Le app di messaggistica criptata come Signal, Telegram e WhatsApp potrebbero essere obbligate a fornire un accesso “segreto” per consentire a polizia e Servizi di sicurezza di leggere i messaggi protetti dalla crittografia. Tuttavia, oltre alle preoccupazioni per un controllo governativo, gli obiettivi di lotta al crimine informatico potrebbero rivelarsi controproducenti, consentendo ai criminali l’accesso a informazioni personali preziose.
Il presidente della Commissione europea, Ursula von der Leyen, ha dichiarato: «Rafforzeremo Europol e forniremo alle forze dell’ordine degli strumenti moderni per combattere il crimine». La Commissione europea ha sottolineato che le forze dell’ordine necessitano di un «accesso “legale” ai dati», ovvero un accesso di cui gli utenti sono ignari, alle app criptate e ad altri strumenti che utilizzano la crittografia end-to-end. Molte app di messaggistica, tra cui WhatsApp, Telegram, Signal, iMessage e BrightChat, utilizzano questo sistema di sicurezza, che rende i messaggi leggibili solo a mittente e destinatario.
Andy Jenkinson, membro del Cyber Theory Institute, ha definito l’accesso alla crittografia, senza prima proteggere i server governativi, «non solo sconsiderato, ma il primo sintomo di una catastrofe». «Le conseguenze morali, legali e di sicurezza di tali azioni avranno ripercussioni che andranno ben oltre i loro obiettivi», ha detto. Autore di “Stuxnet to Sunburst: 20 Years of Digital Exploitation and Cyber”, ha individuato due problemi principali: i criminali informatici potrebbero sfruttare l’accesso segreto (destinato alle forza dell’ordine) per entrare nelle app criptate, intercettando quindi i dati trasferiti a server governativi in tutto il mondo, che, a suo avviso, non sono sicuri.
DUROV LANCIA L’ALLARME
Pavel Durov, co-fondatore e amministratore delegato di Telegram, è stato arrestato in Francia nel 2024 e accusato di vari reati, tra cui «complicità nella gestione di una piattaforma online per consentire transazioni illecite da parte di un gruppo organizzato». Durov, che ha negato ogni accusa, è stato autorizzato a lasciare la Francia e a tornare a Dubai, in attesa del processo.
Recentemente, il governo francese ha cercato di fare uso dell’accesso alla crittografia. In un post su X, Durov ha scritto: «Il mese scorso, la Francia ha praticamente vietato la crittografia. Il Senato ha approvato una legge che obbliga le app di messaggistica a fornire l’accesso segreto alla polizia. Fortunatamente, l’Assemblea Nazionale l’ha respinta. Ma il prefetto di Parigi l’ha riproposta».
In un post successivo, ha aggiunto che una legge del genere avrebbe reso la Francia «il primo Paese al mondo a privare i suoi cittadini del diritto alla privacy». Ha sottolineato che molti regimi autoritari non hanno mai tentato di introdurre un sistema simile, perché «è tecnicamente impossibile garantire che solo la polizia possa accedere a un accesso segreto». «Una volta introdotto, questo tipo di accesso può essere sfruttato da altri, dagli agenti stranieri agli hacker, compromettendo i messaggi privati di tutti i cittadini rispettosi della legge — afferma Durov — Per questo, come ho già detto, Telegram preferirebbe uscire dal mercato piuttosto che compromettere la crittografia con accessi segreti e violare i più fondamentali diritti umani. A differenza di alcuni competitor, noi non scambiamo la privacy per le quote di mercato».
Mike Bursell, esperto di cybersicurezza e co-presidente del gruppo di lavoro sulle politiche cibernetiche della Open Source Security Foundation, ha scritto su LinkedIn: «Sarebbe bello credere che le recenti violazioni delle telecomunicazioni negli Stati Uniti abbiano finalmente convinto tutti che gli accessi segreti alla crittografia sono una pessima idea». «Ma la battaglia continua, e finché non vedremo dei riscontri positivi da legislatori e funzionari delle forze dell’ordine in tutto il mondo, dobbiamo continuare a insistere: gli accessi segreti non sono nell’interesse dei cittadini, dei governi o delle imprese», ha aggiunto.
Dal 2020, le forze dell’ordine europee hanno hackerato server di servizi come EncroChat, Sky Ecc, Ghost e Matrix, che sarebbero stati progettati o utilizzati da criminali. I dati raccolti in queste operazioni hanno portato alla condanna di migliaia di persone in diversi Paesi dell’Unione Europea e in Gran Bretagna.
L’APP ANOM DELL’FBI
Nel 2019, Vincent Ramos, amministratore delegato di Phantom Secure, azienda canadese che vendeva volontariamente dispositivi criptati a migliaia di criminali, è stato condannato a nove anni di carcere.
Dopo la chiusura di Phantom Secure, l’Fbi ha sviluppato la propria app criptata, AN0M, distribuendola sotto copertura a diversi criminali ignari. Nel 2021, un’operazione internazionale delle forze dell’ordine nei confronti degli utenti di AN0M ha smascherato molti crimini organizzati su vasta scala.
