Un pezzetto di libertà, in cambio di un pezzetto di sicurezza. È uno scontro vecchio quanto il mondo quello dinanzi al quale ci mette di fronte, ancora una volta, la richiesta del 5Eyes, ossia l’alleanza di intelligence tra Stati Uniti, Regno Unito, Australia, Canada e Nuova Zelanda, alle aziende che producono app di chat come Signal, Telegram, Facebook Messenger e WhatsApp.
Le cinque agenzie di intelligence (con l’appoggio di Giappone e India) hanno chiesto, dopo averlo già fatto nel 2018, a chi produce software di messaggistica di consentire l’accesso alle conversazioni private, attraverso una “backdoor” (una porta di servizio nei loro sistemi) che dia la possibilità, in casi eccezionali, di leggere i messaggi privati. Questa richiesta è conseguenza del fatto che ormai da anni e con sempre maggiore efficacia, le chat private sono crittografate, ossia leggibili solo a chi li invia e chi li manda e da nessun altro, inclusi fornitori stessi di servizi (Facebook, proprietario di WhatsApp, per fare un esempio a tutti noti) e di conseguenza neppure alle forze dell’ordine.
La ragione non è campata per aria e, seppure ponga un problema serio di tutela della privacy, ne pone anche un altro, altrettanto serio, di ordine pubblico. In particolare le intelligence dell’alleanza hanno scritto che «sebbene la crittografia sia un’ancora esistenziale di fiducia nel mondo digitale per giornalisti, difensori dei diritti umani e persone vulnerabili, particolari implementazioni della tecnologia di crittografia, tuttavia, pongono sfide significative alla sicurezza pubblica, compresi i membri altamente vulnerabili delle nostre società come i bambini sfruttati sessualmente. Per questo esortiamo l’industria ad affrontare le nostre serie preoccupazioni laddove la crittografia viene applicata in un modo che preclude del tutto qualsiasi accesso legale ai contenuti».
Anche Europol – che pure non firma la lettera – solo lo scorso 5 ottobre ha pubblicato la sua valutazione della minaccia della criminalità organizzata su Internet del 2020 nella quale scrive chiaro che «da diversi anni, il progresso e la maggiore implementazione di alcuni sviluppi tecnologici hanno complicato la capacità delle forze dell’ordine di accedere e raccogliere dati rilevanti per le indagini penali. Uno degli esempi più importanti in questo senso rimane l’uso diffuso della crittografia, che contiene molti vantaggi dal punto di vista della sicurezza ma è anche uno sviluppo che i criminali hanno utilizzato con gratitudine a proprio vantaggio».
Dunque, come prevedibile, ci troviamo, ancora una volta davanti al conflitto tra libertà e ordine, tra tutela del diritto del singolo alla privacy e tutela di quelli della collettività alla sicurezza. La questione però apre molti e differenti scenari, più complessi della sola e semplice divisione del mondo in guardie e ladri. Perché una volta spalancate le porte alle intelligence del mondo, si porrebbero vari e consistenti problemi.
Il primo riguarda non solo la privacy ma, di più, la democrazia e i diritti civili: cosa succederebbe se, tramite backdoor, i governi in malafede di questo o quello stato, decidessero di sbirciare nei cellulari non solo di terroristi, criminali e trafficanti, ma anche in quelli di comuni cittadini, oppositori o avversari politici? Cosa succederebbe se l’amministrazione Trump potesse avere accesso ai cellulari degli attivisti di Black lives matter? Cosa succederebbe, anzi: cosa è successo quando un gruppo di hacker ha avuto accesso alle conversazioni interne e private di un candidato alla presidenza americana? Potrebbe non essere un caso che uno dei governi che più si sta spendendo per l’apertura dei codici di crittografia è quello americano. Solo un anno fa, il segretario alla giustizia William Barr ha detto che, stanti gli attuali criteri di protezione dei dati, i cellulari sono diventati «zone libere dalla legge» alle quali è proibito l’accesso alle forze dell’ordine.
Il secondo problema riguarda un aspetto di diritto pubblico. In merito è Greta Nasi, responsabile del programma di Cyber Risk Strategy and Governance di Bocconi a spiegarci: «Il problema non è tanto backdoor o non backdoor. Il problema è se si mettono in piedi delle policy che consentono di governarla. Il Regolamento Generale sulla Protezione dei Dati (GDPR) europeo, per esempio, può essere uno strumento efficace in merito e se i principi degli stati sono chiari, evidentemente lo sono anche le regole che possono consentire questi tipi di accessi. Ma non è così facile, perché le leggi vanno lente, l’informatica va velocissima. Ammettendo che si inizi oggi una forma di regolamento di questi accessi, è verosimile credere che il testo diverrebbe obsoleto il giorno stesso della sua approvazione».
Il terzo punto riguarda la tecnologia stessa: una avolta aperta questa backdoor non è più davvero possibile sapere chi la usa e per farci cosa. Non è possibile, almeno allo stato attuale delle tecnologie, garantire che i cellulari e i messaggi siano apribili solo dalle guardie e non dai ladri. Non a caso, nel febbraio 2018, in risposta a una richiesta simile fatta dall’FBI, tre tra i massimi esperti di crittografia del mondo, Bruce Schneier, Paul Kocher, Steven Bellovin e Martin Hellman hanno scritto una lettera aperta nella quale si leggeva: «comprendiamo e simpatizziamo con la frustrazione che le forze dell’ordine devono affrontare quando le prove possono esistere ma non è possibile accedervi a causa dei meccanismi di sicurezza. Allo stesso tempo, la nostra vasta esperienza con la crittografia e la sicurezza informatica ci rende consapevoli di quanto contano i dettagli: un cambiamento apparentemente minore in un algoritmo o protocollo può minare completamente gli aspetti di sicurezza del sistema».
Il quarto riguarda il crimine stesso: «se si dovesse decidere di rendere accessibili le conversazioni crittografate, nel giro di poco, chi ha loschi traffici da mandare avanti troverebbe altri modi e altri sistemi per comunicare», ci conferma Giovanni Ziccardi, professore di informatica giuridica all’Università di Milano. «L’unico risultato sarebbe un danno per le società di software, di cui nessuno si fiderebbe più nemmeno per parlare con gli amici, e un’evoluzione parallela su altri e più sconosciuti ed efficaci canali delle comunicazioni criminali che, dunque, sfuggirebbero ancora a ogni controllo».
Il quinto problema ha a che fare con la tecnologia nuda e cruda: presto arriverà la tecnologia 5G che, tra le mille novità che porterà con sé, introdurrà anche maggiori standard di sicurezza. Questo perché il 5G non si rivolge tanto alle tecnologie personali (come i cellulari) e non è pensato per farci andare meglio su Instagram, ma è concepito per gestire grandi volumi di dati legati a settori come l’industria o i trasporti. Ha bisogno di maggiori protezioni. E per questo impiega la crittografia a 256 bit (il doppio di quella attuale a 128bit).
Questo, detto in parole molto povere, significa che un hacker avrà bisogno di provare 22256 combinazioni di numeri diverse per rompere un messaggio crittografato, il che verosimilmente occuperà un tempo potenzialmente superiore a quello di una vita umana e rende la faccenda praticamente impossibile. Dunque il problema si pone ancora, di nuovo e più a fondo, e non riguarda (più, solo) privacy e diritti civili, ma riguarda la possibilità di fermare con le mani l’acqua di una tecnologia sempre più efficace e pervasiva. Progettata per essere sicura. E proprio per questo, diventata per paradosso albergo di vulnerabilità e falle di sicurezza.
