Il dibattito sull’equilibrio tra privacy e sicurezza pubblica rappresenta una delle questioni più rilevanti e controverse del nostro tempo, diventando un argomento di discussione essenziale a livello globale. In particolare, l’avvento della crittografia end-to-end (E2EE) ha intensificato questo confronto, poiché questa tecnologia gioca un ruolo cruciale nel garantire la segretezza delle comunicazioni private.
Da un lato, la crittografia E2EE offre un fondamentale strumento per proteggere la privacy degli utenti, assicurando che solo i destinatari designati possano accedere alle informazioni scambiate. Questo livello di sicurezza è particolarmente importante in un’epoca in cui la sorveglianza e la raccolta di dati personali da parte di enti governativi e aziende sono sempre più diffuse. Gli utenti desiderano sentirsi tutelati da possibili intrusioni e vogliono avere il controllo sui propri dati personali.
Dall’altro lato, però, si presenta una seria preoccupazione per la sicurezza pubblica. Le agenzie di sicurezza e le forze dell’ordine sostengono che la crittografia forte potrebbe ostacolare le indagini su attività criminali e temuti atti terroristici. La difficoltà di accedere a comunicazioni protette crea un dilemma etico per i responsabili politici: come bilanciare il diritto alla privacy con la necessità di garantire la sicurezza della società?
Questa tensione fra privacy e sicurezza implica anche una discussione più ampia sulle responsabilità delle aziende tecnologiche, sugli interventi legislativi necessari e sull’importanza di educare il pubblico riguardo alle tecnologie di crittografia. In definitiva, il confronto tra i diritti individuali e le esigenze della collettività richiede un dialogo costruttivo che possa condurre a soluzioni che rispettino tanto la privacy quanto la sicurezza.
Facciamo il punto.
Indice degli argomenti
Davos e il futuro della crittografia: la posizione di Europol
Aziende leader nel settore tecnologico come Apple, Telegram, Proton e Signal si sono schierate in difesa della crittografia, sostenendo che qualsiasi compromesso in questo ambito potrebbe seriamente minacciare la privacy e la sicurezza degli utenti. Tuttavia, i governi e le forze dell’ordine adottano un approccio diametralmente opposto. Una delle voci più significative in questa discussione è quella di Catherine De Bolle, direttrice di Europol[1], che ha espresso posizioni contrarie a quelle delle imprese tecnologiche.
In occasione del World Economic Forum di Davos, De Bolle, che ha anche ricoperto il ruolo di commissario generale della polizia federale belga, ha lanciato un forte appello alle aziende tecnologiche, esortandole a rafforzare la collaborazione con le forze dell’ordine. Secondo lei, le grandi aziende del settore hanno una “responsabilità sociale” nei confronti della comunità, responsabilità che include anche la necessità di fornire accesso alle comunicazioni criptate in situazioni particolari. Ha affermato che la protezione dell’anonimato online non deve essere considerata un diritto fondamentale, sostenendo che la salvaguardia della sicurezza pubblica dovrebbe prevalere.
In un’intervista con il Financial Times, De Bolle ha chiaramente dichiarato: “L’anonimato non è un diritto fondamentale”. Questa affermazione riflette la sua convinzione che, sebbene la crittografia rappresenti un’importante misura per la tutela della privacy, può trasformarsi in un ostacolo significativo quando viene utilizzata per attività criminali. La sua posizione evidenzia la crescente tensione tra le esigenze di protezione della privacy individuale e le necessità operative delle forze dell’ordine, creando un dibattito complesso e cruciale sulla sicurezza e i diritti civili nel contesto delle moderne tecnologie digitali.
La controversia delle backdoor: l’analogia di De Bolle suscita critiche
Per chiarire la sua posizione, De Bolle ha utilizzato un’analogia con una perquisizione fisica. Ha paragonato la crittografia digitale a una porta chiusa a chiave: secondo la sua argomentazione, se la polizia, con un mandato, fosse a conoscenza del fatto che un criminale si trova all’interno di una casa, sarebbe inaccettabile che la società impedisse l’accesso delle forze dell’ordine per compiere la perquisizione. Allo stesso modo, sostiene De Bolle, la protezione delle comunicazioni criptate garantita dalle aziende tecnologiche dovrebbe essere equilibrata con la necessità di consentire alle autorità un accesso regolamentato, laddove vi siano motivazioni legali e di sicurezza valide.
Questa analogia ha però suscitato ampie critiche, nonostante la sua intuitività. Molti esperti sottolineano le difficoltà e i limiti di questa comparazione, evidenziando le significative differenze strutturali tra il mondo fisico e quello digitale. In un contesto fisico, infatti, una porta può essere aperta senza compromettere la sicurezza di altre aree. Al contrario, nel caso della crittografia digitale, il sistema è progettato per essere sicuro in modo globale: l’introduzione di una backdoor comprometterebbe la sicurezza dell’intero ecosistema, mettendo a rischio ogni singolo dato protetto.
Inoltre, le implicazioni tecniche di una simile soluzione non si fermerebbero al semplice accesso da parte delle autorità. Un’interferenza con la crittografia digitale potrebbe esporre l’intero sistema a potenziali abusi, sia da parte di hacker che da stati ostili. Da questo punto di vista, l’analogia proposta da De Bolle risulterebbe dunque efficace solo a livello superficiale. La complessità del mondo digitale e l’importanza della crittografia per garantire la sicurezza collettiva rendono le proposte avanzate da Europol non solo inadatte, ma addirittura pericolose. Il compromesso della privacy, infatti, non avrebbe l’effetto di incrementare la sicurezza, ma al contrario potrebbe amplificare i rischi per i cittadini, le imprese e la democrazia nel suo complesso.
