Skip to main content

Il dibattito sulla crittografia, pur senza guadagnare le luci della ribalta, continua serrato nella comunità degli addetti ai lavori. Di nuovo, in realtà, non c’è molto perché non ci si è allontanati dalle posizioni che maturarono agli inizi degli anni ’90 relativamente alla necessità di avere crittografia indebolita, fornire alle forze di polizia accessi privilegiati alle centrali e alle reti telefoniche, progettare metodi che consentono l’interfacciamento con sistemi di intercettazione.

Da questo punto di vista, il First Report on Encryption è uno strumento utile per capire a che punto della curva si trova il processo di depotenziamento di alcuni utilizzi della crittografia che costituiscono un ostacolo a volte insormontabile per le attività delle forze di polizia e dei servizi di intelligence.

Il Report da’ conto della proposta di regolamento unionale sul client side scanning (cioè la perquisizione automatica, preventiva e indiscriminata di qualsiasi device prima di consentire l’invio di un messaggio criptato localmente), che ha suscitato maggiori polemiche nella società civile e, in parte, nell’industria, ma che non è l’unica e che, per certi versi, non è nemmeno la più complessa da gestire. Le difficoltà di imporre di una simile modalità di funzionamento, infatti, sono più di tipo normativo e politico che di natura tecnologica.

Maggior interesse, invece, suscitano altri punti del Report che identificano nella relazione con il settore privato (Big Tech, ma anche —più in generale— comunità tecnica indipendente) un elemento cruciale della futura strategia per rendere più efficace l’accesso ad informazioni cifrate.

La inarrestabile dipendenza istituzionale dal settore privato

In primo luogo, gli estensori del Report evidenziano l’inevitabile e crescente dipendenza degli inquirenti dal contributo degli operatori di telecomunicazioni e servizi di comunicazione elettronica. Questi soggetti già svolgono un ruolo essenziale per le attività di indagine che è quello della conservazione obbligatoria dei dati di traffico telematico dei propri utenti, ma questo non basta.

Oltre ai “classici” parametri su numero IP, data e ora del collegamento, utente che accede alla rete, user-agent e via discorrendo, sempre di più gli inquirenti hanno preso a fare affidamento sulle interrogazioni ai Dns (Domain Name System – cioè quei servizi che consentono di sapere a cosa l’utente stia cercando di collegarsi).

L’importanza investigativa di queste informazioni è evidente, ma la possibilità di prenderne cognizione è limitata dal fatto che le interrogazioni al Dns sono cifrate secondo standard definiti, da Big Tech come Google (DoQUIC) e Cloudflare (ODOH). Questo significa, rileva il Report, che “law enforcement will become more dependant of Dns service providers’ cooperation” (le forze di polizia diventeranno più dipendenti dai fornitori di servizi Dns).

Allo stesso modo, prosegue il Report, “l’uso della crittografia nelle tecnologie di telecomunicazione 4G (VoLTE) e 5G (Standalone 5G) complica la capacità delle forze dell’ordine e delle autorità giudiziarie di svolgere le indagini. Questi standard introducono la crittografia end-to-end (E2EE) per le chiamate vocali sulla rete, che complica l’intercettazione delle comunicazioni criminali nelle connessioni in roaming. Per questo motivo, è importante che i fornitori di servizi di comunicazione disabilitino le tecnologie di protezione della privacy nel routing interno.”

Queste considerazioni portano gli estensori dello studio a richiedere che le necessità di intercettazione e decifrazione siano considerate già a livello di progettazione degli standard tecnologici, arrivando a consentire (come peraltro le centrali telefoniche già facevano da tempo) un collegamento diretto degli investigatori al network dell’operatore.

Quantum computing, Hpc e indagini di polizia

Un altro aspetto rilevante che emerge dal Report è il ruolo del quantum computing nelle attività di crittanalisi, cioè di “rottura” della cifratura di un messaggio senza conoscere la chiave di decifrazione. Il Report ritiene, infatti, che la mostruosa potenza di calcolo di cui dispongono questi elaboratori sia tale da rendere decrittabile in tempi ragionevoli ciò che oggi richiederebbe anche soltanto qualche decennio, se non addirittura secoli o addirittura millenni.

Dotarsi di questa tecnologia è, si ritiene, di importanza strategica per potenziare le capacità investigative delle strutture istituzionali.  Ma questo, anche se il Report non lo dice, implica dover sciogliere almeno due nodi politici.

