Crittografia e diritto

Transcript

1 Giovanni Ziccardi Crittografia e diritto Crittografia - suo utilizzo e disciplina giuridica - documento informatico e firma digitale - segretezza delle informazioni e sorveglianza globale Introduzione di Andrea Monti

2

3 Giovanni Ziccardi Crittografia e diritto Crittografia - suo utilizzo e disciplina giuridica - documento informatico e firma digitale - segretezza delle informazioni e sorveglianza globale Contributi di Valentina Apruzzi, Alessandro Arnone, Nicola Lucchi, Sarah Mosole, Alessandro Nori, Luciano Paglia, Pierluigi Perri, Elisa Tomasi. Introduzione di Andrea Monti

4 Indice PARTE PRIMA - LE PROBLEMATICHE Capitolo Primo IL CONTROLLO DELLA TECNOLOGIA CRITTOGRAFICA E DELLA SUA ESPORTAZIONE 1. Le problematiche. 2. I settori d impiego della crittografia e gli utilizzatori della stessa. 3. La crypto controversy. 4. Il rapporto tra industria e Governo. 5. La tutela della privacy delle comunicazioni e dei dati dell individuo. 6. Le fasi di sviluppo della politica crittografica. 7. Il controllo delle esportazioni di tecnologia crittografica. 8. L evoluzione della qualificazione dei prodotti crittografici. 9. L alleggerimento dei controlli. 10. Accordi sulla politica crittografica, azioni legislative e politiche. 11. La politica crittografica in Italia e l Aipa. Capitolo Secondo CRITTOGRAFIA, SMARTCARD, CRITTOANALISI 1. Alcune considerazioni tecnico-giuridiche, introduttive e terminologiche in tema di crittografia. 2. Le smartcard. 3. La crittoanalisi. PARTE SECONDA - CRITTOGRAFIA, POLITICA, NORMATIVA E DIRITTO Capitolo Terzo CRITTOGRAFIA, FIRMA DIGITALE E DOCUMENTO INFORMATICO 1. Crittografia e firma digitale come garanzia di validità del documento informatico. 2. La firma digitale: la certificazione. 3. I soggetti certificatori: requisiti, obblighi e responsabilità. 4. La mancata garanzia di interoperabilità tra certificatori. 5. Firma digitale e sottoscrizione autografa. 6. La firma digitale autenticata e la marcatura temporale. 7. Il documento informatico.

5 8. Il valore giuridico del documento informatico. 9. La contestazione del documento informatico. Capitolo Quarto CRITTOGRAFIA E DIVIETI NELL UTILIZZO DI PARTICOLARI TECNICHE DI SICUREZZA 1. Un primo inquadramento delle problematiche nel panorama mondiale. 2. Il COCOM, primi cenni. 3. Il Wassenaar Arrangement, primi cenni. 4. La situazione giuridica europea. 5. La situazione giuridica italiana. Capitolo Quinto CRITTOGRAFIA E QUADRO NORMATIVO 1. Le fonti sovranazionali: un introduzione. 2. Aspetti giuridici del COCOM. 3. Aspetti giuridici del Wassenar Arrangement. 4. I principi fondamentali della Convenzione di Wassenaar. 5. Lo scambio delle informazioni. 6. I requisiti di ammissione. 7. L Assemblea Plenaria del Dicembre 2001 e gli orientamenti attuali. 8. La UN Security Council Resolution n del La politica dell OECD. 10. L inventario dei controlli sulla crittografia messo a punto dall OECD. Capitolo Sesto L'APPROCCIO NORMATIVO DEI SINGOLI ORDINAMENTI NAZIONALI 1. Gli Stati Uniti d America. 2. Il caso Clipper. 3. La politica del National Research Council. 4. I tentativi di liberalizzazione. 5. L Electronic Data Security Act del L attuale orientamento del governo americano. 7. Il Computer Security Enhancement Act H.R La politica dell'unione Europea. 9. Il Regolamento del La Decisione. 11. La Comunicazione del L'attuale orientamento normativo comunitario. 13. La procedura per il rilascio dell autorizzazione.

