La sicurezza delle comunicazioni digitali rappresenta oggi una priorità assoluta per governi, aziende e professionisti. Signal, con la sua crittografia end-to-end, è diventata un’app di riferimento per la protezione dei dati sensibili, ma come dimostra il caso “Signalgate”, anche gli strumenti più sicuri possono essere compromessi da errori umani.
Indice degli argomenti
Signal e la falla “umana” nella sicurezza governativa Usa
Lo scandalo soprannominato “Signalgate”, che a fine marzo scorso ha travolto (ben prima dei dazi!) l’amministrazione Trump[1], è stato innescato da una vicenda legata all’uso di Signal, un’APP di messaggistica criptata apprezzata in diverse parti del mondo per la sua sicurezza e la tutela dei dati personali dei suoi utenti.
Lo scandalo a stelle e strisce ha avuto origine da un errore: alcuni membri dell’esecutivo Trump hanno accidentalmente invitato un giornalista della rivista “The Atlantic” a far parte di una chat segreta su Signal, nella quale si discutevano piani per un bombardamento in Yemen contro i ribelli Houthi.
Questo incidente, oltre a sollevare un vespaio internazionale, secondo solo al crollo di Wall Street di poche settimane dopo, ha sollevato preoccupazioni riguardo alla sicurezza delle comunicazioni e alla gestione delle informazioni sensibili. Tuttavia, mentre la discussione si è concentrata sull’applicazione stessa, esperti di sicurezza e privacy hanno voluto fare una precisazione importante, ossia che Signal – in sé – “non è il problema”. O per meglio dire: la causa reale della falla non risiede nell’APP, ma nel modo in cui essa è stata utilizzata.
Quando il giornalista ha rivelato di essere stato incluso nella chat, è emerso un acceso dibattito, con alcuni membri dell’amministrazione che hanno addossato la colpa a Signal. Alcuni hanno anche suggerito che l’APP non fosse sicura, riferendosi ad attacchi informatici mirati, come quelli recentemente lanciati dalla Russia. Tuttavia, questi timori si sono rivelati subito infondati, poiché Signal è ben conosciuto per il suo alto livello di sicurezza. La vera questione è, insomma, “come è stato usato lo strumento”.
Gestione sicura delle comunicazioni tramite Signal
La lezione principale che emerge da questa vicenda è chiara (nonché pleonastica): non si devono invitare persone non autorizzate nelle chat di gruppo, specialmente quando si trattano argomenti delicati (e di sicurezza nazionale).
Il rischio dei dispositivi non sicuri
Dato per scontato che il problema è stato “umano”, è da evidenziare che, in genere, le agenzie governative statunitense e, in particolare, il Dipartimento della Difesa, utilizzano dispositivi speciali per gestire le comunicazioni riservate. Usare dispositivi commerciali non sicuri per comunicare tramite APP come Signal è sempre un rischio, nonostante Signal sia il top disponibile sul mercato. Un altro aspetto importante riguarda le funzionalità dei “messaggi che scompaiono” offerte da Signal. Sebbene queste siano utili per proteggere la privacy, potrebbero entrare in conflitto con le leggi federali statunitensi che impongono la conservazione dei documenti ufficiali. Durante la “pianificazione in chat” dell’attacco in Yemen, i messaggi sono stati impostati per auto-eliminarsi dopo una settimana; tuttavia, successivamente la durata è stata estesa. Se il giornalista non fosse stato incluso per errore nella chat, è probabile che questi dettagli non sarebbero stati conservati in modo adeguato, violando le normative federali statunitensi sulla gestione delle informazioni.
Normativa privacy e uso sicuro di Signal nelle aziende
Prendendo spunto da questo evento che ha segnato l’amministrazione Trump fino a qualche giorno fa (ossia, prima dei dazi), possiamo comunque affermare che Signal si classifichi come un’ottima soluzione per le aziende e i professionisti che gestiscono informazioni sensibili, a condizione – repetita iuvant – che venga utilizzato correttamente. Ad esempio, un avvocato che lavora con i dati riservati dei propri clienti o un’azienda che gestisce informazioni confidenziali può sfruttare la crittografia end-to-end di Signal per garantire la sicurezza delle comunicazioni.
Best practice per un uso di Signal conforme al Gdpr
Per garantire che l’uso di Signal sia conforme alle normative sulla protezione dei dati, come il nostro Regolamento (UE) 2016/679 GDPR, è fondamentale seguire alcune best practice:
- Dispositivi sicuri. Le aziende devono assicurarsi che i dispositivi utilizzati per le comunicazioni siano sicuri e conformi alle politiche aziendali di sicurezza. Ciò significa usare dispositivi aziendali gestiti e protetti da software di sicurezza aggiornato, evitando l’uso di dispositivi personali che potrebbero non essere sufficientemente protetti.
- Controllo degli accessi. È essenziale monitorare e controllare le conversazioni su Signal, assicurandosi che solo le persone autorizzate abbiano accesso alle informazioni sensibili. Le aziende dovrebbero adottare politiche interne che definiscano chiaramente chi può utilizzare l’APP per comunicazioni riservate e in quale contesto.
- Gestione dei dati. Il GDPR obbliga le aziende a garantire che i dati personali siano trattati in modo sicuro e non vengano conservati più a lungo del necessario. Signal, che consente di impostare la durata di conservazione dei messaggi, può essere utile per rispettare tali disposti normativi. Tuttavia, è importante configurare correttamente le impostazioni, stabilendo una durata di conservazione che rispetti le politiche aziendali di gestione dei dati e assicurarsi che i messaggi, una volta cancellati, non possano essere recuperati.
- Conservazione dei dati. Le aziende devono garantire che tutte le comunicazioni siano conservate in conformità con le normative applicabili, evitando che messaggi sensibili vengano eliminati in modo involontario (come accaduto nel caso dell’attacco in Yemen).
La lezione del SignalGate: la sicurezza delle comunicazioni dipende da come le utilizziamo
Il caso SignalGate dimostra che, nonostante Signal sia uno strumento sicuro, la gestione delle comunicazioni è fondamentale. La sicurezza dipende non solo dalla tecnologia, ma anche dalle persone che la utilizzano e dai contesti in cui viene utilizzata. In scenari come quelli delle operazioni governative sensibili, l’uso di APP commerciali e dispositivi non sicuri rappresenta un rischio maggiore rispetto ai benefici offerti dalla crittografia avanzata.
Signal rimane uno degli strumenti di comunicazione più sicuri disponibili, ed è ampiamente utilizzato da attivisti per i diritti umani, giornalisti e avvocati per proteggere le comunicazioni riservate. Tuttavia, come qualsiasi altro strumento, è necessario utilizzarlo correttamente. L’incidente ha messo in luce la necessità di adottare pratiche rigorose nella gestione delle informazioni sensibili, per evitare che anche gli strumenti più sicuri possano essere vulnerabili a errori gravi.
In conclusione, la gestione della sicurezza delle comunicazioni non riguarda solo l’uso di APP come Signal, ma anche la formazione continua, la verifica dei dispositivi e dei partecipanti alle conversazioni, e l’adozione di politiche aziendali e governative che garantiscano la protezione dei dati e il rispetto delle normative in materia di protezione dei dati (come il GDPR).[2]
Note
[1] Trump Officials in Signal Fiasco Attended Secret Mar-a-Lago Dinner Shortly After Celebrating Bombing. Wired. https://www.wired.com/story/trump-officials-signal-chat-candlelight-dinner-mar-a-lago-yemen/
[2] SignalGate Isn’t About Signal. Wired. https://www.wired.com/story/signalgate-isnt-about-signal/
