Audio summary

Il Consenso Obbligatorio

Sorveglianza biometrica – Dal 1° aprile 2026 banche, ospedali e organizzazioni civili messicane sono nodi obbligati di una rete di sorveglianza biometrica permanente. Il consenso sopravvive come forma legale. La sostanza è già scomparsa. Un’inchiesta sull’architettura che nessuna categoria giuridica riesce ancora a nominare — e sul modello che Europa, India e Stati Uniti stanno già adottando. Come il settore privato è diventato l’infrastruttura della sorveglianza.

2026 l’architettura tecnica del sistema finanziario messicano ha cambiato natura. Da quel giorno, banche, società di credito al consumo, ospedali privati, operatori di telecomunicazioni, istituti di istruzione, compagnie aeree, organizzazioni religiose e qualsiasi operatore che gestisce basi dati contenenti dati personali sono diventati, per legge, nodi obbligati di un sistema nazionale di identificazione biometrica chiamato Plataforma Única de Identidad. Il termine tecnico è “interconexión obligatoria”. Il termine politico richiede più spazio per essere detto con precisione.

La scadenza per registrarsi alla piattaforma era il 31 marzo. La Comisión Nacional Bancaria y de Valores lo ha confermato ufficialmente il giorno stesso. Dal 1° aprile, l’obbligo è pieno: ogni operatore deve rispondere alle query del sistema governativo attraverso un’architettura API dedicata che ciascuno deve costruire e mantenere attiva a proprie spese. Quando una persona scompare, la piattaforma attiva un protocollo in tre fasi: ricerca immediata nei registri correnti, ricerca storica fino a dodici anni indietro, monitoraggio continuo automatizzato su qualsiasi nuova attività associata alla CURP segnalata. La terza fase non si chiude. Resta aperta finché il caso resta aperto.

Sul mercato sono già apparse le prime aziende che vendono l’integrazione come servizio. KYC Systems promette di connettere qualsiasi istituzione alla piattaforma in tre-cinque giorni lavorativi, senza server propri, senza installazioni. L’adeguamento normativo obbligatorio è diventato un prodotto. La sorveglianza distribuita ha trovato il suo modello di business. Bisogna partire da qui — da questa data, da questa offerta commerciale, da questo passaggio preciso — per capire cosa è cambiato davvero in Messico nel luglio del 2025, e perché il caso messicano non è un’anomalia del Sud globale ma un esperimento avanzato di qualcosa che prende forma simultaneamente in Europa, in India, negli Stati Uniti.

Sorveglianza biometrica - La piattaforma dell'identità digitale - Architettura della Plataforma Única de Identidad — Messico 2025

Plataforma Única de Identidad · Messico · 2025 — Schema di interconnessione obbligatoria tra settore privato e sistemi governativi di identificazione biometrica.

Il Pacchetto della Sorveglianza biometrica

Il 16 luglio 2025, il Diario Oficial de la Federación pubblicava un decreto che riformava la Ley General de Población per incorporare alla CURP dati biometrici: fotografia, impronte digitali di entrambe le mani, scansione dell’iride, firma elettronica. Era la misura più visibile di un pacchetto legislativo approvato in via d’urgenza in poche settimane dal Congresso, dominato da una larga maggioranza del partito al governo MORENA. Le altre leggi toccavano la normativa sulle telecomunicazioni, l’intelligence, la Guardia Nacional, l’amministrazione pubblica federale e la gestione delle sparizioni forzate.

La copertura narrativa era costruita su una crisi reale: al momento dell’approvazione, la Commissione Nazionale per la Ricerca documentava 136.516 persone scomparse. Le famiglie delle vittime attendono risposte da anni, in molti casi da decenni. Un sistema di identificazione biometrica centralizzato avrebbe facilitato la ricerca, l’allerta rapida, l’incrocio delle informazioni tra istituzioni. Nessun oppositore politico poteva votare contro senza sembrare indifferente ai desaparecidos. Il pacchetto fu approvato in fretta — 438 voti favorevoli, 38 contrari sulla riforma principale.