6 14. Altre iniziative d origine europea. 15. La Convenzione sui crimini informatici. 16. I singoli ordinamenti. 17. La Francia 18. La Germania. 19. L Italia. 20. I Paesi Bassi. 21. La Svezia. Capitolo Settimo 1. Le finalità. 2. La control list. 3. Le procedure. 4. Il coordinamento tra gli Stati. 1. Il Regolamento. 2. Le disposizioni generali. 3. L ambito di applicazione. 4. L autorizzazione d esportazione. 5. Le procedure doganali. 6. La cooperazione amministrativa. 7. Le misure di controllo. 8. Le disposizioni comuni e finali. IL WASSENAAR ARRANGEMENT Capitolo Ottavo IL REGOLAMENTO N. 3381/94 Capitolo Nono IL REGOLAMENTO N DEL Le premesse. 2. L oggetto e le definizioni. 3. L ambito di applicazione. 4. L autorizzazione d esportazione. 5. L aggiornamento dell elenco dei prodotti a duplice uso. 6. La cooperazione amministrativa. 7. Le misure di controllo. 8. Le disposizioni generali e finali. Capitolo Decimo LA LEGGE 9 LUGLIO 1990, N. 185

7 1. Le disposizioni generali. 2. Gli organismi di coordinamento e di controllo. 3. L autorizzazione alle trattative. 4. L autorizzazione all importazione, esportazione e transito. 5. Gli obblighi delle imprese. 6. Le sanzioni. 7. Le disposizioni finali e transitorie. Capitolo Undicesimo CRITTOGRAFIA E FUNZIONI DELLA NATIONAL SECURITY AGENCY 1. La National Security Agency. 2. La struttura della National Security Agency. 3. L organizzazione e le funzioni della National Security Agency. 4. L avvento delle nuove tecnologie. Capitolo Dodicesimo 1. Il Clipper Chip. 2. L Escrowed Encryption Standard. 3. L Operazione Shamrock. 4. Il funzionamento del Clipper Chip. 5. Clipper Chip e privacy. IL CLIPPER CHIP PARTE TERZA - CRITTOGRAFIA E CASI GIUDIZIARI Capitolo Tredicesimo 1. Crittografia e casi giudiziari 2. Il caso Bernstein IL CASO DI DANIEL BERNSTEIN Capitolo Quattrodicesimo IL CASO DI PHIL ZIMMERMANN 1. I fatti. 2. L intervento della Electronic Frontier Foundation. 3. Il caso Zimmermann. 4. La fine del procedimento.

8 Capitolo Quindicesimo IL CASO DI DMITRY SKLYAROV 1. Il Digital Millenium Copyright Act e la crittografia 2. Il caso Sklyarov 3. Il DMCA in rapporto alla normativa europea: considerazioni. Capitolo Sedicesimo Il caso DeCSS 1. Introduzione. 2. I precedenti sulla legge sul diritto d autore negli Stati Uniti d'america. 3. I recenti sviluppi nella vicenda Deccs: DVD Copy Control Ass. v. Andrew Bunker. 4. Conclusioni. PARTE QUARTA - CRITTOGRAFIA, DIRITTI DI LIBERTA E SORVEGLIANZA GLOBALE DELL INDIVIDUO Capitolo Diciassettesimo CRITTOGRAFIA E SORVEGLIANZA GLOBALE 1. Il progetto Platform. 2. Le reazioni internazionali al caso Echelon: i rapporti del Parlamento Europeo. 3. Il Progetto P Il sistema di intercettazione Echelon. 5. Echelon ed Internet: lo spionaggio della posta elettronica. 6. Dentro ad Echelon: il sistema dei dizionari. 7. Il sistema dei dizionari ed il controllo delle informazioni. 8. Il progetto Enfopol. Capitolo Diciottesimo CRITTOGRAFIA, SORVEGLIANZA GLOBALE E PRIVACY 1. Le accuse ad Echelon. 2. Echelon e privacy negli Stati Uniti d America. 3. Echelon e l Unione Europea. 4. La compatibilità tra Echelon e la legislazione dell Unione Europea. 5. La Convenzione Europea per la Salvaguardia dei Diritti dell Uomo e delle Libertà Individuali.

