Utilizzo della crittografia, backdoor e accesso alle comunicazioni digitali: brevi considerazioni a margine della sentenza Podchasov c. Russia
Alessandro Stiano (Università degli Studi di Napoli Federico II)
1. Premessa
La Corte europea dei diritti dell’uomo (di seguito: “la Corte”), con la sentenza del 13 febbraio 2024 relativa al caso Podchasov c. Russia (per alcuni commenti si v. Tuchtfeld e Lakra), è tornata ad occuparsi della tutela del diritto alla privacy, ai sensi dell’art. 8 della Convenzione europea dei diritti dell’uomo (di seguito: “CEDU” o “la Convenzione”), nel caso di utilizzo da parte degli Stati di sistemi di intercettazione e sorveglianza segreta delle comunicazioni. Nonostante tale tematica – a partire oramai dai primi anni Duemila – abbia costituito oggetto di diverse pronunce della Corte (si pensi, tra le altre, a Weber e Saravia c. Germania, 29 giugno 2006; Roman Zakharov c. Russia, 4 dicembre 2015; Big Brother Watch e altri c. Regno Unito, 25 maggio 2021; sul tema v. Stiano, Il diritto alla privacy alla prova della sorveglianza di massa e dell’intelligence sharing: la prospettiva della Corte europea dei diritti dell’uomo, in Rivista di diritto internazionale, 2020, p. 511 ss.), la sentenza de qua porta con sé un elemento di novità: per la prima volta i giudici di Strasburgo hanno analizzato la portata e gli effetti dell’uso della crittografia e, di conseguenza, la compatibilità con la Convenzione di quelle misure domestiche volte a consentire l’accesso alle autorità statali alle informazioni trasmesse tramite software di messaggistica istantanea.
Prima di procedere con l’analisi della sentenza (par. 2) e delle sue ripercussioni nel contesto europeo (par. 3), si rende necessaria una breve precisazione di natura tecnica su cosa sia la crittografia end-to-end nelle comunicazioni digitali. Si tratta di un metodo di protezione dei dati attraverso il quale una determinata informazione inviata da un dispositivo A ad un dispositivo B resti riservata; inoltre, durante il transito, i messaggi sono illeggibili e incomprensibili per chiunque non sia il mittente o il destinatario, impedendo quindi a soggetti terzi di intercettare o accedere alle informazioni.
È sin da subito evidente, dunque, come l’uso di questa tecnologia sia capace di offrire molteplici garanzie in materia di tutela dei dati personali.
2. La sentenza della Corte europea dei diritti dell’uomo nel caso Podchasov c. Russia
I fatti all’origine della pronuncia della Corte risalgono al 2017 e al 2018 e, senza pretesa di esaustività, possono essere così riassunti. Il ricorrente, cittadino russo, è un utilizzatore dell’applicazione di messaggistica istantanea Telegram, la quale, come noto, può essere utilizzata su diversi dispositivi elettronici come smartphone, computer e tablet. Essa si caratterizza in quanto non prevede un meccanismo di crittografia end-to-end per tutte le conversazioni ma solo per quelle definite secret chat. In altre parole, il contenuto delle conversazioni delle c.d. chat segrete (messaggi, foto, video) è noto soltanto al mittente e al destinatario, non potendo nessun altro – compreso lo stesso Telegram – accedervi.
Senonché, il 28 giugno 2017 Telegram è stato qualificato, in Russia, come “Internet Communications Organiser” (ICO) con il conseguente obbligo in capo all’azienda di conservare tutti i dati per un anno, il contenuto delle comunicazioni per sei mesi e di trasmettere tali dati alle autorità statali (o ai servizi di sicurezza) in circostanze specificate dalla legge, unitamente, laddove necessarie, alle informazioni essenziali per decifrare i messaggi elettronici nel caso in cui questi risultassero crittografati.
La qualifica di Telegram come ICO ha comportato che il Servizio federale per la di sicurezza russa (FSB) richiedesse alla società Telegram di divulgare le informazioni tecniche che avrebbero facilitato la decrittazione delle comunicazioni nei confronti di alcuni utenti sospettati di svolgere attività legate al terrorismo. L’ordine di divulgazione elencava alcuni numeri di telefono cellulare associati agli account di Telegram e faceva riferimento a sei sentenze del tribunale emesse il 10 luglio 2017. Più nello specifico, veniva richiesto a Telegram di fornire, tra le altre cose, gli indirizzi IP e i dati relativi alle chiavi (di crittografia) che sarebbero stati necessari per decifrare le comunicazioni. La società di messaggistica, tuttavia, si rifiutava di ottemperare all’ordine di diffusione, sostenendo che era tecnicamente impossibile eseguirlo senza creare una backdoor (e cioè un programma informatico che consente di accedere ad un altro programma aggirandone il sistema di protezione, v. qui), la quale però avrebbe indebolito il meccanismo di crittografia per tutti gli utenti e in particolare per quelli che, facendo leva sulla funzione “chat segreta”, intendevano proteggere le loro comunicazioni con la crittografia end-to-end.
