Proposta di legge americana vuole inserire backdoor obbligatorie nella cifratura di dispositivi e servizi

Tre senatori repubblicani hanno depositato una proposta di legge presso la Commissione Giustizia del Senato americano. Tale proposta, chiamata Lawful Access to Encripted Data Act (legge sull'accesso legale ai dati cifrati), chiede che i produttori di hardware e software inseriscano nei propri sistemi delle backdoor che le forze dell'ordine e le autorità giudiziarie possano utilizzare per perseguire i criminali. Si tratta dell'ennesima proposta che punta a indebolire le protezioni a disposizione di privati e aziende per favorire una presunta maggiore sicurezza pubblica, riaprendo il dibattito sull'individuazione del giusto compromesso tra sicurezza pubblica e riservatezza dei privati.

Una proposta di legge negli USA per rendere obbligatorie le backdoor: una proposta pericolosa

La proposta di legge, visualizzabile a questo indirizzo, chiede che "i fornitori di servizi e produttori di dispositivi forniscano assistenza alle forze dell'ordine quando l'accesso a dispositivi o dati cifrati è necessario - ma solo dopo [enfasi nell'originale] che un tribunale abbia emanato un mandato, basato sulla probabile causa che il crimine sia avvenuto, autorizzando le forze dell'ordine a cercare e sequestrare i dati."

Lindsey Graham, principale firmatario della legge, afferma che "dopo che le forze dell'ordine hanno ottenuto la necessaria autorizzazione da parte di una corte di giustizia, dovrebbero essere in grado di recuperare le informazioni che li aiutino nelle indagini. La nostra legislazione rispetta e protegge i diritti alla privacy degli americani che rispettano la legge. Dà anche un avvertimento ai terroristi e ai criminali che non potranno più nascondersi dietro la tecnologia per nascondere le proprie tracce."

Il problema di questa posizione è che l'unico modo in cui è possibile accedere a dati cifrati è tramite la creazione di una backdoor e ciò diminuisce a tutti gli effetti la sicurezza dei sistemi e non garantisce, dall'altro lato, una maggiore sicurezza pubblica.

Una ricerca pubblicata dal think tank Center for Strategic and International Studies nel 2017 scrive chiaramente che l'utilizzo di sistemi di cifratura irrecuperabile (ovvero cifratura che non può essere tolta se non dal proprietario) è preferibile e non rappresenta un problema insormontabile.

"Se tutti nel mondo utilizzassero la cifratura irrecuperabile, cosa cambierebbe? Un uso maggiore della cifratura aiuterebbe a ridurre il cybercrimine, che costa all'economia mondiale almeno 400 miliardi di dollari l'anno, e ridurrebbe altresì il rischio di cyberattacchi. La protezione della privacy migliorerebbe. Ma questi benefici vanno confrontati con il costo in termini di sicurezza pubblica. In ogni caso, non tutti utilizzeranno la cifratura irrecuperabile. Le aziende e i privati continueranno a richiedere funzionalità rese possibili dalla cifratura recuperabile. La nostra ricerca suggerisce che la diffusione e l'uso della cifratura irrecuperabile, anche se è frustrante per le forze dell'ordine, è ridotto e il rischio ad esso collegato è gestibile."

Il problema è di grande difficoltà e non esiste una risposta semplice che lo risolva. Da un lato c'è l'esigenza (reale) di proteggere la società da fenomeni come il terrorismo, la schiavitù e la pedofilia; dall'altro lato, però, c'è l'esigenza (non meno reale) di rendere le comunicazioni, le informazioni e i dati difficili da sfruttare per i criminali e le organizzazioni con intenti malevoli.

Trovare un compromesso è particolarmente complesso perché non esiste una soluzione tecnica sicura. Più e più volte è stato ribadito negli anni che non è possibile creare una una backdoor che possa essere usata solo dai "buoni": una backdoor è di per sé un problema di sicurezza perché può essere usata da chiunque senza controllo; crearne una "di Stato" è, di fatto, come pubblicizzare che la porta della propria casa è sempre aperta con le stesse conseguenze, ovvero che potrà entrare chiunque indipendentemente dalle sue intenzioni, buone o cattive che siano.

Il problema di questa legge sta proprio nel fatto che prevede la creazione di backdoor obbligatorie, la cui presenza è quindi nota pubblicamente, rendendo molto meno sicuri i sistemi e aprendo a molteplici possibilità di abuso da parte dei malintenzionati e degli stessi governi. Non è questa la soluzione ai problemi di sicurezza pubblica, poiché si creano molti più problemi di quanti se ne risolvano.

Il problema della "sovranità digitale"

Questa proposta riaccende inoltre la discussione sul tema della "sovranità digitale" di cui si parla da tempo in Germania. Il problema sollevato dai sostenitori di questa dottrina è che non si può affidare la propria infrastruttura digitale fondamentale a entità extra-europee, poiché la loro fedeltà è altrove. Ciò ricorda il dibattito presente in epoca medioevale e nella prima età moderna in Inghilterra: i cattolici erano visti come "servitori di due padroni", dato che professavano la propria fedeltà al papa oltre che al monarca, e pertanto erano visti come non degni di fiducia.

Se tale dibattito religioso è stato fortunatamente superato da secoli, il dibattito in ambito tecnologico infuria. La legislazione americana è tra gli elementi che stanno portando, ad esempio, le amministrazioni di Monaco di Baviera e di Amburgo ad adottare soluzioni open source più facilmente controllabili e che non le rendono dipendenti da una società straniera che deve rispondere alle leggi di un altro Stato. Con il Cloud Act, infatti, gli Stati Uniti hanno reso qualunque dato ospitato sui server di aziende americane raggiungibile dalle forze giudiziarie americane, anche se questi dati dovessero essere fisicamente al di fuori del territorio americano. Ciò pone, negli occhi dei sostenitori della "sovranità digitale", dei problemi significativi.

Il fatto che il governo americano richieda la presenza di backdoor sui sistemi acuisce il problema: qual è la portata di tale backdoor? Quali sistemi la impiegano? Come è possibile verificare che la backdoor non sia presente su sistemi che fanno uso di codice proprietario impiegati al di fuori degli USA? Si prospetta nuovamente un problema di fiducia che non è di facile risoluzione e richiede attento esame da parte dei legislatori e della politica.

Come spesso avviene non c'è una risposta completamente giusta. Dall'altro lato, però, esistono sicuramente risposte ai problemi che creano ulteriori problemi e quella scelta da questa legge sembra essere tra queste.