9 6. L Articolo 8 della Convenzione Europea per la Salvaguardia dei Diritti dell Uomo e delle Libertà Individuali e le attività dei servizi di intelligence. 7. Alcune considerazioni. 8. Conclusioni. PARTE QUINTA - CRITTOGRAFIA, DIRITTO D AUTORE E COMMERCIO ELETTRONICO Capitolo Diciannovesimo CRITTOGRAFIA E SISTEMI DI PROTEZIONE DEL DIRITTO D AUTORE 1. Lo scenario e la rilevanza giuridica delle misure tecnologiche di protezione. 2. Il marchio digitale (digital watermarking). 3. Alcune considerazioni tecniche. 4. I servizi di watermarking. 5. Altri sistemi di protezione. 6. I sistemi di protezione del Dvd. Capitolo Ventesimo CRITTOGRAFIA, DIRITTO D AUTORE E COMMERCIO ELETTRONICO: I SISTEMI DI DIGITAL RIGHT MANAGEMENT 1. Tratti salienti dei modelli di distribuzione on-line di contenuti. 2. Le soluzioni adottate. PARTE SESTA - CRITTOGRAFIA E SICUREZZA Capitolo Ventunesimo CRITTOGRAFIA E SICUREZZA 1. Introduzione. 2. Informazione e comunicazione. 3. Cifratura dell informazione ed analisi dei rischi. 4. Sicurezza in cifratura simmetrica e asimmetrica. 5. Sicurezza = crittografia? Il progetto Tempest. 6. I keyboard sniffers. 7. Sicurezza e certificazione. 8. La sicurezza dei sistemi e dei prodotti. 9. Sicurezza Informatica e Sicurezza Nazionale. 10. Le funzioni dell Autorità Nazionale di Sicurezza (ANS) e dell Ufficio Centrale per la Sicurezza (UCSi).

10 Capitolo Ventiduesimo CRITTOGRAFIA E SICUREZZA DEI PROTOCOLLI DI RETE 1. Crittografia e protocolli di rete sicuri. 2. Protocollo IP (Internet Protocol) e sicurezza. 3. Crittografia e protocollo SSL (Secure Socket Layer).

11 Hanno contribuito alla redazione del Volume i dottori Valentina Apruzzi (Capitoli Quinto e Sesto), Alessandro Arnone (capitoli Trerdicesimo, Quattordicesimo e Quindicesimo), Nicola Lucchi (Capitolo Sedicesimo), Sarah Mosole (capitoli Diciannovesimo e Ventesimo), Alessandro Nori (capitoli Undicesimo, Dodicesimo, Diciassettesimo e Diciottesimo), Luciano Paglia (capitolo Ventunesimo), Pierluigi Perri (capitoli Quarto e Ventiduesimo), Elisa Tomasi (capitolo Terzo). Giovanni Ziccardi è Professore Associato di Informatica Giuridica presso la Facoltà di Giurisprudenza dell Università Statale di Milano. Avvocato, pubblicista e saggista, è Autore di decine di pubblicazioni in tema di diritto e nuove tecnologie e di un Romanzo, 'Occhi nella Rete' (Modena, 1999). Direttore della Rivista Scientifica 'Ciberspazio e Diritto', è Chairman della Italian Cyberspace Law Conference.

12

13 Alla piccola Sofia. Che la vita ti sorrida. "Stella mi disse di aver capito in quel momento che in ciascuno di noi c'è come l'anelito a gridare al mondo la verità, a qualsiasi costo. O a distruggersi." Patrick McGrath, Follia, Adelphi, Milano, 1998, p. 65.