Europol e il rischio di sorveglianza di massa
I dubbi e le attuali perplessità si inseriscono in un contesto di accuse preesistenti nei confronti di Europol, che nel 2020 era stata denunciata per aver accumulato in modo illegale enormi quantità di dati personali, creando un sistema di sorveglianza di massa simile a quello della NSA statunitense. L’archivio, che conteneva almeno 4 petabyte di dati raccolti senza adeguati controlli – tra cui informazioni su crimini, richieste di asilo e comunicazioni criptate – aveva suscitato l’intervento dell’EDPS (Garante europeo per la protezione dei dati), che aveva ordinato la cancellazione immediata dei dati. Nonostante le difese di Europol, che giustificava tale accumulo come necessario per la lotta al terrorismo e alla criminalità organizzata, l’EDPS aveva ribadito che tali pratiche violavano le normative europee e comportavano il rischio di associare erroneamente individui a crimini senza base legale.
Oggi, Europol sembra orientata a diventare la controparte europea della NSA, con un crescente interesse per tecnologie avanzate come l’intelligenza artificiale e il data mining. Tuttavia, l’uso di questi strumenti continua a sollevare preoccupazioni etiche e giuridiche, in particolare riguardo alla raccolta indiscriminata di dati nei campi profughi in Italia e Grecia. In queste aree, decine di migliaia di richiedenti asilo sono già stati sottoposti a screening di massa senza una base legale chiara, suscitando accuse di discriminazione, profilazione etnica e violazioni sistematiche dei diritti umani. Inoltre, avvocati e attivisti, richiamando esempi come il malware Pegasus, hanno sollevato seri timori circa i rischi di una sorveglianza indiscriminata che potrebbe colpire anche persone estranee a qualsiasi attività criminale.
Nonostante le critiche, Europol sembra però determinata a perseguire la strada intrapresa. La decifrazione delle comunicazioni di EncroChat e Sky ECC nel 2021 è stata presentata come prova tangibile dell’importanza di accedere ai messaggi criptati: grazie a queste operazioni, sono stati scoperti numerosi crimini, che hanno portato a migliaia di arresti in Europa e al più grande processo penale della storia del Belgio. Questo successo è stato utilizzato da Europol per rafforzare la propria posizione sulla necessità di un accesso controllato alle comunicazioni criptate, considerato essenziale nella lotta contro la criminalità.
Le dichiarazioni di De Bolle , tuttavia, non sono semplici opinioni isolate, ma fanno parte di uno sforzo più ampio per esercitare pressione sulle aziende tecnologiche, soprattutto in occasione della partecipazione di Europol al World Economic Forum di Davos. Quest’anno, il forum si è concentrato su un tema cruciale: la “Cooperazione per l’era intelligente“. In questa sede, Europol ha sottolineato l’importanza di ampliare le proprie capacità nell’intelligenza artificiale per affrontare minacce sempre più sofisticate, come attacchi cibernetici, sabotaggi infrastrutturali e campagne di disinformazione. Malgrado ciò, il mandato limitato dell’agenzia, focalizzato principalmente sulla criminalità organizzata, non consente di affrontare adeguatamente le minacce provenienti da attori statali; una lacuna questa che De Bolle considera un ostacolo significativo in un’epoca in cui i pericoli sono sempre più globalizzati.
Sotto la guida di De Bolle, Europol ha intrapreso un’importante espansione, raddoppiando la propria forza lavoro e arrivando a circa 1.700 dipendenti. Questo ampliamento è visto come una risposta urgente alle sfide di sicurezza in continua evoluzione, ed è supportato dalla presidente della Commissione Europea, Ursula von der Leyen, che ha sottolineato l’importanza di potenziare ulteriormente le capacità operative di Europol, chiedendo esplicitamente un ulteriore aumento delle risorse per affrontare le minacce più complesse. Il contesto in cui operano le forze dell’ordine europee è infatti particolarmente arduo. Da un lato, c’è la necessità di garantire l’accesso alle comunicazioni criptate per combattere crimini gravi come il terrorismo e la criminalità organizzata. Dall’altro, le forze dell’ordine devono aggiornare e potenziare le proprie infrastrutture e capacità tecnologiche per rispondere a minacce sempre più sofisticate e globali, come gli attacchi cibernetici, il traffico di dati sensibili e le attività di disinformazione politica.
De Bolle ha quindi ribadito alle aziende tecnologiche di riconoscere la gravità della loro responsabilità e di cercare un equilibrio tra la protezione dei diritti individuali e la necessità di tutelare la sicurezza collettiva. La persistente mancanza di convergenza tra queste due esigenze fondamentali, secondo la visione della direttrice di Europol, potrebbe non solo compromettere la sicurezza pubblica, ma anche minare la stabilità delle istituzioni democratiche, che si fondano sulla capacità dello Stato di proteggere i propri cittadini e mantenere l’ordine.
EU Innovation Hub e EDRi: le sfide della crittografia e il dilemma europeo
Le complessità di questa questione vengono approfondite anche in un nuovo rapporto dell’EU Innovation Hub for Internal Security, sviluppato in collaborazione con le principali agenzie di contrasto europee tra cui appunto Europol. Il documento evidenzia la necessità urgente di un approccio equilibrato che bilanci i benefici derivanti dall’uso della crittografia con le difficoltà che essa comporta per le forze dell’ordine nella lotta contro la criminalità grave e il terrorismo. Tra i principali punti sollevati nel rapporto, si segnala la necessità di introdurre quadri giuridici robusti che regolamentino l’uso delle tecnologie avanzate, nonché il ruolo cruciale che tecnologie emergenti come il 5G, il 6G, la biometria e il calcolo quantistico giocano sia come opportunità che come sfide per le forze dell’ordine.
