La crittografia end-to-end potrebbe non essere più una copertura sufficiente per la privacy quando si utilizzano le applicazioni di messaggistica più diffuse. Lo dimostra il contenuto di un documento interno dell’FBI intitolato “Accesso legale”, che descrive i metodi che l’FBI può utilizzare legalmente a partire da novembre 2020 per ottenere prove nel corso di un’indagine penale. Il file ha svelato quali app condividono maggiormente i dati dei loro utenti con la polizia federale, descrivendo in dettaglio la “capacità dell’ FBl di accedere legalmente al contenuto e ai metadati dell’app di messaggistica sicura“.
Il documento “non classificato” designato come “solo per uso ufficiale” e “sensibile alle forze dell’ordine” è stato preparato dal ramo scientifico e tecnologico dell’FBI e dalla divisione tecnologia operativa. Passato al «Rolling Stone» per la pubblicazione, è stato visionato da Property of the People, un’organizzazione senza scopo di lucro americana impegnata a vigilare sulla trasparenza del governo degli States verso i propri cittadini e a fornire una guida utile alle persone attente alla privacy, inclusi giornalisti, informatori e attivisti.
Con un procedimento legale, infatti, l’FBI può ottenere vari tipi di metadati. Ciò che è esattamente disponibile, tuttavia, varia ampiamente in base alla configurazione dell’app. Tra le applicazioni incluse figurano iMessage, LINE, Signal, Telegram, Threema, Viber, WeChat, WhatsApp e Wickr. La maggior parte di queste crittografano i messaggi end-to-end per impostazione predefinita. Tuttavia, come dimostra il caso di Telegram, e ancora di più quello di WeChat, la crittografia end-to-end predefinita (E2EE) è utilizzata in alcuni contesti, ma non in altri. Questa variazione potrebbe spiegare perché il documento fa riferimento alle app come “sicure” anziché “E2EE”.
Il dilemma della crittografia
Come suggerisce il nome, difatti, la crittografia end-to-end protegge i dati in modo tale che possano essere letti solo dalle due estremità della comunicazione, cioè dal mittente e dal destinatario. Ciò garantisce l’integrità della comunicazione, essendo un metodo di comunicazione sicura che impedisce a terzi di accedere ai dati durante il trasferimento da un sistema o dispositivo finale a un altro. Inoltre, E2EE protegge anche dalla manomissione dei messaggi crittografati. Non c’è modo, perciò, di alterare un messaggio crittografato e qualsiasi tentativo di alterazione sarebbe ovvio.
Sebbene la crittografia end-to-end sia considerato il metodo di crittografia più sicuro, allo stesso tempo è considerato da molti anche come il più controverso. Da una parte c’è chi considera l’E2EE essenziale per mantenere la privacy e la sicurezza online di un utente, ma dall’altra c’è chi crede che serva semplicemente a nascondere la criminalità online e a rendere più difficile per le forze dell’ordine contrastare i contenuti dannosi o illegali.
Whatsapp nel segno della rapidità
Nonostante la raccolta di messaggi e chiamate dell’FBI sia nota da anni, il nuovo documento rivela la velocità e la portata con cui gli agenti possono ottenere tali informazioni dalle app di messaggistica, che complessivamente contano diversi miliardi di utenti globali.
Tra le diverse applicazioni delineate nel file, WhatsApp è l’unica delle nove che utilizza il cosiddetto “registro della penna”, una richiesta di sorveglianza che fornisce all’agenzia l’origine e la destinazione di ogni messaggio. In questo modo l’applicazione riesce a condividere dati quasi in tempo reale in risposta alle richieste delle forze dell’ordine, rendendo noti i mittenti e i destinatari dei diversi messaggi, i dati dell’abbonato, i contatti degli utenti e le informazioni sugli orari. In questi casi i backup su cloud, non protetti dalla crittografia, possono persino consentire la divulgazione dei messaggi archiviati, rendendone noti i contenuti.
In breve, non è un compito facile per gli utenti non specializzati capire con precisione quali informazioni dalle loro applicazioni di messaggistica potrebbero finire nelle mani degli investigatori federali. Difatti, non solo le diverse app hanno proprietà diverse, ma i produttori di queste non hanno molti incentivi a essere trasparenti e diretti su tali dettagli.