Sette leggi. Un’unica architettura.

R3D, la principale organizzazione messicana per i diritti digitali, ha ricostruito la logica sottostante: non si trattava solo di una banca dati biometrica. Si trattava di costruire un sistema dove la CURP biometrica diventa l’unica fonte di identità riconosciuta — per qualsiasi pratica, servizio o transazione, pubblica o privata — collegata in tempo reale a una Plataforma Única de Identidad che aggrega i dati di tutte le istituzioni, alle quali viene imposto l’obbligo di connettersi e rispondere alle query. Il tutto con accesso diretto, senza necessità di ordine giudiziario, da parte di fiscalías, Centro Nacional de Inteligencia e Gabinete de Seguridad del Ejecutivo Federal. La finalità dichiarata è la ricerca dei desaparecidos. L’architettura prodotta è qualcosa di molto più ampio.

La Stessa Corte, La Stessa Logica

C’è un precedente che rende questa storia più densa di quanto sembri. Nel 2021 il governo messicano aveva tentato qualcosa di simile attraverso un percorso diverso: il Padrón Nacional de Usuarios de Telefonía Móvil, noto come PANAUT, un registro obbligatorio che avrebbe imposto a tutti i possessori di SIM messicane di consegnare dati biometrici — impronte, iride, riconoscimento facciale — per mantenere attivo il servizio telefonico. Nel 2022, la Suprema Corte de Justicia de la Nación lo ha dichiarato incostituzionale. La motivazione era articolata: la misura era sproporzionata, non esistevano garanzie sufficienti di sicurezza per una banca dati massiva di queste dimensioni, e non vi era evidenza empirica che la raccolta biometrica di massa avrebbe ridotto i crimini telefonici.

Il sistema costruito nel luglio 2025 replica quella stessa logica — impronte, iride, fotografia: gli stessi dati; centralizzazione: la stessa struttura; accesso da parte delle autorità di sicurezza: lo stesso principio. La differenza è architettonica. Il PANAUT concentrava il rischio in un unico registro telefonico, offrendo un bersaglio giuridico identificabile. Il sistema del 2025 distribuisce la raccolta tra migliaia di istituzioni pubbliche e private interconnesse, ciascuna tecnicamente responsabile solo della propria base dati, ciascuna sanzionabile individualmente per inadempienza — anche con responsabilità penale per ostruzione alla giustizia. I tribunali messicani si sono già trovati a decidere su singoli ricorsi di amparo accordando alcune sospensioni provvisorie, ma il sistema si consolida per inerzia tecnica: ciascuna istituzione si integra separatamente, ciascuna deadline scade separatamente, ciascuna sanzione è individuale. La frammentazione legislativa ha una funzione precisa: rendere il processo di resistenza giuridica proporzionalmente più costoso del processo di adeguamento.

La frammentazione legislativa ha una funzione precisa

III

Il Nodo Privato della Sorveglianza biometrica

Il punto che trasforma la natura del problema è questo: l’architettura messicana del 2025 non costruisce solo una banca dati governativa. Costruisce una topologia — una rete distribuita in cui il settore privato non è un osservatore esterno, né un fornitore tecnico. È un nodo operativo obbligato dell’infrastruttura di sorveglianza. L’articolo 12 Bis della Ley General en Materia de Desaparición Forzada stabilisce l’elenco delle categorie obbligate a connettersi alla Plataforma Única de Identidad: istituti finanziari, banche, fintech, aziende sanitarie, operatori di telecomunicazioni, istituzioni educative, compagnie aeree, aziende di trasporto, assicuratori, organizzazioni religiose, servizi di logistica e consegna, qualsiasi operatore che gestisca registri di dipendenti o dati previdenziali. La lista include anche organizzazioni civili, mezzi di comunicazione e qualsiasi prestatore di servizi che gestisca basi dati di persone — incluse attività ordinarie come basi clienti. L’obbligo non ha perimetro definito: copre chiunque detenga informazioni che possano essere utili alla ricerca.