14 Introduzione Quando l amico Giovanni Ziccardi mi ha chiesto di scrivere l introduzione alla sua ultima fatica scientifica sono stato, nello stesso tempo, onorato per la scelta e preoccupato per l impegno che mi si chiedeva di assumere. L oggetto della ricerca, lo studio dei rapporti fra crittografia e diritto è, infatti, un tema tanto 'gettonato', quanto 'maltrattato' dalla letteratura giuridica italiana, che se ne occupa spesso non sempre, per la verità in modo superficiale e tecnicamente poco avvertito (basti pensare al diffuso errore concettuale di chi, occupandosi di firma digitale, si ostina a pensare che il documento informatico sia cifrato). In breve: siamo di fronte a un esercito di archeologi che non ha mai visto uno scavo. Non è questo il caso del Volume che avete fra le mani che, al contrario, si caratterizza per rigore scientifico e analisi delle fonti. Invece di 'ispirarsi' ad autori che citano autori, Giovanni Ziccardi si rivolge direttamente a chi a vario titolo è stato effettivamente coinvolto nelle vicende documentate nel testo. Come dimostra la bibliografia che, pur tenendo conto di quanto pubblicato in Italia, evidenzia numerosissimi elementi di novità. Non stupirebbe, fra qualche tempo, trovare gli stessi titoli citati autonomamente a piene mani nelle prossime pubblicazioni. Ciò premesso, parliamo dei contenuti. La prima parte analizza sotto un profilo squisitamente politico la nascita e l evoluzione della quaestio crittografica per poi passare alla disamina degli aspetti tecnici e definitori della materia. Segue l analisi della (purtroppo prevedibilmente) confusa situazione normativa italiana sulla firma digitale e sul documento informatico, per poi aprirsi al panorama internazionale con il dotto excursus relativo al trattato di Wassenaar e alla struttura, ruolo e funzione politico giuridica della statunitense National Security Agency (di fatto, il controllore più o meno occulto dell evoluzione normativa che coinvolge la crittografia). Per non lasciare nel lettore una sensazione di astrattezza e, tutto sommato, di alterità della materia, la terza parte forse la più interessante è dedicata alla ricognizione di alcune vicende giudiziarie statunitensi che sono diventate dei veri e propri leading cases e che affrontano, da varie angolazioni, il rapporto tra i diritti civili e il potere dello Stato. Così, il caso del Dr. Bernestein, un matematico accusato di avere violato la normativa sulla esportazione di crittografia per avere discusso in Rete i contenuti di un sistema di cifratura elaborato dallo stesso, evidenzia il serio problema delle inaccettabili limitazioni alla libertà della ricerca scientifica da parte dello Stato La vicenda di Phil Zimmermann, invece, prima tratto a giudizio per avere messo a disposizione dei cittadini un robusto software crittografico (PGP) e, poi, liberato da ogni accusa (grazie anche, si dice, al non indifferente peso politico del MIT), enuncia nitidamente il tema, di sicuro interesse per i cultori del

