Un altro attacco terroristico, un'altra proposta di legge sulla sorveglianza. I politici impareranno mai che rompere la crittografia porterebbe più danni che benefici?

Dopo l'attacco terroristico di Vienna, il Consiglio dell'UE vuole una chiave generale per le comunicazioni in chat criptate.

Solo cinque giorni dopo l'attacco terroristico, il Consiglio dei ministri dell'UE propone una bozza di backdoor WhatsApp, Signal e altre applicazioni di messaggistica criptata per combattere il terrorismo. Mentre questo sembra che i politici stiano aspettando un altro attacco per presentare la loro nuova legge sulla sorveglianza, guardiamo ai fatti di questo caso particolare: Le autorità austriache sarebbero state in grado di fermare l'attacco terroristico di Vienna se avessero avuto accesso alla cronologia criptata delle chat del terrorista prima dell'attacco?


La proposta della backdoor

Un documento interno della Presidenza tedesca del Consiglio alle delegazioni degli Stati membri, datato 6 novembre, sta facendo il giro dei circoli dell’UE, come riportato dal mittente televisivo austriaco ORF. L’obiettivo è quello di forzare servizi come WhatsApp, Signal e molti altri che hanno implementato la crittografia Ende-zu-Ende per i loro utenti per consentire alle autorità di accedere ai messaggi di chat criptati con l’aiuto di una chiave generale. È chiaro che l’attacco terroristico di Vienna è stato utilizzato dal Consiglio dei ministri dell’UE per far passare una legge contro la crittografia sicura per i cittadini dell’UE.

A Bruxelles, gli attacchi terroristici sono regolarmente utilizzati per spingere attraverso misure di sorveglianza pianificate da tempo. Ad esempio, il regolamento sulla conservazione dei dati è stato approvato nell’UE dopo gli attentati terroristici di Madrid (2004) e Londra (2005). La conservazione generale dei dati è stata successivamente dichiarata illegale nell’UE dalla Corte di giustizia europea, “segnalando che le preoccupazioni per la sicurezza non giustificano eccessive violazioni della privacy”, come la conservazione generale dei dati per tutti i cittadini.

Ciononostante, ora il Consiglio dell’UE vuole ancora una volta spingere per una severa legge di sorveglianza. Questa volta vuole un “accesso eccezionale” alla comunicazione criptata con l’aiuto di una chiave generale fornita dai servizi in questione. I dettagli di questo metodo sono stati pubblicati da Politico in agosto.

La proposta dell’UE esaminata

Il “Progetto di risoluzione del Consiglio sulla crittografia - Sicurezza attraverso la crittografia e sicurezza nonostante la crittografia” sottolinea il fatto che “L’Unione europea sostiene pienamente lo sviluppo, l’attuazione e l’uso della crittografia forte. La crittografia è un mezzo necessario per proteggere i diritti fondamentali e la sicurezza digitale dei governi, dell’industria e della società”.

Tuttavia, questo si traduce in un servizio a parole quando continua:

“Proteggere la privacy e la sicurezza delle comunicazioni attraverso la crittografia e allo stesso tempo sostenere la possibilità per le autorità competenti nel settore della sicurezza e della giustizia penale di accedere legalmente ai dati rilevanti per scopi legittimi e chiaramente definiti nella lotta contro la criminalità grave e/o organizzata e il terrorismo, anche nel mondo digitale, sono estremamente importanti. Qualsiasi azione intrapresa deve bilanciare attentamente questi interessi”.

Anche se il Consiglio dell’UE intitola questa sezione con “Creare un migliore equilibrio”, in realtà significa: Avere una chiave generale per rompere la crittografia nel caso in cui le autorità ne abbiano bisogno.

In qualità di sostenitori della privacy, tuttavia, comprendiamo i rischi, ma di questo parleremo più avanti. La ragione principale per cui le autorità dichiarano di volere una tale chiave generale è che essa le avrebbe aiutate a prevenire gli attacchi terroristici. Diamo quindi un’occhiata all’ultimo attacco terroristico di Vienna. Se le autorità austriache avessero avuto accesso alla chat criptata del terrorista, sarebbero state in grado di prevenire l’attacco?

Attacco terroristico a Vienna

All’inizio di quest’anno le autorità tedesche avevano chiesto ai colleghi austriaci di controllare a luglio a Vienna un incontro tra due presunti islamisti e il futuro aggressore. Nella seguente valutazione del rischio del futuro aggressore, che era in libertà vigilata dopo una precedente condanna per terrorismo, sono stati commessi degli errori.

Nonostante il fatto che anche le autorità slovacche abbiano informato le autorità austriache che il terrorista aveva tentato di acquistare munizioni in Slovacchia, questa informazione non ha portato a una sorveglianza costante del futuro aggressore. Le autorità austriache avrebbero potuto addirittura emettere un mandato d’arresto a causa della sua fedina penale.

È sempre più chiaro che apparentemente gli errori di indagine hanno reso possibile l’attacco in primo luogo e non la mancanza di poteri di controllo digitale.

