Di metafore ne hanno inventate tante, pure sfiziose. Da quelle più sofisticate per gli hacker a quelle più terra terra per il famoso «utente qualunque». La più semplice resta comunque la più efficace: se buchi con una spilla un pallone di gomma e ci metti un cerotto, inevitabilmente quel cerotto salterà e uscirà l’aria. Il cerotto salterà o più probabilmente, nel nostro caso, qualcuno lo toglierà di proposito.
Sì, di proposito. Perché la metafora, sicuramente banale, racconta del sistema di crittografia. Quello che consente di scambiarsi messaggi, informazioni, dati senza che nessun altro, oltre al ricevente, possa metterci il naso. Possa vedere, controllare cosa ci sia dentro. Un pallone-metafora fino ad oggi sicuro, quasi impenetrabile.
Eppure da anni, gli Stati Uniti – soprattutto durante la gestione Trump ma non solo – hanno provato ad accedere ai dati crittografati. Sempre nel nome della sicurezza nazionale. L’ultima volta pochi mesi fa, quando il procuratore generale William Barr aveva chiesto istericamente una legge per avere un «accesso a tutti i tipi di comunicazione». Poi, fortunatamente l’America è stata distratta da altro.
Nessuno, però, poteva immaginarsi che la stessa cosa, più o meno la stessa richiesta, potesse echeggiare anche dall’altra parte dell’Oceano, in Europa.
Invece è esattamente quel che sta avvenendo. Nulla di deciso ancora ma le premesse sono allarmanti. Eccole: poche settimane fa il sito ORF.at – un sito austriaco generalista, autorevole ma non particolarmente attento ai temi delle libertà digitali – è entrato in possesso e ha pubblicato un documento che probabilmente sarebbe dovuto restare riservato, scritto dal governo tedesco e rivolto agli altri paesi del Consiglio europeo. Scritto e pensato dopo gli ultimi attentati islamisti.
È una bozza, dichiaratamente aperta a integrazioni anche se – dicono sempre le indiscrezioni – dopo il voto nel gruppo di lavoro nella sicurezza (Cosi), potrebbe passare direttamente al Consiglio (Coreper). E avviare così l’iter che dovrebbe portare alla fine il parlamento a vararlo.
E sarebbe un disastro. Perché nel testo si parla esplicitamente della possibilità che le «autorità competenti» – non meglio specificate – abbiano «accesso» ai messaggi crittografati. In un’Europa che pure ha messo nero su bianco – nella normativa di protezione dei dati – la promozione della crittografia per garantire «la privacy e la sicurezza di governi, aziende e cittadini» (Il Gdpr di quattro anni fa, recepito in Italia nel 2018).
C’è scritto, insomma, che è lo strumento principale per la sicurezza di tutti. Eppure lo vogliono rompere. Non lesionare, proprio rompere. Bucare, come il pallone-metafora. Perché il sistema di crittografia o funziona in un modo inaccessibile o non funziona. E diventa un’altra cosa.
Il documento pubblicato dal sito austriaco non dà indicazioni tecniche su come realizzare quest’accesso alla crittografia. Dice solo che è un tema da approfondire.
Già, ma come? Dopo la prima, c’è stata una seconda fuga di notizie. Grazie al sito politico si è venuti così a conoscenza di un rapporto tecnico, che è stato richiesto dalla commissaria per gli Affari Interni, Ylva Johansson, socialdemocratica svedese, ad una squadra di «esperti». Che alla fine hanno suggerito di intervenire «scansionando il lato client». Intervenire dal lato degli utenti, insomma. Ipotesi, come spiega perfettamente l’Electronic Frontier Foundation in un lungo saggio semplicemente «impossibile». «Come far quadrare un cerchio».