15 diritto costituzionale, del difficile bilanciamento fra il diritto dell individuo a proteggere la propria riservatezza e quello dello Stato a tutelare gli interessi della collettività. Il nocciolo della questione è, in primo luogo, se al cittadino deva essere consentito l impiego di strumenti crittografici (la risposta non è affatto scontata visto che in Francia, per molti anni, la crittografia era regolamentata in modo estremamente rigoroso e penalizzante per i citoyen ). E in secondo luogo, decidere quanto robusti (cioè resistenti a tentativi di effrazione) questi sistemi dovrebbero essere. Orbene: PGP è un software tuttora considerato estremamente refrattario alla crittanalisi e l averlo reso disponibile anche al di fuori dei confini statunitensi (questa l accusa contro Zimmermann) metteva in pericolo gli interessi della nazione. Grazie a PGP, infatti, le attività di intercettazione e di indagine delle tante law enforcement agency americane sarebbero state grandemente pregiudicate. Ma è veramente accettabile una tesi del genere? Sospesa la risposta, passiamo alla vicenda di Dmitry Sklyarov, accusato di avere elaborato un sistema per aggirare le protezioni crittografiche degli e-book (i libri elettronici) prodotti dalla Adobe (notissima azienda che opera nel settore della grafica computerizzata). Qui si discute se l autore abbia o meno il diritto di limitare arbitrariamente le modalità di fruizione dell opera tutelata (anche tramite strumenti crittografici) a chi ne abbia legittimamente acquistato l uso. Come si vedrà, passando dalla teoria alla pratica la risposta è tutt altro che scontata. Chiude la rassegna il caso DeCSS (il sistema che consente la regionalizzazione dei DVD), veramente esemplare dell ampiezza dei problemi giuridici legati all uso della crittografia. Sotto accusa è un programmatore svedese colpevole si dice - di avere aggirato queste protezioni per realizzare un software per la lettura dei DVD funzionante con il sistema operativo Linux. Le questioni sul tappeto (a parte quella sulla giurisdizione) riguardano innanzi tutto la protezione del diritto all indipendenza della ricerca scientifica (che non è tale solo quando si svolge nei santuari istituzionali o aziendali) e, quindi il diritto (articolazione della libertà di espressione) di scambiare liberamente informazioni tecniche quando lo scopo non è delittuoso. L indagine casistica non si ferma, però, alle vicende giudiziarie e continua ricostruendo quelle che hanno caratterizzato la scoperta del sistema di intercettazione globale chiamato Echelon e la costituzione di un omologo europeo di nome Enfopol. Alla ricognizione fattuale si affianca inoltre quella normativa, con l analisi della compatibilità di questi strumenti con l ordinamento giuridico europeo e internazionale a salvaguardia dei diritti dell uomo. Chiudono il ponderoso lavoro i capitoli sul rapporto fra crittografia, diritto d autore e commercio elettronico e quelli dedicati alla sicurezza informatica. La vastità dei temi trattati caso abbastanza raro nei libri di diritto - non inficia la fruizione e anche gli argomenti più eterogenei si reggono grazie a salde strutture d assieme che guidano il lettore attraverso percorsi altrimenti capaci di disorientare. Potranno giovarsi della consultazione di questo volume il cultore di diritto (non solo) costituzionale che troverà enunciati in termini rigorosi i problemi

16 più attuali legati alle molteplici applicazioni della crittografia. Gli operatori del diritto (avvocati o magistrati) che dovessero trattare, nella quotidianità del foro, casi giudiziari relativi a queste materie. E infine last but not least gli studenti che potranno mettere alla prova, leggendo questo volume, le cognizioni acquisite nel corso degli studi giuridici. Il consiglio finale è di comprarne più di una copia. La continua consultazione, infatti, porterà velocemente alla consunzione delle pagine. Pescara, 10 settembre 2002 Andrea Monti amonti@unich.it

17 PARTE PRIMA LE PROBLEMATICHE

18

19 Capitolo Primo IL CONTROLLO DELLA TECNOLOGIA CRITTOGRAFICA E DELLA SUA ESPORTAZIONE SOMMARIO: 1. Le problematiche. 2. I settori d impiego della crittografia e gli utilizzatori della stessa. 3. La crypto controversy. 4. Il rapporto tra industria e Governo. 5. La tutela della privacy delle comunicazioni e dei dati dell individuo. 6. Le fasi di sviluppo della politica crittografica. 7. Il controllo delle esportazioni di tecnologia crittografica. 8. L evoluzione della qualificazione dei prodotti crittografici. 9. L alleggerimento dei controlli. 10. Accordi sulla politica crittografica, azioni legislative e politiche. 11. La politica crittografica in Italia e l Aipa. 1. Le problematiche. Uno degli effetti immediati della nascita della nuova società dell informazione e della sua diffusione su scala mondiale intendendo come nuova società dell informazione quell insieme di tecnologie informatiche e telematiche, aziende e persone che le utilizzano è stato quello di fare in modo che sempre più persone si affidassero all informazione e, soprattutto, confidassero in questa in tutti i suoi aspetti. L informazione è diventata, allora, il centro dell attività lavorativa, dell entertainment, della vita quotidiana, ed è venuta a costituire un elemento essenziale ed imprescindibile per la vita della società stessa. Questa centralità dell informazione anche in settori delicati da un punto di vista giuridico si pensi al settore pubblico, non solo nei rapporti coi privati e col cittadino ma, anche, nel rapporto tra pubblico e pubblico - ha ben presto sollevato problemi di sicurezza. Si parla, nel mondo tecnologico, di information, computer and network security: in poche parole, sicurezza (ovvero, in estrema sintesi: confidenzialità, integrità e disponibilità) dell informazione, dei computer e delle reti che trasportano l informazione stessa. Sicurezza intesa, soprattutto, come salvaguardia da

