Quando scriviamo un messaggio su WhatsApp, o nelle chat segrete di Telegram e Messenger, è come se stessimo inviando bigliettini inseriti in una piccola cassaforte rinforzata. La cassaforte è fatta di una lega speciale impossibile da rompere e non vi è modo di vedere dall’esterno cosa contiene. Le uniche chiavi per aprirla sono in mano alle persone che si stanno scrivendo. La crittografia usata nelle app come WhatsApp e Signal è quella cassaforte.

La sicurezza di questo sistema potrebbe però cedere se, ad esempio, i costruttori della cassaforte fossero costretti a creare e consegnare una terza chiave passepartout alle forze dell’ordine, in grado di aprire tutte le casseforti prodotte – quella che in ambito informatico si chiama anche backdoor. Oppure se ci fosse un difetto nel materiale di realizzazione, ignorato persino dai produttori, che permette di aprire con precisione chirurgica la lega metallica, sferrando semplici colpi di martello con la giusta frequenza. In entrambi questi casi ci sarebbe quindi una vulnerabilità che può essere sfruttata per leggere i messaggi scambiati. In ambito informatico vengono scoperte vulnerabilità con una certa frequenza.

Non dovrebbe stupirci se criminali e agenzie di intelligence straniere volessero individuare queste vulnerabilità per sfruttarle a loro vantaggio. Probabilmente ci riuscirebbero nel giro di poco tempo. Da anni le forze dell’ordine di tutto il mondo, tuttavia, dichiarano di non riuscire in alcun modo ad accedere alle comunicazioni cifrate che passano attraverso applicazioni come WhatsApp o Signal. Le loro casseforti reggono il colpo, nonostante gli sforzi. Gli attacchi contro la cifratura si susseguono, spesso sotto la spinta delle agenzie di intelligence di Stati Uniti, Regno Unito e Australia. Ma negli ultimi due anni anche i governi dei Paesi europei hanno portato avanti, spesso a porte chiuse, discussioni sulla possibilità di introdurre backdoor – le chiavi passepartout per aprire le casseforti, che siano di natura legale oppure tecnologica – in app sicure usate da milioni di persone.

Lighthouse Reports, redazione non profit che si occupa di inchieste collaborative, ha analizzato insieme a IrpiMedia centinaia di pagine di documenti, note interne, e email (qui in olandese) pubblicati dal governo dei Paesi Bassi resi pubblici a seguito di una richiesta di accesso agli atti. I documenti ottenuti offrono la rara opportunità di osservare la discussione in corso da una posizione privilegiata e comprendere meglio le implicazioni per la privacy di centinaia di milioni di persone.

Crittografia per tutti o tutti contro la crittografia

Il problema della cifratura è dibattuto da anni. Europol e Eurojust producono persino un rapporto annuale sul conflitto tra cifratura e indagini. Nel report pubblicato a luglio 2021, le due autorità europee sottolineano come la crittografia continui a essere sempre più sfruttata dai criminali «sia come parte del loro modus operandi sia come mezzo per consentire comunicazioni segrete e attività illegali mettendole fuori dalla portata delle forze dell’ordine».

Sempre nel report, si legge come le due principali strade percorribili sono bypassare del tutto la cifratura o riuscire a indebolirla. I documenti rilasciati dai Paesi Bassi sottolineano gli sforzi in entrambe le direzioni.

Negli anni si sono susseguite spesso le promesse di individuare soluzioni tecnologiche in grado di fornire accesso alle comunicazioni cifrate per il contrastro al terrorismo e per limitare la condivisione di materiale fotografico legato all’abuso di minori. E tutto questo dovrebbe essere possibile senza minare la sicurezza delle app cifrate come WhatsApp e Signal, scelte dagli utenti perché tutelano la privacy dei loro messaggi più di altri concorrenti sul mercato.

L’esempio più recente è la proposta di regolamento europeo contro la diffusione di contenuti pedopornografici di maggio 2022. Introduce la necessità di introdurre filtri in ogni app e servizio per analizzare le foto e il testo alla ricerca di contenuti pedopornografici o attività di adescamento di minori. Secondo esperti di sicurezza informatica e organizzazioni per i diritti digitali come European Digital Rights (EDRi), di fatto questo regolamento minerebbe «l’essenza della cifratura».

Diverse sezioni non redatte dei documenti analizzati da IrpiMedia e LHR suggeriscono che questo tipo di soluzione non si possa, al momento, mettere in atto. «Attualmente non è possibile adattare i prodotti di crittografia in modo che sia possibile un accesso mirato a livello individuale, senza rendere troppo vulnerabile la sicurezza dei sistemi digitali che utilizzano la crittografia», scrivono alcuni funzionari del Ministero della Giustizia olandese in un documento datato aprile 2021.

Attivisti per la privacy ed esperti del settore hanno già sottolineato come il conflitto con le autorità inquirenti sia sostanzialmente impossibile da risolvere. Questi documenti offrono la rara opportunità di vedere anche ufficiali governativi ammettere quelle stesse difficoltà. Rivelano ad esempio come l’introduzione di meccanismi per le intercettazioni legali, come normalmente avviene con le chiamate telefoniche, non è praticabile con le app di messaggistica crittografata, perché nemmeno le società che le gestiscono sono a volte in possesso del corrispettivo dei “tabulati telefonici” e dei contenuti.

Nei documenti si legge che in futuro potrebbe essere necessario ricorrere più spesso all’uso di spyware (vedi glossario) e allo sfruttare vulnerabilità non note ai produttori dei software. In un report datato 8 luglio 2021, a seguito di una consultazione avvenuta tra i Ministeri olandesi e società come Google, operatori telefonici, rappresentanti del mondo accademico e organizzazioni della società civile, si ribadisce che devono essere comunque tenute in considerazione anche altre soluzioni per accedere ai contenuti cifrati, ad esempio «usando meglio le opzioni disponibili, come gli hacking powers». E per farlo sarebbe necessario investire in questo tipo di attività e «sfruttare le debolezze dei sistemi (software) come fanno gli hacker».

Questi documenti assumono una gravità maggiore se si considera che pochi giorni dopo quella consultazione sarebbe esploso uno scandalo senza precedenti grazie alle inchieste giornalistiche che hanno rivelato l’abuso dello spyware Pegasus, prodotto dall’azienda israeliana NSO, compiuto tra gli altri dai governi di Polonia, Ungheria, Grecia e Spagna. Queste inchieste hanno mostrato come gli spyware finiscano con l’essere fuori controllo persino in Paesi democratici. Il governo spagnolo ha ammesso di aver spiato alcuni politici indipendentisti catalani – secondo Citizen Lab si tratterebbe di oltre 60 persone, tra politici, assistenti, familiari e persone loro vicine, oltre a attivisti per l’indipendenza. Poco dopo però il governo spagnolo ha dovuto ammettere di essere stato spiato a sua volta tramite Pegasus da un soggetto terzo. A farne le spese sono stati il primo ministro Pedro Sánchez e la ministra della Difesa Margarita Robles.

I documenti, che includono anche comunicazioni tra il Ministero olandese e le controparti in Regno Unito e Germania, oltre a comunicazioni riguardo meeting con altri paesi dell’Unione europea e con la stessa Commissione Ue, mostrano le difficoltà avute dagli ufficiali governativi negli ultimi due anni per trovare una soluzione al problema.

Rompicapo istituzionale

Stralci dei documenti che contengono la discussione in corso tra istituzioni olandesi ed europee circa le implicazioni per la privacy di milioni di persone

Una delle vie esplorate nei documenti visionati da IrpiMedia e dagli altri partner è quella di equiparare le app cifrate ai servizi offerti dagli operatori telefonici classici, imponendo quindi loro l’obbligo di trovare una soluzione tecnica per garantire l’accesso da parte della polizia alle comunicazioni. Il desiderio delle forze dell’ordine sarebbe quindi scaricato direttamente sulle aziende che sono costrette a trovare una soluzione tecnologica a un problema che ricercatori e esperti di sicurezza informatica continuano a sottolineare sia irrisolvibile senza minare dalle fondamenta la crittografia che protegge i messaggi e le chiamate. Questo problema spinge gli ufficiali governativi verso dilemmi che suonano familiari: «È il governo a regolamentare o è il mercato a stabilire cosa è possibile fare?».

Verso una nuova proliferazione di vulnerabilità

Gli stessi funzionari governativi si interrogano sull’eventualità che le novità introdotte in Europa possano facilitare dittatori di regimi autoritari o «terzi malintenzionati». Riflettendo sulla possibilità di sviluppare nuove tecniche per intercettare le comunicazioni cifrate, un ufficiale del Ministero di Giustizia dei Paesi Bassi chiede se ci siano modi per garantire che uno strumento in grado di spezzare la cifratura, sviluppato da aziende private, possa essere utilizzato solo da «Paesi democratici». Il timore è che, non appena questa capacità fosse disponibile, «anche Paesi che destano particolare preoccupazione possono usare [la stessa tecnologia], e così attivisti per i diritti umani, giornalisti, e dissidenti che vivono in questi regimi (…) possono diventare più vulnerabili». «Mi sembra che sia molto difficile – da un punto di vista del controllo delle esportazioni – limitare in anticipo queste soluzioni tecnologiche ai soli Paesi occidentali», è la risposta che ottiene da un altro funzionario. «Alla fine – conclude -, il soggetto privato vorrà guadagnarci e lo diffonderà nel mercato».

Un meccanismo già noto nella storia italiana, dove un mercato interno ricco di aziende ha spinto negli anni alcune di queste a vendere all’estero a regimi e governi autoritari, con casi noti come quello di Hacking Team e di Area SpA.

Altre aziende italiane hanno già provato a sfruttare a proprio vantaggio il successo di WhatsApp come punto di ingresso per installare i captatori informatici. Cy4gate, azienda che come ricostruito da IrpiMedia punta a diventare una sfidante di NSO, avrebbe utilizzato un finto sito web che impersona WhatsApp per facilitare l’installazione del proprio spyware, come rivelato da Motherboard.

Le intercettazioni in Italia

L’opzione di imporre degli obblighi di legge per indebolire la cifratura, ragionano i funzionari olandesi, rischia di avere un effetto controproducente: allontanare le aziende. «Dobbiamo evitare la situazione in cui WhatsApp smetta di essere disponibile nei Paesi Bassi,» mette in guardia un funzionario pubblico del Ministero degli Affari Economici olandese.

Gli esperti del governo olandese però vedono comunque una remota possibilità di avere un meccanismo internazionale in grado di rendere i messaggi cifrati leggibili alle forze dell’ordine in casi specifici ma questo richiede un ampio accordo tra governi, imprese e mondo accademico, e ci potrebbero volere dieci anni. Ma i problemi sarebbero risolti solo in parte: «Supponiamo che tutto questo sia possibile tecnicamente. Possiamo quindi costruire un’infrastruttura globale per le intercettazioni. L’umanità è pronta per tutto questo? È possibile raggiungere un accordo su quali Paesi possono utilizzare questa infrastruttura di intercettazione e per quali reati?».

La strada dell’attacco diretto: l’hacking in mano alla polizia

Malgrado le difficoltà tecniche e legali, i funzionari olandesi hanno iniziato a parlare della possibilità di ampliare “l’hackeraggio di Stato” e l’accesso ai software di captazione come lo spyware Pegasus. Questi ultimi sfruttano le vulnerabilità dei sistemi operativi dei dispositivi per accedere di nascosto ai messaggi, prima o dopo che questi siano stati cifrati, ad esempio raccogliendo screenshot delle chat. Hanno anche chiari svantaggi: possono facilmente finire nelle mani sbagliate e un utilizzo eccessivo può spingere le aziende di smartphone a riparare le vulnerabilità. Nel caso di Pegasus, infatti, Apple sta giocando una partita colpo su colpo cercando di chiudere ogni falla di sicurezza emersa dall’analisi dello spyware fatta da Citizen Lab e Amnesty Tech. «L’uso di “Govware” (ossia spyware nelle mani dei governi, ndr) o di strumenti di accesso legale per ottenere prove, installati sotto copertura in un dispositivo mirato, può anche porre sfide pratiche e legali, in particolare la difficoltà di iniettare tali strumenti senza un’azione da parte del sospetto e il fatto che il loro uso non è chiaramente indicato nelle disposizioni procedurali della maggior parte delle giurisdizioni», si legge inoltre nel report di Europol.

L’Italia è in realtà tra i pochi Paesi europei il cui quadro legislativo supporta – o non ostacola del tutto – l’impiego degli spyware e di altre forme di intercettazione. «In Italia le intercettazioni telematiche già permettono di raccogliere il traffico dati delle telefonate WhatsApp ma i dati sono comunque cifrati e illeggibili», spiega a IrpiMedia l’avvocato Stefano Aterno, esperto di reati informatici e legislazione di captatori. Le intercettazioni telematiche sono quelle in grado di copiare il traffico internet dei dispositivi, come ad esempio quello legato ai siti web visitati da uno smartphone ma anche alle chiamate fatte via internet. Secondo l’avvocato, un governo potrebbe decidere di attaccare la cifratura di quel traffico dati intercettato per accedere al contenuto. Per farlo sarebbe necessario o entrare in possesso delle chiavi di cifratura o trovare una vulnerabilità nel protocollo crittografico utilizzato.

L’ampio impiego dei captatori informatici e le sentenze della Corte Suprema di Cassazione mettono inoltre l’Italia in una posizione diversa riguardo il dibattito emerso dai documenti del governo olandese. A febbraio 2022, spiega Aterno, la Cassazione ha deciso di equiparare la raccolta degli screenshot fatti tramite captatore informatico a una forma di intercettazione telematica. La discussione sull’obbligare WhatsApp a fornire un accesso ai governi «non sarà fatta in Italia finché non si avrà un parere della Cassazione opposto a quello di febbraio». Con uno screenshot si può bypassare tutta la protezione della crittografia: il testo della chat è lì immortalato proprio come appare di fronte agli occhi delle persone che lo stanno scrivendo.

In una risposta a un’interrogazione parlamentare del 16 marzo 2022 riguardo una posizione lavorativa focalizzata anche sulle intercettazioni di app come WhatsApp e Signal, la Ministra della Giustizia olandese ha sottolineato alcuni punti sull’impiego dei poteri dell’hacking nelle indagini: «Questi poteri sono meno scalabili e la loro efficacia è meno prevedibile a causa delle competenze richieste, dei costi di attuazione, della capacità necessaria e della questione se i servizi investigativi e di intelligence riusciranno a ottenere e mantenere l’accesso alle comunicazioni desiderate».

Per ovviare a questo problema i funzionari discutono la possibilità di creare un’unità all’interno di Europol «che possa effettuare intrusioni informatiche su richiesta degli Stati membri», si legge nei documenti analizzati da IrpiMedia e Lighthouse Reports attraverso una richiesta di accesso agli atti nei Paesi Bassi. Europol però è stata recentemente accusata di conservare illegalmente informazioni e sembra voler diventare un’agenzia di sorveglianza di massa in stile National Security Agency (Nsa), l’agenzia di sicurezza degli Stati Uniti di cui conosciamo i segreti grazie alle rivelazioni di Edward Snowden. Europol ha inoltre già avviato una «piattaforma di decrittazione» in grado di aiutare nei casi in cui i dati conservati sui dispositivi elettronici siano cifrati.

L’iniziativa della Commissione europea

Al momento i Paesi Bassi hanno deciso di rimandare la decisione finale in attesa di un segnale dall’Unione europea. La Commissione sta infatti lavorando a un inventario delle possibili soluzioni e ha già iniziato a inviare dei questionari ai vari stati Ue, come provano i documenti pubblicati dal governo olandese. La Commissione ha chiesto tramite un questionario ai vari Stati membri in che modo le forze dell’ordine gestiscono le vulnerabilità e se notificano ai produttori la loro esistenza, e se per sfruttare queste vulnerabilità si affidano a esperti interni o consulenti esterni che vengono dal settore privato.

Le domande sono state discusse a una riunione degli ufficiali di giustizia dei 27 Stati membri dell’Unione europea a maggio 2021 a tema «cifratura e accesso legale».

Le risposte del governo olandese non sono state pubblicate interamente nei documenti ma è presente un breve riassunto: «Le risposte indicano i rischi che circondano il mercato dei software di intrusione, le vulnerabilità sconosciute e i danni collaterali alle tecnologie. Ma nulla è escluso».

Nelle domande del questionario si chiede anche agli Stati membri se ritengono necessario che a livello europeo sia introdotta una legge che faciliti l’accesso ai dati cifrati delle comunicazioni e, inoltre, quali capacità sono disponibili solo fuori dall’Ue e in futuro dovrebbero essere rese disponibili anche qui.

IrpiMedia ha chiesto al Ministero dell’Interno e a quello di Giustizia italiani, che secondo i documenti olandesi sarebbero entrambi a conoscenza dell’inventario condotto dalla Commissione europea, di chiarire se considerano la crittografia un intralcio alle indagini, di fornire eventuali dati a supporto e spiegare quali soluzioni vedono per questo problema. L’ufficio stampa del Ministero di Giustizia non ha potuto inviare le risposte a causa di «numerosi impegni», mentre il Ministero dell’Interno non ha fatto pervenire le risposte.