La pubblicazione di un comunicato della Procura della Repubblica di Parigi sull’arresto di Pavel Durovconsente di approfondire un po’ di più (ma non troppo) il contesto della vicenda perché contiene l’elenco delle accuse formulate nei confronti del fondatore di Telegram. In sintesi (il dettaglio con una traduzione non ufficiale delle norme è alla fine di questo articolo) le basi giuridiche dell’arresto di Pavel Durov sono rappresentate dai reati previsti nella LOI n° 2023-22 du 24 janvier 2023 d’orientation et de programmation du ministère de l’intérieur che inserisce nel Codice penale francese l’articolo 323-3-2 e un ulteriore comma (il dodicesimo) all’articolo 706-73-1 del Codice di procedura penale e dalla Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique che sottopone ad autorizzazione ministeriale l’uso di crittografia per usi diversi da quelli del controllo di autenticazione e integrità (in pratica: se serve per dimostrare la propria identità in un servizio di e-commerce, la crittografia è liberamente utilizzabile, se serve per cifrare informazioni deve essere autorizzata dal Governo) di Andrea Monti – Inizialmente pubblicato su Strategikon – Italian Tech La Repubblica
Le carenze del comunicato della magistratura francese
Come detto, il comunicato non aiuta granché a capire i contorni della vicenda perché descrive genericamente le accuse ma non specifica i fatti che ne dimostrerebbero la fondatezza.
Per esempio, concentrandosi sulle accuse che riguardano gli aspetti tecnologici, i magistrati parlano di “favoreggiamento nella distribuzione, offerta o messa a disposizione organizzata di immagini pornografiche di minori”, di “favoreggiamento nell’acquisto, trasporto, detenzione, offerta o cessione di sostanze stupefacenti” e riciclaggio ma non specificano se questa complicità sia consistita nell’essere parte attiva e consapevole di singole azioni, o se il coinvolgimento giudiziario dipenda “semplicemente” dal modo in cui è stato progettato Telegram e al fatto che consenta direttamente transazioni in criptovalute.
Considerazioni parzialmente diverse valgono per le accuse di messa a disposizione di strumenti crittografici non autorizzati perché in questo caso il problema sarebbe rappresentato dall’avere messo a disposizione sistemi di cifratura per la confidenzialità delle comunicazioni senza avere richiesto la prescritta autorizzazione (e rispettato le indicazioni o limitazioni tecniche stabilite dalla legge in termini, possiamo immaginare, di cooperazione con l’autorità giudiziaria).
Mentre le circostanze fattuali delle accuse a Durov rimangono ignote, sono invece chiare quelle giuridiche, riassumibili di due ambiti: il modo di costruire un prodotto/servizio online e il limite all’utilizzo di crittografia per proteggere le informazioni.
Confermata la responsabilità penale per platform design
Come appariva plausibile già in prima battuta, una parte delle accuse non sembra basate sul coinvolgimento diretto di Durov nella commissione di specifici reati, ma sull’essere un “operatore online” che ha reso possibili accessi anonimi alla propria piattaforma, che non ha rispettato le regole per impedire la vendita di prodotti e servizi illeciti, che consente transazioni economiche legate ad attività illecite, e che ha importato illecitamente sistemi crittografici per rendere inaccessibili dati e informazioni.
Stiamo parlando, in altri termini, di una responsabilità penale per la gestione, ma prima ancora per la progettazione, di una piattaforma online che consente una fruizione “elastica” tale da attirare malintenzionati, rassicurati dal senso di impunità derivante dalla “sicurezza” del sistema.
Dunque, in uno schema del genere, per essere penalmente responsabili non serve essere consapevoli dell’esistenza dello specifico reato ma “basta” sapere (e tollerare) che grazie al modo in cui funziona la piattaforma se ne stanno commettendo.
