Criminalità informatica, Europol mette in guardia dai rischi delle comunicazioni criptate

Uno schermo digitale mostra un attacco informatico in diretta durante una conferenza stampa presso l'Ufficio federale di polizia criminale (BKA) a Wiesbaden, Germania, l'11 novembre 2019. [EPA-EFE/RONALD WITTEK]

L’agenzia Ue per l’applicazione della legge ha riconosciuto la crescente difficoltà delle autorità di polizia in Europa ad accedere ai dati memorizzati su reti criptate, poiché la stessa Unione cerca di trovare soluzioni legali che facilitino l’accesso della polizia alle comunicazioni protette.

Nella valutazione 2020 della minaccia rappresentata dalla criminalità organizzata su Internet di Europol, pubblicata lunedì 5 ottobre, l’agenzia ha esaminato le ultime tendenze della criminalità informatica, evidenziando una questione che da anni mina le indagini di polizia: le comunicazioni criptate.

“Da diversi anni ormai, l’avanzamento e la maggiore implementazione di alcuni sviluppi tecnologici hanno complicato la capacità delle forze dell’ordine di accedere e raccogliere dati rilevanti per le indagini penali”, si legge nel rapporto.

“Uno degli esempi più evidenti a questo proposito rimane l’uso diffuso della crittografia, che contiene molti vantaggi dal punto di vista della sicurezza, ma è anche uno sviluppo che i criminali hanno utilizzato a loro vantaggio”.

Il 5G

Un ulteriore problema è dovuto all’introduzione di nuove tecnologie nell’ambiente dei consumatori come nel caso del 5G. La Commissione europea sta lavorando a fianco di Europol e degli Stati membri dell’Unione per “identificare modi appropriati per preservare le capacità di intercettazione legale nelle reti 5G”, secondo quanto espresso da tempo da Ylva Johansson, Commissaria agli affari interni dell’Ue.

Qual è il problema? Nuove sfide per le autorità preposte all’applicazione della legge sorgeranno con la graduale comparsa del 5G in Europa perché la tecnologia impiega una crittografia a 256 bit che consente livelli di privacy e di anonimizzazione senza precedenti nelle reti di comunicazione mobile.

La notizia aveva suscitato la preoccupazione di molti dei cittadini di Bruxelles attenti alla privacy, e l’eurodeputata tedesca di sinistra Cornelia Ernst ha affermato che qualsiasi mossa per indebolire i protocolli di privacy, nelle reti di telecomunicazione di prossima generazione, non farebbe altro che fornire ingiustificate “opportunità di intercettazione”.

Coinvolgere il settore privato

Inoltre, documenti del Consiglio trapelati di recente rivelano che la presidenza tedesca dell’Ue sta cercando di trovare un consenso tra gli Stati membri sulla creazione di “soluzioni legali” che facilitino la polizia nelle indagini in corso sulle reti di comunicazione criptate.

Un documento ottenuto da Statewatch rileva che “è necessario un quadro normativo che salvaguardi i vantaggi della crittografia end-to-end senza compromettere la capacità delle forze dell’ordine e delle autorità giudiziarie di proteggere il pubblico in generale”.

Sebbene la Commissione sembri essere contraria a qualsiasi soluzione che possa rendere necessario un indebolimento tecnico della tecnologia di cifratura, l’esecutivo dell’Ue ha anche suggerito di rivolgersi direttamente alle società private per trovare soluzioni per assistere al meglio le Forze dell’ordine nella loro ricerca di accesso ai dati criminali.

“Non dovrebbe esserci un’unica soluzione tecnica prescritta per fornire l’accesso ai dati criptati”, si legge in una nota dei servizi della Commissione. “Le aziende che forniscono la cifratura dei loro prodotti possono contribuire a individuare le soluzioni migliori”.

In questo senso, il rapporto di Europol pubblicato lunedì scorso sottolinea l’esigenza di una maggiore collaborazione con il settore privato, proprio per agevolare il lavoro delle forze dell’ordine.

La Corte Ue boccia la raccolta indiscriminata di dati degli utenti

In parallelo all’uscita di questo rapporto di Europol, la Corte di giustizia europea ha bocciato le normative nazionali che impongono la raccolta e la conservazione indiscriminata dei dati personali da parte delle società di telecomunicazioni e di quelle tecnologiche operanti in questo campo, confermando che il diritto dell’Unione si oppone a questo tipo di disposizioni salvo quando siano giustificate da una “grave minaccia” alla sicurezza nazionale.

La Corte ha quindi stabilito innanzi tutto che norme nazionali che introducano “la conservazione generalizzata e indifferenziata dei dati relativi al traffico e alla localizzazione delle persone” sono in contrasto con quanto stabilito dalla direttiva europea. Limitazioni al diritto alla privacy degli utenti possono essere introdotte in deroga alla direttiva, secondo i giudici, solo in presenza di “gravi minacce” alla sicurezza e per un periodo di tempo limitato “allo stretto necessario”, come nel caso di gravi reati criminali e nel caso di gravi minacce alla sicurezza pubblica.

Una nuova strategia di sicurezza per l'Unione europea

Un ‘ecosistema di sicurezza’, ecco a cosa punta il progetto della Commissione per affrontare l’evoluzione del panorama delle varie minacce in Europa, cercando di superare lacune e limiti nazionali.

Venerdì 24 luglio la Commissione europea ha presentato la nuova strategia dell’Unione …