Privacy online: chi controlla davvero i tuoi dati? Perché la sovranità dei dati è in discussione

Fin dall’alba di Internet, le Autorità hanno avuto la possibilità di accedere ai dati conservati dai provider, con richieste che vanno dai metadati fino ai contenuti delle comunicazioni. Negli ultimi anni la privacy online è diventata un campo di battaglia tra utenti, provider tecnologici e Autorità nazionali e internazionali. Le discussioni hanno ormai un filo comune: la difficoltà di proteggere i dati quando giurisdizioni e leggi si sovrappongono, e quando tecnologie come la crittografia devono confrontarsi con le richieste delle Autorità.

Electronic Frontier Foundation (EFF), organizzazione senza scopo di lucro che si prodiga per la tutela dei diritti digitali e della libertà di parola nel contesto dell’odierna era digitale, ricorda un emblematico caso, Steve Jackson Games vs. Secret Service, in cui la polizia statunitense sequestrò dati e messaggi basandosi su accuse infondate. L’episodio dimostrò già allora (eravamo a inizio anni ’90) come i limiti legali siano cruciali, e come l’equilibrio tra privacy e sicurezza sia fragile.

Oggi, però, il panorama è molto complesso. Gli utenti comunicano tramite servizi globali come WhatsApp, Telegram, con le piattaforme di Meta, Google, Microsoft, X, ma anche attraverso soluzioni decentralizzate come Mastodon. Il tema della giurisdizione diventa centrale: i dati fisicamente in Europa possono comunque essere soggetti al CLOUD Act statunitense se il provider è americano. La crittografia end-to-end emerge come l’unica difesa tecnica che può davvero proteggere il contenuto delle comunicazioni, ma non i metadati né la giurisdizione legale.

USA vs Europa: modello “provider-centrico” e diritto fondamentale alla protezione dei dati

Negli USA, come spiega EFF, la legge consente diversi gradi di accesso ai dati a seconda della loro natura (identificativi, metadati, contenuti). Il problema principale è la debolezza del controllo giudiziario preventivo: le forze dell’ordine possono ottenere molti tipi di informazioni con semplici subpoena, senza passare da un giudice, e imporre gag orders che impediscono ai provider di informare l’utente.

Il sistema si fonda sul presupposto che i dati memorizzati su server di terzi non godano dello stesso livello di protezione costituzionale dei documenti fisici (interpretazione del Quarto Emendamento, nota come “third-party doctrine”). Il consente un’ampia discrezionalità investigativa e, di fatto, riduce la tutela della privacy individuale.

In Europa la logica è diametralmente opposta: la privacy e la protezione dei dati personali sono diritti fondamentali, sanciti dagli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione Europea (rispetto della vita privata e protezione dei dati personali); dal Regolamento UE 2016/679 (GDPR); dalla Direttiva ePrivacy (2002/58/CE); dalla giurisprudenza della Corte di giustizia dell’UE (CGUE), che ha limitato fortemente la sorveglianza generalizzata.

Le autorità di polizia e giudiziarie europee devono ottenere un’autorizzazione giudiziaria per accedere a dati che non siano pubblici. Le modalità variano da Paese a Paese, ma i principi comuni sono chiari:

• I dati possono essere richiesti solo per finalità specifiche, esplicite e legittime (es. indagini penali).
• Devono essere proporzionati e limitati al minimo necessario.
• È richiesta la supervisione di un giudice o di un’autorità indipendente.
• Gli utenti hanno, di norma, diritto di essere informati successivamente all’indagine, salvo motivi di sicurezza nazionale o ordine pubblico.

Differenze tra USA e Europa a colpo d’occhio

Aspetto	Stati Uniti	Unione Europea
Fondamento giuridico	Electronic Communications Privacy Act, Stored Communications Act	Carta dei diritti fondamentali UE, GDPR, ePrivacy
Supervisione giudiziaria	Limitata (alcune richieste non richiedono giudice)	Obbligatoria per quasi tutti i casi
Accesso ai contenuti	Consentito con warrant, spesso segreto	Solo previa autorizzazione giudiziaria e proporzionalità
Segretezza delle indagini	Gag orders diffusi e potenzialmente indefiniti	Gag order limitati e soggetti a controllo
Data retention	Spesso ampia e obbligatoria per i provider	Ammessa solo in modo mirato e temporaneo
Criptazione	Nessun divieto alle backdoor	Backdoor vietate, crittografia protetta come diritto
Cooperazione internazionale	MLAT, Cloud Act	E-evidence Regulation, Europol, Eurojust

Collaborazione transfrontaliera: l’E-evidence Regulation

Per armonizzare e velocizzare la cooperazione giudiziaria in ambito digitale, l’UE ha approvato il Regolamento (UE) 2023/1543 sullo European Production Order (EPOC), noto come E-evidence Regulation, che entrerà pienamente in vigore nel 2026.