L’idea potrebbe anche non essere irricevibile, e d’altra parte, se in Francia la norma esiste —ed esiste— va applicata. Ma se questo è veramente il punto, allora indagini analoghe dovrebbero riguardare tutti quei prodotti e servizi tramite i quali vengono commessi reati perché Telegram non è certo l’unico né il solo ad esserne strumento, e in via preventiva dovrebbe essere ordinato il blocco degli accessi ai servizi in questione oltre che alle app da installare su computer e smart device.
Coerenza vorrebbe, dunque, che ci si assumesse la responsabilità di dichiarare “fuori legge” l’intero ecosistema digitale invece di concentrarsi su un unico operatore, e di affrontare le conseguenze economiche e sociali di una scelta del genere.
La fine della crittografia libera?
Questa conclusione diventa ancora più cogente affrontando l’altro aspetto dell’indagine, quello che riguarda i limiti all’utilizzo della crittografia.
Per la Francia è reato importare direttamente software crittografici che fanno altro (cioè cifrano informazioni) rispetto al solo controllo di autenticazione e integrità dei dati senza chiedere l’autorizzazione al (e rispettare le prescrizioni del) governo francese.
Ma, allora, ci si dovrebbe chiedere se Meta, Google, Microsoft, Apple e Amazon (tanto per limitarci ai “soliti noti”) hanno chiesto queste autorizzazioni e, se si, a quali condizioni sono state rilasciate.
La domanda, rievocando il celeberrimo tormentone di Antonio Lubrano, “sorge spontanea” perché se le autorizzazioni del governo francese vengono concesse tenendo in considerazione la “sicurezza nazionale” allora potrebbero essere condizionate alla presenza di backdoor o di altri sistemi per accedere ai dati anche senza le passphrase o gli altri sistemi di sblocco messi a disposizione degli utenti.
Per essere chiari: non si tratta di implicare o suggerire che queste (e altre) aziende abbiano surrettiziamente indebolito la loro crittografia (quantomeno) in Francia, ma di chiedere a quali condizioni ne è stato concesso l’utilizzo, sempre che la richiesta sia stata formulata.
Delle due l’una, infatti: o l’uso di crittografia nei prodotti e servizi USA è stato autorizzato, e allora sarebbe lecito chiedere di conoscere in quali modi e limiti, oppure la richiesta per poterla utilizzare non è stata presentata, e allora la procura di Parigi dovrebbe aprire un bel po’ di fascicoli per valutare lo stato di fatto.
Conclusioni
La pubblicazione del comunicato stampa sul caso Durov squarcia il velo di ipocrisia che avvolge il modo di operare di Big Tech, la retorica dei “diritti digitali” e quella degli Stati come custodi della giustizia.
Da sempre Big Tech espone gli utenti a bug, vulnerabilità e malfunzionamenti frutto di deliberate scelte progettuali assunte per ottimizzare i costi di sviluppo, accelerare l’ingresso sul mercato o acquisirne fette rilevanti chiudendo un occhio sul rigore delle procedure o lasciando “mano libera” agli utenti, e non certo perché si hanno a cuore libertà di espressione e privacy. Tuttavia, nel marketing patinato di Big Tech tutto diventa “privacy” e “controllo sui tuoi contenuti” al punto di usare l’inviolabilità di hardware e sistemi operativi come leva di marketing che si appoggia sulla paranoia del controllo globale, diffusa in nome di una visione religiosa e fideistica dei “diritti digitali”.
È uno dei paradossi dei nostri tempi che i due estremi, i “capitalisti della sorveglianza” e i “difensori dei diritti digitali” convergano verso il comune interesse di chiamarsi fuori dalle regole della convivenza civile che è basata sul bilanciamento dei diritti e non sulla venerazione di feticci privati (privacy, annessi e connessi) e pubblici (la sicurezza nazionale).
Parallelamente, l’impotenza conclamata degli Stati e delle entità a-nazionali di fronte alla diffusione verso il basso dell’accesso a tecnologie dell’informazione sostanzialmente non controllabili se non con soluzioni iperautoritarie li costringe a causare strappi sempre più netti in una rete di diritti sempre più fragile.
