Le tecnologie informatiche rappresentano al tempo d’oggi un elemento imprescindibile per l’esecuzione materiale di una moltitudine di attività quotidiane. Alcune particolari tipologie di architetture algoritmiche, come i sistemi crittografici, rappresentano una nicchia specialistica, riservata ad alcune categorie di utenza, foriera di criticità e complessità strutturali in grado di determinare vulnus per la gestione degli equilibri democratici da parte di operatori del diritto. Casi concreti ed esperienze pratiche hanno coinvolto settori, come quello della giustizia, chiamata a dirimere controversie sulla legittimità di impiego di sistemi evoluti di crittografia comunicativa, incontrando innumerevoli difficoltà interpretative e concettuali.
Introduzione La storia della metodologia investigativa è ricca di esperienze pratiche in grado di stimolare la curiosità e la fantasia di ciascun individuo nei suoi elementari bisogni di suggestione critica e, allo stesso tempo, si rende evidente quanto il professionismo di riferimento sia chiamato, nella sua attività quotidiana di contrasto ad attività criminali, a dirimere perplessità e difficoltà gestionali concrete durante l’esercizio di prerogative specifiche e complesse, attribuite per la maggior parte nella consapevolezza di un potenziale e significativo impatto nel nucleo della riservatezza privata, ma col fine pubblico di una garanzia alla normale e pacifica convivenza civile. Nel tempo ci si è resi conto di quanto l’incidenza dei fenomeni di matrice criminale richiedesse articolate innovazioni tecnologiche in grado di ottemperare ad esigenze di speditezza ed efficientismo gestionale , attingendo anche a ciò che di volta in volta il mercato dell’economia di scala ha offerto, senza troppe difficoltà di accesso e, in particolar modo, con costi decisamente contenuti. Molti hanno la percezione e la sensazione di essere continuamente soggetti alle pressioni di un sistema concepito e strutturato in funzione di una pervasività della tecnica condizionante e dirigista, ma pochi, a dire il vero, hanno una reale cognizione della capacità intrusiva di sistemi sofisticati e concepiti ad arte per funzioni specifiche di ottimizzazione dei processi e meccanismi comunicativi di massa. La crittografia , ai fine del ragionamento, rappresenta, senza ombra di dubbio, un emblematico esempio della capacità creativa del genere umano, rafforzata, il più delle volte, da finalità non sempre in linea con il rispetto del nucleo essenziale dei valori di riferimento in una società democratica. Quello che in passato poteva essere definito un settore di nicchia per informatici ed addetti ai lavori, nonché per qualche “Nerd” di maniera, dunque intrinsecamente relegato alle cronache specialistiche, nel tempo si è scoperto essere, invece, un florido mercato di riferimento per criminali e faccendieri dall’indole fraudolenta , sempre attenti e pronti ad appropriarsi delle stupefacenti potenzialità che l’evoluzione tecnologica ha messo a disposizione del genere umano fin dalla rivoluzione industriale e non solo. A dire il vero, infatti, la tecnica criptografica non è una novità recente, anzi, non mancano innumerevoli esempi di applicazione rudimentale della stessa fin dalla notte dei tempi. Si pensi solo a quanto questa sia stata determinante nella conduzione di operazioni speciali e alla espressione dei fattori di potenza durante l’ultimo conflitto mondiale. La macchina “Enigma” , tanto per citare la più conosciuta, e tutto ciò che ha comportato in termini di coinvolgimento delle parti per perdite umane e risorse impiegate, è emblematica di come un singolo efficace strumento, se ben concepito, possa rappresentare un punto di riferimento del sistema e come, suo malgrado, se oggetto di disvelamento nei suoi segreti di funzionamento, possa determinare la sconfitta irrimediabile dei suoi fruitori. Un settore come la giustizia e le sue articolazioni per fasi, a partire da quella investigativa, non poteva esimersi dal ragionare e dal constatare l’evidente manifestarsi di fenomeni della tecnica così impattanti, anzi, subendone direttamente le conseguenze e le criticità anzidette in casi specifici e recenti, in grado di sottoporre gli operatori del diritto a