Un altro punto fondamentale trattato nel rapporto riguarda l’importanza delle partnership tra il mondo accademico, l’industria e le forze dell’ordine, viste come cruciali per lo sviluppo di strumenti innovativi in grado di supportare le indagini senza compromettere la sicurezza complessiva delle comunicazioni. L’intelligenza artificiale è definita nel rapporto un’“arma a doppio taglio” per le forze dell’ordine: se da un lato può semplificare e velocizzare le indagini, dall’altro solleva rischi legati alla sua potenziale abusabilità e alla difficoltà di gestirne l’etica e la legalità. Un altro avvertimento riguardo al futuro del panorama crittografico riguarda il calcolo quantistico, che rappresenta una minaccia significativa per gli attuali sistemi di sicurezza informatica, rendendo necessaria una rapida transizione verso la crittografia post-quantistica, che potrebbe garantire una protezione più solida in un contesto in cui le capacità di calcolo dei sistemi evolvono esponenzialmente.
A sostegno delle conclusioni del rapporto, si fa riferimento al pacchetto di prove elettroniche recentemente adottato dall’Unione Europea, finalizzato a facilitare le indagini e i procedimenti penali transfrontalieri. Inoltre, la sentenza della Corte di giustizia dell’Unione europea nel caso EncroChat e Sky ECC[2] ha stabilito chiaramente le condizioni in base alle quali gli Stati membri possono richiedere e trasmettere dati intercettati da canali di comunicazione criptati e utilizzarli come prova nei procedimenti penali, contribuendo a chiarire le modalità legali per l’accesso alle comunicazioni criptate in ambito giuridico.
Non è tutto. Nascosto tra le pieghe della burocrazia europea, un piano ambizioso e controverso, dettagliatamente analizzato da EDRi (European Digital Rights), sta prendendo forma. Il documento, pubblicato per la prima volta da Netzpolitik e ora reso pubblico anche dalla Commissione Europea è stato redatto da un gruppo di esperti incaricati di rafforzare i poteri di indagine delle forze dell’ordine, e propone una riforma radicale della sorveglianza online nell’Unione Europea. Sotto la patina di una lotta al crimine più efficace, si cela infatti un progetto che per alcuni minaccia di trasformare l’Europa digitale in un gigantesco sistema di sorveglianza di massa. Tra le proposte più controverse troviamo: il ripristino della conservazione di massa dei dati, ovvero un ritorno al passato, quando le aziende di telecomunicazioni erano obbligate a conservare per lunghi periodi i dati di tutti i loro clienti, indipendentemente dal fatto che fossero sospettati di alcun reato. In più l’indebolimento della crittografia, infatti il piano, in linea con la visione espressa anche da Europol, mira a garantire che le forze dell’ordine possano accedere a qualsiasi dato crittografato, anche a costo di indebolire gli standard di sicurezza informatica. A cui si aggiunge anche la collaborazione obbligatoria tra aziende e Stato per cui le aziende saranno costrette a collaborare con le autorità, sviluppando prodotti e servizi che facilitino la sorveglianza di massa. Le motivazioni ufficiali sono la lotta alla criminalità e alla minaccia terroristica. Tuttavia, molti esperti e organizzazioni per i diritti civili temono che questo piano possa essere utilizzato per scopi ben più ampi, come il controllo sociale e la repressione del dissenso.
La risposta della società civile non si è fatta attendere: EDRi e altre organizzazioni per i diritti digitali hanno lanciato un allarme, evidenziando i rischi di un piano che, se messo in atto, potrebbe minare gravemente le libertà civili. Anche numerosi politici e attivisti hanno espresso preoccupazione, sottolineando come una simile riforma potrebbe aprire la strada a forme di sorveglianza che violano i diritti fondamentali dei cittadini e minano la fiducia nelle istituzioni democratiche.
La crittografia come strumento di libertà e resistenza. Telegram, Apple e le sfide globali
La crittografia, l’arte di rendere incomprensibili le informazioni agli occhi indiscreti, si è rivelata un’alleata insospettabile per milioni di persone. Dall’Ucraina devastata dalla guerra all’Iran sotto il regime degli Ayatollah, le app di messaggistica crittografata sono diventate un baluardo contro censura e sorveglianza, un ponte essenziale tra chi fugge e chi cerca di aiutare. Ma il ruolo della crittografia va ben oltre: questa tecnologia, già al centro dell’attenzione globale durante il dibattito su Pavel Durov e la sua piattaforma Telegram, è diventata un nodo sempre più cruciale in questioni legali, politiche, geopolitiche e tecnologiche.
In un mondo sempre più interconnesso, dove le informazioni personali viaggiano senza sosta su reti globali, la protezione di questi dati è diventata una priorità assoluta. La crittografia, che utilizza algoritmi matematici per trasformare i dati in codici illeggibili a chi non possiede la chiave di decifrazione, è al centro di questo scenario complesso. Tecniche come la crittografia simmetrica e asimmetrica, così come i metodi di anonimizzazione e pseudonimizzazione, sono essenziali per proteggere le informazioni scambiate sulle piattaforme digitali. Tuttavia, queste stesse tecnologie rappresentano una sfida per le forze dell’ordine, rendendo più difficile monitorare attività illecite e creando così un dilemma etico e operativo.
