SHIELD

Spostamenti

Viaggiare in Cina: modello di minaccia onesto

Ciò che la legge cinese impone, ciò che accade nella pratica, e la preparazione materiale minima per un viaggio professionale.

Pubblicato il 17 min di lettura Critical

Ultima revisione:

Skyline di Shanghai di notte

Pudong, terminal 2, fila dell’immigrazione. Il DG di una PMI industriale che accompagnavo tira fuori il suo iPhone per avvisare il contatto locale di essere atterrato. WhatsApp gira a vuoto. Passa a Gmail: niente. LinkedIn: niente. Il suo VPN aziendale mostra « connessione in corso » poi rinuncia. Quaranta minuti dopo, nel taxi, mi chiama dall’unico canale che funziona ancora — il roaming della sua linea italiana, fatturato a caro prezzo — e mi dice: « Nessuno mi aveva detto che sarei stato sordo e muto appena sceso dall’aereo. » Nessuno, in effetti. La sua agenzia di viaggio aveva gestito il visto. Non il resto.

Angle de lecture

La trappola abituale

« La Cina è l’estero con i siti bloccati. Metto un VPNTunnel cifrato tra il dispositivo e un server, che nasconde l'IP e il traffico al proprio ISP. e ho risolto. » È la frase che sento nelle riunioni di preparazione, nove volte su dieci. Contiene due errori che, combinati, trasformano una trasferta banale in un incidente.

Primo errore: credere che il Suo VPN funzionerà. I VPN commerciali per il grande pubblico — ExpressVPN, NordVPN, Mullvad, Proton — e la quasi totalità dei gateway aziendali standard sono attivamente filtrati. Il Great Firewall non si limita a bloccare indirizzi: fa DPIAttacco in cui un attore si interpone in una comunicazione tra due parti che credono di essere in contatto diretto. (ispezione profonda dei pacchetti) e riconosce la firma dei tunnel cifrati classici (IKEv2, OpenVPN, L2TP/IPsec) per tagliarli in pochi secondi. Lei arriva con una soluzione mai testata dalla Cina, e non passa.

Secondo errore, più grave: ridurre la Cina a un problema di accesso. Il vero tema non è ciò che è bloccato, è ciò che viene raccolto. Lei entra in un ambiente dove il traffico di rete transita per apparecchiature controllate dallo Stato, dove l’applicazione che tutti Le chiedono di installare analizza il contenuto dei Suoi messaggi, e dove il quadro legale — la PIPLRegolamento europeo 2016/679 sulla protezione dei dati personali (GDPR), applicabile dal maggio 2018. entrata in vigore a novembre 2021 — dà alle autorità diritti estesi sui dati trattati sul territorio. Il viaggiatore impreparato si ritrova contemporaneamente tagliato fuori dai suoi strumenti e esposto a un livello di captazione mai incontrato altrove. Il VPN, in questa storia, è il dettaglio. Il tema è il Suo modello di minacciaMappatura degli attori, motivazioni, capacità e impatti potenziali contro un obiettivo..

C’è un terzo strato, più insidioso, ed è quello che inganna i profili tecnici. Molti dirigenti partono con l’idea che « cifrare tutto » basti. La cifratura protegge il contenuto in transito e a riposo, è vero. Ma non protegge né i metadati, né il fatto stesso che Lei comunichi, né il dispositivo una volta che è fisicamente in altre mani. Peggio: in un ambiente di controllo di frontieraPerquisizione dei dispositivi elettronici alle frontiere da parte della dogana o della polizia. o di perquisizione, usare massicciamente canali cifrati che Lei rifiuta di aprire attira l’attenzione invece di evitarla. La sicurezza in Cina non si ottiene con l’opacità massima. Si ottiene con la riduzione della superficie: meno trasporta, meno possono prenderLe.