Ciascuno di questi soggetti deve costruire un’architettura API dedicata che mantiene un canale di comunicazione bidirezionale e permanente con la piattaforma governativa. Non una segnalazione su richiesta. Un endpoint sempre aperto, attraverso cui la piattaforma può attivare in qualsiasi momento le tre fasi del protocollo di ricerca: immediata, storica fino a dodici anni, continua. La Fase 3 — monitoraggio permanente automatizzato su ogni nuova attività associata a una CURP segnalata — non si chiude fino alla risoluzione del caso. La Global Network Initiative ha formalizzato la propria preoccupazione in un documento pubblico: le leggi del luglio 2025 trasferiscono le responsabilità di sorveglianza alle imprese private, obbligandole a raccogliere, conservare e consegnare dati sensibili degli utenti, a interconnettere le proprie basi dati con i sistemi governativi, e a farlo in condizioni di incertezza giuridica, con obblighi mal definiti che espongono anche a potenziale responsabilità penale. Le imprese private, in questo schema, non scelgono di collaborare con le autorità: sono arruolate. Quello che ne risulta è autoalimentante: ogni nuova istituzione che si connette arricchisce la rete con più dati, più incroci, più capacità di rilevamento, senza che nessun organo centrale debba espandersi deliberatamente.

Sorveglianza biometrica - Protocollo di ricerca in tre fasi — Plataforma Única de Identidad

Schema del protocollo di ricerca: Fase 1 — ricerca immediata · Fase 2 — ricerca storica fino a 12 anni · Fase 3 — monitoraggio continuo automatizzato. La Fase 3 non si chiude.

La Tecnica del Consenso

La Ley General de Población è esplicita: “La integración de los datos biométricos se realizará, previo consentimiento de las personas titulares.” Il consenso è il fondamento giuridico dell’intero sistema. Ma la categoria giuridica del consenso presuppone che il rifiuto sia un’opzione reale — che chi dice no possa continuare a esercitare i propri diritti, accedere ai servizi essenziali, partecipare alla vita civile. Senza CURP biometrica non si apre un conto in banca. Non si accede all’IMSS o all’ISSSTE. Non si iscrivono i figli a scuola. Non si riceve la pensione, i sussidi del welfare federale, le borse di studio. Non si mantiene attiva la linea telefonica oltre il 30 giugno 2026. Il decreto stabilisce sanzioni per le istituzioni che rifiutano di accettare la CURP biometrica come identificazione — non per chi rifiuta di fornirla. Ogni istituzione è incentivata a esigere il documento per non rischiare sanzioni, creando un effetto a cascata che non richiede alcuna coercizione esplicita.

In queste condizioni, la forma giuridica del consenso sopravvive mentre la sua sostanza si svuota. Ciò che resta è il nome legale di un’operazione strutturalmente coercitiva. R3D lo ha denominato “consentimiento forzado”. Il direttore ad interim Pepe Flores ha sintetizzato in una sola frase: “La alternativa es la exclusión.” Questo meccanismo non è neutro rispetto alla storia del paese in cui opera. Il sistema di spyware Pegasus è stato utilizzato in Messico contro giornalisti, avvocati e difensori dei diritti umani da almeno tre amministrazioni consecutive, con 456 vittime documentate nel solo bimestre aprile-maggio 2019. Non si tratta di affermare che l’amministrazione attuale utilizzerà il sistema per gli stessi scopi. Si tratta di osservare che qualsiasi governo che erediti questa architettura disporrà di una capacità di tracciamento strutturalmente superiore a qualsiasi strumento precedente — senza mandato giudiziario, distribuita tra migliaia di operatori privati obbligati, con monitoraggio continuo su qualsiasi CURP che il sistema decida di sorvegliare.

La forma giuridica del consenso sopravvive mentre la sua sostanza si svuota.

