Londra – Si affinano le tecniche crittografiche? Le forze dell’ordine procedono a tentoni nelle indagini, incappando in documenti indecifrabili? Il Regno Unito non investe nelle tecnologie ma corre ai ripari per mezzo della legge: dal primo di ottobre, riporta Ars Technica , rischia fino a cinque anni di carcere colui che rifiuta di fornire alle autorità i documenti in chiaro o la chiave per decrittare contenuti non intellegibili ma sospetti, che risiedono fisicamente su server UK.
Facente parte del discusso Regulation of Investigatory Powers Act ( RIPA ) – che dal 2000 autorizza le forze dell’ordine a vigilare in maniera sempre più pervasiva sulle comunicazioni dei cittadini – la sezione 49 , foriera della nuova facoltà, è entrata in vigore solo a sette anni dalla sua composizione.
Giusto il tempo di una modifica apportata dal Terrorism Act 2006 , che ha esteso i termini della detenzione da due a cinque anni per coloro che rifiutano di collaborare a non meglio precisate “investigazioni riguardo alla sicurezza nazionale”. Giusto il tempo di un emendamento che, spiega Computerworld UK , in alcune situazioni impone all’indagato di non rivelare a nessuno al di fuori del proprio avvocato di aver ricevuto il mandato che obbliga a disvelare chiavi o documenti. A onor del vero, nei corso di questi sette anni, è stata indetta anche una consultazione pubblica , ma sono in molti a sottolineare come le proposte siano state ignorate nella formulazione definitiva della legge.
A scagliarsi contro la sezione 49 della terza parte del RIPA è in primo luogo Spyblog , che da anni segue e commenta l’evolvere del provvedimento.
Si contesta l’ efficacia dell’obbligo imposto dalle forze dell’ordine di rivelare chiavi e contenuti decrittati: Spyblog configura un ipotetico scenario che vede come protagonista un individuo dedito al commercio di materiale pedopornografico, che detiene sui propri hard disk un archivio immenso di contenuti crittati. Indagato dalle forze dell’ordine, è lecito credere che verrà impensierito dai due anni di carcere comminabili in base alla sezione 49, quando la pena che lo attende una volta rivelata la natura dei materiali potrebbe rivelarsi ben più temibile?
Ma non è solo l’inefficacia a spaventare i cittadini del Regno Unito: si paventa il proliferare dei tentativi di phishing , attuati ricalcando le notifiche inviate dalle forze dell’ordine per sollecitare la decrittazione, motivo per cui si invitano le autorità a rilasciare delle statistiche che diano un’idea della frequenza con la quale si applicherà il provvedimento.
La responsabilità di custodire key e documenti decrittati, inoltre, è consegnata all’autorità di polizia, spiega ancora Spyblog , un motivo in più per temere per la propria privacy e per i segreti industriali : le forze dell’ordine non sono assolutamente attrezzate per proteggere i dati in chiaro rivelati dagli indagati, che è probabile verranno archiviati in database esposti agli attacchi dei malintenzionati.
Ma non è tutto. Ars Technica legge nella sezione 49 una minaccia per l’economia del Regno Unito : citando il parere espresso dall’esperto di sicurezza Richard Clayton, si prospetta che istituti bancari e finanziari decidano di riversare i loro server all’estero, poiché in UK potrebbero essere costretti a rivelare le chiavi con cui crittano le loro transazioni. Del resto, per disporre ed abusare delle chiavi bastano il corrispettivo locale di un questore e “il giusto pezzo di carta”.
Gaia Bottà