E poi c’è il diniego della realtà geopolitica. « Vendo macchine utensili, non interesso a nessuno. » Possibile. Ma i Suoi brevetti, i Suoi prezzi di cessione, la Sua lista clienti, la Sua strategia di penetrazione del mercato asiatico, quelli interessano a qualcuno. Lo spionaggio economico non prende di mira solo i nomi che si leggono sui giornali. Prende di mira la PMI che detiene un know-how di nicchia, proprio perché non si crede un bersaglio e quindi non ha preparato nulla. La dimensione della Sua azienda non è uno scudo. Spesso è ciò che rende la captazione facile.

Ciò che la legge impone, ciò che accade nella pratica

Distinguiamo due piani, perché vengono confusi di continuo: il diritto scritto e la realtà operativa.

Sul piano legale, la PIPL e la legge sulla cybersicurezza del 2017 impongono agli operatori cinesi di archiviare certi dati sul territorio e di cooperare con le richieste delle autorità. La legge sull’intelligence nazionale del 2017 va oltre: il suo articolo 7 obbliga « ogni organizzazione e ogni cittadino » a sostenere e cooperare con il lavoro di intelligence dello Stato. Traduzione concreta: un operatore telecom, un albergatore, un editore di applicazioni non ha il diritto di rifiutare una richiesta dei servizi. Non è teoria del complotto, è il testo. Quando acquista una SIM locale, il Suo passaporto viene scansionato e la scheda è collegata alla Sua identità — è un obbligo legale, non uno zelo del negoziante.

Bisogna capire bene cosa cambia la PIPL, perché viene spesso presentata a torto come « il GDPR cinese ». Nella forma le assomiglia: consenso, finalità, diritti delle persone. Nella sostanza se ne distingue radicalmente su un punto che i giuristi d’impresa trascurano: le esenzioni a favore dello Stato. Là dove il GDPR inquadra l’accesso delle autorità, la PIPL lo facilita. I dati trattati sul suolo cinese sono accessibili alle autorità in un quadro che Lei non controlla e che non può contestare dall’estero. E la legge prevede restrizioni sui trasferimenti in uscita di dati: esportare fuori dalla Cina dati raccolti localmente può richiedere una valutazione di sicurezza. Per un’azienda che opera sul posto, è un tema di compliance a sé stante. Per il viaggiatore, la conseguenza è più semplice: ciò che entra in Cina entra in una giurisdizione dove le Sue garanzie abituali non reggono più.

Sul piano della frontiera, il potere degli agenti è ampio e discrezionale. La perquisizione dei dispositivi elettronici all’ingresso è documentata — in particolare per i viaggiatori in arrivo da certe regioni o che presentano certi profili. L’installazione forzata di applicazioni di controllo è stata segnalata a valichi terrestri, in particolare nello Xinjiang. La divulgazione forzataObbligo legale di fornire password o decifrare dispositivi sotto minaccia di sanzione. delle password non è regolata come può esserlo in una democrazia: non esiste una tutela robusta contro l’autoincriminazione opponibile a un agente di sicurezza di Stato. Rifiutare significa rischiare la confisca, l’interrogatorio prolungato, persino il diniego d’ingresso. È proprio per questo che la dottrina del dispositivo pulito non è un lusso paranoico ma la risposta razionale: non si negozia una password sotto costrizione se il dispositivo non contiene nulla.

Sul piano pratico, ecco cosa accade davvero. Il Great Firewall blocca in permanenza l’intero portafoglio Google (Search, Gmail, Maps, Drive, Meet, YouTube, Play Store), WhatsApp, SignalMessaggistica open-source con E2EE per impostazione predefinita, gestita dalla Signal Foundation., Telegram, Facebook, Instagram, X, LinkedIn, Dropbox, OneDrive, e la maggior parte dei siti di stampa stranieri. Slack passa a intermittenza. Al contrario, WeChat diventa indispensabile: è il telefono, la messaggistica, il pagamento, il QR code d’ingresso al ristorante. Ora, le ricerche del Citizen LabDisciplina che analizza le tracce digitali dopo un incidente per ricostruire quanto accaduto. hanno documentato ripetutamente che WeChat analizza il contenuto dei messaggi — compresi quelli di account stranieri — per individuare termini sensibili, e che questa sorveglianza alimenta il filtraggio lato server. Lei non è in una messaggistica privata. È in un canale osservato per costruzione.

