Crittografia, tutte le contraddizioni dell’Europa

Due leak recentissimi, uno pubblicato da Politico e l’altro da StateWatch lasciano intendere che l’Europa stia considerando di limitare l’utilizzo della crittografia nel settore privato e di cercare il modo di aggirarla, se il divieto non dovesse funzionare. In particolare, come rileva l’analisi condotta dall’americana Electronic Frontier Foundation, l’obiettivo sarebbe quello di bloccare la cifratura end-to-end, cioè quella che viene eseguita localmente, sul terminale dell’utente, o aggirarla prima (e a prescindere dal fatto) che il messaggio venga veicolato tramite una rete pubblica di comunicazioni.

Le ragioni alla base di questa scelte sono —a distanza di anni— ancora le stesse: “Combattere il terrorismo” e “proteggere i minori”; e a distanza di anni continuano ad essere ancora più difficilmente sostenibili del passato, sia in termini giuridici, sia in termini politici. Inoltre, dare seguito a queste proposte avrebbe, paradossalmente, degli effetti dirompenti sulla gestione della sicurezza nazionale.

Già venti anni fa era chiaro che non avesse senso vietare la crittografia o consentirne l’uso di una versione indebolita, e ci si trovava in un momento nel quale il dibattito era ancora a un livello sostanzialmente astratto perché lo sviluppo dei servizi di comunicazione elettronica e di quelli della società dell’informazione era ancora agli inizi. Oggi, la ineliminabile dipendenza di cittadini, aziende ed istituzioni dalle tecnologie dell’informazione (e dunque dalla sicurezza delle informazioni) rende impensabile  – e impossibile – imporre l’indebolimento dei sistemi di cifratura per uso non militare o di ridurne l’efficacia.

L’EVOLUZIONE STORICA DEL DIBATTITO SULLA CRITTOGRAFIA PER USO CIVILE 

I primi cenni di regolamentazione della crittografia al di fuori degli ambiti militari, diplomatici e di sicurezza risale agli anni ’20 del secolo scorso, quando il Regio Decreto  30 aprile 1924 n.  965 stabiliva, all’articolo 41 che “ogni professore deve tenere diligentemente il giornale di classe, sul quale egli registra progressivamente,senza segni crittografici, i voti di profitto, la materia spiegata, gli esercizi assegnati e corretti, le assenze e le mancanze degli alunni”. Analogamente, in tempi successivi la disciplina dell’attività di radioamatore vietava di “parlare in codice”. Essa imponeva di utilizzare soltanto determinate lingue, in modo che le strutture di controllo dell’allora Ministero delle poste e telecomunicazioni potessero controllare che i radioamatori non usassero il mezzo per scopi illeciti. Le motivazioni di queste scelte normative sono chiare: lo Stato  – o meglio, l’esecutivo – deve poter controllare sempre e comunque ciò che accade, dal microcosmo di un’aula scolastica al mondo etereo delle onde elettromagnetiche.

Sebbene il codice penale non sanzionasse esplicitamente l’uso di sistemi di cifratura, è senz’altro possibile concludere  – se escludiamo i periodici di enigmistica e le invenzioni letterarie – che per lungo tempo non fosse possibile impiegare questi metodi al di fuori degli ambiti  per i quali erano stati tradizionalmente concepiti.

Il quadro normativo cambia drasticamente con il DPR 513/97 che, disciplinando in anticipo rispetto alla Ue l’uso e il valore della firma digitale, escluse la possibilità di utilizzo di sistemi di key escrow okey recovery. Da questa scelta normativa derivarono due conseguenze: la prima era che la crittografia forte era indispensabile per consentire l’uso di documenti informatici senza rischi di frode, la seconda che il suo uso civile doveva essere necessariamente del tutto lecito.

L’evoluzione della disciplina normativa della firma digitale in forza del DPR 445/00 e delle sue modificazioni, il recepimento della direttiva 95/46 sulla protezione dei dati personali effettuato con il d.lgs. 196/03, l’obbligo di garantire l’integrità dei dati informatici sequestrati nel corso di indagini penali stabilito dalla L. 48/08 e infine l’entrata in vigore del Reg. Ue 679/16 (per non parlare dell’emanando regolamento e-Privacy) hanno rinforzato questo ultimo concetto. Esiste, in altri termini, un robusto doppio perimetro normativo (uno comunitario, l’altro nazionale) che non consente di adottare norme sull’uso di crittografia indebolita o di aggirarne la protezione. Parallelamente, però, in Usa e in altri Paesi compresa l’Italia non sono mancate voci istituzionali che nel corso del tempo hanno “accusato” la crittografia forte di essere un ostacolo alle indagini e un sostegno ai criminali.