considerevoli pressioni interpretative e gestionali, senza tralasciare il coinvolgimento di attori della società civile e politica di riferimento. L’articolo, nella sua elementare incapacità di trattazione complessiva del fenomeno, cercherà di enucleare le distonie più evidenti nel quadro di riferimento normativo nazionale ed europeo , consapevole della continua evoluzione dello stato dell’arte, potenzialmente in grado di scardinare e ribaltare consolidate certezze da un giorno all’altro. È inevitabile, in un quadro simile, anche in virtù degli interessi in gioco, non esimersi dall’approfondimento del contesto, senza eccessive pretese, ma funzionale a una facilitazione degli addetti ai lavori, ogni giorno chiamati a dirimere contenzioni ostici nella loro definizione o inquadramento giuridico e la tecnologia, nel caso di un deficit conoscitivo più che legittimo senza competenze specialistiche di settore, non può determinare un vulnus irrimediabile nella tutela di diritti fondamentali delle parti. Lo strumento crittografico Quando si parla di crittografia ci si riferisce essenzialmente a quel processo mediante il quale è possibile la trasformazione di un testo chiaro e leggibile nella sua interezza in qualcos’altro di non leggibile e cifrato (c.d. “crittografato”) al fine di occultarne informazioni per alcune categorie di soggetti non autorizzati. In generale, il fine specifico delle operazioni crittografiche risiede nell’esigenza pratica di garantire la sicurezza dei dati e la violazione degli stessi da accessi abusivi in grado di lederne il valore di affidabilità nelle operazioni informatiche . Dunque, nella crittografia, è essenziale l’impiego di alcuni algoritmi concepiti appositamente per lo scopo di codificazione dei dati in un formato, indecifrabile, senza una chiave specifica, messa a disposizione per lo scopo ai soggetti autorizzati a condurre l’operazione di decifratura in chiaro. A questo scopo, la tecnologia di cifratura ha la capacità intrinseca di inattivare sia dati in transito che sottoposti a processi elaborativi e ciò può avvenire indipendentemente dal fatto che gli stessi si trovino in un sistema informatico standard o nel cloud. Tale particolare caratteristica spiega il motivo per cui le operazioni di cifratura rappresentino oggigiorno lo stato dell’arte per la sicurezza informatica e più nello specifico per le attività di cybersecurity. Il più delle volte, si tratta di un vero e proprio obbligo normativo imposto dal legislatore per conformarsi ai requisiti e agli standard di sicurezza come PCI, DSS e GDPR. Anche gli investimenti privati nel settore dimostrano l’importanza di una tecnologia considerata di nicchia, ma, al dire il vero, fortemente impattante per attori di vario genere. Visto il crescente impatto di attività cyber, è ragionevole pensare ad un coinvolgimento sempre maggiore di iniziative private e pubbliche mosse dalla necessità di definirne confini e obiettivi di riferimento. Impossibile non considerare, poi, l’impatto che la tecnologia di intelligenza artificiale sta avendo e può avere nel futuro, laddove la stessa avrà probabilmente un ruolo determinante nel ridefinire approcci consolidati di gestione del rischio . In particolare, le organizzazioni, coinvolte nel processo di implementazione e regolamentazione del fenomeno, stanno ragionando sul modo in cui l'AI potrebbe aiutare a ottimizzare la gestione e la creazione di chiavi crittografiche e i rispettivi algoritmi di funzionamento posti alla base della tecnologia. Come già accennato, la crittografia non è un fenomeno recente e, infatti, i primi esempi e tecniche simili risalgono addirittura a civiltà antiche come quella egiziana e mesopotamica. La crittografia, inoltre, è stata successivamente sdoganata, nel suo impatto mediatico, da casi notori come la macchina Enigma, impiegata nella Seconda guerra mondiale dai tedeschi per codificare messaggi segreti. Oggigiorno, la crittografia è di fondamentale importanza per la salvaguardia e l’integrità dei dati sensibili , soprattutto in ambiente cloud e ibridi, laddove l’enorme mole di dati e l’estesa superficie di attacco rendono assai facile un attacco malevolo di attori criminali. Non solo, gli attacchi cyber possono diventare estremamente