La cifratura E2E in WhatsApp, Signal e altre app: la posizione dell’Europa e il quadro normativo - Cyber Security 360

TECNOLOGIA E SICUREZZA

La cifratura E2E in WhatsApp, Signal e altre app: la posizione dell’Europa e il quadro normativo

Una recente proposta di risoluzione del Consiglio UE sull’uso della cifratura E2E nelle app di messaggistica istantanea ha acceso il dibattito se sia necessario superare questa tecnologia di sicurezza o piuttosto regolamentare al meglio l’accesso agli strumenti investigativi senza mettere in discussione una tra le più igieniche e fondamentali misure di protezione. Facciamo il punto

27 Nov 2020
B
Luca Bechelli

Information & Cyber Security Advisor presso P4I - Partners4Innovation

B
Alessandro Bonzio

Information & Cyber Security Advisor presso P4I - Partners4Innovation

Il Consiglio dell’Unione Europea ha presentato una proposta di risoluzione relativa alla cosiddetta cifratura End-to-End (E2E Encryption o E2EE) negli strumenti di comunicazione di massa come WhatsApp e Signal e alle modalità operative che potrebbero consentire alle forze dell’ordine di svolgere le attività di indagine nonostante questo tipo di protezione.

Una proposta che, com’era lecito attendersi, ha generato notevole scalpore. Alcuni hanno visto nel testo della bozza un passo verso la messa al bando dell’E2EE all’interno dell’Unione. Altri hanno espresso timori circa la possibilità che la misura possa sfociare in un obbligo per piattaforme di messaggistica istantanea di introdurre backdoor che consentano il monitoraggio di chat e messaggi protette da E2EE.

La cifratura E2E in WhatsApp, Signal: cosa dice l’Europa

Da una lettura della bozza prodotta del Consiglio, tali preoccupazioni appaiono esagerate. Il testo sottolinea la necessità di garantire alle forze dell’ordine accesso alle comunicazioni elettroniche per contrastare reati legati al terrorismo, al crimine organizzato e allo sfruttamento minorile, specificando come, in alcuni casi, la crittografia renda i contenuti delle comunicazioni particolarmente complicati se non impossibili da analizzare.

WHITEPAPER
La Sicurezza Cloud che non può MAI mancare. Qui tutti i dettagli
Cloud
Cybersecurity

Ma non si spinge molto oltre. Nessun riferimento a backdoor o divieti all’encryption. Anche perché l’introduzione di misure simili in un contesto normativo come quello dell’UE incontrerebbe ostacoli difficilmente aggirabili.

Per non parlare poi dei danni milionari con cui le aziende tecnologiche potrebbero trovarsi a fare i conti a causa del deficit di fiducia dei consumatori che scaturirebbe da un eventuale indebolimento della sicurezza dei dispositivi messi sul mercato.

Non ultimo, il deficit competitivo delle società che realizzano soluzioni di comunicazione nell’ambito della UE rispetto alla concorrenza degli altri continenti (la partita già oggi ci trova in svantaggio) diverrebbe irrecuperabile.

La necessaria conformità per l’accesso ai dati criptati

Analizzando il testo, risulta infatti che la principale azione invocata consista in un’attività di collaborazione tra stakeholder dell’industria tecnologica, della ricerca e del mondo accademico, al fine di individuare soluzioni che garantiscano un equilibrio tra i principi di “sicurezza attraverso la crittografia” e di “sicurezza nonostante la crittografia”, da cui il nome della risoluzione “Security through encryption and security despite encryption”.

È forse il riferimento esplicito a tali principi l’aspetto più interessante della proposta, sebbene non sia dato sapere che cosa comporti in concreto da un punto di vista tecnologico. L’unica indicazione che ci giunge dal testo riguarda la necessità che eventuali soluzioni tecniche per consentire l’accesso ai dati criptati risultino conformi ai principi di legalità, trasparenza, necessità e proporzionalità.

Il messaggio di fondo però è chiaro: da una parte, l’impegno dell’UE a promuovere e sostenere una crittografia forte, considerata uno strumento per preservare la fiducia dei cittadini nella digitalizzazione e nella protezione dei diritti fondamentali. Dall’altra, l’importanza che le autorità competenti in materia di sicurezza e di giustizia penale possano accedere legalmente ai dati pertinenti per scopi legittimi e chiaramente definiti.

È importante giungere ad una regolamentazione dell’encryption

Anche qui, nessuna novità particolare. Il tema di una regolamentazione dell’encryption in grado di conciliare esigenze di pubblica sicurezza e di tutela della privacy e dei diritti fondamentali è da anni al centro di discussioni, non soltanto a livello europeo.

