È di questi giorni la notizia che i “five eyes” – i ministri di U.S., U.K., Canada, Australia e New Zealand che fanno parte di un’alleanza per la sorveglianza, Five Eyes, appunto – mettono in guardia contro un utilizzo della crittografia “end-to-end” che impedisca completamente l’accesso legale ai contenuti. In pratica, crittografia che impedisca l’intercettazione legale.
Echelon e i five eyes
Per chi si occupa di cybersecurity da abbastanza tempo, il nome “five eyes” è collegato indissolubilmente ad un altro nome: Echelon. Per chi non lo avesse mai sentito, Echelon è il nome associato ad un programma di sorveglianza globale di cui si è venuti a conoscenza nel corso degli ultimi anni del ventesimo secolo. Non è fantascienza, non è cospirazionismo. Nel 2000, la Commissione Europea ha istituito una “commissione temporanea sul sistema di intercettazione ECHELON”.
È interessante il testo della risoluzione proposta nella relazione finale, che dice:
“A. considerando che non si può nutrire più alcun dubbio in merito all’esistenza di un sistema di intercettazione delle comunicazioni a livello mondiale, cui cooperano in proporzione gli Stati Uniti, il Regno Unito, il Canada, l’Australia e la Nuova Zelanda nel quadro del patto UK USA; che, sulla base degli attuali indizi e di numerose dichiarazioni concordanti provenienti da ambienti molto diversi, comprese fonti americane, si può presumere che il sistema o parte di esso sia stato, almeno per qualche tempo, denominato in codice “ECHELON”,
- considerando che attualmente non sussiste alcun dubbio sul fatto che il sistema non è destinato all’intercettazione delle comunicazioni di carattere militare, bensì quantomeno di quelle private ed economiche, anche se dall’analisi riportata nella relazione è emerso che le capacità tecniche di questo sistema non sono probabilmente così ampie come sostenuto da una parte dei media,…”
…
- considerando che i servizi informativi degli Stati Uniti non si limitano a far luce su questioni economiche di ordine generale, ma ascoltano nei dettagli anche le comunicazioni fra imprese al momento dell’assegnazione di appalti, giustificandosi con la lotta contro i tentativi di corruzione; che con un’intercettazione dettagliata si rischia che le informazioni non vengano utilizzate per lottare contro la corruzione, ma a fini di spionaggio nei confronti della concorrenza, anche se gli Stati Uniti e il Regno Unito sostengono di non farlo; che il ruolo dell’Advocacy Center del ministero per il Commercio statunitense continua ad essere poco chiaro e che è stato annullato un incontro con lo stesso che avrebbe dovuto chiarirne la funzione,
…
- afferma, sulla base delle informazioni raccolte dalla Commissione temporanea che è indubbia l’esistenza di un sistema di intercettazione globale delle comunicazioni che funziona con la partecipazione degli Stati Uniti, del Regno Unito, del Canada, dell’Australia e della Nuova Zelanda nel quadro del patto UK USA”
Si capisce quindi chi sono i “five eyes” di cui si parla, e delle cui attività di spionaggio il Parlamento Europeo si preoccupa: Stati Uniti, Canada, Australia, Nuova Zelanda e Regno Unito (sì, quello stesso Regno Unito che era nello stesso tempo parte dell’Unione Europea). Siamo nel luglio 2001 quando la commissione pubblica il proprio rapporto, pochi mesi prima dell’11 settembre. Di lì, l’attività di intelligence globale sono solo aumentate, come anche l’interesse alle comunicazioni elettroniche. Occasionalmente, sono emerse tracce di queste attività di intercettazione e analisi, più o meno confermate, a partire dalle rivelazioni di Snowden e Wikileaks.
I Five Eyes contro la crittografia: perché
Sembra quindi particolarmente paradossale che quegli stessi five eyes si dimostrino preoccupati delle intercettazioni legali, pur comprendendo la necessità di proteggere “i dati personali, la privacy, la proprietà intellettuale e i segreti commerciali”. L’idea suggerita, come in tante altre occasioni negli ultimi trent’anni almeno, è di indebolire le protezioni nei confronti delle agenzie che intercettano legalmente, mantenendo le protezioni contro i “cattivi” e permettendo quindi di contrastare i crimini gravi fra cui naturalmente il terrorismo e la pedofilia.
Il tema si presta però poco alle banalizzazioni: se è vero che è difficile al giorno d’oggi dipingere la CIA e l’NSA come “i buoni”, a meno forse di essere un cittadino degli Stati Uniti, è anche vero che canali cifrati efficacemente possono proteggere le comunicazioni delle tante brave persone ma anche dei pochi criminali. Tecniche sofisticate permettono non solo di impedire di sapere cosa si sono detti due persone, ma anche “chi ha parlato con chi”, informazione che spesso di per sé, se ben utilizzata, è di grande valore per chi intercetta delle comunicazioni. Le richieste dei “five eyes” potrebbero essere rivolte prima di tutto ai grandi player USA: Google, Facebook, ecc. che i cittadini europei utilizzano in mancanza di alternative, mentre ad esempio in Cina sono disponibili servizi locali analoghi. Ma mentre iniziative di “intercettazione legale” cinesi non le vediamo generalmente come azioni dei “buoni” contro i criminali, ci verrebbe richiesto un atteggiamento diverso nei confronti dei “five eyes”.
All’indebolimento della crittografia, che peraltro dovrebbe essere associata a regole di utilizzo difficili da controllare, ci sono però alternative: le intercettazioni ambientali e i “captatori informatici” presentano sicuramente le loro criticità in termini sia di efficacia che di controllo, ma certamente si prestano meno ad abusi indiscriminati e ad una sorveglianza diffusa. Del resto, possiamo immaginarci che, se si diffondessero meccanismi di indebolimento degli strumenti crittografici, i criminali più organizzati utilizzerebbero altri strumenti, che ormai sono relativamente facili da trovare o realizzare, come già fanno i cybercriminali.
I danni prodotti dai ransomware, salvo alcune sviste di programmazione, mostrano come realizzare strumenti efficaci di crittografia sia ormai relativamente semplice. Rimarrebbero quindi esposti i criminali piccoli o occasionali, e soprattutto le aziende e le brave persone.
In conclusione
Nel complesso quindi, stabilire quale sia il giusto equilibrio fra protezione dei cittadini, europei in particolare, e capacità di contrastare il crimine e il terrorismo, in particolare da parte dei “five eyes”, non è facile. Ad oggi, un’indicazione ce la dà però la sentenza Schrems II (privacy shield) sul trasferimento di dati personali negli Stati Uniti:
“…il meccanismo di mediazione di cui alla decisione «scudo per la privacy» non fornisce mezzi di ricorso dinanzi a un organo che offra alle persone i cui dati sono trasferiti verso gli Stati Uniti garanzie sostanzialmente equivalenti a quelle richieste dall’articolo 47 della Carta”.
Ovvero, i dati personali dei cittadini europei trasferiti in modo controllato e contrattualizzato negli USA non sono adeguatamente tutelati proprio nei confronti di accessi da parte delle autorità degli Stati Uniti a fini di sicurezza pubblica, di difesa e sicurezza dello Stato. Sarebbe quindi un ulteriore paradosso favorire un’intercettazione diretta e ancor meno controllata di dati di cittadini europei da parte di agenzie di intelligence dei “five eyes”.