Il Consiglio dell’Unione europea sta tentando di bilanciare da un lato il valore della crittografia, e dall’altro ribadire l’importanza di garantire l’efficienza delle forze dell’ordine. A tale proposito, ha rilasciato sul finire dello scorso anno un documento contenente una serie di raccomandazioni sulla crittografia, vale a dire quell’insieme di “(…)princìpi e metodi necessari per assicurare la codifica e decodifica di testo o dati (…)”.
Si tratta, come vedremo, di una tematica molto importante e sensibile che ha aperto un dibattito relativo agli aspetti di regolazione della materia.
Il dibattito in corso
Il 24 novembre scorso il Consiglio dell’UE ha pubblicato la risoluzione n.13084/1/20 intitolata “La sicurezza attraverso la crittografia e nonostante la crittografia” avente l’obiettivo di trovare un equilibrio tra due esigenze. Se da un lato, l’UE rileva la necessità che le autorità giudiziarie e di polizia siano messe nelle condizioni di poter esercitare i propri legittimi poteri per proteggere la società e ogni singolo cittadino dalla perpetrazione di crimini, dall’altro lato evidenzia come la crittografia debba comunque considerarsi sempre più uno strumento necessario per garantire il pieno rispetto dei diritti umani e dello stato di diritto.
Trovare quindi il giusto equilibrio tra il rispetto della privacy online e la sicurezza dei cittadini non è semplice tanto è vero che il suo contenuto aveva già suscitato un ampio dibattito durante l’elaborazione della Draft Resolution del 6 novembre, attirando l’attenzione dell’opinione pubblica e dei media, in particolar modo della rete televisiva austriaca “Österreichischer Rundfunk“.
Per i non addetti ai lavori, la risoluzione dell’UE potrebbe risultare adeguata alle esigenze di una maggiore sicurezza, ma per gli esperti del settore rappresenta un campanello di allarme perché si potrebbero delineare delle nuove vulnerabilità che potrebbero essere sfruttate dai cyber attaccanti. Se è vero che in un mondo sempre più digitalizzato le autorità giudiziarie e di contrasto dipendono in misura crescente dall’accesso alle prove elettroniche per combattere con maggiore efficacia il terrorismo, la criminalità organizzata, gli abusi sessuali e la pedofilia, contestualmente si dovrà capire quale sarà il metodo più sicuro per consentire un accesso “eccezionale” alla crittografia end-to-end delle comunicazioni riservato alle autorità competenti.
I rischi del client-side scanning
Secondo un’analisi della Electronic Frontier Foundation, l’intenzione sarebbe quella di ricorrere alla tecnica del client-side scanning. Si tratta di un sistema che analizza un dato prima che possa essere inviato e quindi criptato, verificandone la legalità e la legittimità per poi eventualmente procedere con il blocco e la segnalazione del caso alle autorità competenti. Ad ogni modo, a prescindere dalla tecnica che verrà utilizzata, una figura di spicco della comunità crittografica nazionale italiana come Massimiliano Sala ha evidenziato i rischi e le vulnerabilità indirettamente connesse all’accesso tramite una “backdoor” che «dovrebbe essere nota soltanto alle forze dell’ordine, all’intelligence e gli altri organi pubblici che ne hanno bisogno per loro indagini». Per questo motivo, per evitare di essere trafugata da hacker informatici, la backdoor dovrà possedere alti standard di sicurezza e dovranno essere escogitati processi standardizzati per la consegna sicura delle chiavi crittografiche agli organi investigativi e giudiziari.
La strada da percorrere secondo l’Ue
A seguito del dibattito innescato a novembre dalla Risoluzione n. 13084/1/20, il Consiglio dell’Ue ha pubblicato, quindi, una serie di raccomandazioni volte a individuare delle soluzioni equilibrate a tutela dei due diversi interessi già esposti. Per dirimere questo dilemma, il documento invita le istituzioni, le agenzie e gli Stati membri dell’UE a coordinare i loro sforzi nello sviluppo di soluzioni tecniche, legali e operative, come ad esempio prevedere, per le forze dell’ordine, l’attuazione di programmi di formazione standardizzati e di alta qualità che siano in linea con l’ambiente criminale nel quale operano.
Inoltre, l’UE riconosce l’industria tecnologica, la società civile e il mondo accademico come partner fondamentali con i quali le istituzioni europee dovranno stabilire un dialogo permanente e costruttivo. Attraverso il coinvolgimento dei fornitori dei servizi Internet e delle piattaforme di social media sarà possibile realizzare il pieno potenziale della crittografia e contrastare le intrusioni e le violazioni della privacy da parte di cyber criminali. Un ruolo chiave per il mantenimento di questo dialogo è stato individuato dall’Innovation Hub dell’Europol. In base a tale prospettiva, il Consiglio dell’UE conclude che il continuo sviluppo della crittografia richiederà una valutazione e una revisione periodica delle soluzioni tecniche, operative e legali individuate.
Le potenziali soluzioni tecniche dovranno rispettare la vita privata, i diritti fondamentali e il valore che il progresso tecnologico apporta alla società. Allo stesso tempo, dovranno garantire l’espletamento dei poteri delle autorità giudiziarie e di contrasto alla criminalità in un mondo sempre più globalizzato ed interconnesso dove la maggior parte dei crimini avviene “online”. Proprio per questo motivo si dovrà evitare di distinguere nettamente tra come tali autorità operano nel “mondo online” e in quello “offline”. Occorre infatti superare quella visione anacronistica del concetto di sicurezza che purtroppo caratterizza ancora oggi la visione di molti Stati membri. Considerando, infatti, la profonda capillarità raggiunta dalle nuove tecnologie e dallo sviluppo dell’internet of things, il confine tra online e offline è ormai divenuto soltanto una questione formale. Con questa nuova visione, la sicurezza diventerà una questione trasversale che interesserà nella pratica tutti gli ambiti della società coprendo una molteplicità di settori d’intervento, tra cui anche la crittografia.
Conclusioni
Queste raccomandazioni possono essere viste come una risposta diretta alle discussioni nate a novembre con la risoluzione n.13084/1/20. L’avanzamento della tecnologia del sistema crittografico dovrà inserirsi in un’ottica di collaborazione tra il settore privato e le istituzioni europee ed andare di pari passo con la ricerca di soluzioni volte a contrastare intrusioni e violazioni cybercriminali sempre più all’avanguardia.