costosi se non confinati e contrastati a dovere e, infatti, secondo il report Cost of a Data Breach, il costo medio globale di una violazione dei dati nel 2023 è stato di 4,45 milioni di dollari, con un aumento del 15% nell'arco di tre anni. Lo strumento crittografico, in soccorso, consente agli attori di impedire violazioni dei dati o mitigarne la gravità , assicurandosi che eventuali hacker non possano accedere ai dati più sensibili, come numeri di previdenza sociale, numeri di carte di credito e altre informazioni di identificazione personale (PII). Altre organizzazioni più specifiche, come quelle sanitarie e finanziarie, impiegano sempre maggiori cautele di crittografia rivolte a garantire standard di conformità normativa e aziendale. Si pensi al Payment Card Industry Data Security Standard (PCI DSS), che impone ai commercianti di crittografare i dati delle carte di pagamento dei clienti o allo stesso GDPR europeo, che evidenzia come la crittografia rappresenti una misura fondamentale per salvaguardare i dati personali dall'accesso o dalla divulgazione non autorizzati . Anche l’utente medio mostra una maggiore sensibilità al tema della sicurezza dei dati e al potenziale rappresentato dagli algoritmi di crittografia messi a disposizione dal mercato e, in casi come l’impiego di nuovi applicativi di comunicazione come Signal, un'app di messaggistica che utilizza la crittografia end-to-end, si sono evidenziati incrementi significati dell’interesse di una utenza sempre più preoccupata sui temi relativi alla violazione della privacy e alle pratiche di condivisione dei dati. Sostituendo i vecchi standard come il Data Encryption Standard (DES), le nuove tecnologie di cifratura garantiscono non solo l’anonimato ma anche l’ integrità e la genuinità del dato trattato , attribuendo agli stessi possibilità prima inimmaginabili di contestazione sull’uso fraudolento e la manomissione delle operazioni condotte nel contesto informatico. Non a caso, la maggior parte delle iniziative di sviluppo dei sistemi crittografici puntano all’implementazione e al miglioramento dei protocolli di cifratura al fine di consentire una costante calibratura dei sistemi al passo con l'evoluzione delle minacce informatiche e delle tecnologie general use . Tecniche come la crittografia quantistica, potenzialmente in grado di generare chiavi immuni da attacchi o crittografie omomorfiche, in grado di eseguire calcoli su dati crittografati, sono un esempio di quanto la tecnica di riferimento stia progredendo, mostrando un interesse significativo degli attori coinvolti al fine di utilizzare dati sensibili per protocolli come la formazione e l'analisi dei modelli di intelligenza artificiale senza compromettere, però, la riservatezza o la privacy individuale, il cui rispetto è tema sempre più attenzionato dalle parti coinvolte e garanzia per la pacifica convivenza nelle società democratiche. Tipi crittografici Partendo da una base di file costituita da foto, documenti, comunicazioni ecc. la tecnica crittografica avvia un processo di identificazione delle informazioni sensibili, la cui protezione e cifratura è richiesta ai fini della copertura da potenziali attacchi malevoli. Il dato iniziale in chiaro viene progressivamente trasformato in una sequenza di caratteri indecifrabile per la generalità degli utenti e destinata ad una cerchia ristretta di destinatari in grado di carpirne il contenuto. Esistono essenzialmente due principali tipologie di cifratura, una di tipo simmetrico , in cui la chiave di decrittazione segreta è condivisa da tutte le parti coinvolte nell’operazione e una di tipo asimmetrico , detta anche a chiave pubblica, in cui, per l’appunto, la decrittazione avviene mediante l’impiego di due chiavi differenti, una pubblica nella disponibilità di chiunque per la cifratura e l’altra privata, l’unica in grado di decifrare i dati ed il contenuto richiesto. Non è ravvisabile una prevalenza qualitativa di uno dei metodi anzidetti e, nella specificità dei singoli casi, è opportuno considerare le esigenze operative e le necessità concrete di occultamento del dato in modo da sfruttare le peculiari caratteristiche di celerità e speditezza nel funzionamento delle chiavi simmetriche, al costo, però, di