Perché il sistema criptato end to end – quello utilizzato da WhatsApp per capire – funziona così: Tizio manda un messaggio a Caio, con Tizio che utilizza una cifratura con chiave pubblica. Caio legge e decifra il messaggio utilizzando però una chiave privata, che solo lui – la sua app, sul suo dispositivo in quel momento – può conoscere. Ed il canale che gestisce la comunicazione non può controllare la creazione della chiave privata.
L’idea dei tecnici sollecitati dalla Ue sarebbe invece quella di introdurre nelle applicazioni di messaggistica un sistema per il quale un testo o un’immagine prima di essere spedita al mittente, dovrebbe essere filtrata da un data base. Ovviamente su un server. Che controllerà se ci sono parole o immagini che riguardano la pedofilia o il terrorismo. In quel caso bloccherebbe tutto, prima di girare i file alle autorità.
Inutile aggiungere che la trasmissione di dati fatta in questo modo sarebbe a rischio. E non avrebbe più senso parlare di comunicazioni sicure. Tantomeno riservate.
Tema in qualche modo affrontato dagli stessi esperti che ipotizzano anche un piano B, pensando di inserire quel data base filtrante – chiamiamolo così – direttamente sull’applicazione che l’utente si scarica. Ognuno col proprio controllore locale, che bloccherebbe i contenuti illegali. Ipotesi questa, ancora più ridicola, per dirla sempre con l’Eff.
Così, senza soluzioni tecniche possibili, quello che le autorità europee stanno sollecitando non è altro che una back door, una porta. Uno spioncino. Per guardare cosa c’è dentro. Che farebbe però saltare l’impianto, la filosofia delle comunicazioni crittografate.
Così la polizia polacca potrebbe sapere chi e dove organizza le manifestazioni contro la legge sull’aborto, così Orban potrebbe sapere dove e chi discute delle legge contro i rom. Così qualunque polizia saprebbe chi e quando partecipa a un corteo. O così una Rsa nostrana saprebbe quale suo dipendente denuncia la mancanza di protezioni e medicinali in pandemia.
Ce n’è abbastanza, insomma, perché tutte le organizzazioni che si battono per i diritti digitali, da Access Now ad Article19 e decine di altre ong, raggruppate nella sigla Edri (European Digital Rights), abbiano scritto una lettera alla presidenza tedesca. Per ricordare che la riservatezza delle comunicazioni – e quindi la crittografia – sono alla base di qualsiasi sviluppo digitale.
E se proprio la Ue non è interessata alla difesa della privacy personale, se proprio la Ue vuole rinnegare se stessa e infischiarsene del diritto a comunicare in via riservata, il rassemblement di associazioni ricorda all’Europa che introdurre un varco nella crittografia – anche un piccolo varco – nel giro di poco diventa una voragine, ed è rischiosissimo per tutti. Per gli Stati, per le loro economie, per le transazioni economiche. Per il business, insomma.
E ricorda anche che a prevenire l’attentato di Vienna e quelli che l’hanno preceduto, sarebbe bastato coordinare le polizie europee, che mai come in questi ultimi casi avevano tutte le informazioni per intervenire. Raccolte con gli strumenti che hanno già a disposizione. Non spiando i messaggi di chiunque. Che invece è esattamente quello che le polizie vorrebbero fare. E qui va citato l’ennesima scoperta di un sito tedesco, NetzPolitik.org, che un po’ di mesi fa ha pubblicato una lettera del coordinatore del Ctc, l’antiterrorismo europeo che, senza giri di parole, chiedeva ai legislatori la possibilità di «introdurre una porta d’ingresso» in modo che le forze dell’ordine possano accedere ai dati crittografati.
Le indagini, invece, – e si ritorna alla lettera firmata dall’Edri alla presidenza tedesca – andrebbero fatte solo «con le autorizzazione dei tribunali, e sempre rispettando i principi di legalità, trasparenza, necessità e proporzionalità».
Definizione però incompatibili con la voglia di rompere la crittografia. Definizione a questo punto incompatibili con la loro voglia di controllo.