Risale alla metà degli Anni 70 del secolo scorso l’introduzione da parte degli Stati Uniti di controlli sull’importazione ed esportazione di strumenti crittografici, considerati tecnologie “dual-use” (ovvero con applicazioni in ambito sia civile che militare).

Prima dell’allentamento di tali normative, in tale contesto fu degno di nota il dibattito acceso a metà degli Anni 90 in seguito all’esportazione illegale fuori dai confini nazionali del software di cifratura PGP (Pretty Good Privacy) che, per l’appunto, si avvaleva di cifratura non esportabile.

Tale caso portò all’audizione al Senato del creatore del software, Philip Zimmermann, il quale sostenne l’importanza di dare la possibilità ai cittadini (in un’era in cui Internet era decisamente meno rilevante per la vita di tutti i giorni) di tutelare la propria riservatezza avvalendosi di tecnologie equivalenti a quelle in possesso dei governi e (presumibilmente) finalizzate a esercitare il controllo sulla popolazione: “Some Americans don’t understand why I should be this concerned about the power of government. But talking to people in Eastern Europe, you don’t have to explain it to them. They already get it– and they don’t understand why we don’t”.

Negli stessi Stati Uniti, il dibattito ha poi recentemente avuto una delle sue manifestazioni più eclatanti nella disputa tra l’FBI e Apple seguita alla strage di San Bernardino, in California, del 2015.

Nelle settimane successive alla sparatoria, che portò all’uccisione di 14 persone e il ferimento di 22, l’FBI chiese ad Apple di sviluppare un nuovo sistema operativo dotato di una backdoor che permettesse di sbloccare un iPhone 5C di lavoro recuperato da uno degli attentatori.

Il dispositivo era protetto da un PIN di quattro cifre e configurato per eliminare tutti i dati contenuti al suo interno dopo dieci tentativi di accesso falliti.

Apple si rifiutò, sostenendo pubblicamente che, se nelle mani sbagliate, il software avrebbe potuto sbloccare qualsiasi iPhone accessibile fisicamente, lasciando gli utenti impotenti di fronte a tentativi di invasione della loro privacy.

L’FBI rispose con una richiesta di ordinanza a un giudice, andata a buon fine ma a cui però seguì l’archiviazione del caso: l’FBI fu in grado di accedere ai dati attraverso una vulnerabilità scoperta e sfruttata da un appaltatore (senza però trovarvi informazioni utili per le indagini).

Cifratura E2E e tutela dei diritti umani dalla cyber-sorveglianza

Soluzioni come la backdoor invocata dall’FBI nei confronti di Apple non sono le uniche modalità con cui i governi hanno cercato di limitare l’encryption. Oltre all’imposizione di divieti tout court, a cui negli ultimi decenni hanno fatto ricorso paesi come Pakistan, Colombia, Russia, seppur con approcci diversi, alcuni governi hanno optato per contrastare la proliferazione dell’encryption limitando la distribuzione delle sue tecnologie abilitanti. In Cina, a partire dal 1999, ogni tecnologia di encryption sviluppata internamente è automaticamente proprietà dello stato e l’importazione di soluzioni crittografiche dall’estero richiede una specifica licenza.

Anche l’UE si sta adoperando per controllare l’esportazione di tecnologie “dual-use”, ma in un’ottica molto diversa, che è quella della tutela dei diritti umani da un possibile abuso delle tecnologie di cyber-sorveglianza.

Il 9 novembre la Presidenza tedesca del Consiglio dell’UE e i rappresentanti del Parlamento europeo hanno raggiunto un accordo provvisorio su una revisione delle regole UE sui beni “dual use”: tale accordo prevede disposizioni che rendono tali tecnologie, comprese le componenti di encryption, soggette a controlli più severi sulle esportazioni in determinate circostanze, ad esempio per impedire che finiscano in paesi dove potrebbero essere utilizzate per compiere abusi nei confronti dei cittadini.

Il dibattito sulla cifratura E2E alla luce del GDPR

In sintesi, quindi, dobbiamo preoccuparci di questo recente sviluppo in ambito UE?

Secondo chi scrive, è positivo che un tale dibattito avvenga, e che questo accada proprio nell’ambito dell’Unione, per disporre di strumenti e regole condivise tra i diversi paesi membri.