una maggiore difficoltà gestionale dell’accesso alle stesse da parte dell’utenza, piuttosto che la lentezza delle chiavi asimmetriche, ma determinanti la garanzia di una sicurezza più solida. Solo per citarne qualcuna, tra le principali chiavi asimmetriche si possono identificare le c.d. PKI, public key infrastructure, le quali, fornendo all’utente dei framework di comunicazione complete e sicure, garantiscono la genuinità di vari applicativi informatici, tra cui e-mail, firme digitali e crittografia SSL/TLS per la navigazione web. La scelta tra le due differenti tipologie di cifratura ricade nell’esigenza di attribuire al servizio maggiore speditezza o garanzia di sicurezza, in funzione, anche, della complessità e mole dei dati da processare o, piuttosto, dalla tipologia di operazione e dal contesto operativo specifico, quali settori come la finanza o le istituzioni organizzative di servizi essenziali. Per coloro che non possiedono le rispettive chiavi di decrittazione, dunque, non esiste in linea torica possibilità di acquisizione del contenuto di un sistema cifrato e, allo stesso tempo, alla cifratura può essere associata un ulteriore step di autenticazione e verifica sulla integrità e autenticità del dato per accertare l’assenza di dispersione o manomissione durante le operazioni . In tal senso, intervengono in soccorso le c.d. funzioni di hash , delle specifiche tipologie di algoritmi costruiti per la garanzia di integrità e genuinità del dato, sfruttando la capacità computazionale di generare delle stringhe di caratteri di dimensioni fisse, note come valori hash o codici hash, partendo da input o messaggi semplici. Strutturalmente di tipo deterministico, tali funzioni, partendo da un certo input produrranno sempre lo stesso output e ciò è di fondamentale importanza per garantire alla utenza il confronto tra i differenti valori di hash prima e dopo la trasmissione o l’archiviazione dei dati cifrati, consentendo di verificarne la corrispondenza e l’assenza di manomissione. Infatti, la peculiare caratteristica dei valori di hash risiede nell’irreversibilità del processo, così, a differenza delle operazioni crittografiche standard, è di fatto impossibile, almeno dal punto di vista computazionale, ricostruire il dato di input iniziale partendo dai valori di hash finali. Da ciò ne deriva come lo scopo principale di simili strumenti di lettura risieda nella possibilità di creare impronte informatiche esclusive , consentendo ad operatori ed addetti ai lavori nel campo della cybersecurity di verificare autenticità e qualità del dato. Chiavi ed algoritmi crittografici Uno degli aspetti principali per la corretta implementazione di operazioni cifrate risiede nella giusta e corretta gestione delle relative chiavi crittografiche e algoritmi computazionali. Così come il possessore di una cassaforte fisica potrebbe perdere o rendere molto più difficoltoso l’accesso ai propri effetti preziosi in caso di cattivo uso o perdita di una chiave fisica , per analogia, in ambito cyber, nel caso di smarrimento e cattiva gestione delle chiavi di crittografia, gli operatori potrebbero compromettere l’accesso ai dati e al contenuto informatico oggetto delle attività di occultamento o, peggio ancora, esporsi ad attacchi diretti e violazioni del contenuto. Gli attori coinvolti, dovendo affrontare una simile complessità organizzativa, spesso fanno affidamento a sistemi specifici di gestione delle chiavi , i quali, nella loro specificità di settore, offrono differenti funzionalità come console di gestione centralizzata per la crittografia, forme di crittografia a livello di file, database e applicazione per i dati on-premise e cloud , controlli di accesso basati su ruoli degli attori e gruppi coinvolti e rispettive forme di registrazione di audit , nonché, come si può ben immaginare, l’integrazione con le tecnologie più recenti, come l'intelligenza artificiale, per migliorare la gestione delle chiavi sfruttando l'automazione. Nel tempo, chiaramente, sono intervenute diverse implementazioni algoritmiche , frutto della evoluzione della capacità computazionale e del progresso tecnologico in ambito informatico. Giusto per citarne alcuni, tra gli algoritmi più emblematici, nel contesto