Come dimostra il grafico dell’FBI, il mercato delle app di messaggistica gratuite e sicure è un campo affollato e competitivo. I provider vogliono dare agli utenti attuali e potenziali l’impressione che la loro applicazione sia il massimo in termini di sicurezza e privacy, indipendentemente dal fatto che l’utente possa essere preoccupato per l’eventuale presenza di hacker dannosi, governi o del provider stesso.
C’è un confine di sicurezza?
Tuttavia, il documento è uno spartiacque sul lungo dibattito tra privacy e sicurezza, mettendo ancora una volta al centro della riflessione la libertà di espressione e i suoi possibili limiti. In questo quadro, non solo i criminali e i ricercati, ma anche i giornalisti e le loro fonti, informatori e attivisti hanno molto a che fare con la scelta del servizio di comunicazione.
Soltanto tre anni fa lo scandalo Facebook-Cambridge Analityca mostrò come la società inglese Cambridge Analytica aveva racconto i dati personali di 87 milioni di account Facebook senza consenso usandoli poi per scopi di propaganda politica. Lo scandalo ha così travolto il mondo della politica occidentale e ha costretto a una maggiore attenzione riguardo i temi della sicurezza e dell’informazione.
Quel capitolo sui dati e sulla privacy che sembrava ormai chiuso torna ora con estrema attualità. D’altra parte, come notato nell’articolo di «Rolling Stone» sul grafico dell’FBI, i metadati di WhatsApp sono stati la chiave per l’arresto e la condanna di Natalie Edwards, un ex funzionaria del Dipartimento del Tesoro degli Stati Uniti che ha divulgato documenti interni a un giornalista con il quale ha scambiato centinaia di messaggi su WhatsApp. Edwards credeva che WhatsApp fosse sicuro per la comunicazione giornalista-fonte, ma quell’equivoco costò la sua libertà.
Di cosa parliamo quando parliamo di privacy
Qual è allora il giusto equilibrio fra diritto alla privacy e diritto alla sicurezza? La domanda nasce spontanea in un’era in cui molti osservatori prevedono la possibilità di una “sorveglianza di massa” resa possibile proprio dalle comunicazioni digitali. Un timore reso ancora più tangibile proprio dalle recenti pressioni dei diversi Governi sulle aziende tecnologiche per dissuaderli dall’uso di crittografia end-to-end al fine di facilitare le attività di contrasto alle attività criminali.
Per questo motivo quando si parla di privacy dei dati si fa riferimento a un concetto di riservatezza che si muove su un doppio binario: da un lato la necessità di un alto livello di sicurezza, il trattamento e la conservazione dei dati per finalità di accertamento, prevenzione e repressione dei reati nonché per esigenze di sicurezza nazionale; dall’altro la consapevolezza e la rivendicazione dell’importanza della protezione dei propri dati personali per i singoli utenti.
Il dibattito circa l’intercettabilità delle comunicazioni che avvengono sulle applicazioni criptate va inoltre collegata anche all’obbligo che lo Stato impone agli operatori di telecomunicazioni di dotarsi di sistemi per intercettare le comunicazioni di specifici “bersagli”, dietro richiesta della magistratura. Non essendo possibile prevedere chi sarà necessario intercettare nel futuro ai fini della prevenzione dei reati, e per la natura stessa della crittografia end-to-end, la richiesta dei governi di rendere intercettabili le comunicazioni che la utilizzano, richiede in realtà che tutte le comunicazioni lo siano a priori.
Whatsapp e FBI, nuove frontiere
Tuttavia, almeno nel contesto delle applicazioni, WhatsApp potrebbe aver fornito una soluzione alternativa. A settembre 2021, l’applicazione ha introdotto i backup con crittografia end-to-end che consentono agli utenti di archiviare i propri dati in un backup costruito sulla base di un componente chiamato modulo di sicurezza hardware (HSM), un hardware specializzato e sicuro, diverso da Cloud a cui WhatsApp non ha accesso in quanto protetti dai singoli servizi di archiviazione basati su cloud.
“Esaminiamo, convalidiamo e rispondiamo attentamente alle richieste delle forze dell’ordine in base alla legge applicabile e siamo chiari a riguardo sul nostro sito Web e nei regolari rapporti sulla trasparenza“, ha così dichiarato WhatsApp a «Rolling Stone». “Il documento illustra ciò che abbiamo detto: che le forze dell’ordine non hanno bisogno di violare la crittografia end-to-end per indagare con successo sui crimini“.
CREDITI:
