privacy e sicurezza

Salviamo la crittografia (e la nostra libertà) dagli attacchi del Consiglio Ue

L’indebolimento dei sistemi crittografici che proteggono chat e messaggi è considerato dalla Ue un’arma nella lotta al terrorismo, in una bozza di risoluzione del Consiglio dell’Unione europea. Non è una novità, ma il rischio è alto. Ecco gli scenari che si profilano

24 Nov 2020
Alessandro Longo

Direttore agendadigitale.eu

Marco Santarelli

Chairman of the Research Committee IC2 Lab - Intelligence and Complexity Adjunct Professor Security by Design Expert in Network Analysis and Intelligence Chair Critical Infrastructures Conference

Occhi puntati degli esperti di cyber security e privacy su una proposta di Risoluzione che sta facendo strada all’interno del Consiglio dell’Unione europea: aggirare la crittografia end to end a favore delle forze dell’ordine.

In particolare, è apparso qualche giorno fa un documento in bozza che a quanto pare dal prossimo 25 novembre porterà sui tavoli di discussione come aggirare il sistema crittografico, la tecnologia end-to-end di sicurezza informatica di protezione dei dati, per permettere alle forze dell’ordine di eseguire intercettazioni legalmente autorizzate.

In pratica, il Consiglio UE starebbe valutando di sviluppare “soluzioni tecniche” di vario tipo. Secondo l’analisi di Electronic frontier foundation può essere un sistema per bloccare la crittografia sui dispositivi o nelle chat. O per consentire alle forze dell’ordine di analizzare, anche con sistemi automatici, i file prima che siano criptati, secondo la tecnica del client-side scanning.

L’attuale bozza non specifica le soluzioni per riuscirci.

Torna così una tentazione di almeno vent’anni fa: limitare la crittografia per favorire la sicurezza. Ed è appunto da vent’anni che gli esperti ribadiscono i rischi di quest’approccio. I cybercriminali e i regimi autoritari non aspettano altro che un workaround alla crittografia.

Ma rispetto a vent’anni fa ora i pericoli associati all’indebolimento della crittografia sono ancora più gravi.

Il documento del Consiglio dell’Unione europea

Per capire perché, addentriamoci prima nel documento.

Se da un lato, quindi, con la bozza pubblicata dall’Unione Europea, si ribadisce l’importanza della crittografia come ancora di fiducia nella digitalizzazione e nella protezione dei diritti fondamentali e quindi da sostenere e promuovere, per cui bisogna assolutamente rispettare il principio della sicurezza attraverso la crittografia e la sicurezza nonostante la crittografia in tutta la sua interezza, dall’altro lato viene sottolineata la necessità di favorire il grande lavoro delle autorità competenti nella lotta al crimine, “terrorismo, la criminalità organizzata, gli abusi sessuali sui minori (in particolare i suoi aspetti online), nonché una varietà di crimini abilitati per il cyber”, per la tutela dell’intera comunità.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati

Si legge che mentre la crittografia è “un mezzo necessario per proteggere i diritti fondamentali e la sicurezza digitale dei governi, dell’industria e della società”, che dovrebbe essere “promossa e sviluppata”, l’Unione europea deve anche “garantire la capacità delle autorità competenti nel settore della sicurezza e della giustizia penale […] per esercitare i loro poteri legittimi, sia online che offline”.

Inoltre, si fa riferimento al fatto che le forze dell’ordine devono sempre più ricorrere ai vari dispositivi per portare a termine indagini su atti criminosi, dato che questi trovano sempre più terreno fertile nelle piattaforme social e di messaggistica istantanea, e nonostante sia lecito analizzarli per scopi legittimi, spesso l’accesso risulta troppo difficile, almeno a livello autorizzativo. Da qui, la necessità di un quadro normativo coerente in tutta l’Unione Europea che renda l’operatività delle autorità competenti più agevole e efficace.

Sempre secondo quanto riferisce ORF, se la bozza non subirà modifiche, dopo essere stata adottata dal COSI, Standing Committee on Operational Cooperation on Internal Security (Commissione Permanente per la Cooperazione Operativa sulla Sicurezza Interna), e successivamente sottoposta al COREPER, Committee of the Permanent Representatives of the Governments of the Member States to the European Union (Comitato dei rappresentanti permanenti dei governi degli Stati membri all’Unione Europea), sarà adottata dal Consiglio tramite procedura scritta.

I precedenti contro la crittografia

Se ripercorriamo un po’ gli ultimi trent’anni, troviamo numerosi tentativi statali per indebolire la crittografia. Si comincia dagli anni ’80 (vedi l’articolo sotto per approfondire), con un picco nei primi anni ’90, durante l’amministrazione Carter, fu proposto di imporre l’utilizzo di un chip per la cifratura delle comunicazioni, chiamato “Clipper”, che avrebbe consentito alle agenzie del governo USA di accedere alla chiave di cifratura delle comunicazioni.

Nessuno tocchi la crittografia: ecco perché è pericoloso indebolirla e quali alternative ci sono per le indagini

Ancora nel 2005 altri tentativi, ma poi dopo lo scandalo NSA sulle intercettazioni di massa, le rivelazioni Snowden e l’accresciuta importanza della privacy c’è stato un periodo di pace forzata per la crittografia.