Non sorprende che il caso Durov, risalente alla scorsa estate[3], abbia assunto una rilevanza simbolica sulla scena internazionale. Il fondatore di Telegram e la sua piattaforma di messaggistica, considerata uno dei baluardi della crittografia, sono finiti al centro di una controversia geopolitica complessa tra Francia e Russia. Durov è stato accusato dalle autorità francesi di non aver impedito la diffusione di contenuti illegali sulla sua piattaforma, ma ha risposto denunciando un trattamento ingiusto, affermando che sarebbe assurdo considerarlo responsabile per l’uso improprio di uno strumento che ha creato. Questa vicenda illustra il dilemma ancora irrisolto che coinvolge i fornitori di servizi crittografati: da un lato, devono garantire la sicurezza degli utenti e rispettare le normative internazionali, dall’altro, devono proteggere la libertà di espressione, la riservatezza delle comunicazioni e la sicurezza dei dati.
Telegram non è l’unica piattaforma coinvolta in questo dibattito. Apple e Signal, ad esempio, sono tra i principali sostenitori della crittografia end-to-end e si oppongono fermamente alle richieste governative di introdurre backdoor nei loro sistemi. D’altra parte, piattaforme come WhatsApp, pur utilizzando la crittografia, si mostrano più inclini a collaborare con le autorità. Altre aziende, invece, preferiscono mantenere una posizione neutra, evitando di prendere una posizione troppo netta su queste questioni.
Il cuore della contesa sono le chiavi di crittografia, un vero e proprio “Santo Graal” per governi e agenzie di intelligence: chi le possiede può accedere a tutte le informazioni protette. Se figure come Durov cedessero alle pressioni per fornire accesso a queste informazioni, si aprirebbe la porta a una sorveglianza diffusa, con il rischio di minare la privacy e l’autonomia di milioni di utenti, specialmente in contesti politici repressivi.
In aggiunta, Durov è stato accusato di violare le normative francesi relative all’importazione e fornitura di servizi crittografici, un aspetto che mette in evidenza un’altra delle maggiori tensioni legate alla crittografia: il delicato equilibrio tra la protezione della privacy degli utenti e l’obbligo di rispettare un mosaico infinito di leggi nazionali, che talvolta impongono la collaborazione con le autorità per garantire la sicurezza pubblica. La questione non si limita al caso specifico di Telegram, ma riflette ancora una volta un problema più ampio che coinvolge tutte le piattaforme crittografate. Normative come quelle francesi o le differenze nei sistemi di regolamentazione tra Stati Uniti ed Europa evidenziano come le sfide legali e politiche legate alla crittografia variano significativamente a livello non solo locale bensì anche globale. Negli Stati Uniti, ad esempio, la crittografia è regolamentata da un intricato sistema di leggi federali e statali, con un forte focus sulla sicurezza nazionale. Agenzie come il National Institute of Standards and Technology (NIST) stabiliscono gli standard di crittografia, come l’Advanced Encryption Standard (AES), utilizzati in settori cruciali come la finanza, la sanità e le comunicazioni. Tuttavia, le forze dell’ordine statunitensi spesso richiedono l’accesso ai dati crittografati, come dimostrato nel caso tra Apple e FBI del 2016, che ha sollevato un acceso dibattito sulla privacy, la sicurezza informatica e la sicurezza nazionale.
Salt Typhoon e la sicurezza informatica: la scommessa della nuova amministrazione Trump
L’attacco Salt Typhoon, verificatosi nel contesto dell’insediamento di Donald Trump, non solo evidenzia le gravi implicazioni di una crittografia insufficiente o indebolita, ma offre anche un osservatorio privilegiato sul ruolo cruciale della sicurezza informatica in un contesto geopolitico sempre più teso. Proteggere i settori strategici con tecnologie avanzate non è solo una questione tecnica, ma una necessità strategica per mantenere la sicurezza nazionale, la fiducia pubblica e la leadership globale degli Stati Uniti. Questo attacco informatico ha dimostrato come gruppi di hacker avanzati, spesso legati a Stati-nazione, possano sfruttare le vulnerabilità dei sistemi critici per ottenere accesso non autorizzato a informazioni sensibili. Quando le reti di telecomunicazioni non sono adeguatamente protette, le conseguenze possono essere devastanti. I dati intercettati nell’attacco Salt Typhoon, inclusi quelli relativi al presidente eletto Donald Trump, sono un chiaro esempio di come un’infiltrazione possa mettere a rischio non solo la sicurezza nazionale, ma anche la stabilità politica e la fiducia nelle istituzioni.
La compromissione dei sistemi di telecomunicazione va oltre i danni immediati derivanti dalla fuga di informazioni. Le aziende operanti in settori critici, come le telecomunicazioni, possono subire ingenti perdite economiche, sia per i costi diretti della violazione che per il danno reputazionale. Inoltre, l’insicurezza delle infrastrutture digitali può innescare un effetto domino, minando la fiducia di investitori, partner commerciali e cittadini.
Salt Typhoon, attribuito alla Cina, rappresenta una tipologia di minaccia sempre più comune: un gruppo avanzato con risorse statali a disposizione. Gli hacker cinesi avrebbero sfruttato le backdoor nelle reti di telecomunicazioni, introdotte nel rispetto del Communications Assistance for Law Enforcement Act (CALEA). Sebbene non sia ancora chiaro se le capacità di intercettazione legale siano state il vettore principale o l’obiettivo dell’attacco, è evidente che siano state utilizzate. La presenza di backdoor nei sistemi di comunicazione costituisce dunque una vulnerabilità che gli avversari sono pronti a sfruttare come prima opzione. Gli Stati-nazione utilizzano lo spionaggio informatico per ottenere vantaggi economici e strategici, inclusi quelli militari, infiltrandosi nei sistemi critici dei paesi rivali. Motivo in più per cui molti sostenitori della crittografia end-to-end, ritengono che il contrasto a minacce come Salt Typhoon richieda con estrema urgenza una serrata collaborazione tra governi e aziende per implementare standard di sicurezza elevati, basati su crittografia robusta, avanzata e aggiornata. Una crittografia indebolita, volontariamente o meno, può diventare un punto debole che gli avversari sfruttano con conseguenze potenzialmente catastrofiche.