Dinanzi alla Corte si è prospettata dunque la questione della compatibilità tra la richiesta di accesso da parte delle autorità governative russe alle informazioni scambiate per il tramite di applicazioni di messaggistica, protette dalla crittografia end-to-end, e il rispetto della vita privata e familiare ai sensi dell’art. 8 della Convenzione. Conviene subito dirlo: la Corte ha affermato che la conservazione di tutte le comunicazioni avvenute tramite Telegram, l’accesso diretto consentito alle società di sicurezza ai dati ivi contenuti, l’assenza di garanzie contro possibili abusi delle autorità statali nonché l’obbligo di decriptare le comunicazioni sono tutte misure non necessarie in una società democratica, ai sensi dell’art. 8 par. 2 della Convenzione, dal momento che esse pregiudicano l’essenza stessa del diritto al rispetto della vita privata e familiare(par. 80 della sentenza).
Ma anche al di là delle conclusioni cui è giunta la Corte, ciò che risulta interessante è il percorso argomentativo in relazione all’uso della crittografia come strumento idoneo a tutelare la privacy digitale degli utenti. In primo luogo, la Corte ha sostenuto che la crittografia fornisce delle solide garanzie contro l’accesso illecito al contenuto delle comunicazioni nonché, soprattutto nell’era digitale, contribuisce al godimento di ulteriori diritti fondamentali, tra cui la libertà di espressione (par. 76 della sentenza). La crittografia, inoltre, è uno strumento capace di aiutare i cittadini e le imprese a difendersi contro possibili interferenze esterne come l’hacking, il furto dell’identità digitali o dei dati personali, le frodi e la divulgazione impropria delle informazioni sensibili, configurandosi come un vero e proprio “scudo contro gli abusi” (v. Schmon). Ma vi è di più. Secondo la Corte, acconsentire alla decrittazione delle comunicazioni protette dalla crittografia end-to-end, attraverso l’uso di una backdoor, equivarrebbe a indebolire la crittografia per tutti gli utenti (par. 77 della sentenza). Tali misure, infatti, non possono essere circoscritte solo a specifici individui ma colpirebbero tutti indiscriminatamente, compresi coloro che non rappresentano una minaccia per la sicurezza statale; di conseguenza l’inserimento di backdoor renderebbe possibile la sorveglianza generale e indiscriminata delle comunicazioni elettroniche personali, in netto contrasto con il dettato dell’art. 8 della Convenzione, permettendo altresì alle reti criminali di sfruttarla in detrimento della sicurezza degli utenti.Nondimeno, la Corte ha preso in considerazione anche la possibilità opposta, e cioè che la crittografia venga utilizzata da parte di soggetti coinvolti in attività criminose al fine di rendere più oneroso, se non del tutto impossibile, lo svolgimento delle indagini opportune. Sul puntoi giudici di Strasburgo hanno provato a individuare alcune soluzioni alternative alla decrittazione che al contempo non indeboliscano i meccanismi di protezione (par. 78 della sentenza). Tra le altre vengono menzionate le operazioni sotto copertura, le infiltrazioni in gruppi criminali e l’accesso ai dispositivi di comunicazione tramite, ad esempio, analisi forensi in tempo reale su dispositivi sequestrati o tramite intercettazioni legittime su tali dispositivi mentre sono ancora utilizzati dai sospetti. In altri termini, l’obiettivo è quello di individuare meccanismi capaci di bilanciare la tutela dei diritti individuali e la protezione degli interessi di sicurezza degli Stati e dei cittadini.
3. I (possibili) riflessi della sentenza Podchasov nel contesto europeo
La pronuncia in commento risulta particolarmente interessante non solo per le conclusioni cui essa addiviene ma soprattutto per i suoi possibili effetti nell’ambito della tutela della privacy e dell’utilizzo della crittografia nel contesto europeo. Se per un verso emerge una certa coerenza sistematica tra il ragionamento della Corte e quanto espresso dall’Alto commissario per i diritti umani nel rapporto The Right to Privacy in the Digital Age circa l’utilizzo della crittografia come garanzia contro possibili abusi delle autorità statali, per altro verso la pronuncia appare ancor più rilevante se la si considera rispetto alle più recenti tendenze sviluppatesi in seno all’Unione europea.
