Nelle ultime settimane, in special modo in seguito all’arresto del co-fondatore di Telegram Pavel Durov avvenuto il 24 agosto scorso, il tema della crittografia per le applicazioni di messagistica istantanea ha avuto un ruolo centrale nel dibattito per la protezione della confidenzialità delle informazioni e delle comunicazioni private.
Bisogna, innanzitutto, ricordare che la crittografia rappresenta uno strumento vitale per verificare che i dati non vengano modificati al fine di assicurare l’integrità delle informazioni e di conseguenza prevenire qualsivoglia manipolazione.
Indice degli argomenti
La crittografia nella messagistica istantanea
In questo momento storico, il peso acquisito dalle applicazioni di messagistica nella nostra società digitalizzata è divenuto innegabilmente rilevante.
Infatti, prendendo come punto di riferimento WhatsApp del gruppo Meta, i numeri descrivono chiaramente il cambiamento epocale: nel 2015 l’applicazione era utilizzata da circa 10% della popolazione mondiale, solo tre anni dopo gli utenti sono stati il 20% della popolazione e oggi ha raggiunto il 30%, ossia 2,5 miliardi di persone (dati di Business of Apps; World Bank).
A oggi, le principali aziende di messaggistica, come iMessage, Signal e la già citata WhatsApp, sono ritenute dei modelli di riferimento per quanto concerne l’implementazione della crittografia; ma, in aggiunta a ciò, la loro forza in merito alla protezione dei dati deriva dalla possibilità in alcuni casi di poter non consegnare i contenuti tenuti nei loro server all’autorità richiedente.
Per Telegram, invece, tutto ciò non era garantito a causa della scelta aziendale di non lasciare attiva la crittografia come impostazione definita (by default); al contrario, è l’utente che dovrebbe impostarla attraverso una serie di passaggi non particolarmente facili per un individuo che non abbia conoscenze digitali.
Crittografia su vasta scala: un dilemma per i Governi
L’implementazione della crittografia su vasta scala risulta, tuttavia, essere un dilemma per i Governi, in particolar modo nel momento in cui le organizzazioni criminali ne abusano per celare le loro attività illegali e ostacolare le autorità nelle indagini e nel perseguimento dei reati.
In Stati con Governi autoritari le tecnologie di crittografia sono altamente limitate o bandite, mentre nei Paesi con istituzioni democratiche si sta discutendo su come e se può essere mitigata.
Una soluzione riguarda la sorveglianza su larga scala, la quale prevederebbe l’uso di uno strumento di monitoraggio interno ad ogni dispositivo tenuto da un individuo.
Tale soluzione potrebbe essere in contrasto con i principi democratici.
Per questo motivo una corrente di pensiero suggerisce un approccio più selettivo, il quale mira alla scansione e intrusione dei dispositivi dei soli sospetti criminali. La risposta sembrerebbe per nulla semplice per varie ragioni.
In questo caso una prima domanda da prosi sarebbe quando e come definire un utente “sospetto criminale” e nelle casistiche più dubbie la mancanza di prove solide dovrebbe, in linea teorica, far cadere il sospetto.
Una seconda ragione è meramente economica e tecnica: la violazione di smartphone e computer sta aumentando in complessità e costi, perché dati e informazioni sono criptati durante l’invio e anche quando non sono trasferiti ma sono depositati “a riposo” o in uso nei dispositivi.
Una terza motivazione risiede nel sapere quali dispositive violare se tutto è criptato.
Infine, secondo gli esperti del settore, l’hacking è largamente più intrusivo della scansione passiva. L’ex funzionario del Government Communications Headquarters (GCHQ) del Regno Unito, Ciaran Martin, durante un discorso tenuto nel 2021, aveva distinto due correnti di pensiero.
Da un lato chi sostiene che bisognava bilanciare il diritto di intercettazione di Governi e autorità con i benefici più ampi derivanti dalla crittografia end-to-end, attraverso lo sviluppo di protocolli non visibili all’interno dei dispositivi o scansioni del client; dall’altro lato chi sostiene che l’introduzione di strumenti del genere aumenterebbe le vulnerabilità.
Ciò che mancherebbe è un compromesso tecnico, sottolinea Martin, il quale sostiene che in mancanza di esso la strada migliore da percorrere rimarrebbe lo sviluppo della crittografia end-to-end.
La crittografia tra questioni etiche e tecniche
I dilemmi sono tecnici, etici-morale, ma anche legali. Fino ad oggi una metodologia ampiamente utilizzata, ricorda in Gnosis (vol. 2/2024) Antonio Alì professore di Diritto internazionale presso l’Università di Trento, per aggirare i sistemi crittografici senza violare la privacy dei cittadini consiste nell’intrusione tramite accessi nascosti, la cosiddetta backdoor, nel sistema di crittografia stesso.
Il fatto di avere una porta di accesso “semi-aperta” risulta però controproducente poiché equivale a lasciare una vulnerabilità esposta a possibili attori malintenzionati.
L’equilibrio tra sicurezza pubblica e protezione della privacy è una ricerca continua negli Stati democratici.
L’Unione Europea il 24 novembre 2024 ha adottato la Risoluzione “La sicurezza attraverso la crittografia nonostante la crittografia”, con la quale il Consiglio dell’Unione Europea sottolinea la “importanza tutelare il carattere privato e la sicurezza delle comunicazioni attraverso la crittografia e, nel contempo, preservare la possibilità per le autorità competenti nel settore della sicurezza e della giustizia penale di accedere legalmente ai dati pertinenti per scopi legittimi e chiaramente definiti, nell’ambito della lotta contro le forme gravi di criminalità e/o la criminalità organizzata e il terrorismo, anche nel mondo digitale, e nel rispetto dello Stato di diritto”.
Secondo il professore Alì, la Risoluzione è interpretabile come uno sforzo condiviso attraverso una cooperazione tra Stati e aziende per trovare una soluzione che tenga conto di diverse esigenze, come quelle di pubblica sicurezza e sicurezza nazionale, senza tralasciare l’essenza etica dello Stato di diritto.
Di opinione simile fu ancora prima il Comitato per lo Studio delle politiche degli Stati Uniti, istituito nel Computer Science and Telecommunications Board del National Research Council, il quale nel rapporto Cryptography’s Role in Securing the Information Society pubblicato nel 1996 formulò diversi suggerimenti e raccomandazioni al Congresso americano.
Primo fra tutti fu il consiglio di non vietare la crittografia, includere l’opinione pubblica nel dibattito per lo sviluppo di politiche, essere sempre in linea con le forze di mercato, la promozione della sicurezza delle informazioni nel settore privato e la riduzione progressiva dei controlli sulle esportazioni.
L’approccio del Comitato fu di apertura e fondato sullo Stato di diritto ed è ciò che il professore Alì sostiene che deve essere perseguito tutt’oggi.