Backdoor: CEDU e privacy

Backdoor: la Corte Europea sferra un colpo in favore della privacy

La crittografia è un pilastro della privacy digitale e non può essere sacrificata per esigenze di sorveglianza. Backdoor: CEDU e privacy

È questo il messaggio – forte e chiaro – che la Corte Europea dei Diritti dell’Uomo (CEDU) ha inviato con una sentenza storica che ha dichiarato illegale l’accesso governativo ai messaggi crittografati.

La sentenza sulla privacy

Il caso in esame riguardava un utente russo di Telegram che si opponeva alle leggi russe che imponevano la conservazione dei dati degli utenti per sei mesi, la memorizzazione dei metadati per un anno e la decrittazione delle conversazioni su richiesta delle autorità.

La CEDU ha stabilito che queste leggi violano l’articolo 8 della Convenzione Europea sui Diritti dell’Uomo, che tutela il diritto alla privacy.

Backdoor: cos’è e come la legge la regolamenta in Italia e nel mondo

Le backdoor, note anche come porte fantasma, sono vulnerabilità informatiche intenzionalmente inserite in software o hardware.

Queste falle di sicurezza consentono a hacker e malintenzionati di accedere a un sistema informatico senza autorizzazione, aggirando le normali procedure di autenticazione.

La backdoor rappresenta una grave minaccia per la sicurezza informatica di privati, aziende e istituzioni.

Cosa sono le backdoor, come funzionano e come la legge le regolamenta in Italia, Europa, Stati Uniti e Russia?

Cos’è una backdoor?

Una backdoor è un accesso nascosto a un sistema informatico. Può essere una porzione di codice software, un’anomalia hardware o una configurazione errata che consente di bypassare le normali procedure di sicurezza.

Come funzionano le backdoor?

Le backdoor possono essere utilizzate in diversi modi:

• Per accedere a un sistema informatico senza autorizzazione
• Per rubare dati sensibili
• Per installare malware
• Per prendere il controllo del sistema informatico

Quali sono i rischi delle backdoor?

Le backdoor possono avere diverse conseguenze negative:

• Furto di dati sensibili
• Danni al sistema informatico
• Interruzione dei servizi
• Perdita di reputazione

Le implicazioni della sentenza emessa dalla CEDU in tema di privacy

Sebbene la sentenza si concentri solamente sulla legislazione russa, le sue implicazioni si estendono ben oltre i confini nazionali. La CEDU ha sancito un principio fondamentale: la crittografia è un diritto fondamentale e non può essere sacrificato per esigenze di sicurezza.

L’articolo 8 della Convenzione Europea per la Salvaguardia dei Diritti dell’Uomo e delle Libertà Fondamentali (CEDU): il diritto al rispetto della vita privata e familiare

L’articolo 8 CEDU tutela il diritto al rispetto della vita privata e familiare, del domicilio e della corrispondenza.

Ecco i diritti specifici garantiti dall’articolo 8 CEDU:

• Diritto alla vita privata: Protegge la sfera personale dell’individuo, includendo la riservatezza dei dati personali, la libertà di scelta in materia di relazioni personali e la libertà di autodeterminazione.
• Diritto alla vita familiare: Protegge la famiglia come unità fondamentale della società, garantendo il diritto di vivere in famiglia e di mantenere relazioni con i propri familiari.
• Diritto al domicilio: Protegge il diritto di vivere in un luogo sicuro e inviolabile, libero da intrusioni arbitrarie.
• Diritto alla corrispondenza: Protegge la riservatezza delle comunicazioni private, sia in forma scritta che telematica.

L’articolo 8 CEDU non è un diritto assoluto e può essere soggetto a limitazioni.

Le limitazioni devono essere previste dalla legge e devono essere necessarie per la sicurezza nazionale, la pubblica sicurezza, la prevenzione dei reati, la protezione della salute o dei diritti e delle libertà altrui nonché essere proporzionate al fine perseguito. La Corte Europea dei Diritti dell’Uomo (CEDU) ha sviluppato una ricca giurisprudenza in materia di articolo 8 CEDU, fornendo indicazioni su come interpretare e applicare questo diritto.

Un passo avanti per la privacy

La decisione della CEDU rappresenta una vittoria significativa per i difensori della privacy e della sicurezza in tutto il mondo. In un’epoca di crescente sorveglianza governativa, la Corte ha tracciato una linea netta a difesa della privacy digitale.

La battaglia continua

Tuttavia, la battaglia per la crittografia è tutt’altro che conclusa. Governi e agenzie di intelligence continueranno a cercare modi per aggirare la crittografia e ottenere l’accesso ai dati degli utenti. La sentenza della CEDU serve da monito per tutti i governi che tentano di indebolirla.

La sentenza della CEDU è un passo avanti fondamentale nella tutela dei diritti e delle libertà online di tutti. È un chiaro segnale che la crittografia è un diritto fondamentale che non può essere violato. Tuttavia, è importante rimanere vigili e continuare a lottare per la privacy e la sicurezza digitale.

Legislazione italiana sulle backdoor

In Italia, le backdoor sono illegali.