Per quanto riguarda il primo aspetto, sono piuttosto evidenti le similitudini tra le considerazioni svolte dalla Corte e quanto affermato in tema di crittografia dall’Alto commissario. Secondo quest’ultimo, infatti, la crittografia è uno strumento di fondamentale importanza per la tutela del diritto alla privacy, per garantire la sicurezza online ed è essenziale per salvaguardare ulteriori diritti umani come libertà di opinione e di espressione, la libertà di associazione e di riunione pacifica (The Right to Privacy, cit., par. 21). Attraverso il suo impiego, inoltre, le persone possono condividere liberamente le informazioni, evitando che queste siano conosciute da autorità statali o criminali informatici. Ciò è ancora più rilevante in ambienti in cui prevale la censura, giacché la crittografia consente agli individui di mantenere uno spazio per esprimere e scambiare opinioni con gli altri. In casi specifici, come ad esempio nei contesti bellici, i giornalisti e i difensori dei diritti umani non possono svolgere il loro lavoro senza la presenza di questa tecnologia, che protegge le loro fonti e li mette al riparo da possibili interferenze altrui. Ebbene, come detto in precedenza, è piuttosto agevole notare come gli auspici dell’Alto commissario siano stati tenuti in considerazione dai giudici di Strasburgo.
D’altro canto, invece, se volgiamo lo sguardo al contesto europeo, e in particolare all’Unione europea, la pronuncia della Corte appare in netta contrapposizione con la prassi più recente. Il riferimento va soprattutto alla proposta di regolamento presentata dalla Commissione europea l’11 maggio 2022 in materia di norme per la prevenzione e la lotta contro l’abuso sessuale su minori (v. qui). Scopo precipuo di tale strumento è quello di stabilire “norme uniformi per contrastare l’uso improprio dei servizi della società dell’informazione interessati ai fini di abuso sessuale su minori online nel mercato interno” (cfr. art. 1, par. 1 del Regolamento; per una analisi critica si v. Di Gianni; più in generale sulle proposte europee in materia di responsabilità dei fornitori di servizi, v. Ruotolo) al fine di individuare un quadro giuridico sufficientemente chiaro e armonico in materia di prevenzione e contrasto all’abuso sessuale sui minori online. Brevemente, la proposta mira ad introdurre alcuni obblighi di rilevazione, segnalazione e rimozione di materiale sospetto in capo ai prestatori di servizi di hosting e di comunicazioni interpersonale, come appunto i noti software di messaggistica istantanea quali WhatsApp, Telegram. In altre parole – sebbene la proposta non stabilisca espressamente un obbligo sistematico di intercettazione per i prestatori – la mera possibilità di emissione di un ordine di rilevazione inciderebbe pesantemente sulle scelte tecniche dei fornitori di servizi, determinando in ultima analisi la cessazione dell’utilizzo della crittografia (end-to-end), con il conseguente impatto negativo sulla sfera privata degli utenti e la possibile violazione degli art. 7 (tutela della privacy), 8 (protezione dei dati personali) e 11 (libertà di espressione) della Carta dei diritti fondamentali dell’Unione europea.
Non c’è da meravigliarsi quindi che la proposta, così come formulata, abbia sollevato più di un dubbio circa il corretto bilanciamento tra tutela dei dati personali e l’esigenza di prevenire abusi su minori. Forti critiche sono state mosse dal Comitato europeo per la protezione dei dati e dal Garante europeo della protezione dei dati personali, i quali in un parere congiunto hanno sottolineato che la «proposta solleva serie preoccupazioni in merito alla necessità e alla proporzionalità delle ingerenze e delle limitazioni previste in materia di protezione dei diritti fondamentali per quanto riguarda il rispetto della vita privata e la protezione dei dati personali» (Parere congiunto n. 4/2022, p. 9). D’altronde le evidenziate criticità hanno almeno per ora ritardato l’iter di approvazione della proposta legislativa.
4. Conclusioni
In definitiva, dunque, è proprio in materia di garanzie a tutela del diritto alla privacy nel contesto europeo che la sentenza Podchasovmostra la sua portata più innovativa. E due ne sono i motivi principali. In primo luogo, i giudici di Strasburgo hanno dato dimostrazione di una approfondita conoscenza degli aspetti tecnici della tecnologia utilizzata, cogliendone così appieno l’importanza per la protezione dei dati personali; inoltre, la pronuncia potrebbe influenzare positivamente i futuri sviluppi in merito al corretto bilanciamento tra utilizzo della crittografia, come strumento essenziale a tutela della privacy, ed esigenze di sicurezza degli Stati e degli individui.
No Comment