legalità e sicurezza

Crittografia, le indicazioni Ue per il giusto equilibrio tra interessi pubblici e diritti fondamentali

Secondo il Consiglio dell’Ue, la crittografia continuerà a essere sostenuta, essendo fondamentale per la sicurezza del mondo digitalizzato e dei diritti fondamentali. Ma, oltre alla privacy delle comunicazioni, è necessario garantire anche la legittimità delle indagini e le operazioni a esse legate. Vediamo come

Pubblicato il 09 Dic 2020

Marco Santarelli

Chairman of the Research Committee IC2 Lab - Intelligence and Complexity Adjunct Professor Security by Design Expert in Network Analysis and Intelligence Chair Critical Infrastructures Conference

cyber security

Sono state ufficialmente rese note il primo dicembre 2020 dal Consiglio dell’Unione Europea le indicazioni sulla crittografia, a seguito della proposta di risoluzione che era apparsa a fine novembre per la regolamentazione della violazione della crittografia End-to-end, tecnologia di sicurezza informatica di protezione dei dati, per consentire alle forze dell’ordine di eseguire intercettazioni legalmente autorizzate.

Ciò che emerge con forza dalla pubblicazione – quasi in risposta a una preoccupazione generalizzata e di fondo riguardo una possibile violazione della privacy – è l’intento del Consiglio di mantenere sempre intatto un equilibrio tra interessi pubblici e diritti fondamentali.

Se da un lato bisogna preservare la privacy di ogni tipo di comunicazione, dall’altro infatti è necessario che le indagini e le operazioni ad esse legate riescano a entrare nel mondo del digitale in maniera legittima e gli Stati Membri hanno un ruolo molto importante per far sì che questo equilibrio non venga stravolto.

Il Consiglio ha affermato di essere “determinato a bilanciare attentamente gli interessi nel proteggere la privacy, i diritti fondamentali e la sicurezza delle comunicazioni attraverso la crittografia”, ma allo stesso tempo sostiene l’accesso legale per scopi di giustizia penale.

Le indicazioni del Consiglio

Vediamo i punti esposti dal Presidente nell’allegato che è stato pubblicato e che tiene conto dei commenti scritti dalle delegazioni dopo il COSI del 19 novembre 2020.

Già nei primi punti viene ribadito fermamente che la crittografia continuerà ad essere sostenuta, essendo fondamentale per la sicurezza del mondo digitalizzato e dei diritti fondamentali, pertanto va promossa e sviluppata.

I sempre più frequenti attacchi cyber e i tanti strumenti creati dai criminali per commetterli ci mettono davanti ogni giorno al grande abuso che si fa delle nuove tecnologie e alla necessità crescente di combatterli per la salvaguardia della privacy delle comunicazioni e dei dati dei cittadini, in quell’equilibrio di cui abbiamo già parlato sopra.

Pertanto, le autorità competenti nel campo della sicurezza devono poter avere accesso in maniera legale e autorizzata ai dati necessari alla lotta al crimine e al terrorismo, attraverso ambiti fisici e digitali. A tale scopo verranno vagliate diverse opzioni e possibilità che rappresentino il giusto compromesso di legalità, sicurezza e equilibrio, unendo l’impegno di Stati membri, Commissione Europea e tutte le altre istituzioni e agenzie dell’Unione europea.

L’azione europea verso la crittografia dovrà essere coordinata e consistente per far sì che la protezione dei dati dei singoli cittadini non sia di ostacolo alla lotta al terrorismo, agli abusi sessuali e al crimine in generale, e viceversa.

Ovviamente il Consiglio ribadisce, come si legge nell’allegato, la volontà di proseguire nel proficuo scambio con realtà internazionali, come università, industrie e società civile, soprattutto con i fondatori dell’International Statement: End-to-End Encryption and Public Safety, ossia UK, USA, Australia, Nuova Zelanda, Canada, India e Giappone. Questo per avere un dialogo costante sul tema con i partner strategici.

Stati membri, industria tecnologica, società civile e università devono mettere insieme le forze per la crittografia e in particolare l’Innovation Hub dell’Unione Europea all’Europol, insieme al gruppo di ricerca e sviluppo nazionale, devono guidare la cooperazione all’interno dell’industria tecnologica, tra università e stakeholder degli Stati Membri. Tra questi ultimi, anche i provider di servizi del web e le piattaforme social, in modo da poter mettere in campo le loro competenze tecnologiche al livello successivo. L’avanzamento della tecnologia del sistema crittografico deve andare di pari passo con la ricerca di soluzioni per contrastare intrusioni e violazioni cybercriminali sempre più all’avanguardia.