Il primo riguarda la scelta del se, come e con quale estensione applicare il noto principio “store now, decrypt later” in base al quale anche se non si possiede la capacità di decrittare il materiale acquisito, è sempre opportuno raccoglierlo per potersi avvantaggiare, in futuro, delle nuove possibilità offerte dal progresso, come appunto nel caso del quantum computing.

A parte il costo industriale di una retention generalizzata e indiscriminata anche solo del traffico cifrato sulle reti pubbliche, persino i più accaniti sostenitori della teoria dell’uomo di vetro difficilmente potrebbero accettare una opzione del genere.

Il secondo nodo che andrebbe sciolto è a chi rendere disponibili tecnologie come il quantum computing. Se, infatti, quando la loro evoluzione consentirà di utilizzarle per offrirle in modalità “as a service” come già avviene con l’intelligenza artificiale, è chiaro che queste tecnologie saranno disponibili anche ai criminali e non solo per utilizzi legittimi. Dunque, i regolatori potrebbero doversi trovare di fronte alla scelta di impedire non solo la commercializzazione generalizzata del quantum computing, ma anche di controllare la conoscenza necessaria per svilupparlo.

È chiaro che questa scelta avrebbe innegabili vantaggi dal punto di vista della superiorità tecnologica dello Stato sui criminali (o di alcuni Stati nei confronti di altri, come accade con il contenimento della proliferazione nucleare). Una soluzione del genere, tuttavia, avrebbe come conseguenza l’impossibilità di fornire servizi a una larga base di utenza e dunque comporterebbe la difficoltà di rendere sostenibili gli investimenti non solo per la ricerca e sviluppo nel settore.

L’obbligo di consegnare le chiavi di decifrazione come strumento complementare

Prima di avere architetture di quantum computing effettivamente disponibili sul mercato e concretamente utilizzabili bisognerà aspettare almeno una decina d’anni, e dunque ci sarebbe il tempo per valutare con la dovuta ponderatezza i pro e i contro delle opzioni sul tavolo. Nel frattempo, tuttavia, il problema dell’accesso alle informazioni cifrate rimane in tutta la sua gravità e dunque —veniamo all’ultimo aspetto rilevante del Report— si pone il problema di trovare una soluzione che possa funzionare nell’immediato.

Per quanto possa sembrare controintuitivo, parallelamente alla crittanalisi tecnica, si sta consolidando un approccio che potremmo definire “crittanalisi giuridica” cioè l’adozione di norme che rendono obbligatoria anche per l’indagato o il sospettato la consegna delle chiavi di decifrazione. Per esempio in Olanda, si legge nel Report, è già possibile ricorrere, senza l’autorizzazione del giudice, a un moderato uso della forza per indurre il sospettato a sbloccare l’accesso a un apparato protetto.

Tuttavia, una soluzione del genere si scontra con il divieto di autoincriminazione che è uno dei cardini dei sistemi giudiziari occidentali e un pilastro della rule of law. Questo è ancora più vero per quelle ipotesi che suggeriscono di prevedere una pena sufficientemente pesante da indurre alla cooperazione chi non consente di accedere alle informazioni cifrate, visto che rischierebbe in ogni caso di essere condannato a una lunga detenzione.

Conclusioni

Dalla lettura del Report emerge in modo abbastanza chiaro che il rapporto fra crittografia e indagini giudiziarie sia affrontato tenendo un basso profilo e in modo (apparentemente) privo di una strategia complessiva.

Questo approccio è dovuto, probabilmente, alla necessità di evitare un dibattito pubblico sui principi che, come si è visto per le questioni sollevate dal riconoscimento facciale biometrico e dall’uso dell’intelligenza artificiale nei settori della difesa e della sicurezza nazionale, potrebbero risultare molto divisivi.

Rimane aperto, infine, senza una reale aspettativa di soluzione, il tema del rapporto fra settore privato e organismi istituzionali non più e non solo in termini di cooperazione sul campo, ma soprattutto nella prospettiva dello sviluppo di tecnologie di punta da mettere al servizio delle istituzioni o del mercato.

