La proposta di legge, nota come Swedish Data Storage and Access to Electronic Information Legislation, è stata resa pubblica in un momento simile a quello in cui le forze armate svedesi hanno incoraggiato l’uso di app di chat criptate come Signal per proteggere le comunicazioni dallo spionaggio straniero. Una contraddizione in sé, i politici vogliono ancora costringere i fornitori di comunicazioni crittografate come Signal e Tuta Mail a compromettere la loro crittografia quantum-resistant.

Oggi, un’ampia coalizione di organizzazioni della società civile, aziende tecnologiche ed esperti di sicurezza informatica chiede al Riksdag svedese di respingere la proposta di legge “Ju2024/02286 Datalagring och åtkomst till elektronisk information”, che minaccia di compromettere la privacy, la sicurezza e i diritti fondamentali di tutti in Svezia e non solo.

”Gli esperti di sicurezza hanno avvertito più volte: Se la crittografia viene indebolita per le autorità di legge, viene indebolita per tutti. Una “chiave principale solo per i buoni” semplicemente non esiste”, afferma Matthias Pfau, CEO di Tuta Mail.

Una vignetta che mostra il CEO di Apple Tim Cook mentre sblocca l’iPhone mentre l’FBI, gli hacker, i regimi repressivi e altri ancora fanno la fila per avere accesso ai dati decriptati.

Tuttavia, in base alla legge proposta, le piattaforme si troverebbero di fronte a una scelta impossibile: indebolire la propria sicurezza o uscire completamente dal mercato svedese. Signal, una delle piattaforme crittografiche più affidabili, ha già annunciato che si ritirerà dalla Svezia piuttosto che conformarsi alla legge.

Matthias Pfau, CEO di Tuta, afferma: “Non comprometteremmo mai la crittografia quantistica di Tuta Mail. E il nostro codice open source ne è la prova”.

Turn ON Privacy in one click.

Get

Il recente hack di Salt Typhoon, il peggior hack nella storia degli Stati Uniti in cui gli aggressori cinesi si sono infiltrati nella rete dei fornitori di comunicazioni americani per ascoltare chiamate e messaggi non criptati, è la prova del perché tutti noi abbiamo bisogno della crittografia Ende-zu-Ende. Indebolirla ora sarebbe come abbassare le proprie difese in un momento di maggiore minaccia digitale.

Invece di compromettere la crittografia, la coalizione esorta i legislatori a investire in strumenti investigativi moderni e mirati che rispettino la privacy e rafforzino la sicurezza pubblica.

La lettera aperta al Riksdag svedese si conclude proprio con questa nota:

“La crittografia Ende-zu-Ende è fondamentale per proteggere gli interessi della Svezia. Alla luce dei gravi rischi per la sicurezza, la privacy e i diritti umani, chiediamo con forza al Riksdag di respingere la legge “Ju2024/02286 Datalagring och åtkomst till elektronisk information”. L’approvazione di questa legge danneggerebbe la sicurezza informatica, l’economia digitale e l’impegno della Svezia nei confronti dei diritti umani. Creerebbe un’eredità di vulnerabilità che persisterebbe per generazioni”.

---

Lettera aperta al Riksdag svedese

Le organizzazioni della società civile, le aziende e gli esperti di sicurezza informatica sottoscritti, compresi i membri della Global Encryption Coalition, chiedono con urgenza al Riksdag svedese di respingere la legge “Ju2024/02286 Datalagring och åtkomst till elektronisk information”. Questa legge, se promulgata, minerebbe notevolmente la sicurezza e la privacy dei cittadini, delle aziende e delle istituzioni svedesi. Nonostante l’intenzione di combattere i reati gravi, la legge presenta un approccio pericoloso che creerebbe invece vulnerabilità che i criminali e altri soggetti malintenzionati potrebbero facilmente sfruttare. La compromissione della crittografia renderebbe i cittadini e le istituzioni svedesi meno sicuri di prima.

La legislazione obbligherebbe le aziende a conservare e fornire alle forze dell’ordine l’accesso alle comunicazioni dei loro utenti, comprese quelle criptate Ende-zu-Ende. Gli esperti di cybersicurezza sono concordi nell’affermare che il rispetto di questo requisito per i servizi di comunicazione crittografati Ende-zu-Ende sarà impossibile senza costringere i fornitori a creare una backdoor di crittografia, simile a una chiave principale che apre tutte le porte di un edificio.

La creazione di una backdoor di crittografia crea vulnerabilità che renderebbero la Svezia meno sicura contro le minacce informatiche e gli avversari stranieri. Questa preoccupazione è stata ribadita dalle Forze armate svedesi, che hanno dichiarato che i requisiti di accesso alle comunicazioni criptate Ende-zu-Ende “non possono essere soddisfatti senza introdurre vulnerabilità e backdoor che terzi possono sfruttare”.