L’approccio della nuova amministrazione Trump alla crittografia e alla sicurezza informatica potrebbe essere cruciale per il futuro della privacy e della sicurezza nazionale, non solo negli Stati Uniti, ma a livello globale.
Durante il primo mandato, Trump si era schierato più volte contro la crittografia end-to-end, sostenendo che impedisse alle forze dell’ordine di accedere ai messaggi criptati, anche quando in possesso di un mandato legale. Tuttavia, nel contesto attuale, scegliere di indebolire la crittografia potrebbe contrastare le urgenti necessità di proteggere infrastrutture critiche e dati sensibili da attacchi informatici. Salt Typhoon è emblematico.
La nomina di Kash Patel alla direzione dell’FBI introduce una nuova variabile in questo scenario. Patel, noto per il suo linguaggio diretto e per la sua opposizione ai “cospiratori”, potrebbe spingere per misure che favoriscano l’accesso ai dati degli utenti in nome della sicurezza nazionale. Tuttavia, potrebbe anche opporsi a un’espansione eccessiva del monitoraggio governativo, creando un quadro politico ambiguo e difficile da prevedere. Indubbiamente, la posizione dell’FBI sulla crittografia più debole sarà un test fondamentale per comprendere se l’amministrazione Trump sosterrà le forze dell’ordine o cercherà di bilanciare gli interessi delle Big Tech con la privacy individuale.
Un aspetto chiave della politica della nuova amministrazione sarà anche il rapporto con le Big Tech, che giocano sicuramente un ruolo centrale nella gestione della crittografia. Sebbene Trump possa cercare di consolidare alleanze economiche e strategiche con queste aziende, esiste il rischio che tali partnership possano portare a compromessi pesanti. Con le Big Tech che implementano crittografia sempre più avanzata per proteggere la privacy, potrebbe sorgere un conflitto tra le esigenze governative di accesso ai dati e le strategie aziendali orientate a difendere la privacy e la fiducia degli utenti.
La nuova amministrazione Trump si trova di fronte a una scelta cruciale: rafforzare le difese informatiche e garantire la privacy attraverso una crittografia robusta, o cedere alle pressioni per un maggiore controllo sui dati personali in nome della sicurezza nazionale. Il ruolo dell’FBI sotto la guida di Kash Patel e il rapporto con le Big Tech saranno determinanti nel definire il futuro della crittografia e della privacy negli Stati Uniti. Qualsiasi politica che comprometta la crittografia, infatti, rischia di esporre non solo gli individui, ma anche l’intera infrastruttura nazionale, a minacce sempre più sofisticate e complesse.
Il dilemma globale tra sicurezza, diritti fondamentali e normative contrapposte
In Europa il panorama normativo è dominato dal Regolamento generale sulla protezione dei dati (GDPR), che prevede misure rigorose per la protezione dei dati personali, compresa l’implementazione della crittografia come strumento di difesa.
Come per gli USA anche in UE una delle questioni più critiche riguarda la gestione delle chiavi crittografiche: la loro generazione, distribuzione e conservazione. Soluzioni come i moduli di sicurezza hardware (HSM) e i vault digitali sono fondamentali per garantire l’efficacia della crittografia. Nonostante gli Stati Uniti e l’Europa condividano standard tecnici simili, le normative di ciascuna regione riflettono ancora approcci culturali e legali diversi. Queste differenze obbligano le organizzazioni globali a sviluppare strategie crittografiche flessibili (a volte incoerenti) per rispettare normative in continua evoluzione su entrambi i lati dell’Atlantico.
Non sorprende, quindi, che la crittografia sia uno degli strumenti più potenti e controversi del mondo digitale. Come si può bilanciare il diritto alla privacy con la necessità di garantire la sicurezza nazionale e combattere la criminalità? Quali strumenti possono consentire alle forze dell’ordine di accedere alle prove digitali criptate senza violare i diritti fondamentali? E come costruire una normativa che tuteli sia la sicurezza che la riservatezza? La crittografia end-to-end non è solo una questione tecnica, ma anche un dilemma etico e politico. In contesti dominati da regimi autoritari, rappresenta una protezione fondamentale per dissidenti e attivisti, difendendoli dalla censura e dalla sorveglianza. Per i giornalisti, garantisce la riservatezza delle fonti, rafforzando la libertà di stampa.
Telegram rappresenta un esempio significativo, ma non unico, del ruolo fondamentale delle app di messaggistica crittografata nei contesti di conflitto e crisi umanitarie. La sua capacità di proteggere le comunicazioni in ambienti altamente sorvegliati lo rende un alleato indispensabile per attivisti, giornalisti e dissidenti in paesi dove la libertà di espressione è fortemente limitata. In Stati come l’Iran, dove la sorveglianza governativa è pervasiva, la crittografia diventa una risorsa cruciale per la protezione dei diritti umani, consentendo a chi vive sotto regimi autoritari di esprimersi liberamente senza il timore di essere intercettato o perseguitato. In questi contesti, le tecnologie di cifratura come quelle offerte da Telegram sono essenziali per garantire che le comunicazioni rimangano private, anche in presenza di attacchi informatici o operazioni di sorveglianza massiva da parte delle autorità.