Archivi

Verde e blu

Il nodo della crittografia è arrivato al pettine della Ue. L'analisi di Monti

Di Andrea Monti

Il First Report on Encryption recentemente pubblicato dall’Eu Innovation Hub for Internal Security contiene le linee guida e i desiderata in materia di crittografia delle strutture unionali che si occupano di sicurezza e contrasto alla criminalità, ed evidenzia le contraddizioni irrisolte della libera disponibilità di tecnologie crittografiche. L’analisi di Andrea Monti, professore incaricato di Digital Law, Università di Chieti-Pescara

Esteri

L’avventurismo di Viktor Orban e la verticale del potere. Scrive Polillo

Di Gianfranco Polillo

Non è ancora ben chiaro quali siano gli obiettivi e i motivi dietro al tour diplomatico intrapreso di recente dal leader ungherese. Dietro tutto questo c’è un disegno: grande o piccolo che sia, si vedrà. Comunque in grado di provocare reazioni e malumori. Il commento di Gianfranco Polillo

Esteri

Così la Nato approfondisce i legami con l’Indo Pacifico

Di Emanuele Rossi

La Nato è e resterà interessata all’Indo Pacifico. Il sudcoreano Yoon al Public Forum spiega chiaramente le ragioni di questo interessamento reciproco. Dal Summit di Washington è definitiva la saldatura tra la regione euro-atlantica e quella indo-pacifica

Verde e blu

Dal G7 una coalizione per far fronte all’emergenza acqua. L'intervento di Gava

Di Vannia Gava

La dispersione idrica è solo una delle numerose priorità che il nostro Paese è chiamato ad affrontare, conseguenza di condotte vecchie, poco e male manutenute nel tempo. La sfida è raggiungere una gestione efficiente e sostenibile. Ma anche i cittadini e le comunità locali dovranno fare la propria parte al fine di ridurre gli sprechi. L’intervento di Vannia Gava, vice ministro dell’Ambiente e della Sicurezza energetica

Difesa

Deterrenza militare, Ucraina e fianco sud. Cesa spiega l'impegno dell'Italia al Nato Summit

Di Francesca Lenzi

“La coesione tra i Paesi membri è fondamentale” e l’impegno a raggiungere il 2% del Pil per la difesa è “essenziale nonostante le difficoltà economiche”. Sul fianco sud, è cruciale nominare un italiano come inviato speciale per rafforzare la posizione dell’Italia. La solidarietà con l’Ucraina rimane una priorità, con un forte impegno politico, umanitario e militare. Intervista al presidente della delegazione italiana presso l’assemblea parlamentare della Nato, Lorenzo Cesa

Esteri

Alla ricerca della flessibilità tra deficit e investimenti nella difesa. Le discussioni in Europa

Di Fabrizio Braghini

Sia in ambito Nato sia in ambito europeo le percentuali di spesa rappresentano un benchmark importante, che proprio in virtù della sua importanza diventa oggetto di dibattito politico, soprattutto alla luce della nuova emergenza securitaria. Il punto dell’analista di politiche europee e di Difesa, Fabrizio Braghini

Verde e blu

Ecco cosa dice il report Ugei sull’antisemitismo in Italia

Di Francesco Spartà

Secondo il report pubblicato dall’Ugei, dai tragici eventi del 7 ottobre si assiste ad un aumento della preoccupazione tra i giovani ebrei italiani per il crescente antisemitismo nel nostro Paese che si riflette direttamente nella loro quotidianità

Esteri

La corsa alle rompighiaccio tra Occidente e Russia entra nel vivo

Di Lorenzo Piccioli

Mentre Washington, Ottawa e Helsinki lanciano una nuova iniziativa congiunta sulla costruzione di rompighiaccio (ma non solo), Mosca avvia i test della sua nuova versione armata di questa tipologia di vascello

Verde e blu

Il bipolarismo sul futuro del lavoro nell’era dell’IA. La terza tappa di Pensiero Solido

Di Silvia Bosco

“Intelligenza artificiale e lavoro. Quale impatto sociale?” è il titolo del nuovo appuntamento della Fondazione Pensiero Solido che si terrà lunedì 15 luglio per approfondire il “bipolarismo” sul futuro del lavoro nell’era dell’IA, diviso tra chi preconizza un futuro senza lavoro e chi invece vede un nuovo futuro. Ecco tutti i dettagli

Esteri

La cultura della sicurezza è la base della democrazia. L'impegno italiano

Di Ferruccio Michelin

Perché serve una cultura della sicurezza? Davanti a un mondo che cambia rapidamente, un convegno a Palazzo Wedekind cerca la strada per le prime risposte

×

Iscriviti alla newsletter