CLIENT-SIDE SCANNING: UNA VALIDA ALTERNATIVA? 

Evidentemente consapevoli della estrema difficoltà  – al limite dell’impossibile – di smantellare non tanto e non solo l’apparato normativo sulla libertà crittografica, ma l’intricatissima rete di interdipendenze fra servizi pubblici, servizi privati e “vita digitale” dei cittadini, i politici europei stanno pensando a una soluzione alternativa: il client-side scanning.

Si tratta, in sintesi, di un sistema che “intercetta” un contenuto localmente (cioè sul computer dell’utente) prima che possa essere cifrato, verifica tramite un meccanismo di “marcatura” e di comparazione con una “lista nera” se il contenuto in questione sia legale o legittimo (differenza non irrilevante) e, in caso negativo, lo blocca segnalando, eventualmente, il fatto all’autorità. È evidente che, in questo caso, l’uso della crittografia sarebbe irrilevante perché il controllo avverrebbe prima del nascondimento del contenuto.

Per quanto ora al centro del dibattito sul ruolo delle tecnologie di sicurezza, l’idea del client-side scanning non è nuova sia in termini temporali, sia dal punto di vista tecnico.

Nel 2005 un ricercatore indipendente evidenziò che Sony BMG aveva inserito nel cd  Get right with the mandi Van Zant un rootkitche  – per proteggere i diritti d’autore sui pezzi musicali – rendeva il computer degli utenti vulnerabile a controlli e attacchi dall’esterno. Dopo quel fatto, forse anche per via delle segnalazioni pubbliche alle autorità, non risultarono ulteriori impieghi di questa tecnologia, ma il proof-of-conceptrimane valido. Nel frattempo, con una politica commerciale dei piccoli passi iniziata diversi anni fa dalle grandi software house, oggi è percepito come assolutamente normale il fatto che qualsiasi apparato di comunicazione, per poter funzionare, deva essere “registrato” presso i sistemi del produttore e che il produttore possa, da remoto, sapere cosa l’utente fa con quell’apparato. Se a questo aggiungiamo che anche gli antivirus funzionano sulla base di un principio analogo a quello del client-side scanning, cioè la ricerca nei file presenti su un computer di “firme” corrispondenti a quelle presenti nel database delle minacce, è chiaro che già sussiste il presupposto per l’accettazione su larga scala di una soluzione del genere. Non è detto, tuttavia, che questo scenario suggerisca di procedere verso la soluzione ipotizzata in sede europea perché  – a prescindere dalla fattibilità pratica – ci sono dei limiti politici che sarebbe molto pericoloso oltrepassare.

I PROBLEMI GENERATI DAL CLIENT-SIDE SCANNING 

La prima cosa che balza alla mente quando si studia il meccanismo che fa funzionare il client-sidescanning è, ovviamente, la messa in pericolo dei diritti umani e l’abuso di questa tecnologia da parte degli Stati. Non è impossibile, infatti, pensare a un sistema che dall’obiettivo originale (“proteggere i minori” e “combattere il terrorismo”) venga “discretamente” riprogrammato per bloccare o mappare il dissenso politico o sociale anche non pericoloso per ordine e sicurezza pubblica.

In realtà, tuttavia, le criticità sono di magnitudo molto maggiore perché valgono per il client-side scanning  le stesse argomentazioni che, storicamente, sono state utilizzate per opporsi a una stretta legislativa sulla crittografia e che si riassumono in un concetto: non si può vietare la matematica e non si può impedire  – in termini fattuali – la creazione di software.

La matematica (di cui la crittografia è una parta) e la computer science sono delle branche del sapere che sono tutelate dalla libertà della scienza. Vietare lo sviluppo di determinate ricerche teoriche e delle loro applicazioni, o rendere illegale lo sviluppo di software che quelle ricerche traducono in strumenti utilizzabili non impedirebbe ai criminali di dotarsi ugualmente di questi strumenti o addirittura di finanziarne lo sviluppo.