I metadatiDati sui dati: chi ha scritto cosa, quando, dove, a chi., invece, sono raccolti in continuo e senza eccezione: chi chiama, quando, da quale antenna, per quanto tempo. Per un cittadino straniero in trasferta, questo livello di captazione passiva è lo stato di base, non un rischio ipotetico. E per i profili esposti — giornalista, avvocato su un dossier che coinvolge asset cinesi, dirigente con interessi economici significativi, ricercatore su un tema sensibile — si passa dalla raccolta passiva al targeting attivo: tentativi di intrusione sui dispositivi, falsi punti d’accesso Wi-Fi, applicazioni legittime modificate, sorveglianza fisica.

Dettagliamo i vettori, perché « sorveglianza » resta una parola vaga finché non la si scompone. Il primo vettore è la rete: tutto ciò che transita in chiaro sul Wi-Fi di un albergo, di un bar o di un centro congressi deve essere considerato letto. Gli alberghi sono legalmente tenuti a registrare i loro clienti stranieri presso la polizia e a cooperare con le richieste di sicurezza; supporre che la loro rete sia neutra non ha alcun senso. Il secondo vettore è l’applicazione: le app locali richiedono permessi molto ampi — contatti, localizzazione precisa, microfono, fotocamera, file — non per negligenza di sviluppo, ma perché è l’architettura attesa. WeChat non è una messaggistica che avrebbe un problema di riservatezza; è un’infrastruttura di sorveglianza che rende anche un servizio di messaggistica. Il terzo vettore è l’accesso fisico: un dispositivo lasciato incustodito, anche pochi minuti, in una cassaforte d’albergo, su un tavolo riunioni, in un’auto, è un dispositivo esposto alla clonazione o all’impianto. Il quarto, riservato ai profili più esposti, è il targeting software mirato: il Citizen Lab ha documentato casi di giornalisti e attivisti i cui dispositivi sono stati compromessi da malware distribuiti tramite canali locali legittimi. Per questi profili, un dispositivo pulito non è una raccomandazione, è un prerequisito.

Ciò che rende tutto questo difficile da integrare per un dirigente italiano è l’assenza di segnale. In Italia, un’intrusione lascia tracce, fa scattare allarmi, apre un ricorso. In Cina, la captazione è silenziosa, legale, e senza contropotere accessibile. Lei non saprà che è stato letto. Non lo saprà mai. È esattamente per questo che la preparazione deve essere a priori: non c’è rimedio a posteriori possibile quando si ignora persino che sia successo qualcosa.

Il design giusto: entrare puliti

La svolta mentale sta in una frase: non si mette in sicurezza un dispositivo carico di dati in Cina, si entra con un dispositivo che non ha nulla da proteggere. È più semplice, più robusto, e non dipende dal fatto che questo o quel VPN passi questo mese.

In concreto, la regola di base per ogni trasferta professionale: entrare con un dispositivo che non ha alcun accesso ai Suoi dati di produzione. Un telefono da viaggio con una eSIMSIM integrata e riprogrammabile, compatibile con più profili operatore. internazionale acquistata in anticipo — non una SIM locale collegata al Suo passaporto — e un laptop da viaggio dedicato, predisposto per la missione, vuoto di tutto ciò che non è strettamente necessario sul posto. Se il dispositivo non contiene nulla di sensibile, né la frontiera, né la cassaforte d’albergo, né l’analisi forense al ritorno possono estrarne alcunché. È la stessa logica delle perquisizioni alle frontierePerquisizione dei dispositivi elettronici alle frontiere da parte della dogana o della polizia.: la migliore protezione contro il sequestro di un segreto è non trasportare il segreto.