Un altro esempio altrettanto rappresentativo è l’app Nahoft, progettata per crittografare i messaggi e nasconderli all’interno di immagini, un’innovativa soluzione per comunicare in modo sicuro anche durante i blackout di internet. Questa app è stata sviluppata in risposta alle violente repressioni che hanno caratterizzato le proteste in Iran nel 2019, quando le autorità hanno cercato di isolare i manifestanti spegnendo l’accesso a Internet. Nahoft si è rivelata un potente strumento di resistenza, che ha consentito ai cittadini di eludere la censura e le restrizioni imposte dal regime, proteggendo al contempo la riservatezza delle informazioni scambiate. La sua capacità di nascondere messaggi crittografati in immagini rende infatti la comunicazione non solo sicura, ma anche difficilmente rilevabile, un aspetto fondamentale per chi cerca di operare in ambienti digitali altamente monitorati.
Tuttavia, lo stesso strumento che protegge queste libertà può essere utilizzato anche per scopi più oscuri. L’anonimato offerto dalla crittografia facilita la diffusione di fake news e propaganda, ostacolando la lotta alla disinformazione, e offre ai criminali e ai terroristi un mezzo sicuro per compiere attività illecite. Questo complica ulteriormente il lavoro delle forze dell’ordine, che devono prevenire e contrastare tali fenomeni senza compromettere i diritti fondamentali.
Le attuali scelte normative e le loro conseguenze
In questo scenario complesso, emerge con forza la necessità di un quadro normativo equilibrato che affronti in maniera organica le sfide poste dalla crittografia. Un approccio efficace dovrebbe garantire che l’accesso alle comunicazioni crittografate da parte delle autorità sia strettamente regolamentato, limitato a casi specifici, soggetto a controlli giudiziari rigorosi e accompagnato da garanzie solide contro abusi. Parallelamente, è fondamentale preservare la robustezza della crittografia come strumento chiave per la tutela della privacy e della libertà di espressione, in particolare in contesti caratterizzati da regimi autoritari.
La crittografia, infatti, è sempre più radicata nella quotidianità digitale, trovando applicazione nelle transazioni finanziarie, nelle comunicazioni aziendali, nell’e-commerce e nei messaggi personali. Tecnologie di crittografia end-to-end (E2EE), adottate da aziende come Proton e da app di messaggistica come Signal, Telegram o Nahoft, hanno reso questa protezione accessibile a miliardi di utenti. Tuttavia, mentre la sua diffusione promette maggiore sicurezza, solleva anche nuovi interrogativi. Pur rafforzando la sicurezza contro accessi non autorizzati, essa può essere vulnerabile a implementazioni difettose, falle negli algoritmi e tecniche di ingegneria sociale. Inoltre, l’apparente inviolabilità della crittografia rischia di generare un’eccessiva fiducia nei confronti degli strumenti tecnologici, spesso senza che gli utenti comprendano appieno le implicazioni politiche e i rischi connessi, inclusi l’uso illecito da parte di criminali e il tentativo dei governi di imporre regolamentazioni restrittive.
Prima dell’introduzione della crittografia E2EE, le piattaforme potevano rilevare e segnalare contenuti illeciti, come immagini di abusi sui minori. Garantendo che nemmeno i provider possano accedere ai contenuti dei messaggi, la crittografia è via via diventata una difesa naturale contro sorveglianza e censura ma anche un terreno fertile per attività criminali, complicando ed esacerbando l’attuale dibattito sul bilanciamento tra diritti.
Se dunque la regolamentazione della crittografia si intreccia inevitabilmente con il delicato equilibrio tra sicurezza, privacy e diritti fondamentali, non di meno i diversi approcci normativi sino ad ora adottati nel mondo evidenziano la complessità di questa sfida globale.
Per affrontare queste sfide, sono state proposte diverse soluzioni.
Nel Regno Unito, l’Online Safety Act richiede alle piattaforme di adottare tecnologie in grado di rilevare contenuti illegali senza compromettere la solidità della crittografia. Tuttavia, nessuna di queste tecnologie è stata finora approvata ufficialmente. Tra le proposte tecniche vi sono il cosiddetto “ghost protocol”, che consentirebbe un accesso selettivo alle comunicazioni crittografate da parte delle autorità, e la scansione client-side, una soluzione controversa che permette di analizzare i contenuti direttamente sul dispositivo dell’utente prima che vengano crittografati. La prima opzione rappresenta un sistema basato sull’aggiunta silenziosa di un “utente fantasma” a una chat crittografata, in modo che le autorità possano leggere i messaggi in tempo reale. Sebbene questa scappatoia permetterebbe un accesso selettivo alle comunicazioni per indagini specifiche, essa intacca anche la fiducia degli utenti che verrebbe inevitabilmente compromessa, poiché l’idea stessa di una comunicazione privata verrebbe minata. Inoltre, l’inserimento di un ghost user potrebbe essere sfruttato non solo da hacker ma anche da regimi autoritari per violare i diritti umani, con il consueto rischio di trasformare una tecnologia concepita per la sicurezza in uno strumento di sorveglianza. La seconda ipotesi invece prevede l’implementazione di un software integrato nel dispositivo in grado di confrontare i file con un database di contenuti noti come illegali, segnalando eventuali corrispondenze alle autorità o ai provider. Pur avendo lo scopo di prevenire crimini gravi e proteggere le vittime, anche questa tecnologia ha suscitato profonde critiche. La scansione client-side infrange infatti proprio il principio fondamentale della crittografia end-to-end, che garantisce che solo i destinatari abbiano accesso ai contenuti. Inoltre, l’analisi preventiva dei dati potrebbe anch’esso facilmente trasformarsi in uno strumento di sorveglianza di massa, potenzialmente abusato in contesti autoritari per monitorare dissidenti, giornalisti o minoranze. Si aggiungono il rischio di falsi positivi, che potrebbero portare alla criminalizzazione di utenti innocenti, e il limite di efficacia: criminali esperti potrebbero aggirare il sistema adottando soluzioni alternative come piattaforme meno regolamentate o crittografia personalizzata.