Con la legge n. 547/93, il legislatore è infatti intervenuto in diverse direzioni, punendo nuove – per l’epoca – forme di aggressione, ed in particolare quelle alla riservatezza dei dati e delle comunicazioni informatiche, quelle all’integrità dei dati e dei sistemi informatici, nonché le condotte di falso in relazione ai documenti informatici e le frodi informatiche.

Una delle più importanti novità della Legge n. 547/93 è proprio l’art. 615 ter c.p., nato con lo scopo di contrastare il fenomeno crescente delle violazioni di dispositivi informatici e telematici.

L’art. 615 ter c.p. punisce chiunque abusivamente si introduce in un  sistema informatico o telematico protetto da misure di sicurezza o vi si mantiene contro la volontà chi ha il diritto di escluderlo.

La pena è della reclusione fino a tre anni e, a determinate condizioni, fino a cinque anni (otto anni in casi di sistemi militari o di interesse pubblico).

Art. 617-bis c.p.: intercettazione, impedimento o intralcio delle comunicazioni telematiche

La legge n. 238 del 23 dicembre 2021, intitolata “Delega al Governo per la riforma del codice penale, in attuazione dell’articolo 11 della legge 23 giugno 2017, n. 103” ha introdotto il comma 2 dell‘articolo 617-bis c.p. il quale avrebbe dovuto sopperire ad alcune problematiche tra cui la tutela della privacy e la riservatezza delle comunicazioni telematiche ed il contrasto alla criminalità informatica.

L’articolo 617-bis (già esistente in una prima versione sin dal 1974) punisce chiunque intercetti, impedisca o intralci le comunicazioni telematiche con pene che, nei casi più gravi, possono arrivare fino a cinque anni.

Cosa significa?

In parole semplici, questa legge vieta di:

• Intercettare le comunicazioni telematiche, ovvero leggere o ascoltare messaggi o telefonate senza il consenso delle persone coinvolte.
• Impedire le comunicazioni telematiche, ovvero ostacolare o bloccare l’invio o la ricezione di messaggi o telefonate.
• Intralciare le comunicazioni telematiche, ovvero disturbare o rallentare la trasmissione di messaggi o telefonate.

Orientamento su intercettazione e interruzione di comunicazioni

La Cassazione, con la sentenza n. 15071/2019, ha confermato l’orientamento giurisprudenziale in materia di reati informatici, in particolare in relazione al delitto di cui all’art. 617 bis c.p. (intercettazione o interruzione di comunicazioni telematiche).

Secondo la Cassazione, ai fini della configurabilità del reato di cui all’art. 617 bis c.p., è sufficiente la mera installazione di apparecchiature idonee ad intercettare o interrompere comunicazioni telematiche. Non è necessario, quindi, che l’intercettazione o l’interruzione delle conversazioni si verifichi effettivamente.

Altre norme che possono essere applicate alle backdoor sono:

• L’articolo 615 quater del codice penale: Intercettazione illecita di comunicazioni informatiche o telematiche.
• L’articolo 617 ter del codice penale: Danneggiamento informatico.

Legislazione europea sulle backdoor e la CEDU

La Direttiva europea sulla sicurezza delle reti e dei sistemi informativi (NIS) richiede agli Stati membri di adottare misure per proteggere le infrastrutture critiche da attacchi informatici. Non menziona specificamente le backdoor, ma le include implicitamente come una delle minacce da cui le infrastrutture critiche devono essere protette.

La Direttiva NIS mira a migliorare la sicurezza informatica degli Stati membri dell’UE. Essa richiede agli Stati membri di adottare misure per identificare, gestire e notificare gli incidenti informatici.

Regolamento generale sulla protezione dei dati (GDPR): Il GDPR tutela la privacy degli individui e disciplina il trattamento dei dati personali. Le backdoor possono essere utilizzate per raccogliere dati personali senza il consenso degli utenti, violando il GDPR.

Convenzione di Budapest sulla criminalità informatica: La Convenzione di Budapest è un trattato internazionale che mira a combattere la criminalità informatica. Essa contiene diverse disposizioni che possono essere applicate alle backdoor, tra cui l’articolo 32, che punisce l’accesso illegale a un sistema informatico.

Norme nei singoli paesi europei, alcuni esempi:

• Germania: La legge tedesca sui sistemi informatici e telematici (Telemediengesetz) vieta l’installazione di backdoor senza il consenso dell’utente.
• Francia: La legge francese sulla sicurezza informatica (Loi relative à la sécurité et à la lutte contre le terrorisme) punisce l’installazione di backdoor con la reclusione fino a due anni.

Legislazione americana sulle backdoor

Negli Stati Uniti, le backdoor non sono illegali a livello federale. Tuttavia, alcune leggi statali le vietano.

