In un precedente articolo abbiamo trattato dei problemi di privacy relativi agli applicativi Skype e WhatsApp, concludendo per una certa insicurezza che tali software proponevano.
Le esigenze di privacy e di riservatezza sulle comunicazioni non sono legate solo alla necessità di tutela nella raccolta e conservazione dei dati personali, ma anche e sempre più alla necessità di riservatezza delle conversazioni stesse siano esse di tipo vocale o di tipo testuale.
Diversamente da quanto verrebbe spontaneo di pensare, la necessità ed il diritto alla riservatezza non sono materia di interesse necessariamente per chi commetta fatti illeciti ma invece è un problema di interesse per moltissime altre categorie: un’azienda che debba corrispondere parlando di propri segreti industriali non si sente certo sicura se le sue telefonate o le sue e-mail possono essere facilmente intercettate e decriptate dalla concorrenza ed altrettanta riservatezza desiderano un uomo politico (vedi vicende del nostro ex premier) non meno di un avvocato e, forse ancor più, un tutore della Legge. Cosa succederebbe se le conversazioni fra due Magistrati o fra due poliziotti o fra un avvocato ed il suo cliente divenissero di dominio pubblico?
Diversamente dagli applicativi Skype e WhatsApp, che sono stati concepiti in maniera “stand alone” e cioè integrati in un unico software, vi sono altri programmi che tutelano in maniera assolutamente ermetica la riservatezza, utilizzando come base client sviluppati da terzi e quindi già conosciuti e con i quali l’utente finale ha confidenza.
È il caso di chi ha sviluppato Kryptotel e Kryptomail: il primo funziona utilizzando una delle comunissime App per Iphone o per Android come il client Voip Bria ed il secondo utilizza una delle più note piattaforme per gli accounts email come Thunderbird.
E allora, se gli applicativi su cui si appoggiano i vari Krypto sono già noti e diffusi, dove sta la novità e quali sono i problemi giuridici che si propongono?
È relativamente semplice: tutti i citati applicativi su cui si appoggiano i vari Krypto consentono a sviluppatori terzi di intervenire sui programmi in due maniere: da una parte inserendo chiavi di criptatura e decriptatura sofisticate e dall’altra consentendo che si usino server remoti per il trasporto dei dati!
Per esempio l’applicativo Kryptomail, che gira sul client Thunderbird , sfrutta quest’ultimo ai soli fini dell’interfaccia grafica e di tutte le utilities relative, ma poi propone un sistema di cifratura e decifratura (con RSA 2048 bit) in modo da poter essere letto solo dal mittente e dal destinatario e poi vi è un’ulteriore cifratura con triplo algoritmo di tipo AES, Serpent e Twofish: in parole più semplici la posta, ancor prima di essere spedita viene cifrata, poi ancora cifrata dai server di passaggio e ancora una volta è rielaborata da chi la riceve. Naturalmente tanto il mittente che il destinatario devono conoscere e disporre delle rispettive “chiavi” che sono delle stringhe alfanumeriche particolarmente lunghe ed elaborate.
Se uno dei due corrispondenti non dispone delle chiavi non è in alcun modo possibile decifrare il messaggio che si presenta come una serie di caratteri più illeggibili dell’alfabeto arabo!
La stessa cosa avviene per l'applicativo telefonico che si avvale dello stesso tipo di chiavi di cifratura e consente la comprensione reciproca solo fra soggetti che conoscono le reciproche chiavi.
Inoltre la stessa software-house propone il servizio Krypto-VPN per chi voglia navigare senza esporre in chiaro il proprio indirizzo Ip o per chi voglia accedere e lavorare da remoto sul proprio PC senza che anche altri intrusi possano fare altrettanto.
La società che gestisce tutti questi servizi tutela la riservatezza dei dati nella maniera più efficace: semplicemente non richiede alcun dato se non un indirizzo email anche non associato ad un nominativo reale! Certamente non vi è pericolo di diffusione di dati se questi non vengono mai forniti.
Ma tutto questo è sicuro ed è legale?
Quanto alla sicurezza abbiamo già detto e sperimentato come sia a prova di qualsiasi esperto.
Quanto alla legalità i profili sono più di uno:
Il fatto che la società non richieda alcun dato personale non contrasta alcuna normativa perché vi è obbligo di raccogliere una completa anagrafica solo da parte di chi conceda accesso alla rete: gli applicativi di cui si parla non consentono l’accesso alla rete ma sfruttano quello esistente che ciascun utente ha già acquisito comunicando i propri dati al proprio provider e l’applicativo si limita a criptare i dati che passano su rete di terzi e solo transitano sulla propria per maggior tutela.
Il fatto che la società consenta di effettuare conversazioni, scambio di e-mail e gestione remota del PC in condizioni di non intercettabilità non è da ritenersi illegale in quanto nessuna norma vieta di tutelare i propri dialoghi ed anzi la normativa vigente in Italia prevede come reato e punisce chi intercetta e non chi evita di farsi intercettare; semmai il problema si pone per l’eventuale contrasto con le Forze dell’ordine che legalmente avessero diritto di intercettazione: in questo caso la compagnia che fornisce il servizio sarebbe tenuta a comunicare le famose chiavi a dette Autorità ma questo tutela invece in forma completa da intercettazioni clandestine o illegali.