Occhi puntati degli esperti di cyber security e privacy su una proposta di Risoluzione che sta facendo strada all’interno del Consiglio dell’Unione europea: aggirare la crittografia end to end a favore delle forze dell’ordine.
In particolare, è apparso qualche giorno fa un documento in bozza che a quanto pare dal prossimo 25 novembre porterà sui tavoli di discussione come aggirare il sistema crittografico, la tecnologia end-to-end di sicurezza informatica di protezione dei dati, per permettere alle forze dell’ordine di eseguire intercettazioni legalmente autorizzate.
In pratica, il Consiglio UE starebbe valutando di sviluppare “soluzioni tecniche” di vario tipo. Secondo l’analisi di Electronic frontier foundation può essere un sistema per bloccare la crittografia sui dispositivi o nelle chat. O per consentire alle forze dell’ordine di analizzare, anche con sistemi automatici, i file prima che siano criptati, secondo la tecnica del client-side scanning.
L’attuale bozza non specifica le soluzioni per riuscirci.
Torna così una tentazione di almeno vent’anni fa: limitare la crittografia per favorire la sicurezza. Ed è appunto da vent’anni che gli esperti ribadiscono i rischi di quest’approccio. I cybercriminali e i regimi autoritari non aspettano altro che un workaround alla crittografia.
Ma rispetto a vent’anni fa ora i pericoli associati all’indebolimento della crittografia sono ancora più gravi.
Il documento del Consiglio dell’Unione europea
Per capire perché, addentriamoci prima nel documento.
Se da un lato, quindi, con la bozza pubblicata dall’Unione Europea, si ribadisce l’importanza della crittografia come ancora di fiducia nella digitalizzazione e nella protezione dei diritti fondamentali e quindi da sostenere e promuovere, per cui bisogna assolutamente rispettare il principio della sicurezza attraverso la crittografia e la sicurezza nonostante la crittografia in tutta la sua interezza, dall’altro lato viene sottolineata la necessità di favorire il grande lavoro delle autorità competenti nella lotta al crimine, “terrorismo, la criminalità organizzata, gli abusi sessuali sui minori (in particolare i suoi aspetti online), nonché una varietà di crimini abilitati per il cyber”, per la tutela dell’intera comunità.
Si legge che mentre la crittografia è “un mezzo necessario per proteggere i diritti fondamentali e la sicurezza digitale dei governi, dell’industria e della società”, che dovrebbe essere “promossa e sviluppata”, l’Unione europea deve anche “garantire la capacità delle autorità competenti nel settore della sicurezza e della giustizia penale […] per esercitare i loro poteri legittimi, sia online che offline”.
Inoltre, si fa riferimento al fatto che le forze dell’ordine devono sempre più ricorrere ai vari dispositivi per portare a termine indagini su atti criminosi, dato che questi trovano sempre più terreno fertile nelle piattaforme social e di messaggistica istantanea, e nonostante sia lecito analizzarli per scopi legittimi, spesso l’accesso risulta troppo difficile, almeno a livello autorizzativo. Da qui, la necessità di un quadro normativo coerente in tutta l’Unione Europea che renda l’operatività delle autorità competenti più agevole e efficace.
Sempre secondo quanto riferisce ORF, se la bozza non subirà modifiche, dopo essere stata adottata dal COSI, Standing Committee on Operational Cooperation on Internal Security (Commissione Permanente per la Cooperazione Operativa sulla Sicurezza Interna), e successivamente sottoposta al COREPER, Committee of the Permanent Representatives of the Governments of the Member States to the European Union (Comitato dei rappresentanti permanenti dei governi degli Stati membri all’Unione Europea), sarà adottata dal Consiglio tramite procedura scritta.
I precedenti contro la crittografia
Se ripercorriamo un po’ gli ultimi trent’anni, troviamo numerosi tentativi statali per indebolire la crittografia. Si comincia dagli anni ’80 (vedi l’articolo sotto per approfondire), con un picco nei primi anni ’90, durante l’amministrazione Carter, fu proposto di imporre l’utilizzo di un chip per la cifratura delle comunicazioni, chiamato “Clipper”, che avrebbe consentito alle agenzie del governo USA di accedere alla chiave di cifratura delle comunicazioni.
Ancora nel 2005 altri tentativi, ma poi dopo lo scandalo NSA sulle intercettazioni di massa, le rivelazioni Snowden e l’accresciuta importanza della privacy c’è stato un periodo di pace forzata per la crittografia.
