Consulenza o Preventivo Gratuito

Skype e Privacy: profili di sicurezza e legalità

del 06/02/2013

Skype e Privacy: profili di sicurezza e legalità
Skype (oggi proprietà del colosso Microsoft) è senza dubbio uno degli applicativi più noti e più completi ed anche fra quelli più utilizzati per lo scambio di messaggistica istantanea (la cosiddetta chat) sia in forma testuale che con supporto multimediale audio video, inclusa la possibilità di allegare e quindi scambiarsi documenti di vario formato.

In un momento in cui vi è però molta attenzione alla privacy e alla riservatezza, vi è molta discussione in rete ed altrove su quale sia la reale affidabilità di questo applicativo, appunto sotto il profilo della privacy e della riservatezza.

Il problema va esaminato sotto due distinti profili:

1.   Se vi sia il rispetto delle normative sulla privacy sotto il profilo formale;

2.   Se vi sia il rispetto sostanziale sul trattamento dei dati in relazione ai cosiddetti codici di cifratura.

Sotto il primo profilo l’applicativo appare piuttosto in regola ed in armonia anche con le norme italiane in quanto vi è una apposita pagina online (http://www.skype.com/it/legal/privacy/) ove sono comunicati tutti i termini relativi alla privacy;  l’informativa appare completa ed esauriente: vi è anche un accenno alla possibilità di segnalare amici ma questo avviene esclusivamente dietro espressa scelta dell’utente, in modo consapevole e limitatamente all’invio di una email automatica ai nominativi segnalati con richiesta di aderire al servizio.

Quindi non vi sono dati personali, sensibili o meno, che vengano comunicati e recepiti nella rete in modo inconsapevole come descrivevo in un precedente articolo relativo all’applicativo WhatsApp.

Al limite, si potrebbe temere una qualche forma di spamming se l’email di invito, pur dietro suggerimento di altro utente, non è gradita al destinatario.

In ogni caso l’informativa è completata con una lista di tutti i contatti cui rivolgersi per esercitare il diritto di modifica o cancellazione previsto dalla Legge (D.L. 30 giugno 2003, n. 196).

Sotto il secondo profilo le cose vanno un po’ diversamente: è opinione di “Privacy International” che la privacy degli utenti sia a rischio perché i sistemi di sicurezza di Skype non sarebbero adeguati in particolare per la mancanza del supporto al protocollo HTTPS.

In effetti non basta che il produttore di un software recepisca le norme del citato D.L. 30 giugno per essere in regola con la normativa se poi lo strumento reso disponibile, pur tutelato da chi direttamente ne ha l’obbligo, non sia schermato a sufficienza nei confronti di terzi maleintenzionati.

Poiché la materia è piuttosto tecnica e forse anche un po’ ostica, vediamo di fare un esempio: una persona si impegna a consegnare uno scritto contenente dati sensibili ad un’altra persona ed è apparentemente in regola perché sottoscrive un accordo che dichiara che quei dati verranno protetti ma poi l’incaricato lascia il documento incustodito cosicché molte persone possano leggerlo senza problemi: in tal caso l’intenzione è ottima ma l’esecuzione è pessima e comunque insufficiente a soddisfare i requisiti di sicurezza dovuti.

Nel nostro caso, quello di Skype, è prevista una crittografia e cioè i dati dell’utente, i suoi messaggi, le sue immagini ed i suoi allegati, vengono cifrati prima di essere inviati a destinazione e fin qui tutto bene e ciò è anche inevitabile perché è prassi normale quella di criptare un documento da immettere online anche per esigenze di compressione e cioè di ridurre il peso del documento e quindi aumentarne la velocità.

Il punto è che un documento (o meglio una serie o treno di dati) che siano stati criptati… devono poi essere decriptati per poter essere letti, visti o comunque compresi dal destinatario! E qui sorge il problema: il sistema di cifratura adottato da Skype, probabilmente per l’esigenza di proporre un programma semplice e light, è troppo elementare e quindi può essere decifrato non solo dal destinatario ma da chiunque intercetti ed abbia un po’ di capacità informatica.

È esperienza dello scrivente quella di intercettazioni avvenute da parte di Organi inquirenti che inizialmente ritenevano addirittura illegale l’applicativo Skype proprio perché si riteneva impedisse le intercettazioni disposte dall’Autorità Giudiziaria.

Erano stati posti sotto intercettazione alcuni indagati per reati di mafia e droga che, sospettando di essere intercettati telefonicamente, avevano deciso di utilizzare Skype per le loro trattative illecite. In un primo tempo i tecnici della Polizia ritennero indecifrabili i messaggi scambiati ma poi compresero che l’algoritmo era appunto molto semplice e cominciarono ad operare una serie di arresti sulla scorta delle informazioni intercettate; gli indagati si accorsero dell’intercettazione dei messaggi ed allora pensarono di usare contemporaneamente la modalità testuale con quella audiovisiva: col testo scambiavano messaggi del tutto innocenti del tipo “come va la salute di zia?” ma contemporaneamente mostravano alla webcam il vero “pizzino” e cioè un cartello con scritto “ti consegno la merce domani a tale posto”; dopo breve periodo la Polizia iniziò ad intercettare anche i canali multimediali… proprio perché anche tale algoritmo era ed è piuttosto semplice!

Dunque il problema è: è obbligatorio criptare in modalità totalmente schermata per garantire la privacy oppure è vietato criptare in modo così efficace da impedire anche alla Polizia di decifrare?

La risposta alla domanda apparentemente complessa è invece piuttosto semplice: in Italia nessuna norma vieta di scambiare messaggi cifrati mentre è facoltà dell’Autorità pretendere dal gestore di un servizio di avere le chiavi di decriptazione in caso di legittima intercettazione.

Dunque Skype, per essere in regola, dovrebbe prevedere algoritmi di cifratura totalmente schermati ma dovrebbe anche prevedere una procedura che consenta alle Autorità che ne abbiano legale diritto, di acquisire le chiavi di decriptazione con vincolo di segreto nei confronti dell’eventuale indagato.

In un prossimo articolo si darà contezza di altri applicativi che consentono un effettivo rispetto totale della privacy sotto ogni profilo: parleremo degli applicativi Kryptotel e Kryptomail e delle loro specifiche caratteristiche ed anche degli abbinamenti di quelle tecnologie con programmi di uso comune come le messaggistiche OneTeam e Coccinella.

 

 

vota  
Inserendo i miei dati accetto le Condizioni d'uso e il trattamento dati
Voglio ricevere le newsletter di Axélero S.p.A. come specificato nel paragrafo 2b
Voglio ricevere le newsletter di società terze come specificato nel paragrafo 2c
SULLO STESSO ARGOMENTO
iPad come strumento di lavoro

del 14/07/2010

Array Networks Inc, società leader per l’utilizzo sicuro delle applicazioni in azienda, ha lanciato...

In arrivo il Regolamento di attuazione sulla conciliazione

del 20/09/2010

Fa già discutere per alcune carenze e zone d’ombra rilevate dal Consiglio di stato e dal Consiglio n...

Ok alle dichiarazioni rese da teste non individuato

del 21/09/2010

La Corte di cassazione ha legittimato l'operato dei giudici di appello che hanno ammesso la condanna...