E’ di qualche giorno la notizia che anche WhatsApp offre comunicazioni cifrate “end to end”, ovvero direttamente tra il mittente e il destinatario. Questo annuncio ravviva la gia animatissima discussione sull’utilizzo della cifratura nei dispositivi e nelle comunicazioni mobili dopo il caso Apple/FBI.
Molti esperti di cyber security si sono espressi contro qualsiasi forma di indebolimento della cifratura o di inserimento di meccanismi di sblocco da utilizzare in casi di emergenza, argomentando la contrarietà con possibili rischi di sicurezza. Si è letto spesso che l’inserimento di cosiddette “backdoors”, ovvero di meccanismi di accesso di emergenza a sistemi o comunicazioni cifrati, potrebbe esporre gli stessi a rischi di compromissione e intrusione da parte di attori ostili, dai semplici hacker, fino a gruppi filo governativi.
Senza voler entrare in merito alla discussione specifica sul caso FBI/Apple, vorrei portare l’attenzione del lettore su alcuni concetti fondamentali che, se non chiariti, rischiano di prestarsi a posizioni più politiche che reali.
La prima considerazione riguarda il ruolo della sicurezza nella vita dei cittadini e delle imprese. La sicurezza non è un valore assoluto a cui aspirare. E’ la condizione che da la possibilità di prevenire o eliminare, ridurre o rendere meno gravi danni, evenienze spiacevoli, difficoltà, ecc. (definizione treccani.it). In questo senso, la sicurezza è sempre un equilibrio tra più fattori, tra benefici e costi, tra libertà e limitazioni. Lo stato di sicurezza assoluta, senza limiti costi e impatti seppur nobile obiettivo, è nella pratica comune ritenuta irraggiungibile.
E’ proprio questo compromesso continuo che ha portato allo sviluppo di discipline complesse come la Gestione dei Rischi (o Risk Management): la sapiente e continua ricerca dell’equilibrio tra tutti i fattori.
Nell’ambito del digitale, questa regola vale sempre: vogliamo più sicurezza, ma senza essere penalizzati. E’ per questo che per molti anni le banche hanno optato per soluzioni come le “one time password” (portachiavi che forniscono password uniche ogni minuto), invece di soluzioni più solide come i certificati digitali su browser o su smart card: sebbene quest’ultimi fossero più sicuri, l’impatto sull’usabilità ha porto le banche a scegliere soluzioni meno sicure, ma molto meno invasive e costose per l’utente.
Questi principi si applicano a tutti gli ambiti della sicurezza, inclusa la privacy, sebbene spesso molti contrappongano i due temi. La Privacy è un aspetto di tutela della sicurezza: informazioni personali che ci riguardano non vogliamo finiscano nelle mani sbagliate e quindi le vogliamo proteggere, un po come in una cassaforte.
E proprio le casseforti sono state pensate con questo obiettivo: proteggere il denaro a tutti i costi da persone non autorizzate. Per questo le banche si sono dotate di cassaforte che non solo sono dotate di chiave e combinazione, ma anche di dispositivi a tempo, in modo da evitare l’apertura sotto costrizione o ricatto. Questo è un principio sacrosanto che non ammette eccezioni. Fino a che qualcuno non rimane accidentalmente chiuso dentro. Come è accaduto recentemente ad una bambina di due anni e mezzo che si è chiusa dentro ad una cassaforte a tempo (vedi qui agenzia). Se la cassaforte fosse stata inviolabile, la bambina sarebbe soffocata. Sebbene non vi fosse un meccanismo di apertura d’emergenza dall’interno (funzionalità da valutare in futuro), i pompieri sono riusciti a forzarla, traendo in salvo la bambina.
E se la stessa cosa accadesse con un contenuto cifrato? Se all’interno di un telefono non più accessibile si trovassero informazioni che possano salvare una o più vite umane? O evitare un disastro o una strage?
Questa è una scelta di carattere politico: valutare se la privacy sia un bene assoluto, oppure se inserita nell’ambito di un concetto più ampio di sicurezza, non debba trovare un equilibrio con altri bisogni ben identificati.
La scelta non è assolutamente di carattere tecnico, ma squisitamente politico.Un governo potrebbe decidere che in casi ben precisi un archivio o una comunicazione criptata possano poter essere aperti. In tale ambito, potrebbero essere definite regole estremamente precise per la valutazione dei casi e le procedure di accesso ai dati, secondo principi di totale sicurezza, tracciabilità e trasparenza.
Si prenda un esempio estremo: i sistemi di lancio di testate nucleari. Vi è rischio che i codici di lancio finiscano nelle mani sbagliate, ma sono tate sviluppate tali procedure di sicurezza che questo è un rischio bassissimo (se escludiamo gli scenari dipinti da molti film).
L’industria e gli esperti potranno sviluppare sistemi a chiavi multiple che consentano di poter accedere ad archivi solo nelle condizioni previste. E non si tratta di “backdoor”.
Tecnicamente queste soluzioni esistono già, l’industria stessa sta sviluppando sistemi per poter accedere a canali cifrati in modo sicuro per fini di monitoraggio interno e manutenzione.
L’industria stessa si farà propositiva nei confronti delle istituzioni: messe da parte agende marketing e di tutela del proprio business, si convergerà verso approcci che tutelino la privacy degli utenti, consentendo però accessi straordinari in situazioni di emergenza/sicurezza nazionale.
La palla ora è ai governi: sta a loro definire le regole del gioco. Industria ed esperti lavoreranno di conseguenza per risolvere le sfide che verranno lanciate.
