Il caso Apple vs FBI, o meglio, vs tribunale di San Bernarndino che aveva a oggetto l’ordine impartito ad Apple di rendere possibile l’accesso ai dati contenuti in un iPhone e le successive polemiche catastrofiste di cui abbiamo parlato sul sito di PC Professionale, sono uscite dagli onori della cronaca, ma rimane l’urgenza di mettere un punto fermo sulla vicenda, alla luce di ulteriori sviluppi giudiziari che hanno riguardato anche l’Italia. Andiamo con ordine.
Dopo il caso San Bernardino, un altro giudice, questa volta di New York, il 29 febbraio scorso aveva deciso in modo opposto, negando alla DEA (Drug Enforcement Agency) il diritto di accedere ai dati contenuti in device Apple.
Il primo marzo 2016 la magistratura brasiliana ordina la custodia cautelare, poi revocata, a carico del rappresentante per l’America del sud di Facebook, accusato di non avere cooperato nel reperimento di informazioni pubblicate su un profilo.
Nello stesso giorno, in Italia, viene diffusa la notizia secondo la quale Blackberry avrebbe reso disponibili in chiaro le chat di alcuni indagati alla magistratura italiana.
Stesso problema, quattro casi, quattro esiti legali diversi. Benché la situazione potrebbe sembrare caotica e confusa, in realtà è molto più lineare di quello che sembra: vediamo perché, muovendoci innanzi tutto dalla prospettiva tecnologica.
Il nucleo del caso Apple è la scelta tecnologica dell’azienda di creare da zero un sistema di cifratura di dati che non consente, in linea teorica, di essere decrittato, anche se, da quanto si intuisce, sembrerebbe che Apple possa modificare IOS per ottenere il risultato desiderato da FBI.
L’essenza del caso brasiliano è meno tecnologica e riguarda, piuttosto, il tema del limite della cooperazione con le forze di polizia e le responsabilità dei dirigenti aziendali.
La questione Blackberry, invece, è basata sul concetto di sicurezza indebolita, cioè sulla scelta progettuale (diametralmente opposta a quella di Apple) di realizzare un sistema di protezione dei dati sufficientemente robusto per proteggere le comunicazioni aziendali, ma accessibile da parte di Blackberry in caso di necessità anche giudiziarie.
Veniamo, ora, agli aspetti legali relativi a un’indagine penale svolta in Italia.
Un pubblico ministero può chiedere di esibire e consegnare dati, compiere, in autonomia, perquisizioni, sequestri a fini di prova e accertamenti tecnici mentre ha bisogno dell’autorizzazione del giudice per le indagini preliminari per intercettare e mandare in custodia cautelare qualcuno. Il recepimento della Convezione europea sul crimine informatico, poi, ha esteso la possibilità di perquisizione fino a comprendere quella informatica e a distanza. Tradotto questo significa che il magistrato può ordinare di craccare account e sistemi per acquisirne il contenuto.
Inoltre, il decreto legislativo 231/2001 che prevede la responsabilità penale delle imprese, punisce le aziende che si sono organizzate in modo da ostruire a proprio vantaggio il corso della giustizia.
Applicando in modo rigoroso questi principi, si conclude abbastanza agevolmente che, partendo dal primo caso, se le indagini si fossero svolte in Italia, se Apple fosse italiana e se effettivamente iOS non fosse craccabile o non esistessero altri modi per recuperare le informazioni, Apple avrebbe potuto subire qualche conseguenza giudiziaria (per non parlare del fatto che avrebbe potuto anche ordinare il sequestro dei sorgenti per farli analizzare da un proprio consulente. Impresa titanica, ma astrattamente possibile).
Nel caso di Facebook, invece, il magistrato avrebbe potuto ordinare la perquisizione a distanza della risorsa di rete (certo, è all’estero, ma oramai a partire dal caso The Pirate Bay, il concetto di giurisdizione quando si parla di ICT è diventato molto relativo nella pratica giudiziaria).
Blackberry, delle tre, sarebbe stata – anzi, è – quella che ha progettato il proprio sistema in modo da rispettare più agevolmente la legge, consentendo la collaborazione con la magistratura, al pari di quello che fanno operatori telefonici e internet provider.
Tutto chiaro, dunque? Mica tanto.
Il guastafeste giuridico che potrebbe ribaltare le conclusioni si chiama Regolamento comunitario sulla protezione dei dati personali. Questa norma, che una volta emanata (fra poco) si applicherà direttamente, senza bisogno di essere inserita nell’ordinamento italiano, prevede espressamente l’obbligo del “privacy-by-design” nello sviluppo di software e piattaforme. In altri termini, tutto ciò che tratta dati personali dovrà essere progettato da zero per controllare l’accesso ai dati e proteggerli da cattive attenzioni.
Questo potrebbe significare, a seconda di come le singole autorità nazionali di protezione dei dati interpreteranno l’obbligo di sicurezza, che si potrebbe addirittura configurare il dovere di rendere inaccessibili i dati, o – al contrario – di istituire backdoor di Stato.
Bisognerà dunque capire come, in termini pratici, sarà bilanciato questo obbligo (che farebbe pendere la bilancia della ragione a favore di Apple) con il dovere dello Stato di indagare sui crimini e punire i responsabili (che, invece, favorirebbe l’approccio Blackberry).
Quale che sia la soluzione, però, le prospettive rimangono in ogni caso allarmanti.