20 possibili effetti esterni che possano compromettere l essenza dell informazione stessa 1. L information security è diventata materia di studio anche per i giuristi: viene studiata nella computer and network forensics, nell analisi della tutela della privacy, nel diritto penale dell informatica, nella contrattualistica. Di questa vasta area di studio che è l information security, la crittografia che possiamo definire, in primis, come l arte e la scienza delle scritture segrete, ha assunto un ruolo centrale, quasi vitale 2. La crittografia, in sé, non è una scienza nuova, anzi. È antica come l arte stessa di scrivere, è utilizzata da secoli come mezzo per tenere segrete le comunicazioni, ha visto grande fortuna nel settore dell intelligence, nella diplomazia, in periodo di guerra. Quello che però interessa, in questo Volume, è quella parte della vita della crittografia che si è unita e fusa alle nuove tecnologie. Sono molti gli studiosi che vedono l inizio di una 'nuova era' nelle scritture segrete e nelle modalità per nascondere le comunicazioni nel momento esatto in cui la scienza crittografica si è incontrata con le macchine elettroniche. In sostanza, l informatica ha fornito un boost ha potenziato come non mai l utilizzo della crittografia stessa. Oggi un utente comune, nemmeno troppo esperto, può utilizzare la tecnologia crittografica per autenticare utenti di computer e di reti, per proteggere la confidenzialità e l integrità delle comunicazioni elettroniche e per mantenere informazioni sensibili sicure e archiviate. Il passaggio è stato netto: da scienza per pochi, da tecnologia tenuta segreta, soprattutto in campo militare e governativo, grazie all informatica la crittografia è diventata una tecnologia chiave per la società dell informazione 3. Volendo dare una indicazione temporale precisa, un giovane e valente studioso, Bert-Jaap Koops, in una sua opera, fa risalire l inizio di un interesse su larga scala nei confronti della crittografia più o meno all'anno 1994, quando si registra un espansione notevole dovuta a Internet, all electronic banking e alla diffusione delle transazioni elettroniche. Koops nota, poi, come, verso il 1998, la crittografia sia già diventata una tecnologia comune senza che la gente lo sappia, e gran parte della popolazione la utilizzi senza saperlo (come nella tecnologia telefonica cellulare GSM). Accanto a questo utilizzo involontario della crittografia, una larga parte degli utilizzatori di computer inizia a servirsene volontariamente, soprattutto nel caso delle , o ordinando beni on-line. La crittografia si diffonde, poi, anche nella information security e nel mondo criminale 4. 1 Questo rapporto tra evoluzione della nuova società dell informazione e necessità di security è delineato con chiarezza da B.-J. KOOPS, The Crypto Controversy A Key Conflict in the Information Society, Kluwer Law International, 1999, p Testo di riferimento, in Italia, sia da un punto di vista giuridico sia da un punto di vista politico e tecnologico-terminologico è C. GIUSTOZZI, A. MONTI, E. ZIMUEL, Segreti, spie e codici cifrati, Apogeo, La democratizzazione della crittografia e la sua diffusione su larga scala, ad apannaggio anche degli utenti comuni, è documentata da BERT-JAAP KOOPS, The Crypto Controversy, cit., in esordio di Volume. 4 Cfr. B.-J. KOOPS, The Crypto Controversy, cit., p. 1.