« Dispositivo pulito » non vuol dire « vecchio telefono che gira in un cassetto ». Un dispositivo pulito si predispone: sistema reinstallato da zero, account da viaggio dedicati e non collegati alle Sue identità principali, stretto minimo di applicazioni, e accesso ai documenti di missione via cloud dopo il passaggio della frontiera anziché in archiviazione locale. Per un dirigente, il riflesso inverso — « prendo il mio laptop abituale e cancello due o tre cartelle » — è l’errore classico: i dati cancellati sono recuperabili, le cache delle applicazioni traboccano di informazioni, e un portachiavi di password sincronizzato dà accesso a tutto il resto. Lei non alleggerisce un dispositivo di produzione, ne allestisce un altro. Per le trasferte più esposte, alcuni si spingono fino al telefono usa e getta (burner phoneTelefono prepagato usa e getta utilizzato per uno scopo puntuale, poi abbandonato.) riconfigurato o distrutto al ritorno, e all’isolamentoIsolamento fisico: nessuna connessione di rete tra un sistema e il resto dell'infrastruttura. totale dei documenti più sensibili, che semplicemente non attraversano mai la frontiera.

Il VPN resta utile, ma come strumento di comodità e di connettività, non come scudo. E si testa prima della partenza, dalla Cina o tramite un server sul posto, mai da Roma. I protocolli offuscati (Shadowsocks, V2Ray, Trojan) resistono meglio al filtraggio dei VPN standard — è ciò che usano le filiali di aziende straniere stabilite sul posto. Il loro status legale per uno straniero di passaggio è una zona grigia (i VPN non autorizzati sono tecnicamente illegali), ma i procedimenti contro un viaggiatore d’affari sono rari. Punto cruciale: il VPN deve essere armato prima di attraversare la frontiera. Una volta sul territorio, scaricare o configurare una soluzione di aggiramento diventa nettamente più difficile, poiché l’accesso agli store stranieri è esso stesso bloccato.

Infine, il comportamento sul posto conta tanto quanto il materiale. Non discuta mai di affari riservati via WeChat, anche con un partner di fiducia. Le riunioni sensibili si tengono all’aperto, in uno spazio aperto e rumoroso, non in una sala congressi d’albergo né in uffici che Lei non controlla — è lo standard di diplomatici e corrispondenti stranieri da decenni. E il dispositivo non lascia mai la Sua tasca durante una riunione: non appoggiato sul tavolo mentre va a prendere un caffè.

Pagamento e comunicazione: il doppio vincolo

Il pagamento è la trappola logistica numero uno. Le carte bancarie occidentali sono accettate nei grandi alberghi e in qualche ristorante internazionale, ma rifiutate nella stragrande maggioranza dei negozi, dei ristoranti locali e dei trasporti. La norma è il QR code: WeChat Pay o Alipay. Dal 2023, questi due servizi accettano la registrazione di carte straniere (Visa, Mastercard), cosa che ha molto semplificato la vita del viaggiatore — ma significa anche collegare una carta a un account ospitato su un’infrastruttura soggetta alla PIPL. La buona pratica: un account dedicato al viaggio, alimentato solo per la durata del soggiorno, mai il Suo account personale principale collegato a tutta la Sua vita digitale. Lei limita così ciò che è esposto alla durata e al perimetro della trasferta.

La comunicazione segue la stessa logica di compartimentazione. Per raggiungere i Suoi partner locali, WeChat è imprescindibile — quindi account dedicato, contenuto innocuo. Per i Suoi scambi sensibili con il Suo team in Italia, passa attraverso SignalMessaggistica open-source con E2EE per impostazione predefinita, gestita dalla Signal Foundation. o un canale cifrato end-to-endCifratura end-to-end: solo mittente e destinatario possono leggere il contenuto. via il Suo VPN offuscato, sapendo che queste applicazioni sono esse stesse bloccate senza tunnel. E per ciò che è davvero riservato — una trattativa in corso, un prezzo di cessione — niente di scritto, niente di archiviato in locale: una chiamata vocale cifrata, o meglio, aspetti il Suo ritorno. La regola che riassume tutto: sul territorio, tratta ogni canale come se fosse pubblico, e organizza i Suoi segreti perché nessun canale ne porti.

