g-docweb-display Portlet

Caso Apple-Fbi, nel rapporto tra privacy e sicurezza serve un utilizzo ragionevole delle tecnologie - Intervento di Antonello Soro

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

Caso Apple-Fbi, nel rapporto tra privacy e sicurezza serve un utilizzo ragionevole delle tecnologie
Intervento di Antonello Soro, Presidente del Garante per la protezione dei dati personali
("L´Huffington Post", 20 febbraio 2016)

Nella controversia che oppone la magistratura (e il governo) statunitensi alla Apple, il rapporto tra libertà, sicurezza e giustizia torna ancora una volta a dividere politica e opinione pubblica.

Da un lato, la Corte federale di Los Angeles, in assenza di una specifica norma che disciplini il caso in esame, nelle sue particolarità tecniche e tecnologiche, è costretta a invocare l´All Writs Act del 1789 per ordinare ad Apple di "sbloccare" l´i-phone dell´autore della strage di san Bernardino.

L´accesso ai dati contenuti in quel telefono- protetto dalle misure di criptazione adottate da Apple dopo il caso Snowden - sarebbe, infatti, di importanza determinante ai fini della ricostruzione non solo della dinamica della strage ma anche, evidentemente, della rete di relazioni di cui era parte l´attentatore, fornendo così indicazioni importanti anche a fini preventivi. A quasi due anni dalla sentenza con cui la Corte suprema ha esteso alla perquisizione dei cellulari le garanzie previste per le misure limitative della libertà personale, dunque, la magistratura statunitense affronta ancora una volta la difficoltà di adeguare a una tecnica in continua evoluzione, categorie giuridiche inevitabilmente meno attuali, ma (per fortuna) spesso sufficientemente duttili. E alla richiesta magistratuale si associa il Governo, asserendo tra l´altro (per bocca del capo della National Security Agency) che in assenza della crittografia si sarebbe evitato l´attentato al Bataclan. Affermazione forte, questa, che scuote ogni facile certezza, contrapponendo, sia pur implicitamente, la vita di tante (troppe) persone alla difesa quasi egoistica del proprio spazio di riservatezza.

Dall´altro lato Apple rifiuta di eseguire l´ordine - non tanto per ragioni di tutela della privacy dell´attentatore (tra l´altro deceduto nel conflitto a fuoco con la polizia) - quanto invece per non ingenerare negli utenti sfiducia nella sicurezza dei suoi prodotti, dotati da poco di sistemi di criptazione tali da renderli inaccessibili a terzi: siano essi hacker od organi inquirenti.

E anche, probabilmente, per non trovarsi nell´imbarazzo, da N. 1 delle aziende tecnologiche globali, di dover assecondare le richieste formulate in un determinato ordinamento giuridico considerato "affidabile" (nel caso, quello statunitense), e pertanto da ritenere legittime o comunque accettabili, e rigettarne altre che inevitabilmente si produrranno al di fuori degli Stati Uniti in nazioni, a quel punto, "non affidabili".

Ed è questo il punto: è davvero possibile non riuscire a differenziare la posizione di chi compie un illecito ai danni dell´altrui riservatezza da chi, invece, agisca per accertare reati anche gravissimi? Rendere i nostri telefoni sicuri rispetto ad accessi abusivi implica necessariamente - come farebbe intendere Apple - renderli inaccessibili alla giustizia? Si sta davvero chiedendo - come sostiene Tim Cook- agli stessi ingegneri che hanno progettato queste straordinarie casseforti di scassinarle? O si sta, più semplicemente, chiedendo agli stessi ingegneri di aprirne una, per accertare ragioni e responsabilità di una strage e, possibilmente, prevenirne altre?

Entrando nel dettaglio tecnico, la richiesta dell´FBI (tramite la Corte distrettuale centrale della California) all´azienda di Cupertino non è volta ad acquisire conoscenze sui sistemi software adottati a protezione dei dati, tantomeno a disporre in proprio di strumenti in grado di minacciare la riservatezza di cittadini perché suscettibili di "riuso" in altri contesti.

Gli investigatori hanno chiesto a Apple ciò che ritengono essere un "ragionevole sforzo di collaborazione" affinché il dispositivo in loro possesso possa essere avviato con una versione ad hoc del sistema operativo iOS, firmata digitalmente e utilizzabile esclusivamente su quello specifico iPhone senza esservi permanentemente installato, in modo da non pregiudicare l´integrità dei dati oltre che quella del sistema operativo originario.

La versione ad hoc del software, avviabile dalla memoria RAM volatile e perciò destinata a essere rimossa al primo spegnimento del dispositivo, dovrebbe differenziarsi da quella normalmente installata per l´assenza di un contatore di errori di inserimento del PIN di accesso e per la mancata interposizione di un ritardo tra successivi tentativi di accesso. Ciò abiliterebbe l´FBI a procedere per tentativi (brute force attack probabilmente assecondati da qualche forma di social engineering già svolta dalla polizia federale) senza pregiudicare l´integrità dei dati (altrimenti destinati alla cancellazione per eccesso di tentativi erronei), eventualmente agendo da una postazione remota qualora la soluzione tecnica individuata prevedesse che lo smartphone fosse collegato alla rete della Apple cui, in quel caso, dovrebbe avere accesso la polizia federale, unica responsabile dell´estrazione dei dati e della formazione delle eventuali prove raccolte.

Nello scenario di azione "da luogo remoto" verrebbero meno le possibilità di riuso del software da parte dell´FBI su altri dispositivi, che costituisce uno dei maggiori timori connessi al caso.

Davvero non riusciamo a immaginare un utilizzo ragionevole (e dunque attento ai diversi attori in gioco) delle tecnologie?

La Commissione di Venezia del Consiglio d´Europa, nel rapporto sulla sorveglianza di massa dell´aprile scorso, ha sollevato perplessità su proposte normative (quali ad esempio quella avanzata da David Cameron subito dopo l´attentato a Charlie Hebdo), volte a prevedere un generale indebolimento dei sistemi di criptazione.

Certo, una tale innovazione determinerebbe un sensibile affievolimento delle stesse difese nazionali da potenziali attacchi cibernetici (anche di matrice terroristica), con un complessivo abbassamento dei livelli di sicurezza che, invece, si vorrebbero elevare. Ma un conto è la previsione, generale e astratta e alla fine pericolosa, di una norma di legge che impedisca l´uso di tecnologie di criptazione altro è la richiesta di accesso mirato al contenuto di un dispositivo, in un singolo caso, per ragioni di giustizia.

Quando si tratta di modulare il rapporto tra libertà e sicurezza non esistono soluzioni facili.

Mai come su questo terreno, in cui devono comporsi libertà e sicurezza, diritto e tecnologia, privacy e prevenzione, è necessario rigore nelle scelte e attenzione a tutti i valori in gioco. Perché nessuno di essi può essere ritenuto mai recessivo o, peggio, ostativo agli altri; come spesso invece si sente dire a proposito della privacy. Che sarebbe bene riconoscere come presupposto di libertà e democrazia sempre, non soltanto quando favorisce il profitto individuale.

Scheda

Doc-Web
4710683
Data
22/02/16

Tipologie

Interviste e interventi