Qual è il giusto equilibrio tra rispetto della privacy online e la sicurezza dei cittadini? Il quesito, di difficile risoluzione, da mesi attanaglia l’Europa e ha aperto un dibattito sul futuro della crittografia. Secondo alcune bozze di Risoluzione circolate negli ultimi due mesi e diffuse dal sito austriaco Orf.at e da Politico, il Consiglio europeo ha proposto di aggirare il sistema crittografico che protegge i dati presenti sui dispositivi elettronici e utilizzato dalle app di messaggistica per criptare i messaggi end-to-end.
L’obiettivo è quello di combattere la pedopornografia online e di assicurare maggiore protezione ai cittadini rafforzando gli strumenti a disposizione delle forze dell’ordine. Ma perché in Ue si parla di aggirare il sistema crittografico e che relazione ha con la difesa dei minori e più in generale della sicurezza?
La e-Privacy
Il problema è sorto in relazione all’adozione – prevista per il 21 dicembre – del Codice europeo globale delle comunicazioni elettroniche (detto anche e-Privacy). La nuova direttiva, come specificato dalla Commissione Ue, non contiene una base giuridica che possa permettere alle aziende di continuare a segnalare gli utenti che scambiano o utilizzano materiale pedopornografico, contrariamente a quanto previsto dal GDPR (Regolamento generale sulla protezione dei dati) attualmente in vigore in Europa.
Perché ciò invece continui a essere possibile, è necessario che venga adottata a livello europeo una misura legislativa urgente entro il 21 dicembre, ma difficilmente si riuscirà a trovare una soluzione al problema entro quella data. A questo proposito, la Commissaria europea per gli Affari interni, Ylva Johansson, ha proposto di adottare la direttiva e-Privacy sospendendo per i prossimi cinque anni la sezione del testo ritenuta problematica, proponendo intanto alcune soluzioni.
Ma la rIsoluzione – non vincolante – circolata ultimamente sui media più che risolvere la questione ha fatto sorgere nuove domande. Il testo infatti si è dimostrato contraddittorio fin dalle prime battute. In apertura, il documento ribadisce l’importanza della crittografia quale garante della protezione di «governi, infrastrutture critiche, società civile, cittadini e industria garantendo la privacy, la riservatezza e l’integrità dei dati delle comunicazioni e dei dati personali», ma allo stesso tempo sottolinea la necessità di favorire il lavoro svolto dalle autorità competenti nella lotta a «terrorismo, criminalità organizzata, abusi sessuali sui minori, nonché una varietà di crimini abilitati per il cyber».
La proposta inoltre non specifica quale sia il meccanismo da utilizzare per aggirare il sistema crittografico, anche se secondo un’analisi della Electronic frontier foundation l’intenzione sarebbe quella di ricorrere alla tecnica del client-side scanning. Si tratta di un sistema che analizza un dato contenuto prima che possa essere inviato e quindi criptato, verificandone la legalità e la legittimità per poi eventualmente procedere con il blocco e la segnalazione del caso alle autorità competenti.
La bozza tuttavia, prima di diventare una vera e propria Risoluzione, deve essere adottata dalla Commissione permanente per la Cooperazione operativa sulla sicurezza interna (Cosi) e passare per il vaglio del Comitato dei rappresentanti permanenti dei governi degli Stati membri all’Unione Europea (Corper) per poi essere adottata dal Consiglio. Nel corso di questo iter potrebbe subire delle modifiche ed è ciò che esperti di cyber-sicurezza e attivisti auspicano. Allo stato attuale, infatti, il testo rappresenta un pericolo per la privacy e l’adozione di una simile risoluzione proprio in ambito europeo ha colto molti di sorpresa.
I problemi per la privacy
Come spiega a Linkiesta Benedetto Ponti, professore di Diritto dell’informazione e della comunicazione dell’Università degli Studi di PeRugia, la crittografia è uno dei pochi ambiti in cui si può contare su un grado di tutela della segretezza delle comunicazioni, che rappresenta tra l’altro un diritto costituzionalmente garantito. La stessa Ue, continua Ponti, ha inserito tra i diritti fondamentali la tutela dei dati personali e della libertà personale e ha sempre promosso la crittografia quale strumento di tutela di tali libertà, sottolineandone la valenza anche per la sicurezza di privati, Stati e attività economiche. «La ricerca attuale di meccanismi che anticipino o aggirino la crittografia o che prevedano l’inserimento di back doors per violare la segretezza delle comunicazioni rappresenta un pericolo per la privacy».
La proposta avanzata in sede Ue rischia tra l’altro di trasformarsi in un nuovo strumento di sorveglianza della popolazione e, nella peggiore delle ipotesi, di controllo e repressione delle opposizioni. «In diversi documenti europei si evidenzia l’utilità della crittografia per la tutela delle libertà, ma anche come essa possa essere usata da chi vuole commettere crimini per nascondersi più facilmente. Questo discorso vale anche per le soluzioni che aggirano i sistemi crittografici e che possono essere usate per intromettersi nella sfera della riservatezza personale, diventando strumento di violazione delle comunicazioni lecite».
Al di là dei rischi di strumentalizzazione, perché la Risoluzione possa essere realmente funzionante necessita di una fiducia tra gli attori coinvolti (ossia cittadini, grandi aziende private e poteri pubblici) che al momento manca completamente. «La fiducia dei cittadini nei confronti dei poteri pubblici o dei colossi del web, così come tra questi ultimi e lo Stato non è mai stata così bassa», sottolinea Ponti, «ed una simile proposta rischia di ridurla ulteriormente».
La risoluzione del Consiglio attualmente in discussione non è il primo esempio di ricerca di un nuovo equilibrio tra privacy, segretezza delle comunicazioni e sicurezza pubblica. Il dibattito si è aperto più volte come reazione a fatti di cronaca a seguito di episodi come quelli delle Torri Gemelle e degli attentati che si sono susseguiti negli ultimi anni in Ue, spiega Ponti. Non a caso il dibattito attualmente in corso è stato legato agli attacchi di matrice ideologica in Francia e Austria, anche se in realtà il punto era all’ordine del giorno ancora prima di questi episodi. «L’impressione è che questi eventi siano usati come un pretesto o come l’occasione per dotare le forze dell’ordine di strumenti di indagine più forti alterando così un equilibrio che in tempi ordinari non si avrebbe la forza di modificare».