Il governo britannico è convinto che i sistemi di messaggeria istantanea basati su tecnologie di crittazione end-to-end, come Messaggi di Apple, Telegram e WhatsApp, compromettano la sicurezza nazionale. E per questo vuole che i gestori diano le chiavi di accesso alle autorità quando richiesti da un tribunale o altro. Questa, in estrema sintesi, quello che il governo britannico ha detto con il suo progetto di portare a regime il suo Investigatory Powers Act, la legge che dovrà regolamentare tra le altre cose l’accesso ai sistemi di messaggistica dei big del tech.
Tutto questo si scontra frontalmente con un vincolo tecnologico, un vicolo cieco volutamente imboccato dai produttori di tecnologia per poter chiudere fuori dalla porta questo tipo di richieste: la crittografia end-to-end, cioè il meccanismo che consente di avere messaggi sempre protetti tranne che sullo schermo di chi li manda e di chi li riceve. Protetti con chiavi sicure di cui i gestori non hanno l’uso. Unico modo per accedere? “Aprire” il dispositivo.
Di cosa stiamo parlando?
Il problema di fondo è che i governi hanno il monopolio di molte cose, all’interno delle società moderne. Tra queste, il potere (oltre che il dovere) di assicurare l’ordine e auspicabilmente la pace sociale. Cosa che, per essere fatta, richieda da parte delle autorità il monopolio non solo della forza legittima, ma anche quello dei poteri di base. È lo Stato che riassume in sé i poteri legislativo, esecutivo e giudiziario. È, in una parola, sovrano, e decide molte cose. Anche ciò che è giusto o no, perché il processo per cambiare le leggi, almeno in Italia, è decisamente lento e al di fuori della portata della volontà di un singolo: richiede rappresentati, proposte, votazioni, o al limite raccolte di firme per referendum. Il popolo è anch’esso sovrano, ma il singolo vale pur sempre uno, in un paese con poco meno di 60 milioni di abitanti come il nostro vale come statistica, non come strumento di cambiamento.
C’è un passaggio che è importante: da dove discende questa legittimazione. Sarebbe un po’ complicato da spiegare, anche perché cambia da paese a paese (la Francia e i francesi sono orgogliosi della loro rivoluzione, i britannici della corona, i tedeschi della loro identità culturale) e vive fasi storiche differenti. Tuttavia, quando come individui ci mettiamo in relazione con il mondo attorno a noi, impariamo molto presto che, volenti o nolenti, siamo obbligatoriamente cittadini di un determinato stato, sottoposti al suo ordinamento giuridico, e che non è possibile ragionevolmente possibile evitare che sia così. (Esistono certamente anche gli apolidi, ma parlandone si andrebbe al di là degli obiettivi di questo articolo).
Stabilito questo, gli Stati hanno la volontà di fare in modo che le leggi e la sicurezza nazionale vengano rispettate. Il mondo è complesso, i rischi tanti, occorre tutelare l’ordinamento e la maggioranza dei cittadini che ci vivono.
Soprattutto la magistratura e le forze di polizia hanno poteri che possono limitare le libertà delle persone. Anche le libertà più profonde e sacre: l’inviolabilità del domicilio, della corrispondenza, addirittura la libertà di circolazione. Si può cioè essere perquisiti, intercettati, detenuti. In pratica, di questo stiamo parlando.
Cosa dicono i big del tech
I big del tech, e anche i non troppo big, visto che ci sono molte tecnologie che vengono sviluppate da piccole aziende anche se poi diventano molto popolari, da tempo sviluppano soluzioni che, per la prima volta nella storia, non permettono più di rispondere a queste richieste in maniera facile. Anzi, non permettono affatto. E queste soluzioni non sono nate in modo neutro, come vedremo fra un attimo. Cosa che non va giù a molti governi.
Rimaniamo al di là della Manica. Nel Regno Unito, con il Telecommunications Act del 1984 il legislatore britannico aveva deciso che il governo aveva e ha il potere di richiedere agli operatori di telecomunicazioni di assisterlo nelle indagini che riguardano la sicurezza nazionale e l’applicazione delle leggi. Intercettazioni, “spionaggio” da parte delle autorità, capacità di monitorare i cittadini. Questo è però mal visto dai big del tech, sia perché complica la loro vita dal punto di vista operativo (devono tenere traccia di determinate informazioni, si espongono a problemi legali) sia perché è lontano da quella che è la cultura di molto dei loro creatori, ispirata a un liberismo culturale che vede malissimo l’interferenza dello Stato nella vita dei cittadini: è il “right to be left alone“, elaborazione molto americana del più antico “jus solitudinis”, e cioè il diritto a essere lasciati soli, per godere in pace della propria vita.
È un concetto che nasce prima dell’idea stessa di privacy (ricordiamo qui che la privacy è un concetto giuridico nato per uno scherzo della storia a Boston, negli Usa, alla fine dell’Ottocento, ma poi molto amato solo in Europa) e delle dottrine politiche contemporanee. Lo jus solitudinis invece è legato alla nozione cristiana di individuo, alla solitudine dell’io, alla metafisica della libertà. Insomma, c’è un fondamento antico in chi sostiene che il computer sia uno strumento di libertà e si adopera per fare sì che lo resti.
