di Andrea Monti (huffingtonpost.it, 25 agosto 2024)
Un lancio di Reuters informa dell’arresto, avvenuto in Francia, di Pavel Durov, fondatore e amministratore delegato di Telegram, con doppia cittadinanza russa e francese. Secondo TF1 il motivo dell’arresto è la mancanza di moderazione dei contenuti, l’omessa cooperazione con le forze dell’ordine e il tipo di strumenti (come criptovalute e numeri telefonici usa e getta) reperibili liberamente sulla piattaforma.
Gli inquirenti francesi hanno ritenuto che, così facendo, Durov non si sia limitato a un omesso controllo ma che sia stato un vero e proprio complice nella commissione dei reati. Non avendo accesso al fascicolo processuale di questa vicenda, e dunque non sapendo se ci siano indizi di coinvolgimento di Durov in fatti determinati, sul merito non è possibile dire di più. Tuttavia, questo caso consente di svolgere qualche riflessione più generale sul tema della responsabilità di Big Tech per il modo in cui progetta device e servizi che controllano la nostra esistenza.
La responsabilità da progettazione
Il problema posto dall’arresto di Durov si riassume in questa domanda: quando un prodotto/servizio viene progettato con determinate caratteristiche, e queste caratteristiche consentono di commettere o impedire l’accertamento di un reato, chi le ha decise è corresponsabile degli illeciti penali che sono commessi tramite questi prodotti/servizi?
Alcuni precedenti
Per quanto riguarda gli Stati Uniti, il precedente più rilevante è senz’altro lo scontro risalente al 2016 tra Apple e Fbi a proposito del rifiuto di Apple di cooperare nell’accesso a un iPhone utilizzato dagli autori della strage di San Bernardino. Anche in questo caso, infatti, il nodo della questione era sostanzialmente lo stesso: Apple rifiutò di cooperare con gli investigatori sostenendo che l’iPhone era progettato by default in modo da non consentire di essere craccato e che dunque non poteva far nulla. Ma Apple non si fermò qui perché, in una lettera ai propri utenti, Tim Cook dichiarò esplicitamente che non avrebbe accettato la richiesta dell’Fbi di installare una backdoor negli iPhone.
Apple non subì conseguenze giudiziarie da questa scelta, mentre ebbe una sorte drammaticamente diversa Encrochat, un sistema di messaggistica cifrata diffuso ampiamente (se non esclusivamente) nel mondo criminale europeo e smantellato da un’indagine franco-olandese. I cosiddetti Encro-Phones non si limitavano a far girare applicazioni per scambiare messaggi e chiamate cifrate tramite una rete di server proprietari, ma erano anche modificati fisicamente con la rimozione di Gps e porte-dati, in modo da rendere ancora più difficile il compito delle autorità investigative. Anche in questo caso, dunque, siamo di fronte a una scelta consapevole e deliberata del produttore di un device e/o del fornitore di un servizio che si traduce nella messa a disposizione di strumenti che non consentono, o rendono più difficile, compiere indagini di polizia.
Il limite giuridico alla sicurezza di un prodotto/servizio
Per quanto il Diritto sia l’arte della tetrapilia, nel caso della responsabilità da progettazione è abbastanza difficile spaccare il capello in quattro per cercare differenze fra queste vicende. Tutte, infatti, sono accomunate dalla consapevolezza o meno dei vertici sulle conseguenze delle scelte assunte nella progettazione di prodotti e servizi messi a disposizione degli utenti finali.
In termini penalistici, tuttavia, le cose sono più complesse perché di base la responsabilità riguarda fatti specifici commessi consapevolmente. Quindi, venendo al pratico, nel caso delle piattaforme e dei produttori di hardware bisognerebbe dimostrare il coinvolgimento diretto e volontario di specifiche persone che hanno deliberatamente fatto in modo di agevolare la commissione di reati, senza poter stabilire automaticamente la responsabilità di un dirigente o di un amministratore delegato.
Il nodo da sciogliere
Fuori da ogni ipocrisia, dunque, il dilemma è chiaro: se è consentito mettere in circolazione ciò che ostacola il controllo da parte dello Stato, allora bisogna accettare l’esistenza di servizi di anonimizzazione totale, di sistemi progettati per essere impenetrabili ai tentativi di accesso non autorizzato a prescindere da chi (delinquenti o forze di polizia) li voglia commettere, e il diritto di non cooperare con l’autorità giudiziaria. Oppure tutto questo è vietato, e dunque punito, e di conseguenza bisogna accettare cose come backdoor hardware e software, crittografia indebolita, Vpn gestite in modo da consentire l’acquisizione del traffico in chiaro, abolizione di password e altri sistemi di autenticazione, obbligo di cooperazione generalizzato e via discorrendo.
Nel primo caso, dunque, nessuno dovrebbe essere sanzionato. Ma nel secondo tutti (tutti, nessuno escluso) dovrebbero essere puniti.
Le soluzioni (teoricamente) possibili e le conseguenze per l’ecosistema digitale
Una sanzione penale per la responsabilità da progettazione di prodotti e servizi che agevolano la commissione di reati o ne ostacolano l’accertamento non esiste (perlomeno, non ancora). È chiaro, tuttavia, che se venisse adottata sconvolgerebbe l’intero ecosistema digitale perché implicherebbe la predisposizione di un potentissimo e capillare sistema di sorveglianza di massa nella disponibilità, innanzitutto, di Big Tech, cui sarebbe anche delegato il controllo delle persone ma soprattutto quello sulle indagini di polizia.
Per quanto distopica possa sembrare questa prospettiva, qualche avvisaglia sulla presenza di una soluzione del genere si è già manifestata negli Usa, dove i fornitori di servizi di piattaforma sono tenuti a controllare i contenuti memorizzati dagli utenti e a informare indirettamente le autorità competenti della presenza di contenuti illeciti; e nella Ue, dove il client-side scanning è un’opzione tutt’altro che accantonata. Quali che siano le scelte adottate, un fatto è abbastanza chiaro: la diffusione ubiqua dei servizi di piattaforma, di messaggistica individuale e dei relativi sistemi di sicurezza hanno amplificato il numero e l’intensità dei fenomeni criminali al punto in cui la repressione (termine usato nel senso tecnico del Codice Penale) è oggettivamente insufficiente e non funzionale.
Ma se l’alternativa è la prevenzione tecnologica (nella forma del controllo anche in tempo reale di tutto ciò che accade), allora i produttori di device, i gestori delle piattaforme e gli utenti devono essere costretti a operare con modalità analoghe a quelle praticate nei regimi caratterizzati da democrazia ad assetto variabile.
Una prospettiva del genere è senz’altro disturbante e difficile da accettare anche per chi non vive la dimensione complottistica e anti basata sulla paranoia del doversi difendere dallo Stato, che, a prescindere, controlla tutto e tutti. Nello stesso tempo, però, fa esplodere tutte le contraddizioni di un concetto di democrazia costruito sulla inviolabile separazione fra Stato e dimensione individuale del cittadino, ma che per essere preservata richiede l’annullamento di questo confine.