Skip to main content

“Buoni e cattivi” uniti dalla stessa battaglia. Contro la crittografia degli smartphone

La crittografia è un processo di codifica di dati che assicura sicurezza e protezione, ma forze dell’ordine, governi (e attori non statali con cattive intenzioni) vorrebbero le chiavi per sbloccare gli smartphone in caso di necessità. Quale principio deve essere tutelato di più, la libertà o la sicurezza?

Come viene riportato sul sito ufficiale di Android, “la crittografia è il processo di codifica di tutti i dati dell’utente su un dispositivo utilizzando chiavi simmetriche. Una volta che un dispositivo è crittografato, tutti i dati creati dall’utente vengono automaticamente crittografati prima di impegnarli sul disco e tutte le letture decrittano automaticamente i dati prima di restituirli al processo chiamante. La crittografia assicura che anche se una parte non autorizzata cerca di accedere ai dati, non sarà in grado di leggerli.” Da questo si evince che un dispositivo crittografato è sia molto più sicuro di uno che non lo è, sia più difficile da hackerare perché tutto è protetto da una chiave automatica difficilmente decrittabile.

Per messaggio crittografato si intende che, per esempio, una frase con scritto “ho rubato i tuoi dati” viene letta da chi non ha la chiave di decriptazione come “cnjf veirf h vnfj vecp.” Per gli utenti, questo sistema di encryption risulta quindi essere di estrema importanza perché mostra affidabilità e sicurezza da parte dei fornitori, ma per i procuratori, i tribunali e le forze dell’ordine è un grande problema.

In una recente lettera aperta scritta dal Direttore Esecutivo di Europol Catherine de Bolle e dal Procuratore Distrettuale di New York Cyrus R. Vance Jr. e pubblicata da Politico, i due hanno sottolineato come questo sistema di crittografia, considerato da molti “una salvezza”, sia in realtà un’ingiustizia sociale. Vance e de Bolle hanno difatti rimarcato che il loro dovere è quello di aiutare gli individui, famiglie e società vittime di reati, ma che negli ultimi anni si sono ritrovati davanti ad un ostacolo in più: “i dispositivi digitali criptati che tengono le prove bloccate” a cui non si può accedere.

Molti criminali, hanno riportato Vance e de Bolle, usano proprio i dispositivi mobili criptati per organizzare reati o per chiedere riscatti, rendendo così impossibile il lavoro di tracciamento degli investigatori. Per loro, c’è bisogno di regolamentare il sistema della mobile encryption specialmente quando si è davanti a un atto illegale.

Nel 2020, l’Europol e l’Eurojust sono riusciti a decrittare e distruggere una chat online, composta da una rete di criminali conosciuta come EncroChat, ma ci sono voluti mesi per intercettare il sistema e per trovare la chiave giusta per sbloccare il sistema. Il lavoro svolto dalle due agenzie, però, non è stato del tutto “legale,” perché decriptare un telefono significa anche invadere la privacy di un individuo, criminale o meno, e i metodi usati da Europol ed Eurojust sono stati molto simili a quelli di un hacker. Questo è solo un esempio, e per ricordarne un altro, nel 2019 anche l’Fbi aveva forzosamente sbloccato un telefono Apple dopo che l’azienda si era rifiutato da consegnare la chiave di decrittazione, con l’obiettivo di mostrare al 900 milioni di utenti iPhone che i loro dati sono al sicuro.

Infine, come sottolinea The Conversation, “lo stato dell’arte della crittografia è attualmente abbastanza forte da proteggere la maggior parte delle nostre e-mail e transazioni online, ma il suo stato futuro non è del tutto certo.” Questa incertezza proviene dal fatto che le organizzazioni statali e internazionali, come precedentemente sottolineato, vorrebbero introdurre norme che permetterebbero di decrittare i dispositivi di coloro coinvolti in attività criminali. Rimane però un problema: questo può permettere alle amministrazioni di invadere la privacy degli utenti e aprire la porta ad hacker e a malware.

Oltre ovviamente al controllo di governi che non aspettano altro di avere pieno accesso ai device dei loro cittadini, magari con la scusa di stanare reti di pedopornografi, terroristi e estorsori. Il caso Pegasus insegna che, con gli strumenti giusti – legali o meno – molte istituzioni cercano costantemente di tenere sotto controllo dissidenti, giornalisti, manager privati e funzionari pubblici. Per questo molte aziende puntano sulla privacy dei loro prodotti (smartphone, computer e app di messaggistica). Il dibattito è aperto.


×

Iscriviti alla newsletter