Telegram sotto la lente della politica: «È una corsa al controllo sulla cifratura dati»
Telegram è nella bufera. In competizione sin dalla sua messa online, avvenuta nel 2013, con WhatsApp, il servizio di messaggistica istantanea è finito al centro dell'attenzione in seguito all'arresto – sabato sera all'aeroporto di Parigi Le Bourget – del suo amministratore delegato e fondatore Pavel Durov. L'accusa rivolta a Durov e alla piattaforma è di aver favorito, non applicando la necessaria moderazione, abusi e crimini: dal traffico di droga al terrorismo, passando per la condivisione di materiale pedopornografico. Che l'inviolabilità delle chat segrete, da punto di forza, sia diventato il tallone d'Achille di Telegram? Ne abbiamo parlato con Alessandro Trivilini, responsabile del Servizio informatica forense della SUPSI.
La crittografia
Con Trivilini partiamo da un confronto. «Telegram e WhatsApp sono due piattaforme che consentono agli utenti di comunicare tra loro, ma hanno caratteristiche diverse. WhatsApp è un sistema di messaggistica istantanea che ci consente di interagire, sia esso attraverso testo o scambiando contenuti multimediali, con le persone delle quali possediamo il numero telefonico. I contatti, verosimilmente, sono quindi conosciuti». Per proteggere i messaggi da sguardi indiscreti, WhatsApp «utilizza un tipo di cifratura il cui slogan è "soltanto chi parla e chi risponde può leggere i contenuti"». Alla realtà dei fatti, spiega Trivilini, «la "mescola" che compone l'algoritmo di cifratura non è però così robusta. Esistono già software, utilizzati in informatica forense dalle autorità giudiziarie competenti, per accedere a questo tipo di contenuti». In caso di inchieste, insomma, le autorità possono avere accesso a quanto scritto sulla piattaforma. «Telegram funziona in modo diverso e mette a disposizione dei propri utenti due modalità differenti di interazione, le chat segrete e i canali». Le prime, continua l'esperto, «forniscono un maggiore anonimato» rispetto alle chat di WhatsApp, «perché la cifratura utilizzata da Telegram è segreta e la sua forza risiede nel fatto che rende inaccessibile tutta la galleria digitale da cui passano i dati, non solo i contenuti. Non esistono pubblicazioni scientifiche che ne spieghino il funzionamento e, quindi, oggi l'anonimato sembra garantito». Una protezione che non si estende, solamente, alle chat fra le persone che conoscono il rispettivo numero di telefono, ma anche ai cosiddetti "canali", accessibili a «chiunque abbia l'applicazione installata e tramite i quali gli utenti, anche sconosciuti, possono visionare e scaricare contenuti condivisi». A differenza di WhatsApp, che copia i dati in un database, nelle chat segrete Telegram lega messaggi e contenuti allo specifico dispositivo, evitando di memorizzare il tutto su un cloud. I messaggi si autodistruggono e non possono essere inoltrati. «Questa formula», spiega Trivilini, «garantisce un ottimo grado di anonimato e verosimilmente è ciò che ha portato Telegram al successo. Ma spiega anche la sua popolarità fra chi lo utilizza per contenuti illegali».
Le caratteristiche citate hanno portato sotto la luce dei riflettori non solo Telegram, ma tutti i sistemi di cifratura. «Ora ci si chiede se queste "mescole algoritmiche" utilizzate sulle diverse piattaforme debbano essere – con i giusti crismi – rese accessibili alle autorità, laddove c'è la necessità di combattere il crimine informatico».