La Convergenza globale intorno alla sorveglianza biometrica

Il caso messicano esiste dentro un campo più largo, dove la stessa logica si manifesta in forme diverse ma con esiti architetturali analoghi. In India, il sistema Aadhaar — la più grande infrastruttura biometrica del mondo, con oltre un miliardo di iscritti — ha subito nell’ottobre 2025 un’espansione significativa del proprio raggio operativo: la National Payments Corporation of India ha introdotto l’autenticazione biometrica per le transazioni attraverso il sistema di pagamento digitale UPI. I dati biometrici raccolti originariamente per l’accesso ai programmi di welfare sono stati riproposti come strumento di autenticazione per i pagamenti commerciali privati, senza nuova legislazione, senza revisione dell’impatto sulla privacy. Nell’ottobre 2025, l’Unione Europea ha avviato il dispiegamento del sistema biometrico di controllo alle frontiere denominato Entry/Exit System: dal 10 aprile 2026 — data odierna — impronte digitali e immagini facciali di tutti i cittadini extra-UE vengono archiviate e consultate sistematicamente per ogni passaggio successivo attraverso lo spazio europeo.

Negli Stati Uniti, dal dicembre 2025, ogni straniero che entra o lascia il territorio nazionale può essere fotografato e processato attraverso sistemi di riconoscimento facciale, senza esenzioni di età, senza possibilità di rifiuto. Quella che emerge non è una cospirazione coordinata — non esiste un centro che distribuisce istruzioni. Esiste una logica strutturale che si riproduce perché risponde agli incentivi reali dei sistemi politici contemporanei: i governi vogliono sicurezza e capacità di tracciamento, le istituzioni private vogliono ridurre il rischio di frode e i costi di verifica, le piattaforme digitali vogliono autenticazione affidabile. La tecnologia biometrica risponde a tutti questi desideri simultaneamente, a un costo che decresce ogni anno. Il function creep è la conseguenza inevitabile: un sistema costruito per trovare i desaparecidos trova anche chi non ha i documenti in regola; uno costruito per la sicurezza bancaria registra anche i movimenti politicamente rilevanti; uno progettato per il welfare state diventa strumento di autenticazione commerciale. L’infrastruttura non distingue tra le finalità. Distingue tra ciò che è tecnicamente possibile e ciò che non lo è. E ciò che è possibile, nel tempo, tende a diventare normale.

Le Categorie che Mancano

Quello che il caso messicano porta in superficie — e che i casi europeo, indiano e statunitense confermano per via parallela — è una tensione che le categorie giuridiche disponibili non riescono ancora a catturare con precisione. La nozione classica di sorveglianza di Stato presuppone un soggetto identificabile: un’agenzia, un decreto, una responsabilità politica nominabile. Consente il ricorso, l’opposizione, la costruzione di una controparte. La topologia distribuita che si va consolidando non ha questo profilo. Ha migliaia di nodi privati obbligati, ciascuno responsabile solo della propria porzione, nessuno responsabile del sistema complessivo. Ha un accesso centralizzato governativo su una rete la cui manutenzione è affidata ai privati. Ha un consenso formalmente libero che funziona come condizione di accesso alla vita civile.

Le categorie che abbiamo — privacy, consenso, sorveglianza di Stato, protezione dei dati personali — sono state costruite per sistemi con architetture diverse e responsabilità localizzabili. Usarle su sistemi distribuiti, delegati e autoalimentanti produce non una protezione, ma l’impressione di una protezione. È il modo più efficace per non vedere quello che sta accadendo.

Follow the Algorithm — ogni nodo è collegato. Nessuno è responsabile.

Leggi altro su FTA ↗

Fonti – Sorveglianza biometrica

Post scriptum

Mentre questo articolo viene pubblicato, il sistema biometrico di controllo alle frontiere dell’Unione Europea — Entry/Exit System — raggiunge oggi, 10 aprile 2026, il suo enforcement completo. Da questa data, ogni cittadino extra-UE che attraversa una frontiera europea viene registrato biometricamente. Americani, britannici, canadesi, australiani: nessuno escluso. L’architettura che il Messico ha costruito per uso interno, l’Europa la costruisce per uso perimetrale. La direzione è la stessa. La scala è continentale.

Il caso messicano non è il caso limite. È il caso avanzato. E i casi avanzati, nella storia delle architetture di sorveglianza, tendono a diventare casi normali nel giro di un decennio.