Sul caso "San Bernardino" (la contesa Apple-FBI sulla richiesta di sproteggere l'iPhone di un criminale) mi ero fatto due opinioni: che l'iPhone fosse maledettamente sicuro; e che l'intera questione riguardasse la sicurezza informatica e NON la privacy. Il primo punto pare sia stato allegramente scardinato dagli hacker alla prima giornata degli iPHONE FORENSICS DAYS (di cui ho seguito gli esiti a distanza). Sul secondo punto hanno cercato di fare chiarezza gli avvocati nel corso della seconda giornata, alla quale ho assistito personalmente con grande interesse. Per primo lo "smoderatore" Avv. Raffaele Zallone ha cercato di sfatare alcuni falsi miti legati allo spauracchio della privacy ("non si può fare perché c'è la privacy..."): a partire dalla presunta equazione "meno privacy uguale più sicurezza", ampiamente smentita dall'11 settembre, accaduto in un paese che ha certamente molta sicurezza e poca attenzione alla privacy. Stiamo assistendo ad un rovesciamento dei termini della questione: la privacy non servirà più a proteggere i cittadini dal rischio di un trattamento incontrollato di dati personali da parte della Pubblica Amministrazione, ma a regolamentare l'uso dei dati personali da parte dei privati, con esenzione delle PA (nell'esercizio delle loro funzioni). Sorge il dubbio che il possesso di tutti questi dati da parte delle Agenzie di Sicurezza sia veramente efficace, se poi il sovraffollamento dei dati porta all'impossibilità del loro corretto utilizzo; ne discende il dubbio che questo trattamento massivo sia legittimo. Da questo punto di vista il GDPR (seppur giudicato inadeguato quanto a chiarezza) viene in aiuto, stabilendo il principio per cui non è giustificato che "tutti debbano sapere tutto di tutti". Saltando l'ordine cronologico, vengo all'intervento forse più interessante, ma a mio parere anche il più controverso: quello dell'Avv. Monica Senor. Partendo dalla posizione ufficiale Apple in risposta alla richiesta FBI, risulta evidente che la materia del contendere non riguardava la privacy ma la sicurezza (non potrei essere più d'accordo); a questo punto è opportuno distinguere fra due distinti termini inglesi, SECURITY e SAFETY, sui quali c'è ambiguità perché in italiano sono tradotti entrambi con SICUREZZA, ma il primo riguarda la sicurezza (in questo caso informatica) mentre il secondo attiene alla SALVAGUARDIA dell'individuo. E' la seconda a rischiare di essere compromessa se si allentano le maglie della prima, ed è per questo che Apple si è opposta alle richieste FBI. Per superare la contrapposizione "sicurezza vs privacy" dovremo riuscire a metabolizzare e a normare la tutela del "corpo digitale" che oggi non è protetto né dall'Art. 13 Costituzione (che protegge il corpo fisico) né dal 14 (che protegge il domicilio). Sarà necessario introdurre un nuovo principio che prenda atto dell'estensione della persona ai suoi attributi digitali, dando loro una protezione "integrale", al contrario di quanto tenta di fare la privacy, che punta alla protezione del singolo dato. Qui l'Avv. Senor ha usato una metafora organicistica efficace ma a mio parere fallace: "sarebbe come voler proteggere il corpo fisico proteggendo le singole cellule". Mi permetto di obiettare che spostare la tutela dal contenuto (il dato) al contenitore (il corpo digitale composto dai dispositivi utilizzati o indossati) seguendo la metafora cellula-corpo, finisce per esporre a rischio il dato quando si trova fuori dal "corpo digitale" oggetto di tutela. Mentre infatti le cellule normalmente non abbandonano il corpo (e se lo fanno muoiono) il dato invece può abbandonare il "corpo digitale" di appartenenza, senza per questo perdere di rilevanza, come avviene peraltro ad altre proprietà materiali o immateriali: sarebbe come voler proteggere i soldi solo quando sono in banca... La privacy serve proprio a questo: proteggere l'integrità e la disponibilità del dato personale anche quando è stato conferito dall'Interessato ad un Titolare, perché ne faccia un uso limitato e legittimo ma non se ne appropri per scopi diversi o illegittimi. Dovunque il dato risieda, anche ben fuori dai confini del "corpo digitale" che potrebbe essere soggetto a tutela secondo quanto detto sopra. Può essere ovviamente che io abbia frainteso qualche elemento della questione, ma se invece ho ben capito mantengo qualche perplessità. Prima di lei, alcuni interessanti scenari sono stati presentati dall'Avv. Stefano Mele (dell'Istituto Italiano di Studi Strategici): dai dati del rapporto CLUSIT, fra le minacce informatiche risulta una crescita delle attività di stati e agenzie pubbliche (spionaggio e guerra informatica) accanto a quelle della criminalità e degli attivisti hacker. Anche dalla relazione delle agenzie nazionali di sicurezza al Parlamento italiano risulta la rilevanza degli attacchi informatici in ambito di spionaggio (o da attori non identificati) rispetto a quelli degli attivisti; e se questo è quanto emerge dai dati pubblici, figuriamoci cosa succede sotto la superficie dell'iceberg... Quindi lo spionaggio rappresenta la vera minaccia per la sicurezza economica degli stati e per contrastarlo non esistono strumenti normativi: nessuna legge internazionale sanziona gli stati che fanno spionaggio, al massimo a pagare è la spia... Quanto a San Bernardino, Mele si è chiesto: se la prima giornata del convegno ha dimostrato come gli iPhone siano (facilmente) crackabili, è pensabile che non ci riuscisse FBI? Potremmo quindi ipotizzare che sia stato messo in atto un suggestivo scenario win-win, in cui l'azienda "finge" di combattere l'autorità (guadagnando autorevolezza in ambito security) e l'agenzia "finge" di fare una brutta figura (ottenendo giustificazioni per incrementare il proprio budget). L'Avv. GB Gallus (del Circolo Giuristi Telematici), partendo dalla presunta impossibilità per le Agenzie di violare la sicurezza dei dispositivi passando dalla porta principale, ha esaminato gli scenari aperti dalla richiesta da parte degli investigatori di accedere preventivamente ai dati attraverso l'uso di "captatori": virus, trojan o le cosiddette "cimici informatiche (sic)". Queste tecniche pongono una serie di problematiche operative: ad es. una volta ottenuti i dati opportuni per l'indagine, chi disinstalla l'app?! La Cassazione ha emesso una sentenza a sezioni riunite (di cui si attendono le motivazioni) legittimando questi strumenti di intercettazione solo per il contrasto a reati di terrorismo o criminalità organizzata. Restano problemi di utilizzabilità in giudizio per i casi di intercettazione avvenute in luoghi di privata dimora. Anche la Corte Europea ha messo paletti sul tipo di reati, nonché sulle persone (diverse dall'indagato) che possono essere intercettate con captatori digitali, e ne ha escluso l'intrusione nella sfera più intima della vita privata. Anche l'Avv. Stefano Sutti ha voluto sfatare alcuni luoghi comuni: non è vero che la normativa privacy abbia aumentato la libertà individuale ma avrebbe invece introdotto maggiore controllo sociale, limitando solo l'impiego privato dei dati personali e non il loro utilizzo (anche "esteso") da parte delle PA. La vera difesa per il cittadino non potrà essere praticata per via legale ma dovrà essere affidata alla "surveillance" (essere informato su cosa sta facendo con i miei dati chi mi controlla) e all'autodifesa basata su sistemi di sicurezza come la cifratura dei dati. |
News >