Cosa bisogna conoscere a proposito di cifratura

Comunicazioni elettroniche e diritto alla crittografia, protezione della segretezza e adempimenti di legge.

I temi sicurezza, affidabilità, non ripudio, validità ed efficacia delle comunicazioni elettroniche e della protezione dei diritti individuali, che esse incorporano, che si affronteranno di seguito, si relazionano, necessariamente e in modo indissolubile, in questo particolare periodo storico, in cui Internet e le reti telematiche ne sono ormai le protagoniste indiscusse, con quelli, più marcatamente tecnologici, correlati con l’impiego di specifiche soluzioni crittografiche per la garanzia della segretezza delle comunicazioni.

Per questo, prima di affrontare il fenomeno dal punto di vista legale, è necessario svolgere alcune brevi considerazioni in ordine, da una parte, alla natura, all’evoluzione e alle caratteristiche dell’infrastruttura tecnologica all’interno della quale le comunicazioni si svolgono e, dall’altra, ai metodi e alle tecniche attraverso le quali è possibile applicare controlli crittografici al contenuto che si intende trasmettere o ricevere.

Come è cambiata la rete Internet

Per quanto riguarda l’origine e le caratteristiche dell’infrastruttura fisica e della relativa logica utilizzata per il trasporto delle comunicazioni digitalizzate, sembra opportuno sottolineare come, l’attuale Internet sia diventata qualcosa di molto diverso, in termini qualitativi e quantitativi, dalla rete di reti interconnesse (la parola Internet è, come è noto la crasi delle due parole interconnected networks), realizzata sul finire degli Anni ‘60 in ambito militare e poi universitario, per le finalità proprie della ricerca.

All’originaria rete Internet, fondata sul protocollo TCP (Transmission Control Protocol), che, vista la sua natura, non necessitava, se non in minima parte, dell’applicazione di misure di sicurezza dedicate alla protezione e alla garanzia della riservatezza delle comunicazioni, si sono aggiunte funzionalità specifiche, quali i sistemi di pagamento, la possibilità di condivisione di contenuti, la mobilità delle trasmissioni che, invece, hanno richiesto e richiedono, in misura sempre più ampia, che le garanzie predette, non solo esistano, ma siano anche efficaci, sempre aggiornate e aggiornabili.

Lo sviluppo degli standard

In tale contesto si colloca il filone di ricerca che ha portato, inizialmente, allo sviluppo di algoritmi, quali, per esempio DES (Data Encrypton Standard), in grado di realizzare quella che viene definita crittografia simmetrica, in cui la chiave di crittazione e decifrazione è la medesima e, successivamente, nel 1977, alla realizzazione di forme più evolute di crittografia, cosiddetta asimettrca, basate su diversi algoritmi, quali per esempio il famoso RSA (che prende il suo nome dalle iniziali dei suoi creatori: Rivest, Shamir e Adleman), alla base delle moderne soluzioni di firma digitale, in cui le chiavi impiegate per la cifratura e la decifrazione sono, invece, diverse. Ciò chiarito, da un punto di vista strettamente giuridico è, in prima approssimazione, possibile, ricondurre la disciplina relativa alle fattispecie sopra considerate, a quella, costituzionalmente prevista, vigente per la tutela della corrispondenza e la protezione del domicilio informatico, sia esso riferibile a un individuo o una organizzazione.

Crescono le violazioni

In effetti, come hanno dimostrato i recenti fatti di cronaca (su tutti l’ormai celebre caso del software spia exodus), l’impiego, massivo, in alcuni casi, di strumenti specifici dedicati all’intercettazione o all’illecita captazione di comunicazioni, avviene, sia in modo legittimo, a opera delle autorità di polizia giudiziaria, ma anche, purtroppo, in modo del tutto arbitrario e illegittimo, a opera della criminalità informatica organizzata, mediante installazione abusiva di Fake App, contenenti malware, preparate e distribuite ad hoc nei principali digital store.

Sono rilevanti, in questo ambito, sia le norme di cui all’articolo 616 del codice penale, relative alla cosiddetta violazione di corrispondenza, anche telematica, sia, più specificamente, con riferimento al fenomeno della digitalizzazione delle relazioni interpersonali, quelle cui all’articolo 615 ter del codice penale, in materia accesso abusivo a sistema informatico telematico, sia, infine, quelle riferite all’articolo 617 quater del codice penale che puniscono, con la reclusione, l’installazione di programmi o strumenti diretti a intercettare il contenuto di comunicazioni intercorrenti tra più sistemi informatici o telematici.

