Lawful Access: perché è importante per privacy e sicurezza

Con la creazione nel 2023 dell’High-Level Group (HLG), per un’efficace applicazione della legge sull’accesso ai dati, da parte del Consiglio Europeo e della Commissione Europea, è stata elaborata una serie di raccomandazioni per affrontare il fenomeno del lawful access. Da allora, il termine “accesso lecito” è stato spesso utilizzato parallelamente ad altri concetti quali “accesso ai dati”, “crittografia end-to-end (E2EE)”, “lawful access by design“. Tuttavia, questi termini vengono spesso usati impropriamente, generando una confusione in gran parte evitabile.

Lawful Access, dati e crittografia: cosa sapere

Per lawful access si intende la possibilità concessa alle autorità giudiziarie di ottenere informazioni o prove da fornitori di servizi, nel pieno rispetto della normativa vigente.

Distinzione tra tipi di dati: metadati vs content data

Questa definizione è ampia e riguarda tutti i tipi di dati, non solo quelli crittografati o legati alla comunicazione elettronica. Tuttavia, è cruciale distinguere:

  • Metadati: informazioni relative alla comunicazione (es. orario, destinatario), ma non il contenuto.
  • Content data: il contenuto vero e proprio del messaggio, soggetto a protezioni giuridiche più elevate.

L’importanza della conservazione dei dati

La questione dell’esistenza dei dati è preliminare. La conservazione dei dati, soprattutto dei metadati, è essenziale per rendere possibile qualsiasi forma di accesso lecito.

In Europa, questa è una questione delicata: manca una base normativa uniforme, e nuovi attori digitali (i cosiddetti Over-The-Top, OTT) non sono sempre soggetti agli stessi obblighi.

La conservazione, in questo contesto, si riferisce solo ai metadati ma non anche ai contenuti dei messaggi.

Formalmente la conservazione dei dati, a livello teorico, è solo una base per il lawful access e non un vero e proprio collegamento diretto.

Il ruolo della crittografia end-to-end (E2EE)

Nella crittografia E2EE solo il mittente e il destinatario possono accedere alle informazioni in chiaro, infatti i dati sono crittografati con attributi della loro corrispondenza. Può essere usata per proteggere sia i metadati sia i content data. Essa è diventata un punto centrale della nostra vita all’interno delle applicazioni di messaggistica, gli strumenti di archiviazione dati, i servizi di file-sharing e di password management. Proprio per questo, i criteri per un eventuale accesso legale a questi dati diventano molto più stringenti.

Le tecnologie E2EE sono progettate per garantire il massimo livello di privacy e sicurezza, rendendo difficile – talvolta impossibile – l’accesso persino ai provider stessi.

L’integrità della crittografia E2EE è supportata in modo particolare dalla Direttiva Europea 2022/2555, conosciuta come NIS 2, che suggerisce l’implementazione di meccanismi di crittografia come forma di cybersicurezza.

Lawful Access e diritto: quali sono le implicazioni?

  • La segretezza della corrispondenza è protetta come diritto fondamentale.
  • L’accesso ai contenuti cifrati, soprattutto in casi gravi (terrorismo, materiale pedopornografico), è tema controverso ma centrale.

Errori comuni: cosa non confondere quando si parla di Lawful Access

Dal punto di vista giuridico, è indispensabile distinguere le categorie di dati, poiché ogni tipologia ha livelli di tutela diversi.

Una volta accertata l’esistenze dei dati è fondamentale differenziare tra:

  • Conservazione dei dati vs accesso ai dati
  • Metadati vs content data
  • Dati cifrati vs non cifrati
  • Intercettazioni vs recupero dati

Poiché tutti questi aspetti vengono talvolta discussi insieme, e a volte anche in modo intercambiabile, nel contesto del lawful access, l’ultima dimensione tende a essere quella più al centro dell’attenzione, in quanto la più delicata. Questo vale in particolare nel contesto della crittografia end-to-end (E2EE) e dell’accesso legittimo al contenuto dei messaggi.

Ogni ambito ha regole specifiche, e mescolarli può compromettere l’intero discorso pubblico.

Mettere in discussione la crittografia per la sicurezza pubblica

La crittografia E2EE, nonostante la sua legittimità, è sempre più messa in discussione in vari Paesi per motivi di sicurezza pubblica. Questa tendenza ha visto essersi concretizzata in azioni legislative come:

  • L’Online Safety Act del Regno Unito (2023), impone alle piattaforme di rilevare e affrontare i contenuti illegali all’interno delle comunicazioni cifrate.
  • La proposta di regolamento europeo sui materiali di abuso sessuale sui minori (“Chat Control“), conferisce alle autorità il potere di obbligare i fornitori di servizi di comunicazione a implementare strumenti di rilevamento dei contenuti.
  • In Francia, un’interpretazione estensiva del disegno di legge sulla prevenzione del terrorismo aveva ipotizzato l’uso di “backdoor” nella crittografia.

Il paradosso della sicurezza

Erroneamente si più pensare che misure volte ad aggirare o indebolire la crittografia possano essere strumenti per combattere minacce gravi, in realtà creano:

  • una vulnerabilità sistemica sfruttabile da terzi malevoli;
  • un’interferenza potenzialmente sproporzionata con i diritti fondamentali, in violazione della giurisprudenza europea;
  • conseguenze negative sull’economia digitale e sulla sovranità tecnologica dell’UE.

Il quadro giuridico che regola la crittografia si colloca nell’intersezione tra diritto della sicurezza, diritto alla protezione dei dati e regolamentazione digitale. Qualsiasi tentativo di limitarla deve essere sottoposto a un rigoroso test di proporzionalità e rispettare la gerarchia delle norme europee.

In un mondo digitale in cui le minacce sono molteplici, indebolire la riservatezza delle comunicazioni significa indebolire i segreti, la sovranità e la sicurezza che si cerca di proteggere.

Minaccia alla sovranità tecnologica europea

L’adozione di misure che indeboliscono la crittografia starebbe in contraddizione con:

  • i principi del Regolamento generale sulla protezione dei dati (GDPR),
  • i requisiti di sicurezza previsti dalla Direttiva NIS2,
  • con le ambizioni strategiche dell’Unione europea in materia di sovranità digitale.

Tali misure potrebbero indurre i principali operatori a ritirarsi da determinati mercati e indebolire la competitività tecnologica dell’Europa.

Conclusione: trasparenza e chiarezza per una normativa efficace

Una discussione chiara e strutturata sul lawful access è la chiave per una normativa efficace, che rispetti tanto le esigenze investigative quanto i diritti fondamentali degli individui.

Serve un approccio onesto, preciso e consapevole delle sfumature giuridiche e tecniche, per evitare stigmatizzazioni infondate e costruire soluzioni equilibrate.

In quanto esistono tipi di reato ben distinti, l’oggetto del crimine può essere il contenuto oppure può essere l’accesso ai dati, risulta quindi di grande importanza per la società non affrontare questi casi in un ampio contesto di lawful access bensì è fondamentale trovarne uno specifico per ogni campo.

,
, , , ,
Gianluca Osele

Gianluca Osele

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Consenso ai cookie GDPR con Real Cookie Banner