Un aggiornamento di Apple ha riaperto il dibattito sulla protezione dei dati

La settimana scorsa l’azienda tecnologica più ricca del mondo, Apple, ha annunciato nuove funzionalità di sicurezza avanzate pensate per proteggere i dati degli utenti che usano i suoi dispositivi, tra cui i telefoni iPhone, i computer Mac e i tablet iPad. L’aggiornamento più atteso e più discusso è quello che estende a quasi tutti i dati degli utenti di Apple salvati nel servizio di archivio online iCloud la protezione della crittografia end-to-end, un sistema di cifratura che impedisce l’accesso a hacker e criminali, ma anche a governi, forze dell’ordine e a Apple stessa.

Si tratta di una funzionalità che le persone più attente alla privacy chiedevano da anni. Apple infatti gode da tempo della fama di essere una delle aziende tecnologiche più attente alla gestione dei dati e alla sicurezza dei propri utenti, ma ha atteso per anni questo sviluppo, probabilmente anche a causa delle pressioni di alcune istituzioni statunitensi come l’FBI. In generale, da anni è in corso un dibattito sulla crittografia end-to-end: da una parte c’è la comunità di esperti di sicurezza informatica e dall’altra diversi governi, anche democratici.

La crittografia end-to-end è un tipo di cifratura dei dati che fa sì che i gestori di vari servizi digitali (soprattutto quelli che permettono di scambiarsi messaggi, come WhatsApp, Signal o iMessage) non possano mai accedere al contenuto dei messaggi che gli utenti si scambiano attraverso i loro servizi. È considerato uno strumento particolarmente prezioso per le persone che vivono sotto governi autoritari o che vengono perseguitate – come attivisti, giornalisti e dissidenti – ma anche per gli utenti comuni, che sempre più spesso usano internet per scambiarsi foto private, dati sensibili relativi a salute e denaro e altre informazioni che potrebbero essere usate per ricattarli.

Senza la crittografia end-to-end, i messaggi che vengono scambiati normalmente e che rimangono salvati sia dalla parte del mittente che del ricevente non sono protetti da un sistema di cifratura. Questo consente a chiunque abbia accesso a questi archivi – non solo gli utenti, ma anche eventuali persone che lavorino per il servizio di messaggistica o per i gestori delle reti di telecomunicazione, hacker, spie e forze dell’ordine che abbiano richiesto la collaborazione dell’azienda che gestisce l’archivio – di leggere i messaggi, anche senza che l’utente lo sappia.

Le aziende che offrono ai propri utenti la possibilità di cifrare messaggi o archivi con la crittografia end-to-end, invece, non hanno modo di leggere o modificare i dati e i messaggi che vengono scambiati all’interno del proprio servizio. Le uniche parti che posseggono la chiave per decifrarli sono i mittenti e i destinatari, e nessuna terza parte può recuperare i dati cifrati e decodificarli per conoscerne il contenuto.

– Leggi anche: Come ci si scrive nel mondo

Questo sistema ha cominciato ad essere introdotto da un numero crescente di aziende tecnologiche a partire dal 2013, quando l’ex analista di intelligence americano Edward Snowden rese pubblico un programma di spionaggio internazionale gestito dall’Agenzia per la Sicurezza Nazionale (NSA) statunitense, attraverso il quale si monitoravano le comunicazioni di milioni di persone online.

Oggi, il più grande servizio di messaggistica a usare la crittografia end-to-end automaticamente per tutte le chat dei suoi utenti è WhatsApp, di proprietà di Meta (ex Facebook). L’azienda sta lavorando da tempo anche all’introduzione della crittografia end-to-end per le chat di Facebook e Instagram. Altre, come Telegram, offrono questa opzione, ma è necessario attivarla manualmente per ciascuna delle persone con cui si chatta.

