Crittografia, le indicazioni Ue per il giusto equilibrio tra interessi pubblici e diritti fondamentali - Agenda Digitale

legalità e sicurezza

Crittografia, le indicazioni Ue per il giusto equilibrio tra interessi pubblici e diritti fondamentali

Secondo il Consiglio dell’Ue, la crittografia continuerà a essere sostenuta, essendo fondamentale per la sicurezza del mondo digitalizzato e dei diritti fondamentali. Ma, oltre alla privacy delle comunicazioni, è necessario garantire anche la legittimità delle indagini e le operazioni a esse legate. Vediamo come

09 Dic 2020
Marco Santarelli

Chairman of the Research Committee IC2 Lab - Intelligence and Complexity Adjunct Professor Security by Design Expert in Network Analysis and Intelligence Chair Critical Infrastructures Conference

Sono state ufficialmente rese note il primo dicembre 2020 dal Consiglio dell’Unione Europea le indicazioni sulla crittografia, a seguito della proposta di risoluzione che era apparsa a fine novembre per la regolamentazione della violazione della crittografia End-to-end, tecnologia di sicurezza informatica di protezione dei dati, per consentire alle forze dell’ordine di eseguire intercettazioni legalmente autorizzate.

Ciò che emerge con forza dalla pubblicazione – quasi in risposta a una preoccupazione generalizzata e di fondo riguardo una possibile violazione della privacy – è l’intento del Consiglio di mantenere sempre intatto un equilibrio tra interessi pubblici e diritti fondamentali.

Se da un lato bisogna preservare la privacy di ogni tipo di comunicazione, dall’altro infatti è necessario che le indagini e le operazioni ad esse legate riescano a entrare nel mondo del digitale in maniera legittima e gli Stati Membri hanno un ruolo molto importante per far sì che questo equilibrio non venga stravolto.

Il Consiglio ha affermato di essere “determinato a bilanciare attentamente gli interessi nel proteggere la privacy, i diritti fondamentali e la sicurezza delle comunicazioni attraverso la crittografia”, ma allo stesso tempo sostiene l’accesso legale per scopi di giustizia penale.

Le indicazioni del Consiglio

Vediamo i punti esposti dal Presidente nell’allegato che è stato pubblicato e che tiene conto dei commenti scritti dalle delegazioni dopo il COSI del 19 novembre 2020.

WEBINAR
1 Dicembre 2021 - 12:00
WEBINAR - Presente e futuro dello Smart Working nei risultati di una Survey
Digital Transformation
Risorse Umane/Organizzazione

Già nei primi punti viene ribadito fermamente che la crittografia continuerà ad essere sostenuta, essendo fondamentale per la sicurezza del mondo digitalizzato e dei diritti fondamentali, pertanto va promossa e sviluppata.

I sempre più frequenti attacchi cyber e i tanti strumenti creati dai criminali per commetterli ci mettono davanti ogni giorno al grande abuso che si fa delle nuove tecnologie e alla necessità crescente di combatterli per la salvaguardia della privacy delle comunicazioni e dei dati dei cittadini, in quell’equilibrio di cui abbiamo già parlato sopra.

Pertanto, le autorità competenti nel campo della sicurezza devono poter avere accesso in maniera legale e autorizzata ai dati necessari alla lotta al crimine e al terrorismo, attraverso ambiti fisici e digitali. A tale scopo verranno vagliate diverse opzioni e possibilità che rappresentino il giusto compromesso di legalità, sicurezza e equilibrio, unendo l’impegno di Stati membri, Commissione Europea e tutte le altre istituzioni e agenzie dell’Unione europea.

L’azione europea verso la crittografia dovrà essere coordinata e consistente per far sì che la protezione dei dati dei singoli cittadini non sia di ostacolo alla lotta al terrorismo, agli abusi sessuali e al crimine in generale, e viceversa.

Ovviamente il Consiglio ribadisce, come si legge nell’allegato, la volontà di proseguire nel proficuo scambio con realtà internazionali, come università, industrie e società civile, soprattutto con i fondatori dell’International Statement: End-to-End Encryption and Public Safety, ossia UK, USA, Australia, Nuova Zelanda, Canada, India e Giappone. Questo per avere un dialogo costante sul tema con i partner strategici.

