Ovvero: come la Germania sta mettendo a rischio la propria reputazione di Paese con le più severe leggi sulla tutela della privacy
Nelle scorse settimane si sono susseguite discussioni su sorveglianza, trojan di Stato e backdoor obbligatorie. Alcune iniziative spalleggiate da membri del Governo tedesco sono state fortemente criticate. Queste discussioni mettono a rischio il ruolo della Germania come suolo fertile per lo sviluppo di soluzioni di sicurezza, quando invece la Germania dovrebbe fare il possibile per rimanere la nazione con il più alto standard di tutela della privacy e di protezione dei dati al mondo.
Poco prima di una conferenza tra i Ministri dell’Interno dei singoli Land tedeschi tenutasi a Lipsia, il network RND (articolo in tedesco) ha riferito che il ministro Thomas de Maizière intendeva fare pressione affinchè lo “spionaggio di Stato su veicoli privati, computer e TV intelligenti” fosse concesso, con riferimento ad un’iniziativa del Dipartimento di Giustizia con cui è stato ampliato lo spettro delle misure di sorveglianza a disposizione delle forze dell’ordine come stabilito il 22 giugno scorso. Tra le misure figura anche la sorveglianza dei “sistemi IT” di chi è sospettato di crimini conclamati. Quest’appendice, nota con il nome di “sorveglianza delle telecomunicazioni alla fonte”, è stata al centro di accese discussioni in Germania. Il modo in cui le disposizioni sono state convertite in legge dal Parlamento tedesco ha suscitato forti critiche da parte di alcuni funzionari federali tra cui l’ex commissario federale per la protezione dei dati (cfr. il nostro Garante) Peter Schaar. Oltre alle rimostranze su misure potenzialmente dimensionate per una sorveglianza di massa è emerso anche il dubbio in merito alla costituzionalità del provvedimento.
Tornando al reportage su RND, l’unica interpretazione possibile del testo lascia pensare che tali misure obblighino i produttori ad implementare delle backdoor nei propri prodotti per consentire alle forze dell’ordine di accedere a certe informazioni. In realtà, durante la conferenza si è discusso solo di come assicurare alle forze dell’ordine i mezzi tecnici per eseguire un mandato una volta emesso dal giudice, poiché spesso i mandati non possono essere attuati a causa dei sistemi di sicurezza, presenti sia nei veicoli sia negli edifici residenziali.
Da tutto ciò traspare tuttavia l’enorme conflitto tra il desiderio di garantire alle autorità efficacia e capacità di agire e la questione sulle circostanze in cui tali misure sconfinano in una invasione della privacy.
Un conflitto con conseguenze
Di fronte agli effetti di una discussione sulla sorveglianza e sui “trojan di Stato” la posizione del singolo perde di rilevanza. La preoccupazione principale è che vengano implementate leggi che indeboliscano eventuali misure di sicurezza efficaci, un dubbio sollevato dal reportage di RND in Germania come all’estero. I dibattiti riguardanti l’accesso a dati criptati, l’estensione dell’uso di tecnologie per la videosorveglianza e per il riconoscimento facciale sono infatti attentamente seguiti anche negli altri Paesi. Ne è un esempio Edward Snowden che ha affermato che stiamo affrontando “un’ondata di pensiero illiberale” se anche nazioni come la Germania vogliono imporre backdoor per abilitare una sorveglianza occulta. Anche Norbert Pohlmann dell’associazione tedesca dell’industria Internet “eco” conferma che anche solo la mera discussione di nuove misure di sorveglianza indebolisce la fiducia degli utenti nelle tecnologie che fanno uso di Internet e danneggia gravemente gli e-tailer.
Clienti preoccupati e media internazionali ci hanno chiesto di commentare l’argomento. Sembra che l’immagine di una Germania quale Paese con le più rigide leggi e i più severi standard sulla protezione dei dati e della privacy inizi a vacillare, con conseguenze non solo per il mondo della sicurezza IT ma anche per l’intera industria tecnologica e il suo indotto: chi desidera acquistare una nuova smart TV, temendo che si possa trasformare in un teleschermo orwelliano, o viaggiare in un’automobile “connessa” temendo che i propri dati vengano trasmessi a terzi?
Dalle rivelazioni di Snowden ai documenti Vault7, è ormai evidente fino a che punto in alcuni Paesi le autorità sono autorizzate a spiare e ad intercettare le conversazioni di qualsivoglia individuo, senza alcun serio controllo esterno. Da Vault7 peraltro è scaturito l’exploit Eternalblue, reso noto e subito adattato dai cybercriminali che l’hanno implementato nel ransomware Wannacry, un esempio che sottolinea la pericolosità dei malware di Stato: è difficile tenere segreti strumenti di questo tipo indefinitamente. Se poi cadono nelle mani sbagliate, offrono ai cybercriminali i nostri dati più riservati e sensibili su un piatto d’argento. Ecco perché da sempre G DATA si impegna nella sua “no backdoor policy”, non abbiamo nessuna intenzione di cambiare posizione al riguardo e di dibattiti sull’utilizzo di backdoor da parte dello Stato ne abbiamo visti tanti.
Ad oggi le iniziative del Dipartimento di Giustizia tedesco così come lo stesso Ministero dell’Interno non hanno ancora fornito argomentazioni conclusive sulle modalità di applicazione di ipotetiche misure senza che queste compromettano l’intero ecosistema della sicurezza IT e la privacy: troppo sproporzionati a nostro avviso gli effetti collaterali negativi rispetto ai potenziali benefici (anche di misure utili).
G DATA confida e si augura che il nuovo governo si impegnerà a chiarire qualsiasi malinteso e a sostenere la reputazione della Germania quale Paese con la legislazione più rigida a livello mondiale in termini di privacy e protezione dei dati, oltre che a respingere ogni tentativo di indebolimento degli attuali standard di sicurezza.