Una proposta del Parlamento Europeo garantirebbe un ruolo cruciale alla crittografia, responsabilizzando i fornitori sulla garanzia di riservatezza e sicurezza della tecnologia

Procede per tentativi e proposte la camminata funambolica tra la necessità di sicurezza (contro il terrorismo e non solo) e il tentativo di garantire agli utenti il diritto alla privacy, richiesto con forza. Se il Regno Unito vive la minaccia di controlli sempre più forti online — le proposte di Theresa May fanno scuola — a livello europeo si cerca un compromesso che odori di equilibrio.

Se da un lato l’Unione Europea cerca di capire come garantire alle forze dell’ordine un accesso più semplice ai dati, dove necessario, allo stesso tempo non dà per scontato che quei dati siano leggibili. Una proposta del Parlamento Europeo infatti, chiede non solo che la crittografia sia obbligatoria, ma anche che non vengano contemplati punti d’accesso che violino i parametri di sicurezza scelti (semplificando, nessuna “backdoor”, grazie).

La storia ha già regalato casi in cui le forze dell’ordine hanno portato avanti un duro braccio di ferro con l’industria tecnologica: basta ricordare il caso Fbi contro Apple, in seguito all’attacco a San Bernardino in California (che costò la vita a 14 persone).

Nella proposta europea di Regolamento relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche, destinata ad abrogare la Direttiva 2002/58/EC (il cd. “Regolamento ePrivacy”), si legge: “I fornitori di servizi di comunicazione elettronica devono garantire che ci sia sufficiente protezione in atto contro accessi non autorizzati o alterazioni dei dati della comunicazione elettronica e che la sicurezza e riservatezza di trasmissione sono anche garantiti dalla natura stessa della trasmissione o dallo stato dell’arte della crittografia end-to-end della comunicazione dei dati”.

Non solo: quando viene utilizzata la crittografia, si legge, decrittazione, reverse engineering o monitoraggio di tali comunicazioni “sono proibite”. Gli Stati Membri non impongono nessun obbligo ai fornitori di servizi che possa rappresentare un indebolimento della sicurezza. In caso di rischio, i fornitori dovrebbero avvisare gli utenti.

La proposta finirà nelle mani del Consiglio, ma se fosse approvata alla fine del percorso istituzionale necessario, segnerebbe un nuovo panorama che metterebbe nuovamente a confronto l’assetto legislativo europeo con quello mondiale.