Il DSA
Telegram, in questi giorni di polemica, ha più volte affermato di operare nel rispetto del Digital Services Act (DSA), voluto nel 2022 dall'UE per regolare, online, il controllo dei contenuti. Questo impone alle piattaforme (social network, servizi di messaggistica, app store e così via) chiare spiegazioni agli utenti sulle modalità di moderazione e stretti controlli sulla pubblicità mirata, oltre a trasparenza con le autorità di regolamentazione sul funzionamento dei propri algoritmi. Ma quest'ultima regola, specifica Trivilini, obbliga solamente a condividere con le autorità le modalità di impiego, portando garanzie che tali algoritmi non siano utilizzati in violazione di determinati principi, come quello della privacy degli utenti. «Il DSA non obbliga a pubblicare i dettagli dei propri algoritmi di cifratura: ogni compagnia crea la propria mescola, che può funzionare meglio o peggio rispetto a quella della concorrenza. Nei casi legali le autorità giudiziarie hanno delle procedure per chiedere a chi ha sviluppato l'algoritmo di svelare come è stato fatto. Ma normalmente il come rimane una scatola nera, anche perché soggetto a grossi interessi economici e brevetti».
Telegram, spiega Trivilini, deve quindi operare come farebbe, sul web, un qualsiasi service provider. L'azienda «ha l'obbligo di mettere in atto una serie di tecniche per evitare che sui suoi canali di comunicazione transitino contenuti illegali, ma non risponde nel caso in cui un cliente decida comunque di farlo. Si impegna, tuttavia, a segnalare nel minor tempo possibile le violazioni». Telegram, come altre piattaforme, «non può garantire che tutti i contenuti che passano su di essa siano legali oppure illegali, ed è lì che si annida la diatriba».
Che cosa fare
Il dilemma, dunque, è questo: per combattere la recrudescenza di canali e chat che condividono materiali illegali, Telegram dovrebbe rinunciare alla sua cifratura a prova di bomba? E, soprattutto, il caso rischia di fare giurisprudenza per tutto il mondo informatico? «È chiaro che la politica ha preso consapevolezza della forza che può avere un buon algoritmo di cifratura e di come questo possa rappresentare un problema se impedisce – in un mondo in cui imperversano guerre e atti terroristici – alle autorità giudiziarie di svolgere i propri compiti, in particolare per quanto riguarda la sorveglianza e le investigazioni predittive». Telegram, continua Trivilini, «con la sua mescola algoritmica di successo, è finito sotto i riflettori. E ora potrebbe spingere la politica a imporre controlli sulla cifratura che non riguardino solamente il post-sviluppo, come fatto sin qui, ma già la sua creazione. Potrebbero ad esempio nascere norme che obblighino le aziende a fornire i dettagli della propria cifratura, una backdoor (letteralmente, "porta sul retro", ndr) affinché le autorità possano avere il controllo di questi strumenti».
Trivilini insiste sulla situazione geopolitica: «Ciò che sta succedendo nel mondo ha fatto capire che strumenti come Telegram – pur se basati su principi democratici, come attestato dai fondatori al momento dello sviluppo – devono essere regolamentati, perché consentono a milizie, organizzazioni criminali e così via di dialogare in modo sicuro. Il messaggio è chiaro: la tecnologia che si avvale di cifratura dei dati ha un ruolo nuovo nelle dinamiche geopolitiche, è diventata un nuovo attore e impatta sulla sicurezza nazionale e quella dei cittadini».
Ma, evidenzia l'esperto, serve equilibrio. L'anonimato di Telegram, infatti, non scherma solo i criminali. È utilizzato anche dai dissidenti, da chi lotta contro i regimi autoritari, da giornalisti che, in contesti difficili, devono proteggere se stessi e le proprie fonti. «Il pericolo è che se la nuova regolamentazione che nascerà – e nascerà – non sarà proporzionata e ponderata, potrebbe trasformarsi in un grosso limite e una sorta di censura, di mancata opportunità. Una legge troppo restrittiva spegnerebbe un impianto che può avere molteplici aspetti positivi».
Perché in Francia?
La questione della sicurezza, della padronanza sulla cifratura dei dati, «diventerà sempre più un aspetto centrale di una guerra strategica». E in tal senso, spiega Trivilini, «non è un caso che l'arresto di Pavel Durov sia avvenuto in Francia, una nazione spesso colpita dal terrorismo. Chi, oggi, prende il comando e guida la definizione delle nuove regole informatiche, definirà che cosa si può fare e cosa no». E ciò, conclude Trivilini, «darà una leadership non solo sulla cifratura dei dati, ma anche su tutti i concetti ad essa legati, dalla sicurezza nazionale alla geopolitica».