Crittografia, necessaria una formazione di alto profilo

In questo quadro generale, non deve mancare una formazione di alto livello per gli operatori che si occupano di crittografia per elevare l’expertise, tale da contrastare l’ambiente criminale. Saranno quindi impiegate a questo scopo agenzie all’interno degli Stati membri che conoscano la materia dal punto di vista tecnologico e abilitati enti qualificati europei e/o degli Stati Membri a programmi di formazione standardizzati.

Saranno chiamati per la standardizzazione tecnica dei processi Istituti degli Stati membri, come: l’Internet Engineering Task Force (IETF), l’ITU Telecommunication Standardization Sector (ITU-T), l’European Telecommunications Standards Institute (ETSI), il 3rd Generation Partnership Project (3GPP).

Gli effetti che deriveranno dalle diverse strutture normative verranno revisionati per poter sviluppare una struttura normativa consistente che abbia le competenze necessarie a svolgere tutti i compiti. L’Unione Europea può influenzare il suo singolo mercato per assicurare che i produttori di device e i provider di servizi creino tecnologie adeguate ai bisogni degli Stati Membri e della crittografia.

L’allegato si conclude con l’invito per la Commissione di informare regolarmente sugli aggiornamenti della Risoluzione del Consiglio sulla crittografia.

La sicurezza a partire dall’intero ciclo di vita del prodotto

In questo contesto, secondo quanto riferisce Euractiv, la Presidenza tedesca del Consiglio dell’Unione Europea, all’interno del Council Horizontal Working Party a tema cyber, ha affermato lo scorso 6 novembre che la sicurezza informatica e la privacy “dovrebbero essere garantite anche durante l’intero ciclo di vita di un prodotto e lungo la sua filiera” ed è per questo motivo che sta insistendo per nuovi standard di sicurezza informatica per i device. Come recita il documento che è stato diffuso tra gli altri paesi della UE, l’uso sempre maggiore dei dispositivi tecnologici connessi ad internet fa inevitabilmente emergere nuovi rischi per la gestione delle informazioni, privacy e cybersecurity, per cui sono proprio questi ultimi due aspetti che devono diventare requisiti essenziali nell’innovazione del prodotto e nei processi produttivi e di sviluppo, inclusa la fase di progettazione, quella che chiamiamo Security by Design, seguendo tutto il ciclo di vita del prodotto, anche nella stessa filiera.

La Presidenza tedesca dell’UE ha parlato di una “legislazione orizzontale a lungo termine per indirizzare tutti gli aspetti della sicurezza ICT dei dispositivi connessi, come disponibilità, integrità e riservatezza”, citando anche il Cybersecurity Act dell’UE adottato nel 2019, che includeva una previsione sull’istitituzione di una struttura di certificazione cybersecurity.

Lo scenario che abbiamo vissuto e stiamo ancora vivendo a causa della situazione sanitaria d’emergenza dovuta al Covid-19 ha incrementato inevitabilmente l’utilizzo di smartphone e dispositivi cyber, in particolare a causa del distanziamento sociale e la diffusione dello smart working.

Da un report recentemente pubblicato dall’agenzia di cybersicurezza europea ENISA è emerso che la resilienza della cybersecurity è stata portata al limite delle sue capacità come risultato della crisi sanitaria pubblica in corso: infatti, se lavorando da casa gli specialisti di cybersecurity hanno dovuto adattare soluzioni di difesa esistenti a un nuovo paradigma infrastrutturale, cercando di limitare l’esposizione ai vari nuovi attacchi, che prevedevano i dispositivi dei lavoratori come punti di accesso, allo stesso tempo è stato necessario implementare le soluzioni basate sui componenti già finora testati e ritenuti validi, come l’accesso remoto attraverso l’Internet pubblico, servizi cloud, servizi di streaming video non sicuri e dispositivi mobili e app.

  1. https://www.wired.it/internet/regole/2020/12/02/cybersecurity-perimetro-nazionale-direttiva-nis-obblighi/?refresh_ce=

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati