Violano i diritti umani quelle leggi che richiedono l’inserimento di backdoor nelle applicazioni, come Telegram, per ridurre l’efficacia dei sistemi di crittografia.
Con una sentenza storica, la Corte europea dei diritti dell’uomo ha stabilito che le normative che richiedono di inserire backdoor nelle app come Telegram (parliamo della tecnica utilizzata per eludere meccanismi di autenticazione/sicurezza in un dispositivo, oppure un algoritmo), mirando a ridurre l’efficacia dei sistemi di crittografia, costituiscono una violazione dei diritti umani. Una pratica illegale. La decisione potrebbe condizionare, in modo negativo, la legislazione europea relativa alla sorveglianza dei dati (Chat Control 2.0).
Il caso Podchasov
La sentenza, spiega The Register, si rifà al caso di Anton Valeryevich Podchasov, cittadino russo che nel 2017 ha intentato una causa contro il governo di Vladimir Putin dopo che quest’ultimo aveva richiesto a Telegram di decrittare messaggi inviati tramite la “chat segreta”. Podchasov ha impugnato l’ordinanza in Russia, ma la sua richiesta era stata rigettata. Nel 2019, il querelante aveva scelto di sottoporre la questione alla Corte di giustizia europea.
Così la Corte di Strasburgo: “La legislazione contestata che prevede la conservazione di tutte le comunicazioni internet di tutti gli utenti, l’accesso diretto dei servizi di sicurezza ai dati archiviati senza adeguate garanzie contro gli abusi e l’obbligo di decrittografare le comunicazioni crittografate, come applicato alle comunicazioni crittografate da punto a punto, non possono essere considerate necessarie in una società democratica”.
Nella sentenza si legge poi che la corte russa che impone a Telegram “di decrittografare le comunicazioni crittografate end-to-end rischia di equivalere a un obbligo per i fornitori di tali servizi di indebolire il meccanismo di crittografia per tutti gli utenti”, motivo per cui si tratta di un requisito disarmonico rispetto alla normativa. Soddisfatto per la decisione Patrick Breyer, membro del Parlamento Ue per il Partito Pirata. Sul suo portale, Breyer commenta: “Con questa eccezionale sentenza storica, la sorveglianza client side scanning su tutti gli smartphone proposta dalla Commissione europea nella sua legge sul controllo delle chat è chiaramente illegale”.
Battuta l’Italia in velocità
La Corte europea dei diritti dell’uomo batte in velocità l’Italia sulla tutela delle aziende che forniscono servizi di comunicazione criptati end to end. La Corte ha infatti condannato la Russia per violazione dei diritti umani, commessa dal governo di Vladimir Putin contro Telegram.
Le autorità russe, nell’ambito di un’inchiesta, avevano chiesto a Telegram di fornire alcuni contenuti di “chat segrete” in chiaro, consegnando le chiavi crittografiche. Telegram aveva spiegato che ciò era impossibile perché le chiavi si trovano sui dispositivi e non sono disponibili al fornitore. A valle di ciò, la app di comunicazione è stata sanzionata. Ora la Corte Europea dei diritti dell’uomo ha giudicato questa sanzione, e la legge che la prevede, lesiva dei principi della Convenzione Europea dei Diritti Umani.
Tale decisione arriva proprio nel momento in cui il Governo (Ministero delle Imprese e del Made in Italy), sta decidendo se modificare la norma italiana che -al momento- è molto simile a quella in vigore nella Federazione Russa. Il Decreto Interninisteriale del 28 Dicembre 2017, prevede che le “intercettazioni telematiche” vadano trasmesse in chiaro. A differenza del regime di Putin, la normativa italiana prevede però che siano obbligate a questa prestazione solo quelle aziende che sono presenti in Italia con proprie infrastrutture (quindi ad esempio non sarebbe sanzionabile direttamente Telegram).
Proprio mentre la Corte si occupava di questa vicenda, il Parlamento italiano ha invitato il Governo – in fase di emanazione del Decreto Legislativo correttivo del Codice delle Comunicazioni Elettroniche, da cui discente il DM del 2017 – a modificare la norma, introducendo il principio che in ogni caso le aziende non possono essere sanzionate se il mancato adempimento è causato da impossibilità tecnologica. Il tema era stato sollevato in fase di audizione davanti alle commissioni Trasporti della Camera e del Senato da alcune associazioni di categoria (AIAD e Asstel) e da tre illustri accademici, i prof. Sala (presidente dei crittografi italiani), Visconti (del politecnico di Milano) e Bazzanella (del politecnico di Torino).
Nello specifico, la Camera dei Deputati ha invitato il Governo a introdurre una norma che esenti da responsabilità tutti i soggetti obbligati, mentre il Senato limita la richiesta ai soli operatori di rete. Sostanzialmente, mentre la posizione della Camera anticipa la posizione della Corte Europea dei Diritti dell’Uomo, il Senato propone una modifica limitata che esenterebbe gli operatori telefonici ma lascerebbe per i fornitori la stessa norma vigente in Russia e che la Corte ha sanzionato.
Nei prossimi giorni, il MIMIT dovrà sciogliere i dubbi, recependo o meno le osservazioni del parlamento. La scelta è quindi se mantenere una linea più restrittiva, sul modello russo, o una più garantista e occidentale. La Francia, ad esempio, ha recentemente adottato una scelta sulla sicurezza delle comunicazioni dei membri della pubblica amministrazione che ha fatto molto discutere. Ha cioè richiesto di non utilizzare applicazioni come Whatsapp per le comunicazioni di lavoro ma di utilizzare Olvid, una app francese. Questa app usa crittografia end to end e non può quindi fornire i dati in chiaro qualora fossero richiesti.
In Italia, stante la norma, una scelta come quella adottata dalla Francia potrebbe cozzare proprio con la norma “alla russa” attualmente vigente: infatti i soggetti italiani che forniscono servizi di comunicazioni elettroniche rischierebbero di essere sanzionati qualora non fossero capaci di consegnare i contenuti decrittati. Questo ovviamente non sarebbe valido per operatori esteri (quindi la App francese può lavorare in Italia al contrario di App italiane). Probabilmente con la modifica in corso il nostro Paese si adeguerà agli standard più moderni e consentirà quindi lo sviluppo di applicazione di comunicazioni sicure che mettono al riparo da accessi illegali e che proteggono da hacker e “spioni” vari.