Non sono da sottovalutare i timori di coloro i quali paventano una deriva pericolosa per la privacy degli utenti: è una possibilità che dipende anche dalle diverse sensibilità su queste tematiche da parte dei singoli paesi che ora dovranno esporre i loro pareri.

D’altro canto, l’affermazione dei principi di tutela dei dati personali definiti con forza dalla stessa UE con il GDPR, ed il sostegno che ne è seguito in termini di politiche, talvolta con risvolti non trascurabili in tema di relazioni internazionali (si pensi al tema dello Shield / Schrems II), fa sperare nel perseguimento di una posizione più equilibrata rispetto a quanto sostenuto ad esempio nel caso di San Bernardino citato sopra.

Gli obiettivi, apparentemente contrastanti, di tutela della riservatezza e di assicurare una capacità di indagine adeguata e rispettosa dei diritti dei cittadini, possono e devono essere indirizzati contestualmente senza necessariamente cedere terreno sul campo della sicurezza dei dispositivi e dei servizi.

Il pericolo delle backdoor di stato

Sul piano tecnico, infatti, chi sostiene il pericolo dell’introduzione di backdoor di stato ha ragione da vendere: non vi è alcuna garanzia che tali meccanismi non siano individuati da altri attori, meno legittimati, ed utilizzati in modo inappropriato su larga scala, compromettendo (in questo caso in modo drammatico) la sicurezza di un intero paese, delle catene di comando militari, politiche, civili, dei soggetti economici più rilevanti.

Abbiamo già assistito ad imbarazzanti situazioni di perdita di controllo di tecnologie dual use con effetti disastrosi a livello globale, come quello del furto, nel 2017, del pacchetto di vulnerabilità di cui faceva parte l’exploit EternalBlue dai laboratori dell’NSA, e tutti ricordiamo i ransomware WannaCry e NotPetya, basati su tale exploit, il secondo dei quali è ancora oggi considerato il peggiore attacco informatico della storia, o “cybergeddon”.

Dare alle forze dell’ordine la capacità, secondo criteri e modalità definite dalla legge in un quadro normativo coerente, di operare svolgendo le attività di indagine con la necessaria capacità di azione, non può poi passare per la drastica riduzione del livello di sicurezza delle comunicazioni di un intero continente.

Tale misura giustificherebbe infatti l’attuazione di strumenti di intercettazione di massa, e parimenti permetterebbe a chicchessia di utilizzare qualsiasi canale di comunicazione in modo illecito, per scopi illeciti.

Il caso Exodus in Italia nel 2019 (software destinato alle indagini di polizia giudiziaria che, in realtà, è stato venduto dai realizzatori ad almeno 5 società private per evidenti finalità illecite d’uso), ha dimostrato che le tecnologie insicure, a maggior ragione se dual use, tendono con maggior facilità a diventare esse stesse obiettivo di attacco per compiere illeciti su larga scala.

Piuttosto, indirizzare la ricerca verso soluzioni basate su nuove forme di crittografia, o lo sviluppo di strumenti di intercettazione che rispondano a precisi requisiti e garanzie, è una strada che ancora oggi è perseguita e perseguibile, come dimostra anche l’acceso dibattito italiano sui c.d. captatori informatici (software finalizzati all’intercettazione ambientale, delle comunicazioni, dei movimenti ecc.).

Si sottolinea però come in tale dibattito non sia posta in discussione la capacità di tali strumenti di ottenere le informazioni necessarie ai fini di indagine: al contrario, il tema rilevante risulta essere quello di porre un limite all’utilizzo di tali strumenti ed alla tipologia di informazioni che possono essere raccolte, che può di gran lunga superare i limiti ragionevoli dell’interesse investigativo.

Conclusioni

Osservando in parallelo i due dibattiti, quello italiano (e di altri paesi) sui captatori e quello europeo sulla crittografia E2EE, risulta evidente il contrasto dei presupposti di partenza della discussione, diametralmente agli antipodi.

Viene quindi da domandarsi se esista davvero una necessità di superare l’E2EE, quanto piuttosto di regolamentare al meglio l’accesso agli strumenti investigativi, rafforzando così la sfera dei diritti ed il ruolo delle forze dell’ordine nell’attuale far west dell’Internet che, tra cyber criminali e state sponsored attack, non ha alcun bisogno di mettere in discussione una tra le più igieniche e fondamentali misure di protezione a disposizione dei cittadini e delle imprese che ancora possono ritenersi efficaci.

WEBINAR
Approccio Zero Trust: quanto è importante in un progetto di security? Scoprilo nel live
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Articolo 1 di 5