Stati membri, industria tecnologica, società civile e università devono mettere insieme le forze per la crittografia e in particolare l’Innovation Hub dell’Unione Europea all’Europol, insieme al gruppo di ricerca e sviluppo nazionale, devono guidare la cooperazione all’interno dell’industria tecnologica, tra università e stakeholder degli Stati Membri. Tra questi ultimi, anche i provider di servizi del web e le piattaforme social, in modo da poter mettere in campo le loro competenze tecnologiche al livello successivo. L’avanzamento della tecnologia del sistema crittografico deve andare di pari passo con la ricerca di soluzioni per contrastare intrusioni e violazioni cybercriminali sempre più all’avanguardia.

Crittografia, necessaria una formazione di alto profilo

In questo quadro generale, non deve mancare una formazione di alto livello per gli operatori che si occupano di crittografia per elevare l’expertise, tale da contrastare l’ambiente criminale. Saranno quindi impiegate a questo scopo agenzie all’interno degli Stati membri che conoscano la materia dal punto di vista tecnologico e abilitati enti qualificati europei e/o degli Stati Membri a programmi di formazione standardizzati.

Saranno chiamati per la standardizzazione tecnica dei processi Istituti degli Stati membri, come: l’Internet Engineering Task Force (IETF), l’ITU Telecommunication Standardization Sector (ITU-T), l’European Telecommunications Standards Institute (ETSI), il 3rd Generation Partnership Project (3GPP).

Gli effetti che deriveranno dalle diverse strutture normative verranno revisionati per poter sviluppare una struttura normativa consistente che abbia le competenze necessarie a svolgere tutti i compiti. L’Unione Europea può influenzare il suo singolo mercato per assicurare che i produttori di device e i provider di servizi creino tecnologie adeguate ai bisogni degli Stati Membri e della crittografia.

L’allegato si conclude con l’invito per la Commissione di informare regolarmente sugli aggiornamenti della Risoluzione del Consiglio sulla crittografia.

La sicurezza a partire dall’intero ciclo di vita del prodotto

In questo contesto, secondo quanto riferisce Euractiv, la Presidenza tedesca del Consiglio dell’Unione Europea, all’interno del Council Horizontal Working Party a tema cyber, ha affermato lo scorso 6 novembre che la sicurezza informatica e la privacy “dovrebbero essere garantite anche durante l’intero ciclo di vita di un prodotto e lungo la sua filiera” ed è per questo motivo che sta insistendo per nuovi standard di sicurezza informatica per i device. Come recita il documento che è stato diffuso tra gli altri paesi della UE, l’uso sempre maggiore dei dispositivi tecnologici connessi ad internet fa inevitabilmente emergere nuovi rischi per la gestione delle informazioni, privacy e cybersecurity, per cui sono proprio questi ultimi due aspetti che devono diventare requisiti essenziali nell’innovazione del prodotto e nei processi produttivi e di sviluppo, inclusa la fase di progettazione, quella che chiamiamo Security by Design, seguendo tutto il ciclo di vita del prodotto, anche nella stessa filiera.

La Presidenza tedesca dell’UE ha parlato di una “legislazione orizzontale a lungo termine per indirizzare tutti gli aspetti della sicurezza ICT dei dispositivi connessi, come disponibilità, integrità e riservatezza”, citando anche il Cybersecurity Act dell’UE adottato nel 2019, che includeva una previsione sull’istitituzione di una struttura di certificazione cybersecurity.

Lo scenario che abbiamo vissuto e stiamo ancora vivendo a causa della situazione sanitaria d’emergenza dovuta al Covid-19 ha incrementato inevitabilmente l’utilizzo di smartphone e dispositivi cyber, in particolare a causa del distanziamento sociale e la diffusione dello smart working.

Da un report recentemente pubblicato dall’agenzia di cybersicurezza europea ENISA è emerso che la resilienza della cybersecurity è stata portata al limite delle sue capacità come risultato della crisi sanitaria pubblica in corso: infatti, se lavorando da casa gli specialisti di cybersecurity hanno dovuto adattare soluzioni di difesa esistenti a un nuovo paradigma infrastrutturale, cercando di limitare l’esposizione ai vari nuovi attacchi, che prevedevano i dispositivi dei lavoratori come punti di accesso, allo stesso tempo è stato necessario implementare le soluzioni basate sui componenti già finora testati e ritenuti validi, come l’accesso remoto attraverso l’Internet pubblico, servizi cloud, servizi di streaming video non sicuri e dispositivi mobili e app.

  1. https://www.wired.it/internet/regole/2020/12/02/cybersecurity-perimetro-nazionale-direttiva-nis-obblighi/?refresh_ce=
WHITEPAPER
5 consigli da seguire per imparare a delegare efficacemente
Risorse Umane/Organizzazione
Smart working
@RIPRODUZIONE RISERVATA

Articolo 1 di 3