Spiati e infelici: Apple approva la legge anti-crittografia, e l’Europa si accoda

Theresa May vuole approvare la sua “decryption law”, che garantirebbe ai servizi di intelligence di decrittografare i contenuti archiviati nelle chat private per scovare i terroristi sul web. Il problema è che così facendo si metterebbe a rischio la privacy di tutti gli altri utenti registrati

Apple stringe la mano al primo ministro inglese, Theresa May, sull’eliminazione dei sistemi di crittografia end-to-end, garantiti dalle maggiori firme tech, Facebook e Google in primis. Lo ha annunciato Tim Cook, amministratore delegato dell’azienda statunitense, durante il WorldWide Developers Conference 2017, in cui ha rivelato che Apple ha già collaborato con il governo inglese nella lotta al terrorismo sul web, fornendo dati subito dopo la serie di attacchi a Manchester e Londra. «La crittografia non implica l’assenza di informazione, anzi, è molto importante nel momento in cui stai cercando di delineare un profilo», ha affermato Cook.

Una risposta inaspettata da parte di Apple, che nel febbraio 2016 si era rifiutata di decrittografare un iPhone utilizzato in un attacco terroristico, su richiesta dell’FBI, nonostante le pressioni dei servizi segreti affinché l’azienda cambiasse il suo sistema di sicurezza in modo da rendere i suoi codici violabili. C’è da precisare, però, che quanto proposto riguardo la collaborazione con il governo inglese contro il terrorismo online riguarda i casi in cui si è già in possesso di informazioni e in ogni caso si attiverebbe rispettando la legge. Ciò non era avvenuto nel caso dell’FBI, che aveva richiesto un’“assistenza extra” che avrebbe indebolito la sicurezza dei dispositivi iOS e quindi dei propri utenti. Intervistato da Bloomberg riguardo il programma di crittografia end-to-end di Apple, Cook ha risposto: «Non è una questione di privacy contro sicurezza, ma si tratta di privacy e sicurezza contro sicurezza. Per questo motivo lavoriamo per stare sempre un passo avanti agli hacker che, detto francamente, si sono trasformati dal “ragazzo nel garage che hackerava per hobby” a una vera e propria impresa».

Ma a Theresa May questo non basta. Nella sua “decryption law” (“legge sulla decrittografia”, ndr.), ancora in fase di approvazione, richiede una cooperazione internazionale nella lotta al terrorismo sul web, rivolta a tutte le aziende che contino più di 10mila utenti registrati. Il suo intervento riprende e amplifica quanto stabilito nell’Investigatory Powers Act 2016 soprannominato la “legge ficcanaso” – che estende i poteri delle agenzie di spionaggio e del governo su internet, conferendo loro maggiori permessi per poter intercettare le comunicazioni scambiate sul web o accedere alla cronologia in archivio senza richiedere alcun permesso. Ciò che non è chiaro è come il governo intende decrittografare gli stessi contenuti senza invadere la privacy dei restanti utenti che non aderiscono a nessun gruppo estremista. Si parla di “capacità tecniche” che devono essere garantite alle agenzie governative, ma le modalità, nel concreto, non vengono specificate.

Nel mirino del nuovo atto ci sono i messaggi inviati tramite WhatsApp, di proprietà di Facebook, considerato il “covo dei terroristi”. Ma non è il solo. Secondo il primo ministro inglese, anche Google e Twitter sarebbero altre due zone favorite dagli estremisti 2.0 per pianificare senza alcun disturbo i propri attacchi

In particolare, nel mirino del nuovo atto ci sono i messaggi inviati tramite WhatsApp, di proprietà di Facebook, considerato il “covo dei terroristi”. Ma non è il solo. Secondo il primo ministro inglese, anche Google e Twitter sarebbero altre due zone favorite dagli estremisti 2.0 per pianificare senza alcun disturbo i propri attacchi. D’altra parte, le aziende chiamate in causa non hanno fatto attendere la loro risposta. Simon Milner, direttore della policy di Facebook, ha sostento che l’azienda utilizza già misure di questo tipo. «Con una combinazione di tecnologia e revisione manuale, lavoriamo assiduamente per rimuovere contenuti di stampo terroristico dalla nostra piattaforma non appena ne veniamo informati – e quando siamo a conoscenza di un’emergenza che potrebbe colpire la sicurezza di qualcuno, avvisiamo subito le autorità», ha affermato Milner. Gli hanno fatto eco i rappresentanti degli altri due colossi, tra cui Nick Pickles, capo della policy di Twitter in Regno Unito, che ha confermato l’impegno dell’azienda nell’eliminare i contenuti che inneggiano al terrorismo. Con questo metodo, Twitter ha sospeso un totale di 376.890 account per aver pubblicato testi, immagini o video pro estremismo.

