Gli attentatori di Parigi avrebbero utilizzato app di messaggistica criptate, come WhatsApp e Telegram, e forse anche altre piattaforme meno popolari, per comunicare tra loro e nascondere i propri piani. A rivelarlo alla Cnn sono state fonti investigative francesi, ed è la prima volta che gli inquirenti fanno un'affermazione del genere. Tuttavia il network americano non ha detto quali specifiche prove dimostrino che le app sono state utilizzate per preparare gli attacchi, ma gli investigatori sostengono che i terroristi avrebbero comunicato in questo modo prima degli attentati del 13 novembre.
Invece quanto ci sia di vero sul fatto che gli stessi attentatori utilizzassero perfino le chat delle consolle, come la Play Station, per comunicare ed eludere la sorveglianza delle intelligence, è ancora tutto da dimostrare. Certamente, a differenza di altri strumenti di comunicazione più esposti ai controlli, come per l’appunto le applicazioni di messaggistica istantanea per gli smartphone (WhatsApp, Wechat o Skype), questa notizia, seppur in assenza di conferme, ha dimostrato la necessità di una stretta sul fronte delle intercettazioni.
Servono nuovi strumenti, maggiori risorse e una sorveglianza più approfondita del cyberspazio. E una chiara indicazione in tal senso l’ha già data l’Ue con un piano che prevede maggiori controlli e la possibilità di intercettare anche comunicazioni che avvengono su “piattaforme non convenzionali”. Gli ostacoli da superare, tuttavia, non sono pochi.
«Tecnicamente non è un’operazione facile», spiega a Lettera43.it Paolo Reale, esperto di telecomunicazioni, consulente di numerose procure e presidente dell’Osservatorio nazionale di informatica forense. «L’industria dei videogiochi ha accresciuto molto le misure di protezione della privacy, proprio per offrire la massima tutela ai giocatori dopo i clamorosi episodi di data breach».
La soluzione, prosegue Reale, «può passare dal coinvolgimento diretto delle aziende che gestiscono le piattaforme di gioco, oppure adottando approcci come quello del man in the middle, o tramite l’utilizzo di trojan al fine di captare alla sorgente il contenuto scambiato, tutte possibilità che al momento non risultano essere disponibili su queste piattaforme».
Il tema è certamente molto delicato, perché, innanzitutto, va a intaccare la privacy di ogni singolo cittadino. Lo stesso parlamento europeo aveva già messo al bando l’utilizzo di spyware e captatori informatici, in particolare dopo l’attacco hacker che aveva svelato le potenzialità dei virus commercializzati dall’azienda milanese Hacking Team, ribadendo che le misure di sicurezza, comprese quelle antiterrorismo, sono sempre più spesso utilizzate «come pretesto per violare il diritto alla riservatezza e per contrastare le legittime attività dei difensori dei diritti umani, dei giornalisti e degli attivisti politici».
Per l’europarlamento, dunque, i programmi di sorveglianza di massa, segreti o non mirati, devono operare «nel rigoroso rispetto delle norme in materia di Stato di diritto e diritti umani, ivi compreso il diritto alla riservatezza e alla protezione dei dati». Sulla stessa linea di quanto ha ribadito anche il Garante per la privacy Antonello Soro.
«Le comunicazioni telefoniche», spiega ancora Reale, «sono regolamentate da direttive europee poi recepite all’interno delle leggi nazionali, e prevedono sia le modalità di tracciamento (tabulati), che di conservazione e di intercettazione». Complice, probabilmente, la difficoltà del normatore di rimanere al passo con i tempi, o di farsi coadiuvare dalle dovute competenze professionali, «esiste una carenza normativa rispetto a quelle che sono a tutti gli effetti delle comunicazioni “digitali' come il Voip (Voice over Ip), che, peraltro, è già il protocollo verso il quale stanno migrando le reti telefoniche sia fisse che mobili».
Basti pensare alla fibra o al VoLte (Voice over Lte) che, prosegue, «avvengono tramite rete dati Ip, una dimensione completamente diversa da quella della telefonia tradizionale». Secondo l’esperto potrebbe essere un’idea quella di cominciare ad assimilare anche queste chiamate vocali alle chiamate telefoniche, in modo tale da cercare una forma di equiparazione tecnica e normativa, e mettere anche sullo stesso piano tutti i player di questo mercato facendoli aderire agli stessi doveri di collaborazione, come gli operatori telefonici classici.
La vicenda di Hacking Team, ma non solo, ha posto seriamente il problema di lasciare in mano a società private le soluzioni per l’intercettazione, che quindi possono essere diffuse anche al di fuori degli ambiti per i quali dovrebbero essere previste.
«È arrivato il momento di cercare soluzioni interne alle istituzioni», spiega l’esperto, «e meglio ancora se condivise tra tutti gli stati anche al fine di aumentare la loro reale sicurezza e la coerenza nel loro utilizzo». La continua e pressante ricerca di aggredire “la massa” spesso ottiene l’effetto di stimolare una reazione contraria e tesa a creare difficoltà a chi vuole sorvegliare.
«Si pensi», dice Reale, «ad esempio alle lotte delle major per impedire il fenomeno della pirateria audiovisiva, con l’effetto di stimolare la costruzione di soluzioni di scambio peer-2-peer di tipo crittografico e con migliore anonimizzazione. Strumenti che poi possono diventare facili e accessibili soluzioni di scambio “anonimo e sicuro” al di fuori della portata degli Stati, e perciò anche molto appetibili per i terroristi».
«Occorre rendersi conto che il mondo di internet offre infinite possibilità che sfuggiranno sempre. Mi viene in mente che quando giocavo a Ruzzle, tramite la sua chat, potevo scambiare messaggi con gli altri giocatori. Moltiplichiamo possibilità come queste, ampiamente diffuse nei giochi online, per tutte le piattaforme di gioco e per tutti i giochi esistenti», dice Reale. Che conclude: «Credo che porsi l'obiettivo di intercettarle tutte sarebbe come se ci mettessimo a sparare all’impazzata in tutte le direzioni senza sosta. Oltre a sprecare tempo, soldi e munizioni c’è il rischio che a essere colpiti siano quelli che non c’entrano niente».
di Fabrizio Colarieti per lettera43.it [link originale]