Ad ogni modo, diverse normative possono essere applicate a questo tema, tra cui:

• Computer Fraud and Abuse Act (CFAA): Il CFAA punisce l’accesso non autorizzato a un sistema informatico. La legge non menziona esplicitamente le backdoor, ma esse possono essere considerate un accesso non autorizzato ai sensi del CFAA.
• Electronic Communications Privacy Act (ECPA): L’ECPA disciplina l’intercettazione delle comunicazioni elettroniche. La legge non menziona esplicitamente le backdoor, ma esse possono essere utilizzate per intercettare le comunicazioni elettroniche in violazione dell’ECPA.
• National Security Agency (NSA): La NSA è un’agenzia di intelligence americana che ha utilizzato backdoor per raccogliere dati di intelligence. L’utilizzo di backdoor da parte della NSA è stato oggetto di controversie e dibattiti.

Alcuni stati americani hanno adottato leggi specifiche sulle backdoor, ad esempio:

• California: Il California Consumer Privacy Act (CCPA) vieta alle aziende di installare backdoor sui dispositivi dei consumatori senza il loro consenso.
• Maryland: Il Maryland Cybersecurity Act richiede alle aziende di adottare misure per proteggere i propri sistemi informatici dalle backdoor.

Legislazione russa sulle backdoor e la CEDU

In Russia, le backdoor sono legali se utilizzate dalle forze dell’ordine o dai servizi segreti. La legge russa “Sulle attività di intelligence” autorizza le agenzie di intelligence a utilizzare “misure tecniche” per ottenere informazioni.

In particolare, la Legge federale n. 374-FZ del 6 luglio 2016 è stata introdotta per rafforzare la sicurezza informatica e contrastare il terrorismo.

La stessa, obbligava i fornitori di servizi di messaggistica istantanea a:

• Decifrare le comunicazioni degli utenti su richiesta delle autorità competenti.
• Conservare i metadati degli utenti per un periodo di sei mesi.
• Fornire alle autorità l’accesso ai propri sistemi informatici.

Ed ancora, con il Decreto del Governo n. 1468 del 31 dicembre 2018 sono state specificate le modalità di attuazione della legge n. 374-FZ. Il Decreto obbligava i fornitori di servizi di messaggistica istantanea a installare backdoor sui propri sistemi. Le backdoor dovevano essere conformi agli standard tecnici stabiliti dal FSB (Servizio federale per la sicurezza della Federazione Russa).

Ecco alcuni punti chiave da ricordare in tema di privacy:

• La CEDU ha dichiarato illegale l’accesso governativo ai messaggi crittografati.
• La crittografia è un pilastro della privacy digitale e non può essere sacrificata per esigenze di sorveglianza.
• La sentenza della CEDU è una vittoria significativa per i difensori della privacy e della sicurezza.
• La battaglia per la crittografia è tutt’altro che conclusa.
• È importante rimanere vigili e continuare a lottare per la privacy e la sicurezza digitale.

Approfondimenti: Leggi la sentenza completa della CEDU (in lingua inglese)

Come proteggersi dalle backdoor?

Alcuni consigli utili su come proteggersi dalle backdoor:

• Utilizzare software e hardware affidabili
• Installare aggiornamenti di sicurezza regolari
• Utilizzare password complesse e univoche
• Effettuare backup regolari
• Avere un antivirus aggiornato

Come possiamo essere utili in qualità di avvocati penalisti: lo Studio Legale AMP

Lo Studio Legale AMP vanta una comprovata esperienza nel diritto penale, offrendo un’assistenza legale completa e altamente qualificata in tutti gli ambiti del diritto penale, sia sostanziale che processuale.

In particolare, possiamo essere utili in qualità di avvocati penalisti nei seguenti casi:

• Difesa in caso di reati contro la persona: omicidio, lesioni personali, minacce, stalking, violenza domestica.
• Difesa in caso di reati contro il patrimonio: furto, rapina, truffa, appropriazione indebita, ricettazione.
• Difesa in caso di reati contro la pubblica amministrazione: corruzione, concussione, peculato, falso.
• Difesa in caso di reati informatici: hacking, cyberbullismo, pedopornografia, violazione della privacy.
• Difesa in caso di reati in materia di stupefacenti: spaccio, detenzione, produzione di sostanze stupefacenti.
• Assistenza alle vittime di reato: presentazione di querele e denunce, costituzione di parte civile nel processo penale.

Lo Studio Legale AMP si impegna a fornire ai propri clienti un’assistenza legale personalizzata e di elevata qualità, basata su un rapporto di fiducia e reciproca collaborazione.

Ecco alcuni dei motivi per cui scegliere lo Studio Legale AMP

• Esperienza e competenza: I nostri avvocati vantano una comprovata esperienza nel diritto penale e una profonda conoscenza della materia.
• Professionalità e dedizione: Ci impegniamo a fondo per tutelare i diritti e gli interessi dei nostri clienti con professionalità e dedizione.
• Disponibilità e ascolto: Siamo sempre disponibili ad ascoltare le esigenze dei nostri clienti e a fornire loro il supporto necessario.
• Trasparenza e onestà: Garantiamo ai nostri clienti un rapporto chiaro e trasparente.

Se hai bisogno di assistenza legale in materia penale, lo Studio Legale AMP è a tua disposizione per offrirti una consulenza personalizzata e un supporto completo.