Caso Apple-Fbi, nel rapporto tra privacy e

Caso
Apple-Fbi,
Intervento
di
nel
rapporto
Antonello
Soro,
tra
privacy
Presidente
e
sicurezza
del
Garante
serve
per
un
utilizzo
la
ragionevole
protezione
dei
delle
tecnologie
dati
personali
("L'Huffington Post", 20 febbraio 2016)
Nella controversia che oppone la magistratura (e il governo) statunitensi alla Apple, il rapporto tra libertà, sicurezza e giustizia torna ancora
una volta a dividere politica e opinione pubblica.
Da un lato, la Corte federale di Los Angeles, in assenza di una specifica norma che disciplini il caso in esame, nelle sue particolarità tecniche
e tecnologiche, è costretta a invocare l'All Writs Act del 1789 per ordinare ad Apple di "sbloccare" l'i-phone dell'autore della strage di san
Bernardino.
L'accesso ai dati contenuti in quel telefono- protetto dalle misure di criptazione adottate da Apple dopo il caso Snowden - sarebbe, infatti, di
importanza determinante ai fini della ricostruzione non solo della dinamica della strage ma anche, evidentemente, della rete di relazioni di
cui era parte l'attentatore, fornendo così indicazioni importanti anche a fini preventivi. A quasi due anni dalla sentenza con cui la Corte
suprema ha esteso alla perquisizione dei cellulari le garanzie previste per le misure limitative della libertà personale, dunque, la magistratura
statunitense affronta ancora una volta la difficoltà di adeguare a una tecnica in continua evoluzione, categorie giuridiche inevitabilmente
meno attuali, ma (per fortuna) spesso sufficientemente duttili. E alla richiesta magistratuale si associa il Governo, asserendo tra l'altro (per
bocca del capo della National Security Agency) che in assenza della crittografia si sarebbe evitato l'attentato al Bataclan. Affermazione forte,
questa, che scuote ogni facile certezza, contrapponendo, sia pur implicitamente, la vita di tante (troppe) persone alla difesa quasi egoistica del
proprio spazio di riservatezza.
Dall'altro lato Apple rifiuta di eseguire l'ordine - non tanto per ragioni di tutela della privacy dell'attentatore (tra l'altro deceduto nel conflitto
a fuoco con la polizia) - quanto invece per non ingenerare negli utenti sfiducia nella sicurezza dei suoi prodotti, dotati da poco di sistemi di
criptazione tali da renderli inaccessibili a terzi: siano essi hacker od organi inquirenti.
E anche, probabilmente, per non trovarsi nell'imbarazzo, da N. 1 delle aziende tecnologiche globali, di dover assecondare le richieste
formulate in un determinato ordinamento giuridico considerato "affidabile" (nel caso, quello statunitense), e pertanto da ritenere legittime o
comunque accettabili, e rigettarne altre che inevitabilmente si produrranno al di fuori degli Stati Uniti in nazioni, a quel punto, "non
affidabili".
Ed è questo il punto: è davvero possibile non riuscire a differenziare la posizione di chi compie un illecito ai danni dell'altrui riservatezza da
chi, invece, agisca per accertare reati anche gravissimi? Rendere i nostri telefoni sicuri rispetto ad accessi abusivi implica necessariamente come farebbe intendere Apple - renderli inaccessibili alla giustizia? Si sta davvero chiedendo - come sostiene Tim Cook- agli stessi ingegneri
che hanno progettato queste straordinarie casseforti di scassinarle? O si sta, più semplicemente, chiedendo agli stessi ingegneri di aprirne
una, per accertare ragioni e responsabilità di una strage e, possibilmente, prevenirne altre?
Entrando nel dettaglio tecnico, la richiesta dell'FBI (tramite la Corte distrettuale centrale della California) all'azienda di Cupertino non è volta
ad acquisire conoscenze sui sistemi software adottati a protezione dei dati, tantomeno a disporre in proprio di strumenti in grado di
minacciare la riservatezza di cittadini perché suscettibili di "riuso" in altri contesti.
Gli investigatori hanno chiesto a Apple ciò che ritengono essere un "ragionevole sforzo di collaborazione" affinché il dispositivo in loro
possesso possa essere avviato con una versione ad hoc del sistema operativo iOS, firmata digitalmente e utilizzabile esclusivamente su quello
specifico iPhone senza esservi permanentemente installato, in modo da non pregiudicare l'integrità dei dati oltre che quella del sistema
operativo originario.
La versione ad hoc del software, avviabile dalla memoria RAM volatile e perciò destinata a essere rimossa al primo spegnimento del
dispositivo, dovrebbe differenziarsi da quella normalmente installata per l'assenza di un contatore di errori di inserimento del PIN di accesso
e per la mancata interposizione di un ritardo tra successivi tentativi di accesso. Ciò abiliterebbe l'FBI a procedere per tentativi (brute force
attack probabilmente assecondati da qualche forma di social engineering già svolta dalla polizia federale) senza pregiudicare l'integrità dei
dati (altrimenti destinati alla cancellazione per eccesso di tentativi erronei), eventualmente agendo da una postazione remota qualora la
soluzione tecnica individuata prevedesse che lo smartphone fosse collegato alla rete della Apple cui, in quel caso, dovrebbe avere accesso la
polizia federale, unica responsabile dell'estrazione dei dati e della formazione delle eventuali prove raccolte.
Nello scenario di azione "da luogo remoto" verrebbero meno le possibilità di riuso del software da parte dell'FBI su altri dispositivi, che
costituisce uno dei maggiori timori connessi al caso.
Davvero non riusciamo a immaginare un utilizzo ragionevole (e dunque attento ai diversi attori in gioco) delle tecnologie?
La Commissione di Venezia del Consiglio d'Europa, nel rapporto sulla sorveglianza di massa dell'aprile scorso, ha sollevato perplessità su
proposte normative (quali ad esempio quella avanzata da David Cameron subito dopo l'attentato a Charlie Hebdo), volte a prevedere un
generale indebolimento dei sistemi di criptazione.
Certo, una tale innovazione determinerebbe un sensibile affievolimento delle stesse difese nazionali da potenziali attacchi cibernetici (anche
di matrice terroristica), con un complessivo abbassamento dei livelli di sicurezza che, invece, si vorrebbero elevare. Ma un conto è la
previsione, generale e astratta e alla fine pericolosa, di una norma di legge che impedisca l'uso di tecnologie di criptazione altro è la richiesta
di accesso mirato al contenuto di un dispositivo, in un singolo caso, per ragioni di giustizia.
Quando si tratta di modulare il rapporto tra libertà e sicurezza non esistono soluzioni facili.
Mai come su questo terreno, in cui devono comporsi libertà e sicurezza, diritto e tecnologia, privacy e prevenzione, è necessario rigore nelle
scelte e attenzione a tutti i valori in gioco. Perché nessuno di essi può essere ritenuto mai recessivo o, peggio, ostativo agli altri; come spesso
invece si sente dire a proposito della privacy. Che sarebbe bene riconoscere come presupposto di libertà e democrazia sempre, non soltanto
quando favorisce il profitto individuale.