Luca Sacchi e la fidanzata Anastasiya Kylemnyk comunicavano usando Signal, l’app sicura e cifrata per scambiare messaggi e telefonate. Questo è il dettaglio emerso il 4 dicembre dalle carte dell’inchiesta sull’omicidio del 24enne, la cui morte ha svelato un retroscena di traffici illeciti e minacce nella Capitale. E come spesso succede in questi casi, il mezzo diventa bersaglio di critiche e speculazioni, alimentando l’indignazione dei commentatori e dei salotti televisivi. L’equazione sembra semplice ed efficace: se hai bisogno di inviare messaggi cifrati devi avere qualcosa da nascondere. Ma davvero l’utilizzo di Signal dovrebbe essere automaticamente causa di sospetti verso chi lo utilizza? Per prima cosa, è necessario capire di cosa si tratta.
Lanciata nel 2014, l’app offre un sistema di messaggistica del tutto simile nelle sue funzioni di base a quello di Whatsapp e Telegram, di cui è il meno fortunato concorrente. Se infatti è nota la quantità di utenti che usano i due celebri servizi – rispettivamente 1,6 miliardi e 200 milioni di utenti (fonte: Statista) -, Signal scompare addirittura dai radar delle app di messaggistica più quotate, tra le quali si annoverano anche Facebook Messenger, WeChat e Snapchat.
Tuttavia, il successo di Signal non è da trascurare, soprattutto da quando è diventato celebre grazie all’endorsement pubblico del whistleblower Edward Snowden, noto per aver rivelato la macchina globale di sorveglianza del governo statunitense. Delle sue prese di posizione pubbliche, la più memorabile è probabilmente un tweet pubblicato nel novembre del 2015, nel quale l’informatico e attivista per la privacy ha dichiarato: “Uso Signal tutti i giorni. #AppuntiperlFbi (Spoiler: loro ne sono già al corrente”).
Messaggio che mal cela una sfida all’agenzia investigativa federale statunitense e ai loro tentativi di intercettare le comunicazioni dell’attivista, che vive in Russia dal 2013 in conseguenza alle sue rivelazioni. Se una lista di persone che hanno qualcosa da nascondere dev’essere fatta, senz’altro in questa figurerebbe proprio Snowden, i cui contatti potrebbero esporre le persone con cui comunica e che potrebbero essere oggetto di sorveglianza per il solo fatto di averci parlato.
Ma circoscrivere il bisogno di privacy alle esigenze di attivisti e giornalisti – così come a quelle di spacciatori e criminalità organizzata – potrebbe essere un grave errore. “Sostenere che non ti importi del diritto alla privacy solo perché non hai nulla da nascondere non è diverso da dire che non ti importa della libertà di espressione perché non hai nulla da dire”, argomentava Snowden a riguardo.
Le app a protocollo end-to-end encryption
Contrariamente a quanto hanno pensato molti commentatori, Signal non è l’unica app che fornisce la possibilità di proteggere una conversazione. Il riferimento è ai protocolli di “end-to-end encryption”, ovvero di cifratura del messaggio da un dispositivo mittente a uno ricevente. Questo tipo di protocollo fa sì che il messaggio venga cifrato – reso non intelligibile – al momento dell’invio, utilizzando una chiave che lo rende decifrabile solo dal dispositivo ricevente. Chiunque intercetti il contenuto della comunicazione, senza essere in possesso delle chiavi dei due dispositivi, non può conoscerne il contenuto. Ed è esattamente la stessa procedura che utilizzano Whatsapp e Telegram (quest’ultimo solo nella sua funzione di chat privata e non di default).
Dunque perché attaccare Signal e non le altre due, peraltro molto più utilizzate? La maggiore garanzia fornita da Signal risiede nel modo in cui è prodotta e sviluppata la app.
A differenza di Whatsapp – di proprietà di Facebook – e di Telegram, il codice sorgente di Signal è interamente pubblico e consultabile da chiunque. Questo vuol dire che non solo Signal garantisce un meccanismo di cifratura end-to-end, ma che permette a chiunque di verificare che all’interno del software non siano nascoste delle backdoor, cioè degli errori di codice (voluti o meno) che potrebbero permettere a un attaccante di aggirarne le funzioni di sicurezza. Inoltre, due dispositivi connessi tramite Signal hanno la possibilità di confrontare i rispettivi codici: un meccanismo che permette di fare una seconda verifica sul fatto che il sistema di cifratura stia effettivamente lavorando nel modo corretto.
Sono state numerose le prese di posizione pubbliche e televisive contro l’uso di Signal in relazione all’omicidio di Luca Sacchi. Alcuni hanno fatto riferimento al fatto che l’uso di un meccanismo che impedisce di intercettare le conversazioni dovrebbe essere fuori legge in un Paese civile, dal momento che impedirebbe di condurre indagini serie.
Tuttavia, questo tipo di considerazioni arrivano proprio in seguito alla pubblicazione del contenuto di quelle chat: evidentemente la procura è riuscita a leggerle nonostante fossero assicurate al servizio di messaggistica. In questo caso il bilanciamento tra il diritto alla privacy e il dovere di condurre un’indagine trova il suo naturale equilibrio nella facoltà dell’autorità giudiziaria – e solo in questo caso – di disporre una verifica sul telefono, dal quale è possibile estrarre le informazioni. Pratica che peraltro avviene sia avendo accesso fisico al dispositivo, come nel caso di Luca Sacchi, sia tramite l’utilizzo dei cosiddetti captatori informatici, cioè di software a disposizione delle procure che permettono di estrarre il contenuto di un dispositivo o di porlo sotto intercettazione attivandone microfoni e videocamere.
Strumenti delicati, il cui utilizzo è permesso legalmente solo dalla magistratura inquirente o dai servizi segreti. Contestualmente, alcuni sono convinti che le chat criptate servano solo a chi ha qualcosa da nascondere. Eppure, argomentava Snowden, la privacy non è legata solo al bisogno di celare, quanto al diritto di essere padroni della propria sfera personale. Ambito che negli ultimi quindici anni si è legato sempre di più alla convivenza con il mondo dei dati.
Cifrare una comunicazione permette di mettere al sicuro le proprie credenziali bancarie o di non far sapere all’operatore e al fornitore di un servizio il contenuto delle nostre comunicazioni. Esattamente come abbassare una serranda impedisce a una persona non autorizzata di sapere cosa succede dentro la nostra abitazione. Ma si tratta di limiti aggirabili, purché questo avvenga con le garanzie previste dalla legge: una perquisizione in casa o l’utilizzo di un software d’intercettazione.
Meno garantisti sono i regimi che impediscono l’esercizio della privacy come diritto: è il caso degli Emirati Arabi Uniti, citati nei salotti televisivi quale esempio di buon governo in quanto impediscono l’accesso a Whatsapp o ad altre app che garantiscono la cifratura end-to-end. Eppure la monarchia assoluta non manca mai nei rapporti di Amnesty International sulle violazioni dei Diritti Umani.
E proprio a Dubai, come in Egitto, Oman e Qatar, la fondazione che sviluppa Signal ha dovuto predisporre dei sistemi in grado di aggirare il blocco al download dell’app, dopo che ne è stato vietato l’utilizzo. Alla diffusione della cifratura end-to-end si oppone con maggior successo l’Iran, nel quale neanche la buona volontà della fondazione che sviluppa Signal ha ancora potuto far nulla. Ma come sempre, è questione di tempo.