In Europa, l’iniziativa nota come Chat Control rappresenta un ulteriore tentativo di affrontare le sfide poste dall’uso della crittografia e dal bilanciamento tra sicurezza e privacy. La proposta prevede il monitoraggio automatico delle comunicazioni private – come messaggi o email – per individuare contenuti sospetti, tra cui materiale pedopornografico o legato al terrorismo. Sebbene concepito con l’intento di prevenire gravi crimini, il piano ha incontrato una forte opposizione, soprattutto da parte di esperti di privacy, organizzazioni per i diritti digitali e cittadini preoccupati. E’ stato infatti respinto reiteramente.
Le critiche si sono intensificate a seguito di una storica sentenza della Corte Europea dei Diritti dell’Uomo (CEDU). Il 13 febbraio 2024, nella sentenza Podchasov c. Russia[4], la CEDU ha infatti stabilito come l’obbligo imposto a Telegram di fornire chiavi di crittografia e conservare i dati degli utenti per permetterne la decrittazione violasse l’art. 8 della Convenzione Europea, ed ha ribadito che misure di sorveglianza così invasive minano in modo inaccettabile l’essenza stessa del diritto alla privacy e della democrazia, sottolineando a la conseguente necessità di preservare l’equilibrio tra sicurezza e diritti fondamentali.
A livello normativo, l’Unione Europea si è dimostrata leader nella tutela della privacy. Con l’introduzione del GDPR nel 2018, ha definito un quadro chiaro per la protezione dei dati personali, incoraggiando l’uso della crittografia come misura tecnica adeguata per garantire la sicurezza delle informazioni. Parallelamente, la proposta di regolamento ePrivacy, ancora in discussione, mira a rafforzare ulteriormente la riservatezza delle comunicazioni elettroniche, vietando espressamente la creazione di backdoor su richiesta governativa. La direttiva NIS2, adottata nel 2022, sottolinea inoltre il ruolo cruciale della crittografia nel garantire la resilienza delle infrastrutture critiche europee, particolarmente rilevanti in settori come l’energia, i trasporti e la finanza.
Nonostante queste misure, alcuni Stati membri come Germania e Francia continuano a promuovere l’introduzione di meccanismi che consentano l’accesso eccezionale alle comunicazioni crittografate per finalità di sicurezza nazionale. Questa spinta ha alimentato ulteriormente il dibattito in corso, poiché tali richieste sono state interpretate come l’ennesimo tentativo di indebolire la sicurezza complessiva dei sistemi crittografici e di aprire la strada a possibili abusi, compromettendo la fiducia degli utenti.
Al di fuori dell’Europa, il dibattito sulla crittografia è, come già evidenziato, altrettanto vivace. Negli Stati Uniti, ad esempio, la controversia si è accesa nel 2016, quando l’FBI chiese ad Apple di creare una backdoor per accedere all’iPhone di un terrorista coinvolto nell’attacco di San Bernardino. Apple si rifiutò, sostenendo che un’azione simile avrebbe compromesso la sicurezza di milioni di dispositivi. Questo caso emblematico ha fomentato il dibattito pubblico e legislativo, portando a proposte come il Lawful Access to Encrypted Data Act, volto a regolamentare l’accesso governativo ai dati crittografati. Tuttavia, non è stato raggiunto un consenso unanime, evidenziando la difficoltà di conciliare sicurezza pubblica e protezione della privacy.
Anche il Regno Unito l’Online Safety Bill approvato nel 2023 conferisce a Ofcom il potere di imporre ai servizi crittografati l’utilizzo di “tecnologie accreditate” per rilevare e rimuovere contenuti illegali. Tuttavia, come sappiamo, al momento non esistono tecnologie capaci di svolgere questa funzione senza compromettere la privacy garantita dalla crittografia. Situazioni analoghe emergono in Australia, dove il Telecommunications and Other Legislation Amendment (Assistance and Access) Act consente alle autorità di ottenere l’accesso ai dati crittografati, sollevando preoccupazioni per la sicurezza e la privacy. La successiva introduzione dell’Identify and Disrupt Act nel 2021 ha ampliato ulteriormente i poteri delle forze dell’ordine, autorizzandole a disporre dei dispositivi e assumere il controllo di account personali senza che gli utenti ne siano consapevoli. L’istituzione dell’e-Safety Commissioner ha rafforzato queste tendenze, alimentando altri timori sulla crescente pressione esercitata sui servizi crittografati.
Un caso emblematico è stato quello di Session, un’app di messaggistica crittografata end-to-end, che ha deciso di trasferire la propria sede legale fuori dalla giurisdizione australiana per evitare di dover implementare backdoor nei propri sistemi. Questa scelta non solo ha reso l’app immune alle richieste governative, ma ha anche privato le autorità australiane dell’accesso a informazioni come i metadati, che avrebbero potuto supportare indagini legittime. Tale situazione dimostra come politiche invasive possano in realtà rivelarsi controproducenti per la sicurezza digitale e per il rapporto di fiducia tra governi, aziende e cittadini.