Nel caso di Apple, fino a ora l’azienda permetteva di cifrare con crittografia end-to-end alcuni tipi specifici di dati, come quelli relativi alla salute raccolti dall’app Health o i messaggi scambiati con iMessage, ma moltissime categorie erano escluse da questa protezione. Ora, la nuova funzionalità Advanced Data Protection permetterà agli utenti che decidono volontariamente di attivarla di proteggere con crittografia end-to-end anche i backup, ovvero le copie di dati, foto, video, note, messaggi, app scaricate, password e impostazioni del proprio dispositivo Apple caricati su iCloud.

Advanced Data Protection è già disponibile su alcuni dispositivi negli Stati Uniti, e l’azienda ha detto che arriverà in quasi tutto il resto del mondo nell’arco del 2023. Per abilitare la funzionalità sarà necessario configurare una chiave o un contatto di recupero (come un amico o un familiare). In caso li si perdesse, Apple non potrebbe poi aiutare l’utente a recuperare foto, note o messaggi criptati, perché l’azienda stessa non avrebbe modo di accedere a quei dati.

Fino a ora, invece, Apple era in possesso della chiave usata per criptare il contenuto di iCloud, ed era quindi in grado di fornirla sia agli utenti che avevano perso l’accesso al loro account Apple, sia alle autorità che lo avessero richiesto. Secondo il più recente rapporto sulla trasparenza pubblicato dall’azienda, soltanto tra il gennaio e il giugno del 2021 Apple ha consegnato i dati degli utenti richiesti dalle autorità (soprattutto statunitensi e brasiliane, ma in decine di casi anche italiane) 3980 volte.

Il nuovo aggiornamento di Apple è stato criticato dall’FBI, secondo cui la crittografia end-to-end «ostacola la capacità di proteggere il popolo americano da atti criminali che vanno dagli attacchi informatici e dalla violenza contro i bambini al traffico di droga, alla criminalità organizzata e al terrorismo».

Che l’agenzia governativa federale statunitense che si occupa di antiterrorismo, lotta al crimine organizzato e intelligence si opponga a uno strumento che renderebbe senza dubbio più difficili le proprie inchieste non è sorprendente. Anzi, si è a lungo sospettato che fosse proprio la contrarietà dell’FBI a rallentare un’adozione più ampia della crittografia end-to-end da parte di Apple.

Gli Stati Uniti non sono l’unico paese che negli ultimi anni si è opposto all’introduzione su larga scala di questo tipo di cifratura, sollevando il tema dell’impossibile bilanciamento tra la sicurezza nazionale da una parte e la libertà delle persone dalla sorveglianza di massa dall’altra. L’argomentazione principale contro la crittografia end-to-end è che protegge anche le comunicazioni di terroristi, pedofili e criminali di ogni tipo, rendendo impossibile intercettarne le comunicazioni.

– Leggi anche: Non è facile rendere Internet un posto più sicuro per i bambini

Per esempio, è possibile individuare degli attacchi piuttosto chiari alla crittografia end-to-end all’interno di leggi volte alla protezione dei minori online, come l’EARN IT Act statunitense o l’Online Safety Bill britannica. Nel 2018 l’Australia ha introdotto una legge che mette pressione sulle aziende tecnologiche affinché aiutino le forze dell’ordine ad accedere alle comunicazioni crittografate, mentre in India è in corso una negoziazione tra il governo e Meta sulla stessa questione.

Il problema principale è di natura tecnica: i governi vorrebbero che le aziende tecnologiche inserissero delle cosiddette “backdoor” (“porte sul retro” in inglese) per permettere soltanto a loro e solo in alcuni casi di accedere alle comunicazioni protette da crittografia end-to-end. Ma la comunità di sicurezza informatica è unanime nell’affermare che questo è impossibile, perché non si può creare una backdoor che non possa essere poi sfruttata anche da terze parti malintenzionate: hacker che potrebbero usarla per qualsiasi tipo di crimine informatico, dal furto d’identità al ricatto o lo stalking.