Lo stesso ministro degli Interni austriaco ha ammesso: “Sono stati commessi errori investigativi apparenti e intollerabili”. Eppure, i politici chiedono ancora una volta di sorvegliare tutti i cittadini - invece di migliorare ed educare i loro funzionari a valutare meglio le potenziali minacce con i dati già in loro possesso.

L’ORF commenta ironicamente: “Queste sono le “autorità competenti”: GCHQ, DGSE, BND, ecc., i cui metodi di pulizia sottovuoto sulle fibre ottiche producono sempre meno dati processabili a causa dell’aumento della cifratura del trasporto. Per evitare questa imminente povertà di dati, sono state ora richieste chiavi generali e sembra che il Consiglio le approverà. Ciò significa che il BVT (Ufficio federale austriaco per la protezione della Costituzione e la lotta al terrorismo), che non è in grado di eliminare un terrorista che viene servito due volte su un piatto d’argento da altri due servizi, in futuro potrà indagare per settimane in chat senza successo”.

Se non fosse così triste, ci farebbe sorridere.

Il punto è: Le autorità e i servizi di intelligence hanno già molti dati su potenziali minacce. Valutare i dati in modo approfondito richiede tempo e persone qualificate per restringere il campo delle minacce potenziali più pericolose. Non vi è alcuna prova che l’aggiunta di ulteriori dati alle banche dati possa in qualche modo aiutare a trovare potenziali aggressori.

Pericolo di sorveglianza

Purtroppo, i pericoli di una sorveglianza generale di questo tipo superano di gran lunga i benefici. Quindi, portare la crittografia in un equilibrio “migliore” con le esigenze delle autorità, come dice il Consiglio dell’UE, è lontano dalla verità.

Il problema è - come sempre con la crittografia - chi controlla la chiave? Una volta che ci sarà una chiave di decrittazione generale per i messaggi di chat criptati, le autorità vorranno utilizzarla. Gli aggressori malintenzionati vorranno ottenerla. Le agenzie di Stato vorranno accedervi per usarla non solo contro i criminali, ma anche per lo spionaggio industriale, per monitorare l’opposizione nei Paesi autocratici, ecc.

Le domande principali sono:

  • Chi decide quando la chiave può essere usata? (= Chi ha accesso alle chiavi? Saranno solo i “buoni”?)
  • Per le storie delle chat di chi? (= Chi sarà l’obiettivo di tale sorveglianza? Saranno solo potenziali criminali o saranno anche cittadini innocenti, attivisti, politici avversari?)
  • In caso di quali crimini? (= Chi definisce per quali crimini la chiave può essere utilizzata? Chi fa le leggi per definire i crimini, anche in paesi non democratici?)

Dato che nell’UE abbiamo già governi che hanno tendenze autocratiche come la Polonia e l’Ungheria, paesi che rendono l’aborto illegale, che discriminano le persone LGBT e altre minoranze, dovremmo essere ben consapevoli del danno che potrebbe essere fatto dando una chiave di decrittazione generale alle autorità di tali stati membri europei.

Una chiave generale per tutti i messaggi WhatsApp e Signal sarebbe un obiettivo di alto profilo per i criminali e le agenzie statali (criminali). Sarebbe solo una questione di tempo prima che una tale chiave finisca in mani malintenzionate. Ironia della sorte, la stessa UE ha recentemente raccomandato ai propri dipendenti di usare Signal per chiacchierare in modo sicuro con gli estranei dell’istituzione.

Maggiore sorveglianza

L’attacco terroristico di Vienna è solo uno di una lunga serie di attentati in Europa che dimostrano che non è necessaria una maggiore sorveglianza per combattere il terrorismo. Al contrario, un’analisi fatta dai giornalisti è giunta alla conclusione che tutti i terroristi islamici dal 2014 sono noti alle autorità prima degli attentati.

Allo stesso modo, il programma di sorveglianza telefonica dell’NSA negli Stati Uniti non solo è stato dichiarato illegale di recente, ma si è anche rivelato costoso e inefficace. Non ha fermato un solo attacco terroristico.

Quando i politici chiedono di violare la crittografia - anche se è solo per i “buoni” - non ci offrono la possibilità di scegliere tra più sicurezza o meno. Ci fanno scegliere nessuna sicurezza.

Invitare i politici dell’UE a rifiutare la sorveglianza

Questa proposta del Consiglio dell’UE non deve mai diventare legge in quanto

  • Essa viola gravemente il diritto alla privacy e la libertà di parola di ogni cittadino dell’UE.
  • È una minaccia alla sicurezza e all’integrità dei dati di ogni cittadino dell’UE.
  • Contrasta il GDPR - che aveva lo scopo di mantenere i dati dei cittadini dell’UE al sicuro.

Invitiamo i politici dell’UE a informarsi sulla sicurezza online, a conoscere l’importanza della crittografia e le minacce che il divieto di crittografia comporta per gli individui, nonché le minacce che gravano su una società aperta e democratica.

Come società libera e aperta, condividiamo i valori della libertà di parola e della privacy in Europa. Ora, dobbiamo rimanere forti per proteggere questi valori.

Se queste libertà ci vengono tolte, i terroristi hanno già vinto.