In altri contesti, come India e Cina, le restrizioni alla crittografia sono ancora più stringenti. Le autorità di questi paesi impongono alle aziende di collaborare con i governi a scapito della privacy degli utenti, spesso senza margini per opposizioni significative.
Di contro, un approccio nettamente diverso si osserva in Svizzera, considerata un punto di riferimento per la tutela della privacy digitale. Le rigide leggi svizzere sulla protezione dei dati hanno favorito la nascita e lo sviluppo di alcune delle aziende più influenti nel settore. Proton, nota per i suoi servizi di posta elettronica e VPN sicuri, e Threema, un’app di messaggistica crittografata lanciata nel 2012, sono esempi di questa tendenza. La Svizzera si è affermata come un ambiente favorevole per le imprese orientate alla privacy, dimostrando che, a certe condizioni, normative rigorose ma rispettose dei diritti possono convivere con innovazione e sicurezza digitale.
La difficoltà di trovare un equilibrio tra sicurezza pubblica e diritti digitali
Il dibattito sull’equilibrio tra privacy e sicurezza si rivela sempre più centrale nell’era digitale, dove la crittografia rappresenta una delle principali sfide tecnologiche, politiche ed etiche. Da un lato, essa protegge i diritti fondamentali degli individui, garantendo privacy, libertà di espressione e sicurezza contro la sorveglianza indiscriminata; dall’altro, pone ostacoli significativi alle autorità nel contrasto alla criminalità e al terrorismo.
Le posizioni dei governi, delle forze dell’ordine e delle aziende tecnologiche evidenziano la complessità di trovare un equilibrio tra esigenze di sicurezza pubblica e tutela dei diritti digitali. Mentre la crittografia end-to-end è essenziale per proteggere comunicazioni sensibili, ogni tentativo di indebolirla, come l’introduzione di backdoor, rischia di esporre sistemi globali a minacce ancora maggiori, compromettendo la fiducia degli utenti e l’integrità delle infrastrutture critiche. Non solo infatti renderebbe più vulnerabili le infrastrutture critiche, come ospedali e reti elettriche, ma potrebbe anche scoraggiare le aziende tecnologiche dall’investire in un Paese che minaccia la sicurezza dei propri prodotti.
Le esperienze passate dimostrano che soluzioni tecniche affrettate possono risultare inefficaci e controproducenti. Per affrontare le sfide della sicurezza digitale in modo sostenibile, sarà fondamentale adottare un approccio normativo equilibrato che preservi la robustezza della crittografia, garantisca l’accesso regolamentato alle forze dell’ordine solo in casi specifici e protegga i diritti fondamentali dei cittadini.
Le sfide all’orizzonte
In un mondo sempre più interconnesso e soggetto a rischi cibernetici crescenti, la crittografia resta uno strumento cruciale per salvaguardare democrazia, diritti umani e innovazione tecnologica. Il futuro dipenderà dalla capacità dei governi e delle aziende di collaborare, definendo standard di sicurezza che tutelino sia la sicurezza collettiva sia la libertà individuale. L’innovazione tecnologica può contribuire a trovare soluzioni intermedie. Ad esempio, si stanno sviluppando approcci di “crittografia omomorfica”, dove i dati possono essere elaborati in forma criptata senza necessità di decrittare, consentendo alle autorità di svolgere indagini senza compromettere diritti degli individui.
Infine, è fondamentale considerare il ruolo della fiducia dei cittadini nei sistemi digitali. Una gestione trasparente e responsabile delle misure di sicurezza e della privacy è cruciale per mantenere questa fiducia. Le istituzioni devono dimostrare che la protezione della sicurezza pubblica non avviene a scapito dei diritti individuali, ma piuttosto in sinergia con essi.
In conclusione, il conflitto tra sicurezza e privacy non è solo una questione tecnica, ma una sfida sociale e politica che richiede un approccio multidimensionale. Solo attraverso un dialogo costante tra cittadini, legislatori e esperti di tecnologia sarà possibile sviluppare soluzioni che rispettino sia i diritti umani che la necessità di sicurezza.
Nonostante l’urgenza della questione, una soluzione concreta sembra però ancora lontana dall’essere raggiunta.
Note
[1]Fondata come organismo di coordinamento delle forze di polizia nazionali nell’UE e con sede all’Aia, Europol è stata promossa da alcuni Stati membri come soluzione ai problemi di terrorismo in seguito agli attacchi del Bataclan del 2015.
[2]Causa C-670/22 circa le condizioni di trasmissione e di utilizzo di prove acquisite nei procedimenti a carattere transfrontaliero relative a comunicazioni criptate, alla luce di quanto previsto dalla Direttiva 2014/41/UE.
[3]Arrestato lo scorso agosto a Parigi, Pavel Durov è finito sotto accusa per il presunto utilizzo della sua piattaforma come strumento per attività illecite, che spaziano dal terrorismo alla pedopornografia, passando per il traffico di armi e la vendita di stupefacenti. E’ stato poi rilasciato su cauzione, con l’obbligo di rimanere in Francia e di presentarsi due volte alla settimana alle autorità.
[4]Nel 2017, la Russia ha qualificato Telegram come “Internet Communications Organiser” (ICO), imponendo la conservazione dei dati e la consegna alle autorità di informazioni utili per decifrare comunicazioni crittografate. Telegram si rifiutò di ottemperare, affermando che la creazione di una backdoor avrebbe compromesso la sicurezza di tutti gli utenti.