Se approvata, la legislazione lascia alle piattaforme che offrono servizi criptati Ende-zu-Ende una scelta impossibile. O dovranno adeguarsi, compromettendo la sicurezza dei loro servizi, o saranno costrette a lasciare il mercato svedese. In entrambi gli scenari, il risultato è una comunicazione meno sicura e privata per i cittadini, le aziende e le istituzioni svedesi che si affidano a questi strumenti. Oltre il 40% degli utenti svedesi di Internet beneficia direttamente della sicurezza e della privacy fornite dai servizi di messaggistica crittografata Ende-zu-Ende.

Minare la riservatezza dei servizi criptati Ende-zu-Ende avrebbe un impatto particolarmente dannoso su coloro che sono già maggiormente a rischio: giornalisti e attivisti che si affidano a comunicazioni sicure per proteggere le fonti e organizzarsi in modo sicuro, famiglie e sopravvissuti alla violenza domestica che usano la crittografia per proteggersi dagli abusi, persone LGBTQ+ che dipendono da piattaforme sicure per la sicurezza e la comunità, e molti altri che si affidano alla protezione e alla privacy fornite dai servizi criptati Ende-zu-Ende. Gli organismi internazionali per i diritti umani, tra cui il Comitato europeo per la protezione dei dati e la Corte europea dei diritti umani, hanno riconosciuto l’importanza della crittografia Ende-zu-Ende per proteggere il diritto alla privacy e promuovere l’esercizio di altri diritti.

Le aziende, i servizi governativi e le istituzioni svedesi traggono tutti vantaggio dalla crittografia Ende-zu-Ende. Le Forze Armate svedesi lo hanno riconosciuto quando hanno recentemente approvato l’uso di Signal, un’applicazione di messaggistica crittografata Ende-zu-Ende, per proteggere le comunicazioni non classificate dei professionisti della sicurezza nazionale. Se la legge passasse, Signal ha già dichiarato che sceglierebbe di abbandonare il mercato svedese piuttosto che adeguarsi.

Garantire la sicurezza e la privacy dei funzionari governativi e dei professionisti della sicurezza nazionale è fondamentale per aiutare a prevenire tentativi di estorsione o coercizione, che potrebbero portare a danni più significativi alla sicurezza nazionale. Le Forze Armate svedesi hanno osservato nel gennaio 2025 che “il Paese è soggetto a regolari attacchi informatici” e, in questo contesto, garantire ai cittadini, alle aziende e alle istituzioni svedesi l’accesso a comunicazioni crittografate Ende-zu-Ende senza compromessi è più che mai vitale.

Indebolire la crittografia equivarrebbe ad abbassare le difese in presenza di un rischio elevato. In mezzo a queste sfide per la sicurezza nazionale e alle conseguenze dell’hack di Salt Typhoon, la fiducia del governo svedese, dei cittadini e delle aziende nella crittografia Ende-zu-Ende per mantenersi al sicuro non è mai stata così grande.

Piuttosto che minare la crittografia, il governo dovrebbe investire e utilizzare tecniche investigative moderne, mirate e che non compromettano la sicurezza di tutti gli utenti. Tra queste figurano il potenziamento della digital forensics, il miglioramento dell’analisi dei dati e la cooperazione internazionale.

La crittografia Ende-zu-Ende è fondamentale per proteggere gli interessi della Svezia. Alla luce dei gravi rischi per la sicurezza, la privacy e i diritti umani, chiediamo con forza al Riksdag di respingere la “Ju2024/02286 Datalagring och åtkomst till elektronisk information”. L’approvazione di questa legge danneggerebbe la sicurezza informatica, l’economia digitale e l’impegno della Svezia nei confronti dei diritti umani. Creerebbe un’eredità di vulnerabilità che persisterebbe per generazioni.

Vi imploriamo di proteggere le comunicazioni e i diritti fondamentali dei cittadini svedesi, di salvaguardare il futuro digitale della Svezia e di dare priorità a politiche che rafforzino e non indeboliscano la sicurezza informatica. La sicurezza, la prosperità e la libertà della Svezia dipendono da questo.

Firmatari

Access Now

Africa Media and Information Technology Initiative (AfriMITI)

African Academic Network on Internet Policy

Betapersei, SC

Bits of Freedom

Center for the Study of Organized Hate (CSOH)

Centre for Democracy & Technology Europe

Character Works AB

Comunitatea Internet Association

Cyberstorm.global

Danes je nov dan, Inštitut za druga vprašanja

Dataföreningen västra (Swedish Computer Association)

Deutsche Vereinigung für Datenschutz e.V. (DVD)

DFRI (Föreningen för Digitala Fri- och Rättigheter)

Egyptian Initiative for Personal Rights (EIPR)

Electronic Frontier Finland - Effi ry

Electronic Frontier Foundation

Elektronisk Forpost Norge

Encryption Advocates Council

European Digital Rights (EDRi)

European Roma Rights Centre

European Sex Workers Rights Alliance (ESWA)

Fight for the Future

Freedom of the Press Foundation

Global Partners Digital

Homo Digitalis

Index on Censorship

Internet Society

Internet Society Benin Chapter (ISOC BENIN)

Internet Society Cameroon Chapter

Internet Society Capítulo Venezuela

Internet Society Catalan Chapter (ISOC-CAT)