Le autorità hanno preferito risolvere con “software spia” di intercettazione, creati dalle agenzie governative per garantire la sicurezza pubblica e la lotta al terrorismo. Lo spyware entra in azione attraverso una finta chiamata, sfruttando tecniche di phishing, social engineering e la navigazione web, attacca il dispositivo e attiva l’ascolto delle conversazioni, vede contenuti archiviati nella memoria interna, accede alla fotocamera e tanto altro.

La crittografia end-to-end, disciplina e tentativi di indebolimento

Strumenti che le autorità considerano insufficienti, mentre si diffonde nei dispositivi mobili e nelle chat, di default la crittografia end-to-end. Che come dichiara la stessa piattaforma Whatsapp, “garantisce che solo tu e la persona con cui stai comunicando possiate leggere o ascoltare ciò che viene inviato, e nessun altro, nemmeno WhatsApp. Questo perché con la crittografia end-to-end, i messaggi sono protetti da un lucchetto, e soltanto tu e il destinatario dei messaggi ne possedete la chiave che permette di sbloccarli e leggerli. Tutto questo avviene automaticamente: non c’è bisogno di attivare alcuna impostazione per proteggere i messaggi.”

La regolazione

L’indebolimento della crittografia o la sua abolizione già vent’anni fa erano considerati impensabili e ancora non erano così diffusi i device che tutti utilizziamo oggi, ormai fondamentali non solo per i cittadini, ma anche per le aziende.

Risale comunque già al 1924 una prima sorta di regolamentazione della crittografia al di fuori di ambiti militari, diplomatici e di sicurezza, infatti con il Regio Decreto 30 aprile 1924 n. 965 ecco cosa si leggeva nell’art. 41: “ogni professore deve tenere diligentemente il giornale di classe, sul quale egli registra progressivamente, senza segni crittografici, i voti di profitto, la materia spiegata, gli esercizi assegnati e corretti, le assenze e le mancanze degli alunni”. Col passare del tempo per il radioamatore diventò obbligatorio usare solo determinate lingue per far sì che il Ministero delle Poste e Telecomunicazioni potessero controllare che non ci fosse un uso illecito del mezzo. Chiarissimo in questi due casi che lo Stato doveva controllare ogni ambito della comunità.

Dal DPR 513/97 che ha disciplinato l’uso della firma digitale, escludendo i sistemi di key escrow o key recovery, che si è evoluto poi nel DPR 445/00 e sue modificazioni, il d.lgs. 196/03 dalla direttiva 95/46 sulla protezione dei dati personali, la L. 48/08 che obbligava a garantire l’integrità dei dati informatici sequestrati per indagini penali, siamo arrivati al Reg. Ue 679/16. Tutta una serie di normative che dimostrano che non è possibile disciplinare un indebolimento o la violazione della crittografia.

I nuovi tentativi contro la crittografia e i rischi

Fin qui il passato. L’Europa troverà nuovi appigli per riuscire a indebolire la crittografia? Certo sta aumentando la pressione degli Stati in tal senso. Ancora a ottobre l’alleanza per la sorveglianza “Five Eyes” – i ministri di U.S., U.K., Canada, Australia e New Zealand – ha chiesto di indebolire la crittografia con la scusa di poter così intercettare meglio per contrastare crimini gravi.

Se i Governi vogliono rompere la crittografia per spiarci meglio

Sarà la fine della crittografia, come denuncia il Partito Pirata?

Una cosa è certa. Abbiamo bisogno soprattutto ora della crittografia. Perché rispetto a 20-30 anni fa viviamo in una società digitale dove – per la diffusione degli smartphone, dei social e in generale di internet – quasi ogni aspetto della nostra vita è potenzialmente traducibile in dato informatico e quindi tracciabile in modo massivo, automatico, con strumenti di intelligenza artificiale.

Lo sviluppo della crittografia end-to-end è proprio una risposta – un argine – a questo rischio che può portare a una società della sorveglianza massiva. Controllati dal potere politico o commerciale. E non solo nei Paesi autoritari.

David Lyon (La Cultura della Sorveglianza, Come la società del controllo ci ha reso tutti controllori, Luiss University Press, 2020) e altri esperti, come Carola Frediani (Guerre di Rete, Laterza 2017-2018) ci mettono in guardia: la crittografia è un ultimo cruciale baluardo che protegge la nostra intimità, e le libertà connesse, dalle prerogative dei moderni regimi di sorveglianza. Prima ancora Shohana Zuboff (Il Capitalismo della Sorveglianza) ci allertava sul problema: la sorveglianza sta diventando sempre più l’elemento chiave del nuovo ordine economico imposto dalle grandi multinazionali.

Ed è particolarmente paradossale che quest’ultimo tentativo contro la crittografia venga da un continente, l’Europa, che si è fatto alfiere della tutela dei diritti di privacy e dell’etica nel digitale.

WHITEPAPER
Perché impostare una strategia di manutenzione dei server?
Datacenter
Sicurezza
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 4