21 2. I settori d impiego della crittografia e gli utilizzatori della stessa. I settori di utilizzo della crittografia sono diversi. Posto che la crittografia è soprattutto utilizzata, nell area giuridica che ci interessa, per salvaguardare dati e per garantire che siano integri, non ripudiabili, autentici e confidenziali, sono molte le applicazioni possibili. In molti casi, inoltre, la crittografia è l unico modo per salvaguardare effettivamente l informazione. Koops, nella suo Volume, divide tre soggetti che possono essere interessati nell utilizzazione e, de facto, utilizzano la crittografia nella vita quotidiana. Tali soggetti sono: 1. I Providers; 2. Il Governo; 3. Altri utenti. I network providers, nota Koops, possono incorporare un utilizzo anche intenso della tecnologia crittografia nei loro network al fine di assicurare che tutte le informazioni trasferite su quelle reti, sia verso l esterno, sia all interno, siano sicure da intercettazione, furto o alterazione. Una cifratura cosiddetta link by link assicura infatti che, in tutti i nodi attraversati dalle informazioni, la massa di informazioni che passerà circola cifrata. Ad esempio, la nuova versione del protocollo Ip, Ipv6, prevede l'incorporazione dello standard crittografico DES nella struttura stessa del network. Con riferimento al trasporto dei dati, si può incorporare anche il Secure Socket Layer, SSL, per facilitare comunicazioni sicure tra le parti che comunicano attraverso Internet. Anche il protocollo ISDN, inoltre, ha la possibilità di incorporare la crittografia nella tecnologia di comunicazione stessa. Koops ricorda, poi, come il più importante network ad incorporare la crittografia nella sua struttura sia stato SWIFT, il network finanziario internazionale che deve, per forza maggiore, essere protetto a causa del numero enorme di transazioni che avvengono e del loro ammontare. I provider, fa notare ancora lo studioso, confidano nella tecnologia crittografica anche per aumentare la fiducia degli utenti: ecco perché, a volte, la crittografia viene incorporata nei browsers, con certificati e comunicazioni che vengono automaticamente criptate. I provider possono, poi, proteggere la privacy dei propri clienti grazie a sistemi crittografici e possono usare questa tecnologia anche per le comunicazioni mobili e per proteggere la proprietà intellettuale di determinati prodotti, così come per la editoria on-line e la gestione elettronica dei contenuti 5. Accanto all utilizzo da parte dei provider, l Autorità governativa, per tradizione, è stata quella che più ha utilizzato la crittografia, ed è anche stata quella più interessata a rompere i codici crittografici. Il Governo, vedremo, la utilizza nei servizi diplomatici, nella intelligence, negli affari militari, nei memoranda interni, ma anche per gestire registri personali, per proteggere le comunicazioni intra governative, per cifrare linee di comunicazione critiche (ad esempio quella tra la CIA e l Interpol). Viene anche 5 Cfr. B.-J. Koops, The Crypto Controversy, cit., p. 49 ss.

22 usata nel settore pubblico, nella comunicazione tra cittadini e Stato, anche per prevenire crimini, mantenendo il testo o il documento sicuro 6. Infine, vi sono utilizzi vari, sia individuali sia in ambiente societario e commerciale. Ad esempio, nelle applicazioni finanziarie e nelle transazioni, che devono essere in ogni momento sicure. Si pensi all home banking, attività che sta diventando sempre più popolare, ai pagamenti on-line con carta di credito, al tentativo di evitare la intercettazione di numeri di carta di credito. La crittografia viene poi utilizzata per garantire la privacy dell individuo. Può salvare la vita a persone coinvolte in attività correlate ai diritti umani, a membri di gruppi dissidenti, in Stati con Governi che monitorizzano illegalmente le comunicazioni. Senza contare che la crittografia è importante per la connessione con il mondo esterno, e per la connessione ai network pubblici, oltre che per difendersi da attacchi La crypto controversy. Ben presto, nel panorama politico e giuridico che ruota attorno alla crittografia, nasce il problema della cosiddetta crypto controversy, ovvero di come bilanciare, a livello di regolamentazione statale, gli interessi confliggenti di privacy e di information security da un lato, e gli interessi di sicurezza nazionale e di applicazione delle leggi dall altro. Sono cinque, secondo Koops, gli studi nazionali sulla questione della crittografia che danno orgine alla crypto controversy, ovvero al dibattito politico, giuridico e sociale su larga scala su queste questioni. Il primo studio ha origine in Australia, prende il nome di Walsh Report, e viene rilasciato e reso pubblico nei primi mesi del 1997 dopo una pressione notevole di Electronic Frontier Australia. Molte sezioni di questo documento non sono state pubblicate per motivi di sicurezza, ma la parte pubblicata si presenta come una analisi profonda di questi temi nel contesto Australiano. In Canada, la Task Force sul commercio elettronico e le questioni correlate ha rilasciato un paper di discussione chiamato A Cryptography Policy Framework for Electronic Commerce nel febbraio del 1998, che elenca diverse opzioni con riferimento alla cifratura di dati archiviati, cifratura delle comunicazioni in tempo reale e controlli delle esportazioni. 6 B.-J. KOOPS, The Crypto Controversy, op. cit., p. 52. Nella stessa pagina Koops riporta un interessante esempio di utilizzo della tecnologia crittografica nel mondo giuridiario-criminale. La bozza di Dutch Computer Crime Act II prevedeva un uso della crittografia per sequestrare od attaccare informazioni che il giudice vuole togliere dalla disponibilità di qualcuno, ad esempio materiale pornografico con minori (uso che si può paragonare al tradizionale sequestro di proprietà). Se il sequestro del mezzo che trasporta l informazione non è proporzionato, si può cifrare l informazione sul disco del possessore, così che l informazione diventa improvvisamente fuori portata della persona coinvolta, sempre che non ne abbia un altra copia, e successivamente, ad esempio al termine della indagine, l informazione può tornare al legittimo proprietario decifrandola. 7 B.-J. KOOPS, The Crypto Controversy, op. cit., p

