenso” che gli utenti prestano accettando termini di servizio interminabili permette alle aziende di raccogliere e vendere questi dati sul mercato commerciale senza vincoli significativi.
Il framework nazionale per l’AI approvato il 20 marzo 2026 dal governo Trump accelera nella direzione opposta alla regolazione: invita il Congresso a usare sovvenzioni e incentivi fiscali per diffondere strumenti AI nell’industria americana, permette ad aziende e università di usare dataset federali per addestrare modelli — dataset che contengono informazioni biografiche, occupazionali e fiscali su ogni cittadino — e scoraggia attivamente la regolamentazione statale dell’IA. In parallelo, ordini esecutivi presidenziali impongono al governo federale di non acquistare modelli AI che tentino di correggere i bias, riducendo ulteriormente i controlli.
Cosa cambia per chi vive in Europa
Chi segue il settore da vicino sa che la distanza tra il modello americano e quello europeo non è mai stata così netta. L’EU AI Act classifica i sistemi di sorveglianza biometrica come ad alto rischio e ne limita severamente l’impiego da parte delle autorità pubbliche. Il GDPR impone vincoli rigorosi alla raccolta e al trasferimento di dati personali verso paesi terzi.
Ma la protezione ha confini porosi. I data broker americani operano su scala globale e possono acquisire dati generati da utenti europei attraverso app e piattaforme con sede negli Stati Uniti. Google, Meta, Reddit e Discord hanno già risposto a centinaia di citazioni del DHS inviando dati identificativi degli utenti — nome, email, numero di telefono e attività online — e quegli utenti non sono esclusivamente americani. I dati sanitari raccolti da dispositivi indossabili non rientrano nella normativa europea sui dispositivi medici quando l’azienda che li raccoglie non opera come fornitore sanitario.
Per i professionisti italiani che usano piattaforme americane per lavoro, l’implicazione è concreta: i dati che generate con app di produttività, dispositivi connessi e servizi cloud possono entrare nell’ecosistema di sorveglianza statunitense senza che un mandato giudiziario venga mai emesso. La protezione del GDPR si ferma dove inizia il mercato commerciale dei dati — e quel mercato non ha confini nazionali.
Fonti:
TechXplore, US government ramps up mass surveillance with help of AI tech, data brokers, and your apps and devices, 21 aprile.