Peggio ancora sarebbe consentire solo a determinati soggetti di svolgere queste attività, perché significherebbe creare un sistema di stampo pitagorico, nel quale solo agli esoterici è consentito l’accesso alla conoscenza mentre al resto della comunità è negato l’accesso alla conoscenza.

Il risultato di una scelta del genere sarebbe, in primo luogo, il crollo dell’efficacia della ricerca scientifica che, invece, si basa oggi sull’apertura e sulla condivisione delle informazioni.

È vero che ci sono ambiti nei quali certe ricerche sono classificate e varie tecnologie sono soggette ad embargo. Tuttavia, in linea di principio la maggior parte della conoscenza e della sua applicazione pratica si sviluppano liberamente proprio grazie alla libertà di ricerca. Frammentarla, significherebbe indebolire strutturalmente la capacità di uno Stato di fronteggiare le minacce umane e naturali cui potrebbe essere esposto.

L’IMPATTO SULLA SICUREZZA NAZIONALE 

La sicurezza nazionale (non solo) cibernetica, e arriviamo al punto, non è protetta soltanto da ricerche classificate e tecnologie segrete ma dalla possibilità per i ricercatori di tutto il mondo di contribuire a prevenire o eliminare vulnerabilità infrastrutturali e applicative della società dell’informazione. Il risultato più evidente dell’impatto positivo di un modello basato sulla condivisione delle informazioni tecniche e scientifiche è l’ecosistema del cosiddetto “software libero”. Un esempio su tutti: il sistema operativo Linux, creato decenni fa da uno studente finlandese e reso liberamente disponibile e modificabile da chiunque voglia, ora fa funzionare un percentuale molto rilevante dei server internet di tutto il mondo. Un altro esempio, questo strettamente legato alla protezione delle infrastrutture critiche, riguarda soggetti come lo CSIRT della Presidenza del Consiglio. Questa struttura ha, oggi, la possibilità non solo di accedere alle informazioni su attacchi e vulnerabilità diffuse dai produttori di software e apparati, ma anche quella di interagire con la comunità degli esperti indipendenti di sicurezza dai quali ottenere informazioni che altrimenti sarebbero negate o non disponibili.

In termini pratici, una strategia che, come detto, potremmo definire “pitagorica” implicherebbe necessariamente, oltre ad accordi con le multinazionali tecnologiche per creare un esteso perimetro di controllo, anche una forte limitazione della possibilità, per determinati Paesi di accedere alla formazione occidentale di alto livello in modo da limitare la crescita tecnologica di soggetti geopoliticamente problematici.

Non si tratterebbe più  – e solo – di bloccare lo sviluppo di programmi nucleari o strategici ma anche di impedire l’acquisizione di conoscenze meno immediatamente critiche per l’ordine internazionale, ma comunque utili a rinforzare un potenziale avversario.

Siamo di fronte alla “weaponizzazione” tout-court della conoscenza, che si traduce, per esempio, nella scelta statunitense di limitare l’accesso a studenti e docenti cinesi o in quella di Pechino di attrarre élite intellettuali d’Occidente (https://www.globaltimes.cn/content/1079471.shtml).

CONCLUSIONI 

Una sicurezza nazionale cibernetica e un ordine pubblico tecnologico non possono prescindere da un ampio livello di circolazione di idee, metodi scientifici e sviluppo tecnologico anche indipendenti.

L’imposizione di sistemi come il client-side scanning da un lato consegnano i Paesi nelle mani delle multinazionali del software, limitando l’indipendenza tecnologica di una nazione. Dall’altro indeboliscono strutturalmente la tenuta democratica realizzando un sistema di controllo di stampo autoritario. Dall’altro ancora richiedono di emanare norme che vietano (o che consentono solo a determinati soggetti) di svolgere ricerche teoriche e sviluppare applicazioni che prescindano da questo sistema di controllo pervasivo e non arrestabile.

La frammentazione della conoscenza, necessaria in un contesto di weaponizzazione del sapere, implica l’imposizione di divieti di studio e realizzazione di algoritmi e software di sicurezza e indebolisce così la capacità di prevenzione e reazione di un Paese di fronte a minacce locali e globali.