L’Unione Europea (UE) sta portando avanti una proposta per aggirare la crittografia end to end a favore delle forze dell’ordine.
È quanto emerge da un documento del Consiglio della UE (scaricabile da qui) in cui i legislatori europei, preoccupati per il terrorismo, stanno accelerando verso il divieto della crittografia end-to-end.
La crittografia
La crittografia end-to-end è un sistema di comunicazione cifrata nel quale solo le persone che stanno comunicando possono leggere i messaggi. In principio, essa evita che terze parti, compresi i gestori delle reti di telecomunicazione, possano leggere o alterare i messaggi scambiati tra due persone.
Individui, organizzazioni e governi fanno affidamento sulla crittografia per contrastare le minacce di un’ampia gamma di attori, inclusi criminali, agenzie di intelligence e governi repressivi. La crittografia da sola non risolve la sfida di fornire una protezione efficace per dati e sistemi, ma è uno strumento importante.
Quando le comunicazioni sono crittografate “end-to-end”, i messaggi intercettati non possono essere compresi. Quando uno smartphone è bloccato e crittografato, i contenuti non possono essere letti se il telefono viene perso o sequestrato.
Cosa dice effettivamente la proposta del Consiglio EU?
Innanzi tutto il documento è denominato: “Security through encryption and security despite encryption” che la dice lunga su dove si vuole andare a parare. Ma andiamo con ordine
Il valore della crittografia
Nella risoluzione si afferma di riconoscere il valore della crittografia come “mezzo necessario per proteggere i diritti fondamentali”, ma allo stesso tempo però “l’Unione europea deve garantire la capacità delle autorità competenti nel settore della sicurezza e della giustizia penale, ad es. forze dell’ordine e autorità giudiziarie, per esercitare i loro legittimi poteri, sia online che offline”.
Sfide per garantire la sicurezza pubblica
Ed ecco che il documento inizia a “batter cassa” sindacando le problematiche della “vita digitale” e del cyberspazio.
“La digitalizzazione della società moderna porta con sé alcune vulnerabilità e il potenziale sfruttamento a fini criminali, e le forze dell’ordine dipendono sempre più dall’accesso alle prove elettroniche che non sono solo essenziali per condurre le indagini con successo e quindi assicurare i criminali alla giustizia, ma anche per proteggere le vittime e contribuire a garantire la sicurezza” continua il documento.
Trovare il giusto equilibrio
Il documento poi propone il rispetto del principio “Security through encryption and security despite encryption” affermando che la UE continua a supportare una crittografia avanzata poiché essa è un’ancora di fiducia nella digitalizzazione e nella protezione dei diritti fondamentali. Al tempo stesso però occorre sostenere la possibilità, per le autorità competenti nel settore della sicurezza e della giustizia, di accedere ai dati rilevanti per scopi legittimi e chiaramente definiti nella lotta contro il crimine organizzato ed il terrorismo.
Unire le forze con l’industria tecnologica
In questo paragrafo la UE, non avendo nessuna capacità di suggerire soluzioni, invoca i governi, l’industria, la ricerca e il mondo accademico affinché collaborino per creare strategicamente questo equilibrio tra “Security through encryption” e “Security despite encryption” . Senza stancarsi però di ribadire nuovamente che le autorità competenti devono poter accedere ai dati in modo lecito e mirato, nel pieno rispetto dei diritti fondamentali e delle pertinenti leggi sulla protezione dei dati, pur sostenendo la sicurezza informatica.
L’ultimo colpo alla botte.
Necessità di sviluppare un quadro normativo in tutta l’UE che consenta alle autorità competenti di svolgere i loro compiti operativi.
La dichiarazione continua a promuovere l’idea che una qualche forma di accesso eccezionale ai dati crittografati possa essere possibile, senza creare falle di sicurezza fondamentali per tutti gli altri utenti di un servizio o di una tecnologia.
Un approccio, dimostrato più volte dagli esperti, sbagliato.
“Le potenziali soluzioni tecniche dovranno consentire alle autorità di utilizzare i loro poteri investigativi che sono soggetti a proporzionalità, necessità e controllo giudiziario ai sensi della loro legislazione nazionale, nel rispetto dei valori comuni europei e dei diritti fondamentali e preservando i vantaggi della crittografia”.
La dichiarazione prosegue dicendo: “Le possibili soluzioni dovrebbero essere sviluppate in modo trasparente in collaborazione con i fornitori di servizi di comunicazione nazionali e internazionali e altre parti interessate pertinenti. Tali soluzioni e standard tecnici – e il rapido sviluppo della tecnologia in generale – richiederebbero anche il miglioramento continuo delle capacità e delle competenze tecniche e operative delle autorità competenti per affrontare efficacemente le sfide della digitalizzazione nel loro lavoro su scala globale”.
In che modo esattamente l’UE riuscirà ad accedere a contenuti crittografati senza violare gravemente la privacy dei cittadini non è realmente spiegato.
Cosa succederà
Se la risoluzione sarà ratificata, la Commissione sarà incoraggiata e autorizzata a proporre una nuova legislazione europea. Di conseguenza, l’industria dovrà cooperare per trovare una possibile soluzione tecnica, come “backdoor” che consentano alle forze dell’ordine di accedere alla comunicazione privata.
I servizi, come Signal o Whatsapp, non sarebbero in grado di proteggere i propri utenti.
“Contrariamente a quanto vorrebbero farci credere i governi, dobbiamo scegliere tra intercettazione e sicurezza. Coloro che vogliono sacrificare la crittografia per consentire le intercettazioni distruggeranno la protezione di segreti privati, segreti aziendali e segreti di stato e apriranno la porta allo spionaggio di massa da parte dei servizi di intelligence stranieri e agli attacchi degli hacker“, afferma Patrick Breyer, europarlamentare e attivista tedesco per i diritti digitali.
Non esiste una backdoor parziale
Marcel Kolaja, vicepresidente del Parlamento Europeo e leader del Partito Pirata Ceco, afferma che la proposta è in linea con i regolari attacchi dei governi alla crittografia basati sul pretesto della lotta alla criminalità organizzata e al terrorismo.
Non esiste una backdoor parziale per le comunicazioni online. La priorità deve essere data alla sicurezza di tutte le nostre comunicazioni. Questa è stata la chiara posizione del Parlamento europeo dal 2017, ed è anche la massima priorità del mio partito conclude Kolaja.