La Bulgaria ha concesso a una società di sorveglianza con sede a Sofia il permesso di esportare sistemi di tracciamento telefonico, intercettazione e monitoraggio a servizi di intelligence di paesi con una lunga storia di repressione del dissenso. Le licenze, trapelate e rese pubbliche da Human Rights Watch il 26 marzo, mettono in luce una filiera tecnicica che, nel silenzio delle autorizzazioni governative, alimenta il controllo capillare di popolazioni già oppresse.

Non si tratta di un incidente diplomatico isolato: i documenti elencano acquirenti governativi in Azerbaigian, Serbia, Malaysia, Messico, Emirati Arabi Uniti e almeno altri contesti non specificati. Circles BG, la società al centro della vicenda, è un nome noto agli analisti per le sue soluzioni di lawful interception e location tracking, strumenti che sfruttano le debolezze delle reti mobili per geo-localizzare obiettivi e intercettare comunicazioni.

La tecnicia dietro le quinte

Gli strumenti in questione – spesso basati su IMSI catcher, sistemi di intercettazione SS7 o gateway di monitoraggio – operano tipicamente in modalità on-premise. Significa che vengono installati direttamente nell’infrastruttura dell’acquirente, lontano da occhi esterni. Questa scelta non è casuale: garantisce al governo acquirente il controllo totale sui dati raccolti, evita la dipendenza da cloud di terze parti e rende quasi impossibile qualsiasi audit indipendente. Per i regimi autoritari, il deployment locale è un prerequisito: ogni bit di informazione rimane all’interno dei confini nazionali, sotto il sigillo della “sicurezza nazionale”.

I costi di queste infrastrutture sono generalmente opachi, ma si sa che richiedono investimenti iniziali significativi – in hardware, software e formazione – seguiti da contratti di manutenzione pluriennali. Il TCO per sistemi di sorveglianza su scala nazionale può facilmente raggiungere decine di milioni di euro, ma per un governo repressivo il prezzo è secondario rispetto al controllo che ottiene.

Il paradosso della sovranità

La vicenda bulgara è un esempio estremo di come la sovranità tecnicica possa essere usata per fini oppressivi. Lo stesso principio – mantenere dati e infrastrutture all’interno dei propri confini, senza dipendere da fornitori esterni – è al centro del dibattito su Large Language Models e AI on-premise. Le aziende europee che valutano di adottare LLM locali per rispettare il GDPR o per proteggere i propri segreti industriali lo fanno con motivazioni di tutela. Ma quando lo stesso approccio viene adottato da regimi autoritari, la sovranità diventa uno scudo per violare i diritti umani.

Non è un caso che i tool di sorveglianza moderni siano quasi sempre auto-ospitati. Nel mondo dell’intelligence, il cloud è visto come un rischio perché introduce un intermediario. Il self-hosting è la norma, e le soluzioni di Circles BG non fanno eccezione. Ma la trasparenza è zero: queste implementazioni sfuggono alle maglie dei controlli internazionali proprio perché chiuse e proprietarie.

Quali implicazioni per chi valuta deployment on-premise

Per chi opera nel settore tecnicico, il caso bulgaro offre una lezione amara: la scelta di architetture on-premise non è mai solo tecnica, ma profondamente politica. Quando un’organizzazione decide di tenere la propria inference AI nei propri server, lo fa per controllo, riduzione del TCO a lungo termine, compliance e sovranità sui dati. Tuttavia, le stesse motivazioni possono essere distorte per alzare muri che nascondono abusi. La differenza la fanno i framework normativi e la trasparenza dei processi di audit.

AI-RADAR segue con attenzione queste dinamiche, non solo per i Large Language Models ma per l’intero ecosistema dell’infrastruttura locale. La domanda chiave non è se l’on-premise sia una scelta giusta, ma a chi serve e con quali controlli. Le licenze bulgare dimostrano che senza accountability, la tecnicia diventa uno strumento di repressione.