Edward Snowden, ex contractor dell’intelligence statunitense, noto per le sue rivelazioni sui programmi di sorveglianza di massa condotti dalla National Security Agency (NSA), ha tuonato dal suo account X contro l’azione della polizia francese che ha incarcerato il numero uno di Telegram, Pavel Durov: “l’arresto di Durov è un attacco ai diritti umani fondamentali di parola e associazione. Sono sorpreso e profondamente rattristato dal fatto che Macron sia sceso al punto di prendere ostaggi come mezzo per ottenere accesso alle comunicazioni private. Ciò abbassa non solo il livello della Francia, ma del mondo intero“.

Spieghiamo perché la vicenda Pavel Durov in terra francese è una bomba a orologeria

Spazzando via i toni sensazionalistici, in queste ore è importante riflettere sulle motivazioni per cui l’arresto di Durov è destinato, molto probabilmente, a far apparire sul tavolo da gioco carte che per anni erano rimaste abilmente nascoste. Se la questione sarà gestita come crediamo, è verosimile che sulla scena possano affacciarsi tante sorprese.

Nella tarda serata del 26 agosto abbiamo saputo quali sono, esattamente, i capi d’imputazione rivolti dalla Procura francese nei confronti del CEO di Telegram. C’è di tutto e di più, con la giustizia transalpina che sembra determinata a riversare su Durov anche la responsabilità dei reati eventualmente commessi da terzi sulla piattaforma di messaggistica istantanea.

Una considerazione ci sembra importante: le vigenti disposizioni volte a reprimere i reati commessi attraverso la rete Internet, prevedono che le piattaforme rispondano alle richieste di accesso ai dati da parte delle Autorità. Gli inquirenti francesi sostengono che Telegram avrebbe negato il supporto alle indagini, di fatto spalleggiando l’attività dei criminali.

Ora, non sappiamo se e come ci siano stati contatti tra le Autorità d’Oltralpe e Telegram ma è certo che l’obbligo di rispondere a una richiesta formale proveniente da organi di polizia non può essere ignorata o disattesa.

Telegram si è sempre arroccata sulla sua fedeltà rispetto all’obiettivo dichiarato di tutelare la privacy e quindi le comunicazioni personali degli utenti, pur fornendo supporto per la moderazione e l’eliminazione di contenuti. Come osserva criticamente Snowden, l’arresto potrebbe essere determinato proprio dall’esigenza di ottenere risposte concrete da parte di una piattaforma che, forse, in passato, non le ha date. Ma c’è bisogno di arrivare alla limitazione della libertà personale di un singolo individuo?

Accesso alle comunicazioni private da parte delle Autorità e di altri enti pubblici: è qui il nodo della questione

Chat Control 2.0 è una proposta di legge europea al momento tramontata che avrebbe potuto porre nelle mani di enti governativi europei strumenti per monitorare in tempo reale messaggi privati non solo di oltre 500 milioni di cittadini europei ma anche di altri individui residenti fuori dai confini dell’Unione.

L’obbligo di scansionare i contenuti dei messaggi client side, ovvero sui terminali degli utenti finali, avrebbe travalicato tutti i meccanismi di crittografia end-to-end, mettendo sotto scacco piattaforme e utenti fruitori. Ne abbiamo parlato nell’articolo sul perché Francia ed Europa si trovano a gestire una grossa patata bollente con l’arresto di Durov.

La normativa, per via della fortissima opposizione incontrata in Parlamento così come tra gli Stati membri, non è passata ma non è escluso che possa tornare di attualità.

Snowden scrive che il Sacro Graal consiste proprio nell’accesso alle comunicazioni private degli utenti. Se scardinare la crittografia end-to-end è complicatissimo (Chat Control 2.0 mirava appunto a farlo…), perché non prendere di mira una piattaforma che da un lato si fa paladina della privacy ma che dall’altro non usa la crittografia end-to-end, almeno non per impostazione predefinita?

Vedetela dal lato delle Autorità: la maggior parte dei messaggi che transitano sul network Telegram sono protetti con misure crittografiche e chiavi note al gestore della piattaforma (tranne le chat segrete, in cui la cifratura end-to-end risulta abilitata). Proprio perché Telegram non usa la crittografia end-to-end per la stragrande maggioranza dei messaggi, allora Telegram deve, a maggior ragione, collaborare.

Le accuse di Durov a WhatsApp e soci

Durov ha spesso puntato il dito contro WhatsApp, definendo la sua soluzione di crittografia end-to-end come “fumo negli occhi”. Non le ha mandate a dire neppure a Signal, che ha fornito la misura crittografica proprio a WhatsApp, definendola un’app non sicura nonostante l’endorsement di qualche tempo fa della Commissione Europea.

Il fondatore di Telegram ha ripetutamente affermato che WhatsApp non è sicuro e contiene backdoor, sostenendo che tali modifiche siano state inserite deliberatamente per conformarsi alle richieste delle forze dell’ordine di vari Paesi, come Iran e Russia. Durov ha dichiarato di aver ricevuto comunicazioni simili ma che la sua società ha sempre rinviato al mittente le richieste.