Internet Society Chad chapter

Internet Society Comoros Chapter

Internet Society Dominican Republic Chapter

Internet Society Ecuador Chapter

Internet Society Ethiopia Chapter

Internet Society German Chapter ISOC.DE

Internet Society Ghana Chapter

Internet Society Guinea Chapter

Internet Society Mali Chapter

Internet Society Niger Chapter

Internet Society Norway Chapter

Internet Society Paraguay Chapter

Internet Society Portugal Chapter

Internet Society Puerto Rico Chapter

Internet Society Senegal Chapter

Internet Society Slovenia Chapter

Internet Society Sierra Leone Chapter

Internet Society Sweden Chapter

Internet Society Taiwan Taipei Chapter

Internet Society Togo Chapter

Internet Society Uruguay Chapter

Internet Society Zambia Chapter

IT-Pol Denmark

JCA-NET(Japan)

LGBT Tech

L. Jean Camp, Indiana U

MyData Sweden

Myntex

NetTek Ltd

Omnifi Foundation

OneMore Secure AB

Open Rights Group

OpenMedia

Peergos Ltd

Phoenix R&D GmbH

Politiscope

Proton

Privacy International

Privacy & Access Council of Canada

Quilibrium

Recurity Labs GmbH

SecureCom

SECURECRYPT

SHARE Foundation

SkypLabs

Statewatch

Surfshark

Swedish Network Users Society

Tech for Good Asia

The Cybersecurity Advisors Network (CyAN)

The Tor Project

Thomson Reuters Holdings AB

Tuta Mail

Virtual School on Internet Governance

XPD AB

3 Steps Data

Individual Experts

Viktor Alakörkkö

Vivi Andersson, KTH Royal Institute of Technology

Jan Andersson

Daniel Appelquist, W3C TAG Co-chair and OpenSSF Global Cybersecurity working group co-chair

Martin Bergling, RISE - Research Institutes of Sweden

Anders Boström, Net Insight

Simon Bouget, RISE Research Institutes of Sweden

Carl Magnus Bruhner

Randy Bush, RGnet

Jon Callas, Indiana University

Sofia Celi, Brave

Dr Duncan Campbell, University of Sussex, School of Law Politics and Socioogy,, Brighton, UK

Anders Darander

Per Darnell

Lars Delhage, Nohup AB

Orr Dunkelman, University of Haifa

Javier Ruiz Diaz, Sussex Centre for Law and Technology (SCLT)

Sven Dietrich, City University of New York (CUNY)

Tobias Ekbom, F.d. styrelseledampt Defensor, patenterat deduplicering i kombination med source-side encryption. Arkitekt i cybersäkerhet.

Torbjörn Eklöv

Peter Eriksson, Noproduct AB

Nicola Fabiano, Studio Legale Fabiano

Stephen Farrell, Trinity College Dublin

Dr. Simone Fischer-Hübner, Professor at Karlstad University

Dr. Richard Forno, UMBC

Amir Gaber

Simson L. Garfinkel, Association for Computing Machinery

Marcus Glaad

Dr. Ian Goldberg, University of Waterloo

Dr. Christine Grosse, LTU

Masayuki Hatta, Surugadai University

Leif Henriksson

Kent Illemann, illemann konsult ab

Dr. Leonardo Horn Iwaya, Karlstad University

Prof. Dr.-Ing. Meiko Jensen, Karlstad University

Olle E. Johansson, Edvina AB

Samuel Kelemen, Principal Security Engineer at King

Staffan Kerker, Splisado AB

Gabriel Kihlman, ABC-Klubben

Agnieszka Kitkowska

Håkan Kvarnström, Independent consultant

Susan Landau, Tufts University

Andreas Lindh, Recurity Labs GmbH

Anne-Marie Eklund Löwinder, Amelsec AB

Dr. Kaspar Rosager Ludvigsen, Durham University

Johan Lundberg

Martin Lundgren, University of Skövde

Victor Morel, Chalmers University of Technology

Renzo Navas, IMT Atlantique

Gustav Petersson

Ivan Pettersson, Cybersecurity evangelist, Arrow ECS sweden

Fredrik Pettai

Riana Pfefferkorn, Stanford University

Tobias Pulls, Karlstad University

Dr Gnanajeyaraman Rajaram, Saveetha University

Francisco Blas Izquierdo Riera (klondike), KITS AB and Chalmers University of Technology and University of Gothenburg

Jakob Schlyter, Kirei AB

Dr Jessica Shurson, University of Sussex

Eugene H. Spafford, Purdue University, USA

Daniel Stenberg, the curl project, president of the European Open Source Academy

Mats Strålberg, Inforing AB

Magnus Ström

Peter Sunde Kolmisoppi, ex The Pirate Bay/Wikileaks

Marco Tiloca, RISE Research Institutes of Sweden

Ulrich Wisser

Paul Wouters, IETF Security Area Director

Mališa Vučinić, Inria

Dr. Karin Zackari, Lund University

Daniel Zappala, Brigham Young University