delle chiavi simmetriche non si può non ricordare il Data Encryption Standard (DES) , sviluppato da IBM negli anni Settanta, impiegato per decenni, la cui caratteristica primaria di semplicità lo rendeva vulnerabile ad attacchi bruti, costringendo gli utilizzatori ad una progressiva sostituzione come il Triple DES (3DES) , una versione migliorata con chiavi decisamente più lunghe, al fine di migliorarne la sicurezza, ma a sua volta, sostituito con gli Advanced Encryption Standard (AES), ritenuto, per la lunghezza delle sue chiavi, il gold standard per il settore della crittografia e, infatti, adottato ed implementato fin dalla sua introduzione da governi di tutto il mondo, tra cui gli Stati Uniti e istituzioni di una certa importanza per il settore come il National Institute of Standards and Technology (NIST). Di recente, sono emerse anche formule algoritmiche open source come Twofish, le cui caratteristiche di velocità e sicurezza lo rendono appetibile per operatori mossi da esigenze efficientiste e di celerità del sistema. Nel contesto degli algoritmi di crittografia asimmetrica, invece, è possibile annoverare gli RSA (Rivest-Shamir-Adleman) , il quale, basandosi sulla complessità matematica dei numeri primi, impiega coppie di chiavi, pubbliche e private, per crittografia e decrittografia, garantendo la trasmissione sicura di dati e firme digitali, soprattutto per servizi di comunicazione informatica quali HTTPS, SSH e TLS . Esistono anche esempi di chiavi crittografiche asimmetriche più complessi, come Crittografia a curva ellittica (ECC) , basati sulle proprietà matematiche delle curve ellittiche su campi finiti, necessari a irrobustire le garanzie di sicurezza in contesti particolari come le tecnologie di comunicazione come smartphone e dispositivi IoT, in cui è indispensabile implementare, per caratteristiche intrinseche e limiti fisici dei dispositivi in questione, il giusto equilibrio tra robustezza della chiave e risorse limitate del sistema. L’importanza della crittografia La crittografia, intesa nel senso di una garanzia sull’integrità del dato e la tutela contro intromissioni e violazioni dei contenuti di immagini, testi, comunicazioni e file di vario genere, sottoposti ad un grado di attenzione specifica in funzione del ruolo e l’importanza rivestite in contesti operativi ad elevato grado di rischio, rappresenta uno strumento fondamentale sia per gli addetti ai lavori in contesti specialistici sia per l’utenza generalista poco avvezza ai meccanismi di cautela necessari ad una attività cyber ben oculata e consapevole . La crittografia, oggigiorno, è uno degli strumenti tecnologici più utilizzati per garantire, mediante la codificazione dei testi in chiaro, la protezione dai più variegati e potenziali attacchi informatici quali ransomware e malware, appositamente concepiti per sfruttare le vulnerabilità dei sistemi e la disattenzione dell’utente medio. L’impiego massivo da parte degli attori criminali dei c.d. Infostealer o malware esfiltratori di dati sensibili è in costante aumento. Secondo l’IBM threat intelligence index del 2024 si tratta di un aumento del ben 266 % rispetto all’anno 2022 rendendo necessari meccanismi di implementazione della sicurezza cybernetica innovativi e sofisticati, al passo con i difficili e complessi tempi in cui viviamo. Di recente è giunta in soccorso anche l’ A.I . generativa , al fine di consentire un approccio più dinamico della parametrazione crittografica in funzione del contesto e della complessità del dato da analizzare, nonché dei fattori del contesto relativi al tipo di rete, al dispositivo impiegato e al comportamento specifico dell’utente. Ciò ha consentito un adattamento in tempo reale degli algoritmi crittografici in rapporto alla tipologia di minaccia da affrontare nel caso concreto. Si pensi al contesto cloud in cui, mentre chi eroga il servizio, il provider, si assume la responsabilità di garantire l’integrità del sistema, è fondamentale che l’utente si renda responsabile del suo comportamento in rete e, al riguardo, la comprensione e la corretta gestione della tecnologia crittografica rappresenta un fattore determinante per il successo o meno della qualità del servizio. Gli algoritmi di crittografia possono