Questo strumento consentirà a un’Autorità giudiziaria di uno Stato membro di richiedere direttamente a un provider stabilito in un altro Stato UE (o con sede principale in Europa) dati relativi a un’indagine penale, senza passare per complesse rogatorie internazionali. Tuttavia, l’E-evidence prevede garanzie procedurali rigorose:

• L’ordine deve essere validato da un’Autorità giudiziaria.
• I provider possono contestarlo.
• L’utente può essere informato dopo la chiusura delle indagini.
• I dati devono essere pertinenti e proporzionati.

In Europa la protezione dei dati è un diritto costituzionale e le Autorità devono muoversi entro limiti legali molto più rigidi. Tuttavia, la convergenza tecnologica e i nuovi strumenti di cooperazione giudiziaria (come l’E-Evidence e il Cloud Act USA-EU Data Privacy Framework) mostrano che le frontiere della sorveglianza si stanno ridefinendo su scala globale.

Il principio di fondo resta lo stesso: la privacy non si difende da soli, ma con leggi forti, provider responsabili e cittadini consapevoli.

In Italia: il caso AGCOM

L’Autorità per le Garanzie nelle Comunicazioni (AGCOM) nasce nel 1997 come organismo indipendente incaricato di vigilare su telecomunicazioni, editoria e radiodiffusione, ma negli ultimi anni — con l’evoluzione del digitale — ha assunto un ruolo di rilievo anche nel controllo dei contenuti online.

Oggi stiamo assistendo a una progressiva espansione dei poteri amministrativi di AGCOM, che pur non agendo come Autorità giudiziaria, può ordinare la rimozione o l’inibizione di siti Web, imporre sanzioni e intervenire sui contenuti digitali. Ricordiamo, ad esempio, le iniziative legate al Piracy Shield e quelle in materia di verifica dell’età per l’accesso ai siti vietati ai minori.

Le competenze sono state ulteriormente ampliate dal Decreto legislativo n. 208/2021, che ha recepito la Direttiva europea sui servizi media audiovisivi (Direttiva SMA), e più recentemente dal Digital Services Act (DSA) europeo, che riconosce alle Autorità nazionali il ruolo di coordinatori per i servizi digitali.

AGCOM può disporre il blocco di un sito Web con una propria delibera, eseguibile attraverso i provider di connettività, senza un’ordinanza di un giudice. Il destinatario del provvedimento può impugnarlo solo successivamente davanti al TAR (Tribunale Amministrativo Regionale), entro 60 giorni; nel frattempo, il sito viene oscurato immediatamente.

Come fa un’Autorità a richiedere l’accesso ai dati degli utenti se questi sono crittografati end-to-end?

Quando un servizio usa la crittografia end-to-end (E2EE) – si pensi ad esempio a WhatsApp o a Signal (che ha recentemente rafforzato la cifratura anche nei confronti degli attacchi post-quantistici) – nemmeno il gestore del servizio è in grado di leggere il contenuto dei messaggi. Quindi, anche se un’Autorità richiede l’accesso ai dati, il gestore tecnicamente non può fornirli, a meno di violare l’architettura stessa del sistema.

Con la crittografia end-to-end (E2EE), ogni messaggio:

• È cifrato sul dispositivo del mittente (con la sua chiave privata).
• È trasmesso cifrato ai server del provider (che fanno solo da “ponte”).
• Viene decifrato solo sul dispositivo del destinatario, che possiede la chiave privata corrispondente.

Né WhatsApp, né Meta, né nessun altro intermediario possiede le chiavi di decrittazione. Il contenuto dei messaggi (testo, audio, allegati, video, ecc.) non è accessibile ai server centrali nel caso in cui sia effettivamente utilizzata la crittografia end-to-end. Ben diverso se il provider usasse una cifratura semplice: in questo caso conoscerebbe la chiave di decodifica per accedere al contenuto dei messaggi.

Quindi, quando un’autorità richiede “i messaggi” di un utente a un servizio che utilizza la cifratura end-to-end, il provider può consegnare i metadati (chi ha contattato chi, a che ora, da quale IP, su quale dispositivo) ma non può fornire il contenuto cifrato, perché non lo conosce. Il principio fondante è “You can’t give what you don’t have”.

Cosa succede se l’autorità vuole davvero i messaggi

Le forze dell’ordine possono accedere fisicamente al dispositivo dell’indagato (smartphone, tablet, PC), ad esempio dopo un sequestro o tramite malware forense. In questi frangenti la crittografia end-to-end non protegge più, perché il messaggio è decifrato sul dispositivo stesso.

Alcuni Paesi stanno cercano di costringere i gestori di servizi crittografati E2EE a scansionare i messaggi “prima” della cifratura, direttamente sul dispositivo (client-side scanning) oppure a introdurre una backdoor crittografica che permetta l’accesso “solo” alle autorità. Tuttavia, questa strada è incompatibile con la privacy by design del GDPR e annullerebbe la sicurezza della crittografia per tutti.

È esattamente il tema oggi al centro della proposta europea sul Regulation to Prevent Child Sexual Abuse (CSAR), che molti chiamano “Chat Control”. In un altro articolo spieghiamo cos’è Chat Control e perché l’Europa sta cadendo nella tentazione di un meccanismo di sorveglianza di massa basato su client-side scanning.