Inoltre, a completare il quadro, con specifico riferimento alle disposizioni di legge vigenti in materia di protezione dei dati personali, si devono considerare le previsioni di cui all’articolo 32 del relativo regolamento generale in materia (GDPR), che, nel definire in modo compiuto gli obblighi di sicurezza che incombono sia sul titolare del trattamento sia sul responsabile designato, prevedono, alla lettera (a) del primo comma, l’applicazione, se del caso, tra le altre, di misure dirette a pseudonimizzare i dati, ovvero a cifrarli.

L’applicazione delle norme

Per fare degli esempi di immediata comprensione, si ritiene di dover precisare come sia possibile invocare l’applicazione delle norme appena ricordate, sia alla posta elettronica, a prescindere dalla tecnologia utilizzata per la trasmissione, in ordine alla rilevanza della quale si dirà nel seguito, sia alle comunicazioni intercorrenti mediante l’impiego di applicazioni di instant messaging, quali, gli oramai diffusissimi WhatsApp o Telegram che, pacificamente, la giurisprudenza annovera sia nella nozione di corrispondenza, in relazione al contenuto trasmesso, sia nella nozione di sistema informatico o telematico, per ciò che attiene lo strumento utilizzato per la comunicazione stessa.

Una delle questioni maggiormente dibattute tra gli studiosi del diritto, relativa alla concreta applicazione delle norme appena menzionate, è quella inerente il livello di sicurezza, in termini di riservatezza e garanzia di non alterazione (attenzione: non di attribuibilità, e prova dell’avvenuto buon esito della comunicazione), riconducibile all’uso della posta elettronica per la trasmissione di informazioni confidenziali, ovvero contenenti categorie particolari di dati personali (vale a dire, dati riferiti allo stato di salute, all’orientamento politico, all’origine razziale, etnica, ovvero all’orientamento sessuale di una persona fisica, identificata o identificabile). Ci si è chiesti, in altre parole, se, l’uso della posta elettronica, cosiddetta semplice, possa ritenersi lecito e conforme alle norme sopra menzionate allorché oggetto della comunicazione siano le tipologie di informazioni da ultimo descritte. Orbene, una risposta semplicemente negativa, che non tenesse nella debita considerazione la possibilità, concretamente attuabile, di applicare controlli crittografici alle comunicazioni trasmesse tra i server deputati alla ricezione e all’inoltro di messaggi di posta elettronica sarebbe, da un punto di vista oggettivo, poco più che una mera petizione di principio destituita, dall’innovazione tecnologica, di ogni fondamento giuridico.

L’utilizzo della cifratura è consigliato

Quanto da ultimo, in relazione al fatto che, risulta non solo possibile, ma anche consigliato dalla RFC 8446[1] dell’agosto 2018 utilizzare, per la trasmissione dei messaggi di posta elettronica il protocollo TLS (Transport Layer Security Protocol) nella versione 1.3 che, per espressa definizione: “allows client/server applications to communicate over the Internet in a way that is designed to prevent eavesdropping, tampering, and message forgery”.

A mero titolo esemplificativo si consiglia anche la lettura dei contenuti della guida Gmail in cui si afferma espressamente che, laddove il server del mittente ed il server del destinatario utilizzino il protocollo TLS, per default attivo nel caso di Google[2], la comunicazione è da ritenersi cifrata e quindi sicura.


Giuseppe Serafini

Avvocato del Foro di Perugia. BSI - ISO/IEC 27001:2013 Lead Auditor; Master Privacy Officer; perfezionato in Digital Forenscis, Cloud & Data Protection. Già docente di Informatica Giuridica presso la Scuola di Specializzazione in Professioni Legali di Perugia, L. Migliorini e collaboratore della cattedra di Informatica Giuridica della Facoltà di Giu...

Office Automation è il periodico di comunicazione, edito da Soiel International in versione cartacea e on-line, dedicato ai temi dell’ICT e delle soluzioni per il digitale.


Soiel International, edita le riviste

Officelayout 198

Officelayout

Progettare arredare gestire lo spazio ufficio
Luglio-Settembre
N. 198

Abbonati
Innovazione.PA n. 56

innovazione.PA

La Pubblica Amministrazione digitale
Luglio-Agosto
N. 56

Abbonati
Executive.IT n.5 2024

Executive.IT

Da Gartner strategie per il management d'impresa
Settembre-Ottobre
N. 5

Abbonati