La notizia dell’arresto di Pavel Durov ha riportato sotto la luce dei riflettori un argomento che ciclicamente torna a far discutere: qual è il limite che un Governo non dovrebbe superare nel momento in cui accede alle informazioni e ai dati personali? 

L’arresto di Durov è il risultato di un’operazione della magistratura francese iniziata alcuni fa con l’emissione di un mandato di cattura per il miliardario trentanovenne, accusandolo di non voler collaborare con le Autorità per limitare la diffusione di organizzazioni criminali dedite allo scambio di armi, sostanze proibite e scambio di materiale pedopornografico, che sfruttano le enormi potenzialità di Telegram quali la possibilità di crittografare le comunicazioni in modo e2e (end to end, da persona a persona) e quella di far autodistruggere le conversazioni.

Sebbene sia più una teoria complottista, qualcuno sostiene che l’arresto dell’imprenditore sia un modo per riuscire a controllare meglio le comunicazioni tra le persone utilizzando la scusante della prevenzione dei crimini; questa teoria deriva soprattutto dal fatto che già lo stesso Durov si è scontrato con un altro governo – meno amichevole della Francia – per essersi rifiutato di dare libero accesso alla conversazioni sul primo social network che aveva fondato e ancora molto diffuso in Russia e in Ucraina, ossia V-Kontakte (o VK). La netta opposizione al governo di Putin costò a Durov una serie di stravolgimenti nella vita del giovane CEO quali l’uscita da VK e il trasferimento (o esilio?) in Germania, laddove porrà le fondamenta per il futuro Telegram.

Sviluppato Telegram, il marketing dell’applicazione si focalizzò moltissimo sulla sicurezza delle comunicazioni grazie alla crittografia e presso il pubblico divenne “l’app di messaggistica sicura, migliore di WhatsApp”. Anche Telegram, però, proprio per le sue caratteristiche, iniziò a interessare le autorità di un altro Stato (la Francia) fino a giungere alle recenti conseguenze: non a caso, la crescente pressione della magistratura d’oltralpe indusse Durov a trasferirsi a Dubai, prendere residenza e trasferire là la sede stessa della sua creatura.

Gli attacchi alla crittografia non sono recenti, tuttavia, e sono partiti da enti al di sopra di ogni sospetto… Come l’Unione Europea.

Nel 2023 la EFF, Electronic Frontier Foundation, denunciava una proposta di legge della UE con cui si chiedeva, in nome della sacrosanta lotta alla pedopornografia online, di consentire libero accesso ai servizi online alle Autorità al fine di scandagliare le comunicazioni e confrontare le risultanze con i propri database e, in più, si progettava di richiedere l’abbandono dei sistemi di crittografia end-to-end e l’adozione dell’intelligenza artificiale per l’esame dei messaggi scambiati dalle persone.

Ripeto: Unione Europea, non Cina, Corea del Nord, Russia, Iran o simili.

Questa dell’Unione Europea, però, sembra solo una brutta copia di quanto accade sistematicamente negli USA, ove in nome della presunta protezione del territorio nazionale (la cd. homeland) quale infinito riverbero degli attacchi terroristici dell’11 settembre 2001, è condotta una gestione dei dati personali che definire “allegra” è soltanto un complimento.

Il Privacy Shield era l’accordo stipulato tra Unione Europea e Governo degli USA per consentire alle aziende USA di continuare a operare sul territorio dell’Unione ove la normativa sul trattamento dei dati personali è stata da sempre piuttosto stringente e precisa – un ossimoro se facciamo questa considerazione alla luce della famigerata proposta del 2023, di cui sopra. Tale accordo venne di fatto abolito da una pronuncia della Corte di Giustizia Europea che, sollecitata dall’attivita belga Max Schrems, ha rilevato come gli Stati Uniti non garantissero ai dati personali dei cittadini europei lo stesso livello di protezione contro abusi e accessi illeciti a quelle informazioni; in particolare, la lotta degli Stati Uniti contro la crittografia dura da più di trent’anni e i Governi che si susseguono, a prescindere dall’orientamento politico che li caratterizza, sono tutti concordi nel voler ficcare il naso negli affari altrui, sempre in nome della protezione dal terrorismo (prima) e della prevenzione della pedopornografia (dopo).

Per inciso, lo sbandierare la prevenzione degli abusi sui minori online per mascherare altri scopi reconditi non fa altro che depotenziare la vera e nobile lotta a questi luridi criminali: i mezzi alternativi per combattere abusi su minori e pedopornografia esistono, sono tanti e basta solo adottarli concretamente.

Nel 2020 cinque Governi (poi diventati sette: USA, UK, Giappone, India, Canada, Australia e Nuova Zelanda) hanno sottoscritto un manifesto d’intenti (chiamato Five Eyes Alliance) di sapore cerchiobottista, un documento che se da un lato esalta la crittografia end-to-end come massimo esempio tecnologico per la protezione della sfera privata delle persone, dall’altro afferma esattamente il contrario e incolpa la crittografia, additandola come un grosso ostacolo per la prosecuzione di indagini “a strascico” (cioè non mirate verso un preciso soggetto indiziato di reati). In questo documento, quindi, sono state avanzate le più disparate proposte per abbattere l’ostacolo, la più assurda delle quali era quella a firma del governo britannico.

Secondo il Governo di Sua Maestà ogni piattaforma di comunicazione online avrebbe dovuto attivare una specie di ghost protocol (tipo Missione Impossibile, và), ossia la creazione di un utente nascosto assegnato alla GCHQ (l’agenzia per l’intelligence online e la cybersecurity) da inserire automaticamente e silenziosamente in tutte le conversazioni in corso, con il poco celato scopo di spiare quanto scambiato online. Nemmeno a dirlo, tra le giustificazioni a queste proposte figuravano sia la lotta al terrorismo sia la prevenzione degli abusi sui minori.

Ben prima delle moderne giustificazioni ai tentativi di monitorare le comunicazioni online, già agli inizi degli anni novanta il governo degli Stati Uniti – i liberalissimi Stati Uniti — andò a colpire un programmatore la cui unica colpa era l’aver creato un programma per la crittografia di documenti e e-mail: lui era Phil Zimmerman e l’applicazione era PGP (acronimo per Pretty Good Privacy).

Dopo aver sviluppato PGP nel 1991, Zimmerman si ritrovò coinvolto in una disputa legale con RSA Security per l’uso dell’algoritmo crittografico omonimo (RSA) in PGP; segnalata la vicenda al Governo, Phil Zimmerman venne indagato con un’accusa che agli occhi di un europeo suonava assurda, se non ridicola del tutto: traffico di armi internazionale. La giustificazione dietro quest’accusa sta nel fatto che per il Governo USA la crittografia è assimilata alle munizioni di un’arma e, pertanto, un programma come PGP venne considerato una specie di arsenale a disposizione di chiunque – si sa che gli Stati Uniti hanno da sempre problemi irrisolti con l’uso delle armi. 

Il Governo USA fece cadere le accuse solo nel 1996 cioè un anno dopo la pubblicazione da parte di Zimmerman di un libro contenente l’intero codice sorgente in C di PGP, con il quale permise al Governo di vedere cosa facesse la sua applicazione durante il funzionamento. In breve: l’open source ha salvato Zimmerman e la crittografia.

La vicenda di Durov è attualmente in evoluzione e nemmeno la Polizia francese ha confermato ufficialmente l’arresto, dunque non resta che vedere cosa succederà nei prossimi giorni, tenendo il commento di Edward Snowden come monito e chiave per l’interpretazione degli accadimenti futuri.