Il quadro giuridico americano: nessun “diritto alla cifratura”

Negli USA non esiste una legge federale che protegga esplicitamente la crittografia come diritto fondamentale o come misura obbligatoria di sicurezza dei dati. Tuttavia, nessuna di queste leggi obbliga esplicitamente un’azienda a “rompere” o “indebolire” la crittografia end-to-end.

Il problema nasce quando l’FBI o il DoJ (Department of Justice) interpretano una vecchia normativa – spesso citata – ovvero l’All Writs Act in senso estensivo, chiedendo collaborazioni tecniche che di fatto equivalgono a creare backdoor. L’All Writs Act (risale al 1789) è una legge molto antica ma ancora usata per obbligare le aziende a “fornire assistenza tecnica ragionevole” alle indagini federali.

Il caso che ha definito i limiti del potere delle Autorità a stelle e strisce è quello dell’attentato di San Bernardino, in cui l’FBI chiese ad Apple di creare una versione modificata di iOS che disattivasse la funzione di autodistruzione dei dati e consentisse tentativi illimitati di sblocco tramite brute-force. Apple rifiutò categoricamente, sostenendo che una volta creata, una backdoor per l’FBI sarebbe utilizzabile da chiunque, e metterebbe in pericolo la sicurezza di milioni di utenti.

Il Dipartimento di Giustizia invocò l’All Writs Act, ma il caso non arrivò a sentenza perché l’FBI riuscì a sbloccare il telefono tramite l’aiuto di un’azienda privata.

Due modelli inconciliabili di sovranità sui dati

In Europa abbiamo detto che la crittografia forte è tutelata come misura di sicurezza e come diritto fondamentale:

• I dati personali sono protetti dal GDPR e dal principio di sovranità digitale (data sovereignty).
• Nessuna autorità extra-UE può accedere ai dati europei senza passare per i meccanismi di cooperazione giudiziaria internazionale.

Negli Stati Uniti, il CLOUD Act (2018) conferisce alle Autorità d’Oltreoceano il potere di richiedere l’accesso ai dati detenuti da aziende soggette alla giurisdizione USA, indipendentemente da dove i dati siano fisicamente conservati. Ciò significa che un server in Italia, Francia o in Germania non è automaticamente “sovrano”, se appartiene a una qualsiasi azienda di diritto statunitense.

Ricordiamo la chiara presa di posizione di Anton Carniaux (Microsoft Francia), registrata da Fortune. Carniaux, direttore degli affari pubblici e legali di Microsoft France, fece una dichiarazione onesta di diritto spiegando come non potesse offrire garanzie sul fatto che i dati degli utenti non possano mai essere trasferiti alle Autorità USA.

Microsoft, nel caso citato, non offre crittografia end-to-end lato utente per tutti i suoi servizi cloud, quindi i dati sono accessibili tecnicamente dal provider. Ciò implica che, se arrivasse un ordine legittimo dagli USA, Microsoft potrebbe essere obbligata a consegnarli, anche contro il volere delle autorità europee.

Sovranità dei dati ≠ sicurezza dei dati

In generale, se i dati sono fisicamente in Europa, possono comunque essere giuridicamente sotto controllo americano; essere tecnicamente accessibili se non cifrati end-to-end; essere politicamente vulnerabili, se gestiti da fornitori soggetti a leggi extraterritoriali. Ne consegue che:

• La crittografia end-to-end è una barriera tecnica contro l’accesso non autorizzato.
• La sovranità dei dati è una barriera giuridica contro il potere extraterritoriale.
• Solo la combinazione delle due garantisce una vera indipendenza digitale europea.

Privacy digitale tra sovranità, crittografia e sorveglianza indiretta

In un altro articolo abbiamo visto le alternative a WhatsApp e agli altri software di messaggistica, utili soprattutto se il concetto alla base di Chat Control avesse sfondato in Europa (al momento, vista anche la recente posizione danese, la minaccia sembra tramontata…).

Oggi non esistono solo WhatsApp o Signal. Soluzioni come XMPP federato con OMEMO o piattaforme collaborative come CryptPad permettono di combinare sicurezza e produttività:

• XMPP (Extensible Messaging and Presence Protocol) supporta E2EE per chat, audio e video, federazione tra server e canali pubblici per connettersi oltre il proprio cerchio sociale. Client come Dino su Linux o Conversations su Android offrono tutte le funzionalità moderne di WhatsApp, ma con controllo nelle mani degli utenti e massima trasparenza sul codice (ricordiamo che ampie porzioni del codice di WhatsApp sono offuscate e non è disponibile alcun sorgente).
• CryptPad consente la collaborazione su documenti, fogli e Kanban in E2EE, eliminando la possibilità che provider o terzi possano leggere i contenuti. La filosofia è chiara: “non esiste il cloud, solo il computer di qualcun altro”, riprendendo un concetto caro a Richard Stallman.