Il ministero della Giustizia degli Stati Uniti ha annunciato che Alexander Dmitrienko, cittadino finlandese, è stato l’ultimo di otto imputati estradati negli Stati Uniti a dichiararsi colpevole di aver distribuito dispositivi criptati AN0M ai criminali per favorire traffico di droga e altri reati.
«RETI A STRASCICO»
Justus Reisinger, avvocato olandese che rappresenta decine di clienti accusati di reati basati su prove da EncroChat o Sky Ecc, ha dichiarato che le forze dell’ordine europee agiscono come dei “pescherecci”, cercando di sondare i criminali nelle loro reti. «In Olanda o in Germania, usare una rete del genere non sarebbe permesso — ha detto — Serve una giustificazione contro un individuo specifico, con un ragionevole sospetto che stia commettendo reati abbastanza gravi da giustificare questa misura investigativa, che è la più intrusiva immaginabile, ovvero hackerare un telefono».
L’avvocato Reisinger ha spiegato che ogni Paese dell’Ue ha leggi diverse e le forze dell’ordine possono ottenere un mandato per intercettare o acquisire dati di persone nel loro territorio, ma non oltre. «Per interagire con i cittadini olandesi, serve un giudice olandese che decida se è possibile secondo la legge nazionale e la tutela dei diritti individuali», ha detto.
Per gli americani invece, queste “reti a strascico” di dati criptati per trovare prove di reati potrebbero violare il Quarto Emendamento, che proibisce «perquisizioni e sequestri irragionevoli» senza causa probabile, e il Quinto Emendamento, che protegge il principio del “giusto processo”.
La Convenzione Europea dei Diritti Umani dovrebbe proteggere i cittadini: l’Articolo 6 garantisce un processo equo, mentre l’Articolo 8 afferma che «ogni persona ha diritto al rispetto della propria vita privata e familiare».
Nel 2024, l’avvocato Reisinger ha presentato diversi ricorsi su EncroChat e Sky Ecc alla Corte di Giustizia Europea a Lussemburgo, che copre i Paesi dell’Ue, e alla Corte Europea dei Diritti Umani a Strasburgo, che include anche la Gran Bretagna e altri Paesi al di fuori dell’Unione Europea. Ha sostenuto che le autorità francesi «hanno violato il diritto alla privacy raccogliendo tutte le comunicazioni private, i dati e i metadati delle persone senza giustificazione» accedendo a EncroChat e Sky Ecc.
«Ma ancora più importante, quando le forze dell’ordine vogliono usare questi dati come prova principale in procedimenti penali, il diritto a un processo equo richiede almeno che le affermazioni sull’illegalità o l’inaffidabilità delle prove siano verificate dal giudice», afferma Reisinger. Le sentenze della Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali, richiedono spesso quattro o cinque anni, quindi l’esito potrebbe arrivare nel 2028 o 2029.
Diverse agenzie di sicurezza, come Europol, stanno spingendo per ottenere l’accesso segreto alle app criptate, evitando la necessità di hackerare i server.
LA PROMESSA
Nel 2018, la Commissione Europea ha pubblicato una dichiarazione, proponendo sei contromisure «per supportare le autorità nel risolvere problemi dati dalla crittografia nel contesto delle indagini penali». La Commissione ha scritto che queste misure «rispettano la protezione della crittografia […] e non proibiscono, limitano o indeboliscono in alcun modo la crittografia (“nessun accesso segreto”)».
Il 1° aprile, la Commissione Europea ha pubblicato il ProtectEU, una strategia di sicurezza interna europea, che afferma che le forze dell’ordine e la magistratura «hanno perso terreno rispetto ai criminali, che sfruttano strumenti e servizi di fornitori esteri che rifiutano di collaborare con le autorità nelle indagini penali».
Il ProtectEu sottolinea che, con la crescente digitalizzazione che «offre strumenti sempre nuovi ai criminali, è essenziale un piano per l’accesso ai dati che risponda alle esigenze di far rispettare le nostre leggi e proteggere i nostri valori».
Questo piano aggiunge, inoltre, che la Commissione presenterà nella prima metà del 2025 una «roadmap tecnologica sulla crittografia» per identificare e valutare soluzioni che consentano alle autorità di accedere ai dati criptati «in modo legale, salvaguardando la sicurezza informatica e i diritti fondamentali».
Jenkinson avverte che i governi spesso non riescono a proteggere le proprie infrastrutture fondamentali. «Prima di imporre una “erosione” della privacy alle persone, la Commissione Europea dovrebbe affrontare le proprie vulnerabilità di sistema — ha dichiarato — La rinnovata spinta della Commissione Europea per introdurre accessi segreti alle app di messaggistica criptata segue un pericoloso precedente stabilito dai suoi omologhi americani, che ha già favorito compromissioni sistemiche e un’ondata internazionale di crimini informatici».