non solo aiutare a evitare modifiche non autorizzate dei dati, ma anche a garantire canali sicuri di comunicazione, comportando la possibilità per attori, in contesti particolarmente sensibili, di realizzare tutta una serie di operazione senza correre il rischio di essere intercettati o manomessi. È fondamentale, però, essere consapevoli che la crittografia protegge i possessori delle chiavi da intromissioni esterne e, in caso di un distorto uso dei rispettivi possessori, quali la dispersione o lo smarrimento, ciò potrebbe comportare la compromissione del sistema, soprattutto in contesti ad alto tasso di incidenza negativa per la tipologia di fenomeni trattati e gestiti. La giurisdizione, in tal senso, ha implementato apparati normativi e protocolli che impongono alle organizzazioni interessate dalla gestione di algoritmi crittografici nel trattamento dei dati sensibili , il cui rispetto consente di sottrarsi non solo alle possibili sanzioni legali, ma, allo stesso tempo, a convalidare il legittimo affidamento dei fruitori nei confronti del sistema di gestione. Primi aspetti normativi L’articolo 5, comma 1, lett. f del GDPR (Regolamento UE 1016/679) dispone come, in applicazione del principio di integrità e riservatezza dei dati sensibili, gli stessi debbano essere «trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali». Ciò, evidentemente, dimostra non solo una consapevolezza del legislatore europeo circa l’importanza di una corretta gestione del tema dei dati , ma, anche una concretizzazione pratica e normativa di tipo regolamentare, dunque direttamente e generalmente applicabile negli stati membri, andando ad enucleare il substrato di riferimento per qualsiasi interpretazione in occasione delle manifestazioni di casi concreti. Lo stesso articolo, nelle sue disposizioni per lettere, in effetti, enuncia tutta una serie di principi efferenti alla gestione dei dati sensibili quali «liceità, correttezza e trasparenza» (lett. a), «limitazione della finalità» (lett. b), «minimizzazione dei dati» (lett. c), «esattezza» (lett. d). Alla lett. e il regolatore articola in maniera più strutturata le esigenze di conservazione del dato, laddove specifica come gli stessi debbano essere « conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati ; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all'articolo 89, paragrafo 1, fatta salva l'attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell'interessato». Ultimo, ma non per importanza è l’aspetto legato alla responsabilizzazione del titolare del trattamento e, infatti, il regolatore non si esime dall’attribuire competenza e capacità di prova allo stesso (comma 2). È vero che oggi le varie organizzazioni coinvolte nella gestione dei dati si trovano a gestire un numero sempre maggiore di normative di conformità nei vari settori e giurisdizioni interessate e, anche come tali normative spesso e volentieri siano molto complesse e di difficile interpretazione. Il rispetto delle normative di conformità può diventare estremamente faticoso nella dinamica di ottimizzazione aziendale, soprattutto per quelle più proiettate alle logiche della globalizzazione, laddove si trovano a dover gestire i diversi contesti in cui sono coinvolti, tra sedi, dipendenti e regioni differenti, ciascuna sottoposta ad altrettante potenziali regolamentazioni. In un contesto di continua implementazione normativa può essere complicato rimanere al passo con i tempi e l’evoluzione continua della tecnica o iniziative aziendali interne non aiutano di certo a ridurre la complessità del fenomeno. Oltre alla concreta possibilità delle organizzazioni di incorrere in sanzioni legali, laddove non dovessero rispettare i requisiti di conformità normativa nella gestione del dato, si pensi ad esempio al caso della multa comminata alla società Meta nel 2023 dalle autorità irlandesi, del valore di 1.2 miliardi di dollari, per aver violato il GDPR, è ritenuto fondamentale, per una corretta gestione della compliance aziendale, tenere in forte considerazione anche il mutato atteggiamento dei consumatori , molto più sensibili al tema della cybersecurity. In una simile ottica, la conformità normativa non rappresenta un costo, ma un’opportunità di differenziazione.