Questo tuttavia è un punto di vista opposto a quello di molti governi che vedono nel computer e nella comunicazione mediata dal computer uno strumento per sfuggire al controllo, preventivo o successivo, e quindi una zona invisibile da cui potenzialmente delinquere o attentare alla stabilità sociale.
Cosa sta succedendo nel Regno Unito
A prescindere da quel che noi singoli, comuni mortali ne pensiamo, la posizione del legislatore britannico è abbastanza chiara: sebbene la proposta non specifichi quali modifiche tecniche richiedano una notifica, queste potrebbero includere cambiamenti nell’architettura del software che interferirebbero con gli attuali poteri di sorveglianza del Regno Unito. Insomma, accesso ai sistemi, approvazione preventiva delle modifiche e degli aggiornamenti tecnici e di sicurezza.
Di conseguenza, l’operatore di un servizio di messaggistica che volesse introdurre una funzione di sicurezza avanzata dovrebbe informare preventivamente l’Home Office, cioè il Ministero dell’Interno di Londra. Ancora, anche per chi fa telefonini, tablet e computer (iPhone, Android e tutto il resto), ci sarebbero oneri sostanziali: i produttori di dispositivi dovranno necessariamente mostrare al governo di Londra che intendono aggiornare i dispositivi prima di farlo, anche se vogliono fare aggiornamenti di sicurezza che correggano vulnerabilità note e mantengano i dispositivi sicuri.
In questo scenario, che viene previsto dalla legge che sta per essere approvata, il Segretario di Stato, dopo aver ricevuto tale notifica preventiva, avrebbe il diritto di bloccare le modifiche di sicurezza per consentire al governo britannico di mantenere l’accesso “segreto” ai dispositivi degli utenti al fine di poterli sorvegliare.
Cosa pensa il governo britannico?
Il conflitto è abbastanza facile da definire: da un lato il governo britannico vuole che la crittografia dei dispositivi e tutte le altre forme di sicurezza siano dotate di backdoor che non siano sanabili e che consentano di dare l’accesso alle autorità, e dall’altro i produttori di tecnologia hanno lavorato per anni per creare strumenti nei quali neanche loro possono avere accesso (questo è il senso di end-to-end encryption) e li hanno abbondantemente reclamizzati come tali. A partire da Apple, certamente, ma anche da parte di Telegram, ad esempio, che ha fatto della crittografia E2E una funzionalità sostanziale della messaggistica al punto da aver spinto anche gli altri a fare altrettanto. Inclusa Meta/Facebook, la società più allergica allo jus solitudinis che si possa immaginare, che ha reso più riservato anche WhatsApp.
Il braccio di ferro tra il governo britannico e i big del tech è semplice da spiegare: Londra è convinta che le risposte tecniche da nerd delle aziende (“Non si può tecnicamente fare una backdoor nella crittografia end-to-end”) siano solo scuse e che, se obbligati dalla legge, i nerd si metteranno al lavoro e lo faranno lo stesso.
È convinta, cioè che si possa creare una crittografia E2E che possa essere messa in pausa: ma questo è esattamente il problema dei protocolli usati: sono fatti apposta per non poter essere messi in pausa. Per poter avere la pausa e quindi l’accesso è necessario usare altri protocolli completamente diversi e inerentemente insicuri.
Infatti è del tutto assurdo che la crittografia E2E possa essere disattivata come un interruttore della luce e consentire comunque la consegna dei messaggi. La crittografia end-to-end non è una mano di bianco sopra un colore neutro, non è una sorta di strato di protezione aggiuntivo: è fondamentale per i protocolli di messaggistica stessi. Deve esserlo, a pensarci un attimo. Se fosse possibile, ad esempio, per Signal, disabilitare silenziosamente la crittografia E2E facendo passare lo stesso i messaggi come potrebbero gli utenti fidarsi del servizio? Non ci si potrebbe fidare né del fatto che ciò che si sta inviando venga consegnato in modo sicuro, né che ciò che si riceve non sia stato intercettato.
Non parliamo poi di bloccare gli aggiornamenti di sicurezza perché potrebbero chiudere quelle falle che Londra potrebbe utilizzare per compromettere la sicurezza degli apparecchi e intercettare i contenuti. Anche se il Regno Unito fosse l’unico paese al mondo ad approvare una legge del genere, sarebbe una follia. Ma cosa succederebbe quando altri paesi la seguissero? Questo se lo chiedono soprattutto i big del tech, non solo i cittadini malamente informati della cosa. (Per i governanti, chi scrive pensa da tempo che ci sia un problema anche di analfabetismo digitale).
Cosa succederà se passa la legge
Se il Regno Unito deciderà di approvare la legge, succederà una cosa molto semplice: non quella che si aspetta Londra, e cioè che le piattaforme di messaggistica correranno ad aprire le porte segrete e le entrate di servizio per dare accesso alle autorità britanniche nei modi e nei casi richiesti.
Invece, molto più semplicemente, le piattaforme di messaggistica con crittografia E2E come WhatsApp (molto popolare nel Regno Unito), Signal, Telegram e ovviamente iMessage di Apple smetteranno di funzionare o saranno ritirate dagli app store del Regno Unito. Il Regno Unito sembra pensare che si tratti di un bluff, le big del tech però su questo non stanno bluffando. Non possono e non vogliono permetterselo