di Pierluigi Paganini*
Il terrorismo spaventa l’Europa. L’imperativo è prevenire attacchi e utilizzare qualunque strumento tecnologico per acquisire informazioni utili al contrasto di quella che oggi è considerata una delle principali minacce sociali.
Il coordinatore europeo anti-terrorismo Gilles de Kerchove ha spiegato che come misura di contrasto al terrorismo internazionale la Commissione Europea potrebbe imporre agli internet service provider di fornire alle agenzia di sicurezza nazionali le chiavi di cifratura dei loro servizi. La misura riguarderebbe, più in generale, anche tutte le principali aziende del comparto tecnologico.
Gilles de Kerchove considera prioritaria la misura. Il terrorismo usa la tecnologia per coordinare la propria azione su scala globale. Tuttavia, organizzazioni come Isis e Al Qaeda usano sistemi e servizi in cui l’identità dei loro membri è protetta da meccanismi di cifratura.
Da un lato abbiamo le aziende tecnologiche che per guadagnare consensi forniscono servizi e soluzioni in grado di proteggere i propri clienti dall’occhio indiscreto dei governi. Dall’altro c’è l’esigenza delle istituzioni di monitorare l’uso dei principali servizi in rete da parte di gruppi eversivi.
Come la Commissione Europea intende intervenire sulla cifratura
Un documento di 14 pagine divulgato da Statewatch, organizzazione per la difesa dei diritti umani, riporta che “le società che usano meccanismi di crittografia in Internet e le aziende di telecomunicazione hanno iniziato a usare metodiche che rendono sempre più complesse, se non impossibili, le intercettazioni per fini investigativi”.
In risposta, de Kerchove esorta: “La Commissione Europea dovrebbe essere invitata a studiare le regole che obbligano internet e le aziende di telecomunicazione operanti nella UE a fornire – sotto determinate condizioni stabilite dalle leggi nazionali in materia e nel pieno rispetto dei diritti fondamentali – l’accesso da parte delle autorità nazionali competenti per le comunicazioni (ad esempio, chiavi di crittografia azione)”.
Una volta accettata, la proposta verrà sottoposta ai vari capi di Stato e potrebbe costringere i giganti della rete, inclusi Microsoft, Facebook e Google, a prevedere un accesso facilitato alle strutture/dati aziendali da parte delle forze dell’ordine e agenzie di intelligence, soprattutto qualora le aziende adottino processi di cifratura.
I principali punti esposti nel documento sono:
- La Commissione Europea potrebbe presentare “quanto prima possibile” una nuova proposta di legge per la cifratura conservazione dei dati.
- La Commissione Europea dovrebbe approfondire il suo impegno con le società operanti in internet. “È necessario un dialogo con le società operanti in internet, sia a livello UE che a livello internazionale”
- La Commissione Europea dovrebbe studiare il modo per accelerare il processo per ottenere informazioni, su scala internazionale, relative agli assegnatari di indirizzi IP.
- Altri paesi europei potrebbero adottare una misura simile a quella adottata dalla commissione antiterrorismo britannica. Quest’ultima classifica i contenuti in rete per agevolarne una rapida rimozione nel caso referenzino contenuti di gruppi estremisti.
- La Commissione Europea potrebbe creare un gruppo di esperti per fronteggiare il cyber-terrorismo con poteri transnazionali nel contesto europeo.
L’UE può davvero intervenire sulla cifratura?
Obbligare le aziende del comparto tecnologico a fornire le chiavi di cifratura a protezione delle proprie informazioni è cosa tutt’altro che semplice. In molti casi è impossibile.
Si pensi, ad esempio, a tutti quei meccanismi in cui le aziende operanti in internet forniscono solo il mezzo trasmissivo, ma in cui le chiavi di cifratura a protezione del dato in transito sono direttamente gestite dall’utente. Caso emblematico è il PGP, protocollo utilizzato per la cifratura dei messaggi di posta elettronica in cui è l’utente finale a gestire la coppia di chiavi. Il discorso è il medesimo per tutti i meccanismi di cifratura end-to-end, in cui due entità scambiano informazioni in maniera sicura attraverso la semplice condivisione di una chiave pubblica, ma mantenendo privata la chiave per accedere ai dati.
Agire sulle aziende che forniscono sistemi di cifratura ha poco senso. In ogni momento, come è già accaduto, gruppi di terroristi potrebbero sviluppare proprie soluzioni di crittografia, indipendenti dall’operato dei service provider. Per contro questi ultimi non avranno mail l’accesso all’informazione trasferita.
Mobile, social network, cloud computing sono solo alcuni dei paradigmi che possono essere usati da gruppi di terroristi, che non saranno certo messi in difficoltà dalle misure ipotizzate. L’introduzione di backdoor o di falle intenzionali negli algoritmi danneggerebbe solo coloro che usano i sistemi di cifratura per fini legali.
Ben venga ogni regolamentazione che supporti le autorità nella prevenzione di crimini contro la collettività. Tuttavia, dobbiamo essere consapevoli dell’efficacia della misura e delle possibili conseguenze.
Considerare i processi di cifratura come veicolo del male potrebbe essere un grave errore. In ogni caso, misure idonee potrebbero esporre a seri rischi coloro che operano proprio grazie a questi meccanismi di protezione disponibili in rete.
Pensiamo ad esempio a reti di anonimato come Tor. Sebbene queste reti siano quotidianamente abusate da criminali di ogni genere, continuano a rappresentare un’ancora di salvataggio per coloro che necessitano di superare la censura dei governi. Censura che nella maggior parte dei casi sfocia in atroci persecuzioni e crimini contro l’umanità.
*Pierluigi Paganini
Membro Gruppo di Lavoro Cyber G7 2017 presso Ministero degli Esteri
Membro Gruppo Threat Landscape Stakeholder Group ENISA
Collaboratore SIPAF presso il Mef