23 In Danimarca uno dei primi report nazionali sulla crittografia è una collezione di articoli del 1995 del Technology Council, A Danish Crypto Policy. How to keep digital information secret?. A questo ha fatto seguito un report più elaborato dal titolo Report by the Expert Committee on Cryptography rilasciato nell aprile del 1997 dai rappresentanti di sette ministeri, che suggeriva di non introdurre regolamentazione della crittografia in Danimarca e la possibilità di introdurre, al contrario, incentivazioni all'utilizzo della stessa. Nel giugno del 1998 l expert committee ha rilasciato un report che raccomandava di monitorare gli sviluppi internazionali e che non limitava l uso della crittografia. In Svezia, un report dell ottobre 1997 del Cabinet Office Reference Group for Cryptographic Issues si intitola Crypto Policy: possibile courses of action for Sweden e si occupa di ampie parti delle problematiche sulla crittografia e sulla firma digitale. Questo studio raccomanda l uso libero della crittografia e si occupa anche del problema del deposito delle chiavi. Negli Stati Uniti d'america nel 1994 la Association for Computer Machinery pubblica Codes, keys, and conflicts, Issues in U.S. Crypto Policy, che è il primo studio approfondito pubblicato e contenente un'analisi del problema di grande valore tecnico e scientifico. Nel 1996 il National Research Council, con membri del Governo, dell industria e del mondo universitario, pubblica Cryptography s role in securing the information society, che viene considerato da molti il miglior report disponibile, e che contiene utili suggerimenti su come non vietare o limitare l uso personale della crittografia e alleggerire, ma non eliminare, i controlli delle esportazioni Il rapporto tra industria e Governo. Ripercorrendo la storia politica e giuridica delle tecnologie crittografiche, appare subito evidente un rapporto non sempre lineare tra mondo industriale (soprattutto, ovviamente, industria tecnologica) e Governo (intendendo come governo, in questo contesto, tutti quegli enti, quelle Autorità facenti capo al pubblico, che hanno il potere di regolamentare determinati aspetti tecnologici della società 9. Quando è iniziata l era della comunicazione elettronica, la situazione, per l osservatore esterno, era molto semplice: la tecnologia crittografica (encryption), intesa come quella tecnica che permette di proteggere le informazioni rendendole non intelleggibili attraverso determinati procedimenti (di cui il più comune è lo scrambling), era appannaggio esclusivo del Governo. I motivi di questo monopolio governativo di fatto su questa tecnologia erano diversi, e si possono suddividere in: a) questione di costo; b) questione di 8 B.-J. KOOPS, The Crypto Controversy, op. cit. p Tale evoluzione è magistralmente riassunta in W. DIFFIE, S. LANDAU, The Export of Cryptography in the 20 th Century and the 21 st, technical report, october 2001, report number TR Su Internet all indirizzo (sito e documento consultati il 15 maggio 2002).