È una spia aziendale, un criminale informatico o un'autorità legalmente vincolata che legge le comunicazioni crittografate? Una decisione dell'UE renderà più facile per le forze dell'ordine leggere i dati criptati in futuro. A metà dicembre, i ministri degli interni degli stati membri dell'UE hanno adottato la controversa risoluzione sulla "sicurezza attraverso la crittografia e la sicurezza nonostante la crittografia" senza ulteriori discussioni. La risoluzione permetterà alle forze dell'ordine di visualizzare le comunicazioni criptate per catturare i criminali più velocemente. Le massicce proteste della società civile, del mondo accademico, degli affari e di parti della politica sono rimaste inascoltate. Da un lato, il documento riconosce la crittografia come un "mezzo necessario per proteggere i diritti fondamentali e la sicurezza digitale dei governi, dell'industria e della società". D'altra parte, però, l'UE deve essere in grado di garantire che "le autorità competenti nel campo della sicurezza e della giustizia penale [esercitino] i loro poteri legali" e proteggere "sia online che offline le nostre società."
"Il documento afferma che l'UE continua a sostenere una crittografia forte e che i diritti fondamentali devono essere protetti. Tuttavia, le forze dell'ordine hanno bisogno di backdoor per le comunicazioni criptate nella lotta contro gli abusi sui minori, il terrorismo e il crimine organizzato. Questa dicotomia attraversa tutto il documento. Da un lato, vogliono garantire tecnologie di crittografia forte e sicurezza informatica. D'altra parte, le autorità di polizia dovrebbero essere in grado di accedere ai dati in modo mirato", riassume l'esperto di sicurezza informatica Patrycja Schrenk, amministratore delegato di PSW Group. I critici inoltre controbattono: "Tuttavia, non esiste una cosa come un po' criptata così come non esiste una cosa come un po' incinta."
Anche il CEO di Bitkom Dr Bernhard Rohleder inveisce contro la risoluzione: "Dobbiamo fare tutto il possibile per rendere la comunicazione elettronica il più sicura possibile, e qui la crittografia forte è il mezzo di scelta. La "crittografia leggera" non offre una vera sicurezza. Le backdoor non possono essere controllate in modo permanente e possono essere sfruttate da tutti gli attori immaginabili - dai criminali informatici ai servizi segreti stranieri". A lungo termine, questo danneggia la sicurezza della società e dell'economia.
Per la decrittazione delle comunicazioni elettroniche, il Consiglio dell'UE vuole il sostegno dei fornitori di servizi come Facebook, Google o Apple. I ministri dell'UE hanno anche pensato al metodo di decrittazione: con il metodo "Exceptional Access", gli operatori di messaggeria depositano una chiave master digitale. Con il suo aiuto, la comunicazione cifrata può essere decifrata.
Tutto questo è ben formulato nel documento: sicurezza attraverso la cifratura e sicurezza nonostante la cifratura. Anche le basi su quanto sia preziosa la crittografia sicura suonano bene. "Ciò che sta dietro a questo, tuttavia, è semplicemente l'ammorbidimento della crittografia sicura - sia attraverso chiavi master, porte posteriori o anteriori, filtri di caricamento o altri mezzi. È un peccato che i politici non ascoltino le critiche di questo approccio - soprattutto perché non serve alla vera causa, che è quella di accelerare l'arresto dei criminali", trova Schrenk. "Ciò che rimane sono comunicazioni insicure e incompletamente criptate per il grande pubblico."
Dissonanza
Gli autori della dichiarazione riconoscono la dissonanza dei criminali che "usano soluzioni convenzionali di crittografia facilmente accessibili e progettate per scopi legittimi per il loro modus operandi". Eppure sottolineano che l'applicazione della legge dipende ora dall'accesso alle prove elettroniche per combattere il terrorismo, il crimine organizzato, gli abusi sessuali sui minori e una serie di altri crimini informatici.
Qualunque sia l'attuale ambiente tecnologico, il Consiglio dice che è quindi essenziale "salvaguardare i poteri delle autorità competenti attraverso un accesso legale". Ciò richiede leggi che possano praticamente applicare questi poteri, che già esistono sulla carta. Questi devono essere "pienamente coerenti con il giusto processo e altre garanzie, nonché con i diritti fondamentali". Nel fare ciò, i diversi interessi devono essere attentamente soppesati.