Pagine

domenica 3 aprile 2022

Dovremo davvero rinunciare alla segretezza delle comunicazioni col Digital Markets Act?

di Enrico Nardelli

Negli ultimi giorni ha iniziato a circolare nei media la notizia (è facile intuire chi possa aver avuto interesse a farlo) che l'implementazione di quanto previsto dal Digital Markets Act (DMA) (la legge europea sui mercati digitali in via di approvazione) metterebbe a rischio la segretezza delle comunicazioni tra gli utenti. Il DMA richiede, tra le altre cose, la totale interoperabilità tra le applicazioni di messaggistica e quindi permetterà, ad esempio, ad un utente di WhatsApp di mandare un messaggio ad un utente di Signal e viceversa. I due utenti sarebbero quindi in grado di comunicare rimanendo ognuno nella propria piattaforma. Il DMA richiede questa interoperabilità, senza costi o impedimenti aggiuntivi per gli utenti finali, non solo per la messaggistica (testuale, visuale o auditiva) legata ad un numero ma anche per qualunque servizio di relazioni sociali, su qualunque dispositivo tecnologico venga erogato. Ecco l’elenco dei servizi soggetti a tale misura: servizi di intermediazione, motori di ricerca, sistemi operativi, reti sociali, condivisione di video, sistemi di messaggistica, cloud computing, pubblicità online, browser web, assistenti virtuali, tv connesse. È evidente che per chi possiede un quasi monopolio di fatto in questi settori si tratti di una misura che rischia di indebolire moltissimo la loro posizione.

Si è quindi cominciato a dire: "Attenzione! Se realizziamo questo allora gli utenti dovranno rinunciare a comunicare tra loro in modo totalmente segreto!".

Attualmente, infatti, questi servizi sono protetti da una crittografia "da un capo all'altro" (end-to-end ) che consente di crittare il contenuto del messaggio sullo smartphone di partenza e decrittarlo solo sullo smartphone di destinazione, salvaguardando così il contenuto stesso da ogni possibile intercettazione. Osserviamo prima di tutto che questo è del tutto vero in teoria, ma nella realtà non lo è completamente perché se siamo nell'ambito di una stessa App proprietaria il software che svolge questa funzione è lo stesso su entrambi i dispositivi, realizzato da una stessa società, e non possiamo dire – dal momento che in generale non ne conosciamo il codice sorgente – se abbia o meno una "porta di servizio" (back door ) per consentire l'accesso a strumenti in grado di violare tale segretezza.

Ricordiamo che negli USA la loro giurisprudenza, con il CLOUD Act (Clarifying Lawful Overseas Use of Data Act = legge che chiarisce l’uso legale dei dati all’estero), consente a qualunque giudice statunitense di accedere a dati che ritiene rilevanti, anche qualora riguardino cittadini stranieri. C’è poi il FISA (Foreign Intelligence Surveillance Act = legge per il controllo dei servizi di raccolta di informazioni all’estero) che, nella sezione 702 autorizza le agenzie USA di raccolta di informazioni a recuperare – senza che sia necessaria l’autorizzazione di un giudice – qualunque informazione transiti su dispositivi digitali di cittadini stranieri fuori degli USA. Ovviamente, il tutto al “nobile scopo” di prevenire il terrorismo. Immaginate quindi cosa potrebbe accadere in Paesi con una democrazia meno salda di quella americana...

Andiamo oltre: se usiamo Signal, il cui codice sorgente è libero e aperto, possiamo essere sicuri che non ci siano "porte di servizio". Come funziona il meccanismo che permette di realizzare lo scambio sicuro di messaggi in Signal? Senza entrare in molti dettagli tecnici, è basato su un approccio teorico detto di "Diffie-Hellman", dal nome dei due informatici americani che lo inventarono nel 1976, che permette a due persone di scambiarsi, sotto gli occhi di tutti, una chiave segreta (che cioè nessuno conosce nonostante sia stata concordata alla luce del sole) da usare per cifrare i successivi messaggi. Si tratta di un approccio la cui robustezza è matematicamente dimostrata ed è alla base di molti sistemi crittografici.

E allora che cosa potrebbe accadere se App di fornitori diversi fossero costrette a "parlarsi" mantenendo la segretezza delle conversazioni? Beh, certamente i produttori dovrebbero adeguarle a questo requisito, usando l’approccio di Diffie-Hellman o altri equivalenti inventati in seguito, il che è tecnicamente del tutto possibile, nonostante gli alti lamenti che si stanno sentendo. È ovviamente solo una questione di soldi. Da un un punto di vista tecnologico, già adesso accade che con un qualunque browser (chiunque sia il suo produttore) possiate connettervi al sito web di una qualunque banca con la certezza che i vostri dati non siano intercettati da nessuno. Oppure, considerate la posta elettronica, nella quale la completa interoperabilità tra i fornitori già esiste, perché fortunatamente il suo sviluppo è avvenuto prima dell'esplosione popolare di Internet all'inizio di questo secolo. Ebbene, esistono fornitori di servizio di posta elettronica (ma non quelli dei suddetti monopolisti!) che vi danno la possibilità di comunicare in modo assolutamente segreto con chiunque abbia un indirizzo di posta elettronica presso un qualunque altro fornitore.

Non si venga quindi a dire che non si può. Certo non è né immediato né facile. Lo snodo è che chiaramente alcuni che negli ultimi vent'anni hanno accumulato profitti – che li rendono economicamente potenti quanto uno Stato nazionale – non vogliono perdere la loro posizione di privilegio.

Nulla in contrario che quelli bravi e svegli facciano profitti, ma non a costo di rimanere ingabbiati a vita con uno stesso fornitore di servizio.

--
Versione originale pubblicata su "Key4Biz" il 31 marzo 2022.

Nessun commento:

Posta un commento

Sono pubblicati solo i commenti che rispettano le norme di legge, le regole della buona educazione e sono attinenti agli argomenti trattati: siamo aperti alla discussione, non alla polemica.