Cosa comporta concretamente

Per Lei, come privato

  1. Telefono da viaggio con eSIM, non il Suo quotidiano — Acquisti una eSIMSIM integrata e riprogrammabile, compatibile con più profili operatore. internazionale prima della partenza (Airalo, Holafly, una trentina di euro per due settimane). Spesso instrada il traffico fuori dal Great Firewall, e soprattutto non è collegata al Suo passaporto come una SIM locale. Idealmente, un secondo telefono economico anziché il Suo dispositivo principale pieno di account.
  2. Account WeChat dedicato alla Cina — Crei un account WeChat distinto, non collegato alla Sua identità completa né ai Suoi contatti professionali permanenti. Lo stesso per Alipay: un account viaggio alimentato solo per la durata del soggiorno. Installi queste app, e le app locali tipo DiDi (taxi) o Meituan (ristorazione), unicamente sul telefono da viaggio — mai sul Suo dispositivo principale.
  3. VPN offuscato installato e testato prima dell’imbarco — Predisponga una soluzione offuscata (Outline, che è Shadowsocks chiavi in mano, o un server V2Ray) e verifichi che si connetta dalla Cina, chiedendo a un contatto sul posto di testare lo stesso accesso. Costo: un piccolo VPS a qualche euro al mese. Una volta sul territorio, sarà troppo tardi per arrangiarsi.

Per Lei, CISO / Direzione IT / dirigente

1. La PIPL fa della Cina una giurisdizione a parte nella Sua policy di viaggio. La legge sulla protezione dei dati personali del 2021, abbinata alla legge sull’intelligence del 2017, dà alle autorità diritti estesi su tutto ciò che è trattato sul territorio — e obbliga gli attori locali a cooperare. Conseguenza diretta: Lei non può applicare alla Cina la stessa policy di compartimentazioneSeparare le proprie identità per utilizzo (civile, pro pubblico, pro sensibile, operativo) per limitare la propagazione delle fughe. di una trasferta intra-UE. Serve una clausola dedicata, scritta, che definisca esplicitamente ciò che non ha il diritto di entrare sul territorio.

2. Il dispositivo di ritorno è un dispositivo sospetto fino a prova contraria. Ogni materiale transitato per la Cina (o la Russia) deve essere trattato come potenzialmente compromesso. Conseguenza diretta: divieto di ricollegare direttamente alla rete aziendale, re-imaging sistematico del laptop da viaggio, e procedura di ritorno dalla missioneProcesso strutturato di gestione di un incidente di sicurezza: rilevamento, contenimento, eradicazione, ripristino. documentata — non un « tranquillo, l’ho tenuto con me ».

3. Il briefing non è opzionale per i profili esposti. Un negoziatore su un dossier sino-europeo, un dirigente con asset significativi, un ricercatore sensibile: questi profili passano dal rischio diffuso al targeting attivo. Conseguenza diretta: briefing di sicurezza con un interlocutore che conosce il contesto cinese prima della partenza, dispositivo predisposto pulito, e nessuna archiviazione locale di dati sensibili durante il soggiorno — l’accesso avviene via cloud dopo la frontiera, su connessione controllata.

Per Lei, Direzione generale

L’IT Le preparerà un dispositivo, configurerà un VPN, Le consegnerà una scheda. È il suo mestiere, lo lasci fare. Ma tre decisioni non sono le sue. Sono le Sue, perché impegnano un rischio che solo Lei può accettare.

Cosa porto. Non i Suoi dispositivi abituali. Non il Suo telefono pieno di dieci anni di cronologia, non il laptop su cui vive tutta la Sua vita professionale. Un materiale dedicato, preparato vergine per questo viaggio, che contiene solo ciò di cui ha bisogno sul posto. La regola è semplice: ciò che non attraversa la frontiera non può esserLe preso.

