Smartphone, crittografia e sicurezza. Nuovi prodotti, vecchi problemi

L’arrivo sul mercato dell’ennesimo software per cifrare le comunicazioni riapre il dibattito giuridico e politico sulla libera disponibilità della crittografia

di Andrea Monti – PC Professionale n.261

Silent Circle è un’azienda americana che recentemente si è affacciata sul mercato per vendere software proprietari che cifrano end-to-end i messaggi, le telefonate e le videochiamate da e per smartphone Android e IOS, con un logging minimale delle attività degli utenti. Silent Circle rende dunque – almeno in teoria – virtualmente invulnerabile lo scambio di messaggi fra due terminali che utilizzano il software, per di più rendendo quasi inutili eventuali richieste di consegna di dati o di intercettazione da parte delle autorità pubbliche. Come era facile immaginare si è immediatamente riacceso il dibattito fra chi sostiene il diritto di difendere la propria privacy dalle intrusioni di chiunque (Stati e governi compresi) e chi, in nome della “sicurezza nazionale” vede servizi del genere come strumenti che consentono a criminali, terroristi e pervertiti di farla franca.

Sembra di essere tornati indietro nel tempo, agli inizi degli anni 90 del secolo scorso, quando Phil Zimmermann (uno dei fondatori di Silent Circle) divenne un nome leggendario nella comunità degli smanettoni e degli attivisti che lottano per la tutela dei diritti civili per avere scritto e reso disponibile al mondo intero Pretty Good Privacy (PGP). Correva l’anno 1991 e Zimmermann, in barba alle restrizioni imposte dalla legge americana sull’esportazione di crittografia, rese disponibile anche fuori dagli USA un “programmino” che consentiva a chiunque di godere di una “Pretty Good Privacy”. Da quel tempo molta acqua è passata sotto i ponti ma – a quanto pare analizzando le reazioni all’annuncio della disponibilità pubblica del servizio – la consapevolezza politica, giuridica e “mediatica” sul tema non si è evoluta più di tanto rispetto al secolo scorso e ripropone in modo rozzo e disinformato una contraddizione che la storia ha dimostrato non esistere: quella fra tutela della privacy e “sicurezza nazionale”. Non risultano pubblicamente – in oltre vent’anni di crittografia libera per le masse (delinquenti compresi) – casi in cui la disponibilità dello strumento ha messo in pericolo la pace nel mondo o gli interessi di questo o quello Stato sovrano. E d’altra parte, i criptotelefoni non sono certo un’invenzione di Zimmermann visto che da sempre è possibile acquistare dei cellulari opportunamente modificati o dotati di un modulo esterno che cifrano le comunicazioni, per non parlare delle possibilità offerte da “oggetti” come SSL su VPN.

Ma allora, se le cose stanno così, perché Silent Circle merita così tanta attenzione? Ci sono svariati motivi: in primo luogo, quello della reputazione del co-fondatore. Se il progetto fosse stato lanciato da chiunque altro sarebbe stato nulla più che una delle tante start-up americane che spuntano come funghi e che – forse – si squaglieranno come neve al sole. Ma in questo caso c’è la “faccia” di Phil Zimmermann che con la sua reputazione “garantisce” la genuinità del software. E qui si pone il primo grosso interrogativo giuridico oltre che tecnico. Tradizionalmente – è lo stesso antico manuale di PGP a dirlo – l’unica crittografia buona è quella della quale è noto il sorgente: lo si può liberamente studiare, migliorare e certificare come privo di backdoor. Ma la scelta odierna di Zimmermann è quella di non rendere (immediatamente) pubblico il codice dei suoi software: una contraddizione .
Altrettanto tradizionalmente è considerato ingannevole parlare in ambito civile di “crittografia di livello militare”. E’ semplicemente un’affermazione priva di senso, come è facile capire fermandosi un’attimo a pensarci su. Eppure Silent Circle – anche se non in modo esplicito – ammicca al mondo dei servizi segreti. Gli altri cofondatori della società sono, infatti ex (?) appartenenti ai Navy Seals americani e allo Special Air Service inglese (due fra le più famose unità di corpi speciali al mondo). E pur non vendendo (come invece hanno scritto qualche italico sprovveduto) “crittografia militare”, Silent Circle si accredita presso i potenziali clienti usando chiaramente e subdolamente l’aura di mistero e autorevolezza che ammanta il mondo dell’intelligence. E anche questa scelta di marketing (fidati di noi che siamo gli esperti) era stata già analizzata e criticata agli albori della diffusione della crittografia. Perché fidarsi di una “faccia” quando si può verificare direttamente e semplicemente il software?

Fino a questo punto – ma non è così – le critiche a Silent Circle potrebbero rimanere confinate all’ambito del marketing e dunque risolversi nella stigmatizzazione di un comportamento non proprio trasparente anche se del tutto legale. In realtà, però, gli elementi che costituiscono la comunicazione di questo prodotto hanno un preciso valore contrattuale (checché ne dicano eventuali clausole della licenza d’uso che parlassero di “as is” o di “non idoneità del software a soddisfare bisogni specifici dell’utente”). Dunque, la falsità di una qualsiasi dichiarazione sulla robustezza del codice, sull’assenza di backdoor e via discorrendo sarebbe destinata a ritorcersi giuridicamente contro chi la ha formulata.
Ma dal punto di vista giuridico l’aspetto di vera novità di Silent Circle sta nella scelta del come gestire le richieste di consegna di dati degli utenti ricevute dalle autorità. “Anticamente” l’approccio era “binario”, tutto o niente come insegna il caso di Penet il padre, anzi, il nonno degli anonimous remailer che chiuse i battenti nel 1996 dopo essere stato oggetto di azioni giudiziarie dirette ad ottenere l’elenco delle identità degli utenti.

La società di Zimmermann invece, da un lato, promette di rendere pubbliche tutte le richieste che riceverà. Ma dall’altro dichiara, pur dopo una attenta analisi legale dei mandati giudiziari, di essere pronta a consegnare i dati sugli utenti dei quali è in possesso. Intanto, non è chiaro se questo “scrupolo” riguarderà soltanto gli Stati Uniti, o se Silent Circle obbedirà anche a ordini provenienti da paesi notoriamente repressivi e censori come l’Italia. Ma soprattutto non è ancora chiaro come potrà sopravvivere legalmente alle condizioni contrattuali di accesso ai marketplace IOS e Android, quando qualche giornale, più o meno disinformato, titolerà che il delinquente di turno se la è cavata grazie a un’app comprata su uno store online.

Possibly Related Posts: