Newsletter n 162 del 08 03 16

NOTIZIARIO DIPENDENTI
PAGINA 2
L’angolo della privacy
Caso Apple-Fbi, nel rapporto tra privacy e sicurezza
serve un utilizzo ragionevole delle tecnologie
Nella controversia che
oppone la magistratura
(e il governo)
statunitensi alla Apple, il
rapporto tra libertà,
sicurezza e giustizia
torna ancora una volta
a dividere politica e
opinione pubblica
Da un lato, la Corte federale di Los Angeles, in assenza di una
specifica norma che disciplini il caso in esame, nelle sue
particolarità tecniche e tecnologiche, è costretta a invocare l'All
Writs Act del 1789 per ordinare ad Apple di "sbloccare" l'i-phone
dell'autore della strage di san Bernardino.
L'accesso ai dati contenuti in quel telefono- protetto dalle
misure di criptazione adottate da Apple dopo il caso Snowden sarebbe, infatti, di importanza determinante ai fini della
ricostruzione non solo della dinamica della strage ma anche,
evidentemente, della rete di relazioni di cui era parte l'attentatore,
fornendo così indicazioni importanti anche a fini preventivi.
A quasi due anni dalla sentenza con cui la Corte suprema ha
esteso alla perquisizione dei cellulari le garanzie previste per le
misure limitative della libertà personale, dunque, la magistratura
statunitense affronta ancora una volta la difficoltà di adeguare a
una tecnica in continua evoluzione, categorie giuridiche
inevitabilmente meno attuali, ma (per fortuna) spesso
sufficientemente duttili.
E alla richiesta magistratuale si associa il Governo, asserendo
tra l'altro (per bocca del capo della National Security Agency) che
in assenza della crittografia si sarebbe evitato l'attentato al
Bataclan.
Affermazione forte, questa, che scuote ogni facile certezza,
contrapponendo, sia pur implicitamente, la vita di tante (troppe)
persone alla difesa quasi egoistica del proprio spazio di
riservatezza.
Dall'altro lato Apple rifiuta di eseguire l'ordine - non tanto per
ragioni di tutela della privacy dell'attentatore (tra l'altro deceduto
nel conflitto a fuoco con la polizia) - quanto invece per non
ingenerare negli utenti sfiducia nella sicurezza dei suoi prodotti,
dotati da poco di sistemi di criptazione tali da renderli inaccessibili
a terzi: siano essi hacker od organi inquirenti.
E anche, probabilmente, per non trovarsi nell'imbarazzo, da N.
1 delle aziende tecnologiche globali, di dover assecondare le
richieste formulate in un determinato ordinamento giuridico
considerato "affidabile" (nel caso, quello statunitense), e pertanto
da ritenere legittime o comunque accettabili, e rigettarne altre che
Pentha servizi Integrati per le imprese PAG.
2
NOTIZIARIO DIPENDENTI
PAGINA 3
inevitabilmente si produrranno al di fuori degli Stati Uniti in nazioni, a
quel punto, "non affidabili".
Ed è questo il punto: è davvero possibile non riuscire a
differenziare la posizione di chi compie un illecito ai danni dell'altrui
riservatezza da chi, invece, agisca per accertare reati anche
gravissimi? Rendere i nostri telefoni sicuri rispetto ad accessi abusivi
implica necessariamente - come farebbe intendere Apple renderli inaccessibili alla giustizia? Si sta davvero chiedendo - come
sostiene Tim Cook- agli stessi ingegneri che hanno progettato
queste straordinarie casseforti di scassinarle? O si sta, più
semplicemente, chiedendo agli stessi ingegneri di aprirne una, per
accertare ragioni e responsabilità di una strage e, possibilmente,
prevenirne altre?
Entrando nel dettaglio tecnico, la richiesta dell'FBI (tramite la
Corte distrettuale centrale della California) all'azienda di Cupertino
non è volta ad acquisire conoscenze sui sistemi software adottati a
protezione dei dati, tantomeno a disporre in proprio di strumenti in
grado di minacciare la riservatezza di cittadini perché suscettibili di
"riuso" in altri contesti.
Gli investigatori hanno chiesto a Apple ciò che ritengono
essere un "ragionevole sforzo di collaborazione" affinché il
dispositivo in loro possesso possa essere avviato con una versione
ad hoc del sistema operativo iOS, firmata digitalmente e utilizzabile
esclusivamente su quello specifico iPhone senza esservi
permanentemente installato, in modo da non pregiudicare
l'integrità dei dati oltre che quella del sistema operativo originario.
La versione ad hoc del software, avviabile dalla memoria
RAM volatile e perciò destinata a essere rimossa al primo
spegnimento del dispositivo, dovrebbe differenziarsi da quella
normalmente installata per l'assenza di un contatore di errori di
inserimento del PIN di accesso e per la mancata interposizione di
un ritardo tra successivi tentativi di accesso. Ciò abiliterebbe l'FBI a
procedere per tentativi (brute force attack probabilmente
assecondati da qualche forma di social engineering già svolta
dalla polizia federale) senza pregiudicare l'integrità dei dati
(altrimenti destinati alla cancellazione per eccesso di tentativi
erronei), eventualmente agendo da una postazione remota
qualora la soluzione tecnica individuata prevedesse che lo
smartphone fosse collegato alla rete della Apple cui, in quel caso,
dovrebbe avere accesso la polizia federale, unica responsabile
dell'estrazione dei dati e della formazione delle eventuali prove
raccolte.
Pentha servizi Integrati per le imprese PAG.
3
NOTIZIARIO DIPENDENTI
PAGINA 4
Nello scenario di azione "da luogo remoto" verrebbero meno
le possibilità di riuso del software da parte dell'FBI su altri dispositivi,
che costituisce uno dei maggiori timori connessi al caso.
Davvero non riusciamo a immaginare un utilizzo ragionevole
(e dunque attento ai diversi attori in gioco) delle tecnologie?
La Commissione di Venezia del Consiglio d'Europa, nel
rapporto sulla sorveglianza di massa dell'aprile scorso, ha sollevato
perplessità su proposte normative (quali ad esempio quella
avanzata da David Cameron subito dopo l'attentato a Charlie
Hebdo), volte a prevedere un generale indebolimento dei sistemi
di criptazione.
Certo, una tale innovazione determinerebbe un sensibile
affievolimento delle stesse difese nazionali da potenziali attacchi
cibernetici (anche di matrice terroristica), con un complessivo
abbassamento dei livelli di sicurezza che, invece, si vorrebbero
elevare. Ma un conto è la previsione, generale e astratta e alla fine
pericolosa, di una norma di legge che impedisca l'uso di
tecnologie di criptazione altro è la richiesta di accesso mirato al
contenuto di un dispositivo, in un singolo caso, per ragioni di
giustizia.
Quando si tratta di modulare il rapporto tra libertà e sicurezza
non esistono soluzioni facili.
Mai come su questo terreno, in cui devono comporsi libertà e
sicurezza, diritto e tecnologia, privacy e prevenzione, è necessario
rigore nelle scelte e attenzione a tutti i valori in gioco. Perché
nessuno di essi può essere ritenuto mai recessivo o, peggio, ostativo
agli altri; come spesso invece si sente dire a proposito della privacy.
Che sarebbe bene riconoscere come presupposto di libertà e
democrazia sempre, non soltanto quando favorisce il profitto
individuale.
Fonte: Intervento di Antonello Soro, Presidente del Garante
per la protezione dei dati personali ("L'Huffington Post", 20 febbraio
2016)
Pentha servizi Integrati per le imprese PAG.
4