In occasione della Cerimonia per i 20 anni del Cnaipic (Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche), si è parlato molto di crittografia, esprimendo una certa necessità da parte della polizia di “rompere” la crittografia end-to-end (E2EE) delle grandi piattaforme al fine di facilitare le attività investigative delle forze dell’ordine.
Prima è stato il turno del Direttore del Servizio Polizia Postale e per la Sicurezza Cibernetica (Ivano Gabrielli) che domanda a Massimiliano Sala, professore all’Università di Trento e Presidente dall’Associazione nazionale di Crittografia “De Componendis Cifris”, se “dovrebbe esistere una modalità tecnologica e legale, che consenta di superare la crittografia e permettere a uno Stato di diritto, con tutti i requisiti previsti dalle indagini investigative, di effettuare l’attività di Polizia e di contrastare sempre più efficacemente i crimini sulla Rete o attraverso la Rete?”.
Il Professor Sala risponde che sia possibile sacrificare un certo livello di sicurezza dei protocolli crittografici, se ciò serve a garantire alle forze dell’ordine un maggior potere d’indagine, anche se questo comporta minare la sicurezza di tutti i sistemi informatici (in primis quelli su cui si basano le infrastrutture strategiche del Paese). Secondo il Professore è possibile mantenere entrambe le esigenze – ovvero abbassare il livello di sicurezza e, allo stesso tempo, mantenerlo alto – anche se, purtroppo, non sa spiegarci in quale modo.
Dello stesso avviso sembra essere il Ministro Piantedosi, secondo cui i sistemi di messaggistica attuali risultano troppo improntati alla privacy, tant’è che si era già espresso per la creazione di un’Autorità presso la Postale per vigilare sui sistemi di messaggistica che implementano protocolli di crittografia forte.
https://www.key4biz.it/piantedosi-al-lavoro-per-unautorita-presso-la-postale-per-vigilare-su-whatsapp-telegram-e-signal/540313/
Tali posizioni dimostrano, ancora una volta, l’enorme test critico a cui la democrazia europea e lo stato di diritto vanno incontro. Infatti, l’eliminazione di sistemi di crittografia forte come l’end-to-end renderebbe i contenuti delle conversazioni private potenzialmente accessibili a chiunque, e non solo alle forze dell’ordine. Ciò esporrebbe le comunicazioni personali a un rischio concreto di cyber attacchi compromettendo la privacy e la sicurezza, tanto dei cittadini quanto delle infrastrutture strategiche. Il fenomeno risulta particolarmente rilevante in Italia, che si colloca tra i Paesi maggiormente colpiti da attacchi informatici ai danni sia della cittadinanza che delle istituzioni.
A raccomandare l’utilizzo di sistemi crittografati è in primis l’ACN (Agenzia per la Cybersicurezza Nazionale) con specifiche linee guida (peraltro ai sistemi di crittografia e alla loro importanza è dedicata un’intera pagina del sito istituzionale dell’ACN https://www.acn.gov.it/portale/crittografia).
L’assenza di sistemi adeguati di crittografia ha reso possibile uno degli attacchi più importanti della storia recente ai danni dell’FBI e ad opera del gruppo cinese Salt Typhoon. Gruppo che peraltro ha già preso di mira in più di un’occasione le strutture europee.
Al di là delle questioni di mera sicurezza, la crittografia rappresenta uno strumento fondamentale per giornalisti e attivisti, soprattutto nei Paesi in cui la libertà di espressione è minacciata da regimi autoritari o repressivi, poiché consente loro di condividere informazioni in modo sicuro, senza il timore di essere intercettati dalle autorità. Difatti, la crittografia delle comunicazioni è condizione essenziale per garantire l’esercizio dei diritti fondamentali e tutelare i cittadini (come abbiamo descritto qui: https://privacy-network.it/news/articoli/stop-scanning-me).
Le parole del Ministro e del Direttore della polizia postale ci sorprendono, per due motivi: in primo luogo, in quanto le forze di polizia in realtà non hanno alcun bisogno di “rompere” la crittografia. Ci sono infatti modi molto più immediati per ovviare al problema delle comunicazioni criptate:
a) utilizzare uno spyware (sistema ampiamente in uso dalle nostre forze dell’ordine);
b) ancora più banalmente sequestrare fisicamente uno o più dispositivi. Infatti, una volta sequestrato un dispositivo o infettato mediante uno spyware, anche il più potente algoritmo di crittografia diventa irrilevante.
Rimane, infine, la possibilità di analizzare non direttamente il contenuto delle conversazioni ma i metadati, normalmente non criptati e spesso estremamente utili nelle indagini.
Esiste poi un problema ulteriore di natura pratica: l’unico modo per avere protocolli che possano essere rotti dalla polizia è costringere tutti i provider di servizi ad adottare sistemi di crittografia deboli e vincolare i venditori di dispositivi a distribuire prodotti che supportino esclusivamente questi protocolli (e, conseguentemente, l’utente non avrebbe la possibilità di cambiare software).
Questo rappresenterebbe una grossa limitazione al libero mercato, alla libertà di iniziativa economica e ai diritti dei consumatori, proprio in un periodo storico in cui le istituzioni lamentano come le regole troppo stringenti siano un freno all’innovazione e alla competitività digitale europea.
Quello che sembra prospettarsi, sebbene sia difficile comprendere quale soluzione intenda proporre il Ministro, è un mondo in cui i protocolli di crittografia sarebbero appannaggio esclusivo delle forze di polizia e le big tech statunitensi, con buona pace dei cittadini e delle aziende – che si vedrebbero esposte ad attacchi informatici – e della tanto decantata sovranità digitale.
Ancora una volta, le nostre istituzioni dimostrano di non comprendere (o non voler comprendere) che sicurezza e privacy non si escludono a vicenda. Anzi, una reale cultura della sicurezza presuppone proprio la disponibilità di comunicazioni sicure. Sarebbe come sostenere che le serrature delle porte di casa dovrebbero essere abolite, perché ostacolano le forze di polizia nella perquisizione di appartamenti, o che le tasche dei nostri vestiti dovrebbero essere vietate in quanto potenzialmente utilizzabili per trasportare oggetti pericolosi.
Potrebbe interessarti anche
Approvata la 1° legge italiana sull’Intelligenza Artificiale
“Pay or OK”: le nostre osservazioni per il Garante
Diciamo NO al modello “Pay or OK”
Comunicato ufficiale sulla riforma al GDPR
Report annuale 2024-2025
Riconoscimento Facciale nello stadio di Milano
Libri sulla tecnologia: i nostri consigli
Ma la Silicon Valley non era progressista?