Cosa lascio. Tutto ciò che ha valore. E più dei documenti, le Sue cronologie di comunicazione. I Suoi fili di discussione con il Suo comitato direttivo, i Suoi scambi sul dossier in corso, i Suoi messaggi con i Suoi avvocati. È lì che sta l’informazione strategica, non in una presentazione PowerPoint. Una cronologia di messaggistica dice più sulla Sua strategia di un raccoglitore di contratti.

Cosa accetto di perdere. Si ponga la domanda prima di partire, non in aereo. Se Le prendono i dispositivi alla frontiera, o se Le chiedono di sbloccarli, cosa succede? Se la risposta è « niente di grave, il dispositivo è vuoto », ha preparato bene. Se la risposta Le annoda lo stomaco, ha portato la cosa sbagliata.

L’IT prepara il materiale. La Direzione generale decide il rischio. Non deleghi questi tre arbitraggi: non sono tecnici, sono Suoi.

Errori che si vedono di continuo

  • Testare il proprio VPN da Roma. Funziona perfettamente a Roma. È esattamente per questo che il test non prova nulla. L’unico test valido è dalla Cina.
  • Partire con il proprio telefono e il proprio laptop abituali « perché è solo una settimana ». La durata del soggiorno non cambia nulla alla captazione. Dieci minuti di accesso fisico alla cassaforte bastano.
  • Comprare una SIM locale per comodità. Passaporto scansionato, linea collegata alla Sua identità, e traffico nel perimetro del Great Firewall. La eSIM acquistata in anticipo evita tutti e tre.
  • Discutere di un dossier sensibile su WeChat « perché l’interlocutore è di fiducia ». La fiducia dell’interlocutore non c’entra nulla: è il canale a essere osservato, non la persona.
  • Ricollegare il dispositivo di ritorno al VPN aziendale già in aeroporto, per « recuperare le mail ». È il momento preciso in cui un dispositivo compromesso contamina la rete.
  • Credere che il GDPRRegolamento europeo 2016/679 sulla protezione dei dati personali (GDPR), applicabile dal maggio 2018. La protegga laggiù. Non si applica. È la PIPL che regge il territorio, e gioca nel senso opposto.

Checklist azionabile

  • N1 Mappare ciò che è bloccato (Great Firewall) prima della partenza
  • N1 eSIM internazionale acquistata in anticipo — mai una SIM locale con scansione del passaporto
  • N1 Piano di pagamento validato: Alipay/WeChat Pay su account dedicato, o carta utilizzabile sul posto
  • N2 VPN offuscato (Outline/V2Ray) installato E testato dalla Cina prima dell'imbarco
  • N2 Account WeChat e Alipay dedicati al viaggio, non collegati all'identità principale
  • N2 App locali (WeChat, DiDi, Meituan) solo sul telefono da viaggio
  • N2 Nessuna discussione d'affari riservata via WeChat
  • N2 Riunioni sensibili tenute all'esterno, mai in camera né in sala riunioni
  • N3 Laptop da viaggio dedicato, predisposto pulito, senza dati di produzione
  • N3 Dati sensibili in cloud post-frontiera, mai in archiviazione locale sul posto
  • N3 Briefing di sicurezza specifico Cina per ogni profilo esposto prima della partenza
  • N3 Re-imaging sistematico al ritorno, nessuna riconnessione diretta alla rete aziendale

Per approfondire

Il Citizen Lab documenta da anni la sorveglianza di WeChat e il targeting di giornalisti e attivisti — è la fonte di riferimento per capire i vettori concreti, oltre le generalità. Il testo della PIPL tradotto da DigiChina (Stanford) permette di leggere il diritto invece di supporlo. GreatFire segue in tempo reale lo stato del filtraggio, utile per verificare cosa passa prima di partire. Infine, le raccomandazioni dell’ACN (Agenzia per la Cybersicurezza Nazionale) inquadrano la dottrina « dispositivo pulito » che sottende tutto questo articolo. Per il versante materiale e il ritorno, veda anche i nostri articoli sul laptop da viaggio, la eSIM e il passaggio delle frontiere.

Fonti e approfondimenti

Articoli correlati