Ha anche citato il caso di Jeff Bezos, presidente di Amazon, affermando che se avesse utilizzato Telegram, non sarebbe stato vittima di compromissioni legate alle sue comunicazioni riservate. Va detto che in quell’occasione gli aggressori sfruttarono una vulnerabilità di WhatsApp, non una backdoor deliberatamente inserita. In altre parole, i criminali informatici interessati a mettere il naso negli affari di Bezos fecero leva su un problema di sicurezza insito in WhatsApp, una falla zero-day insomma, poi successivamente corretta dagli sviluppatori.

Durov ne ha anche per Apple

Durov ha però sempre sostenuto che la chiusura del codice di WhatsApp non permette di verificare la presenza di backdoor né facilita il lavoro dei ricercatori intenti a individuare nuove vulnerabilità. Ha inoltre criticato il fatto che WhatsApp utilizzi il cloud di Apple per il backup dei dati, sottolineando che la Mela non protegge adeguatamente tutti i dati su iCloud e spesso li consegna agli enti governativi, sulla base delle richieste pervenute.

Le affermazioni al vetriolo di Durov sono state accolte con scetticismo, poiché mancano di prove concrete e si basano principalmente su supposizioni. WhatsApp ha sempre negato di integrare backdoor e ha affermato di non aver mai collaborato con Autorità locali, compromettendo la riservatezza delle comunicazioni degli utenti.

Potrebbe saltar fuori qualche sorpresa

A questo punto la vicenda è, a nostro avviso, giunta a un “punto di non ritorno”. Non è possibile conciliare puntualmente la sicurezza, la privacy e la riservatezza dei dati degli utenti finali con le esigenze investigative e istruttorie di ogni singola Autorità e di ogni Paese del mondo.

Durov ha esortato le piattaforme di messaggistica come WhatsApp a rimuovere le backdoor contenute nei loro software. Ecco, se il CEO di Telegram ha le “prove provate” delle sue asserzioni, questo è il momento giusto per renderle pubbliche. E tirarsi fuori dalla scarpa qualche sassolino. Per questo diciamo che la vicenda francese (che francese non è perché riguarda il mondo intero…) potrebbe anche aprire un vero e proprio vaso di Pandora.

Il fondatore di Telegram ha aspramente contestato le misure di offuscamento del codice in alcune piattaforme di messaggistica rivali. Per frenare qualunque complottismo, è finalmente giunta l’ora di mostrare le carte.

Il rischio del monitoraggio di massa

Durante la discussione di un provvedimento come Chat Control 2.0, si sottolineava come la privacy e la sicurezza dei singoli cittadini non potessero in ogni caso essere sacrificati in nome di un potere aggiuntivo accordato ad Autorità e governi. Il rischio sarebbe stato quello di far scivolare l’Europa nell’utilizzo di pratiche di monitoraggio di massa, tanto care ai regimi oppressivi.

Usare il pugno duro nei confronti delle piattaforme non è però qualcosa di molto simile? L’abolizione della cifratura end-to-end ha un sapore “di regime” davvero insostenibile. E se ci si orientasse in tal senso, allora verrebbero meno le garanzie conquistate dagli utenti e dalle associazioni, in tanti anni, con estrema fatica. Verrebbero meno, d’un colpo, le innovazioni promosse dai padri della crittografia, che hanno sempre lavorato con un obiettivo in mente: quello di rendere sicure le comunicazioni e preservarne la riservatezza.

No alle scorciatoie: ne vanno di mezzo la libertà di espressione e la privacy degli utenti

Certo, la collaborazione delle piattaforme è necessaria. Ma fino al punto in cui non leda i diritti dei singoli, soprattutto soggetti estranei alle contestazioni, o sia qualcosa di tecnicamente non fattibile. Il mancato utilizzo della crittografia end-to-end estesa per default all’intera platea degli utenti è un problema per Telegram? A nostro avviso sì. Tuttavia, Durov avrà modo di difendere la sua scelta portando alla pubblica attenzione eventuali “dettagli scabrosi”.

In caso di gravi reati, anche le piattaforme di messaggistica protette da crittografia end-to-end possono comunque accedere a metadati, tra cui gli indirizzi IP pubblici dei partecipanti alle conversazioni. Per gli ispettori seguire “le tracce” lasciate dai vari indirizzi IP non è spesso semplice, ma è l’unica strada per perseguire i criminali limitando le ingerenze sui messaggi personali di soggetti che non hanno nulla a che fare con i procedimenti in essere. E spesso è la strada vincente: anche per smascherare quegli individui che usano VPN e rete Tor non al fine di superare censure e tutelare la propria privacy, ma proprio per commettere reati cercando di restare impuniti. Questo perché da qualche parte accade che il criminale commetta un errore ed esponga inavvertitamente l’indirizzo IP reale.

L’immagine in apertura è generata con GPT-4o.