Ma ancora una volta il Regno Unito chiede di più. Nonostante i pessimi risultati elettorali, che hanno demolito la maggioranza del leader conservatore, la sua proposta anti-crittografia è stata pienamente accolta dall’Unione Europea, che ha ribadito l’urgenza di una maggiore collaborazione da parte dei big della tecnologia digitale. Prima fra tutti il Commissario della Giustizia, Vera Jourova, la quale ha sostenuto in un’intervista rilasciata a Reuters che la Commissione presenterà tre opzioni ai ministri europei per tracciare le linee guida per una futura proposta legislativa da approvare entro la fine dell’anno o al limite l’inizio del prossimo. Anche in questo caso, però, non sono mancati gli scontri con i difensori della privacy degli utenti, i quali hanno fatto subito presente che, tra le proposte in stand by, vi è la possibilità per la polizia di copiare i dati direttamente dai cloud delle aziende digitali. Ad essere precisi, si va dai “non-content data”, come quelli relativi alla localizzazione dell’utente ai dati di traffico online fino ai dati registrati nelle comunicazioni personali. Ma Jourova non si ferma, e a questo proposito ha dichiarato: «Sono sicura che ora, in seguito ai recenti attacchi e minacce all’Europa, i ministri saranno più comprensivi rispetto alla nostra proposta, anche gli Stati in cui non si è ancora verificato un attacco terroristico».

Ciò che May e Jourova non dicono, però, è che le aziende tech che sposano la crittografia end-to-end per salvaguardare i dati dei propri utenti non possono concretamente accedere alle informazioni in forma leggibile, poiché non ne possiedono le chiavi d’accesso. Basterebbe questa motivazione a chiudere la controversia legata allo spionaggio digitale. Ma se la bozza legislativa dovesse essere approvata, allora le cose cambierebbero sia per le aziende presenti sul territorio inglese, sia per gli utenti. Ad esempio, il governo britannico potrebbe decidere di bloccare l’accesso ai servizi che garantiscono la crittografia dei contenuti, favorendo altri provider di servizi internet e multinazionali produttrici di app.

Ma un programma di questo tipo sarebbe realmente perseguibile? A questo proposito sarebbe bene rispolverare lo studio “Keys Under Doormats”, realizzato da un gruppo di ricercatori esperti di sicurezza nel 2015, in cui si esamina il concetto di “accesso garantito” ai sistemi crittografati per le agenzie di intelligence. Per farla breve, lo studio sostiene che non è possibile assicurare un accesso di questo tipo senza mettere a rischio la sicurezza dei dati personali degli utenti. Inoltre, non è nemmeno chiaro come l’atto legislativo voluto dal primo ministro inglese possa essere portato avanti al di fuori dai confini nazionali. Precisamente, si afferma: «Realizzare un “accesso garantito” nei sistemi d’informazione oggi porterebbe a una larga serie di rischi per la sicurezza. Oltre a minare e rovesciare tutti gli sforzi che l’industria sta portando avanti per incrementare la privacy dei cittadini, permetterebbe a degli intrusi di appropiarsi degli stessi meccanismi d’accesso. Se applicare la legge vuol dire analizzare e archiviare dati crittografati risalenti a un anno fa, allora tutti i dati di quell’anno verrebbero messi a rischio. Se la legge vuole assicurarsi l’accesso in tempo reale alla raffica di informazioni presenti sul web, gli intrusi avrebbero vita facile nell’appropriarsi con la stessa velocità degli stessi dati. A ciò si aggiunge il fatto che la sfida di garantire l’accesso ad agenzie presenti in più paesi è enormemente complesso. I costi di realizzazione sarebbero eccessivi e l’“accesso garantito” diventerebbe una spinosa questione di affari esteri, su cui trovare un accordo è piuttosto complicato».

X