Le autorità hanno preferito risolvere con “software spia” di intercettazione, creati dalle agenzie governative per garantire la sicurezza pubblica e la lotta al terrorismo. Lo spyware entra in azione attraverso una finta chiamata, sfruttando tecniche di phishing, social engineering e la navigazione web, attacca il dispositivo e attiva l’ascolto delle conversazioni, vede contenuti archiviati nella memoria interna, accede alla fotocamera e tanto altro.
La crittografia end-to-end, disciplina e tentativi di indebolimento
Strumenti che le autorità considerano insufficienti, mentre si diffonde nei dispositivi mobili e nelle chat, di default la crittografia end-to-end. Che come dichiara la stessa piattaforma Whatsapp, “garantisce che solo tu e la persona con cui stai comunicando possiate leggere o ascoltare ciò che viene inviato, e nessun altro, nemmeno WhatsApp. Questo perché con la crittografia end-to-end, i messaggi sono protetti da un lucchetto, e soltanto tu e il destinatario dei messaggi ne possedete la chiave che permette di sbloccarli e leggerli. Tutto questo avviene automaticamente: non c’è bisogno di attivare alcuna impostazione per proteggere i messaggi.”
La regolazione
L’indebolimento della crittografia o la sua abolizione già vent’anni fa erano considerati impensabili e ancora non erano così diffusi i device che tutti utilizziamo oggi, ormai fondamentali non solo per i cittadini, ma anche per le aziende.
Risale comunque già al 1924 una prima sorta di regolamentazione della crittografia al di fuori di ambiti militari, diplomatici e di sicurezza, infatti con il Regio Decreto 30 aprile 1924 n. 965 ecco cosa si leggeva nell’art. 41: “ogni professore deve tenere diligentemente il giornale di classe, sul quale egli registra progressivamente, senza segni crittografici, i voti di profitto, la materia spiegata, gli esercizi assegnati e corretti, le assenze e le mancanze degli alunni”. Col passare del tempo per il radioamatore diventò obbligatorio usare solo determinate lingue per far sì che il Ministero delle Poste e Telecomunicazioni potessero controllare che non ci fosse un uso illecito del mezzo. Chiarissimo in questi due casi che lo Stato doveva controllare ogni ambito della comunità.
Dal DPR 513/97 che ha disciplinato l’uso della firma digitale, escludendo i sistemi di key escrow o key recovery, che si è evoluto poi nel DPR 445/00 e sue modificazioni, il d.lgs. 196/03 dalla direttiva 95/46 sulla protezione dei dati personali, la L. 48/08 che obbligava a garantire l’integrità dei dati informatici sequestrati per indagini penali, siamo arrivati al Reg. Ue 679/16. Tutta una serie di normative che dimostrano che non è possibile disciplinare un indebolimento o la violazione della crittografia.
I nuovi tentativi contro la crittografia e i rischi
Fin qui il passato. L’Europa troverà nuovi appigli per riuscire a indebolire la crittografia? Certo sta aumentando la pressione degli Stati in tal senso. Ancora a ottobre l’alleanza per la sorveglianza “Five Eyes” – i ministri di U.S., U.K., Canada, Australia e New Zealand – ha chiesto di indebolire la crittografia con la scusa di poter così intercettare meglio per contrastare crimini gravi.
Se i Governi vogliono rompere la crittografia per spiarci meglio
Sarà la fine della crittografia, come denuncia il Partito Pirata?
Una cosa è certa. Abbiamo bisogno soprattutto ora della crittografia. Perché rispetto a 20-30 anni fa viviamo in una società digitale dove – per la diffusione degli smartphone, dei social e in generale di internet – quasi ogni aspetto della nostra vita è potenzialmente traducibile in dato informatico e quindi tracciabile in modo massivo, automatico, con strumenti di intelligenza artificiale.
Lo sviluppo della crittografia end-to-end è proprio una risposta – un argine – a questo rischio che può portare a una società della sorveglianza massiva. Controllati dal potere politico o commerciale. E non solo nei Paesi autoritari.
David Lyon (La Cultura della Sorveglianza, Come la società del controllo ci ha reso tutti controllori, Luiss University Press, 2020) e altri esperti, come Carola Frediani (Guerre di Rete, Laterza 2017-2018) ci mettono in guardia: la crittografia è un ultimo cruciale baluardo che protegge la nostra intimità, e le libertà connesse, dalle prerogative dei moderni regimi di sorveglianza. Prima ancora Shohana Zuboff (Il Capitalismo della Sorveglianza) ci allertava sul problema: la sorveglianza sta diventando sempre più l’elemento chiave del nuovo ordine economico imposto dalle grandi multinazionali.
Ed è particolarmente paradossale che quest’ultimo tentativo contro la crittografia venga da un continente, l’Europa, che si è fatto alfiere della tutela dei diritti di privacy e dell’etica nel digitale.