Il risultato è la costruzione di un Colosso dai piedi d’argilla che, miracolosamente, non è ancora crollato, anche se il fatto che venga giù è certamente una questione di “quando” e non di “se”, grazie anche alle conseguenze (se ci saranno) del terremoto causato dall’indagine francese.
—
Post scriptum
A chi è interessato agli aspetti più strettamente giuridici, sarà utile sapere che:
- l’articolo 323-3-2 del Codice penale francese punisce un “opérateur de plateforme en ligne” che “consente l’accesso a quest’ultima a persone che utilizzano tecniche di anonimizzazione della connessione o che non rispetta gli obblighi … per consentire consapevolmente la vendita di prodotti, contenuti o servizi la cui vendita, offerta, acquisizione o possesso sono manifestamente illegali”, e specifica che le sanzioni valgono anche per “l’offerta, tramite tali piattaforme o a supporto delle transazioni che esse consentono, di servizi di intermediazione o di escrow il cui scopo unico o principale sia quello di attuare, occultare o facilitare le transazioni di cui al punto I del presente articolo”. Il reato è commesso, specifica l’articolo, anche nella forma del tentativo, cioè senza effettivamente commettere gli atti illeciti, ma mettendo in essere azioni chiaramente dirette a realizzarli (risponde di delitto tentato, per esempio, chi viene sorpreso in una macchina a motore acceso davanti a una banca, indossando passamontagna e con le armi in pugno. La rapina non è stata commessa, ma è chiaro che stava per essere posta in essere e dunque non è necessario attendere che accada effettivamente),
- l’articolo 706-73-1 del Codice di procedura penale, invece, estende gli strumenti per le indagini criminali anche al caso dei reati “relativi alla gestione di una piattaforma online per consentire il trasferimento di prodotti, contenuti o servizi la cui cessione, offerta, acquisizione o possesso siano manifestamente illeciti e reati relativi all’intermediazione o al sequestro il cui scopo unico o principale sia quello di attuare, occultare o facilitare tali operazioni”,
- l’articolo 30 comma III della Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique stabilisce che “La fornitura, il trasferimento da uno Stato membro della Comunità europea o l’importazione di un mezzo crittografico che non svolga esclusivamente funzioni di autenticazione o di controllo dell’integrità è soggetta a una dichiarazione preventiva al Presidente del Consiglio dei Ministri, tranne nei casi previsti al punto b del presente articolo”,
- l’articolo 35 della stessa legge stabilisce che:
- L’inosservanza dell’obbligo di dichiarazione di cui all’articolo 30 in caso di fornitura, trasferimento, importazione o esportazione di un dispositivo crittografico o dell’obbligo di notifica al Presidente del Consiglio dei Ministri di cui al medesimo articolo è punita con un anno di reclusione e una multa di 15.000 euro;
- Esportare un dispositivo di cifratura o trasferirlo in uno Stato membro della Comunità europea senza aver prima ottenuto l’autorizzazione di cui all’articolo 30 o al di fuori delle condizioni di tale autorizzazione, quando questa è richiesta, è punito con due anni di reclusione e una multa di 30.000 euro,
- La vendita o il noleggio di un dispositivo di cifratura che è stato oggetto di un divieto amministrativo di messa in circolazione ai sensi dell’articolo 34 è punita con due anni di reclusione e una multa di 30.000 euro,
- Fornire servizi di cifratura volti a garantire la riservatezza senza aver ottemperato all’obbligo di dichiarazione previsto dall’articolo 31 è punito con due anni di reclusione e una multa di 30.000 euro.
N.B. le traduzioni non sono ufficiali
Possibly Related Posts:
- Perché Apple ha ritirato la causa contro la società israeliana dietro lo spyware Pegasus?
- Le sanzioni UE ad Apple e Google aprono un altro fronte nella guerra contro Big Tech (e incrinano quello interno)
- La rottura tra Stati e big tech non è mai stata così forte
- Cosa significa l’arresto di Pavel Durov per social media e produttori di smart device
- Il senso di Apple per la privacy