Lo stesso vale per le conversazioni audio e per le videoconferenze, così come per lo scambio di documenti e file che vengono già protetti in programmi “commerciali” come Whatsapp e Signal. Tutto facile quindi? Non proprio.
La variabile riguarda un aspetto tecnico e in particolare le policy di conservazione dei dati. Partendo, per esempio, dai metadati, cioè quelle informazioni che non riguardano direttamente il contenuto delle comunicazioni, ma alcuni aspetti “collaterali”. Nello specifico, le informazioni (orario della trasmissione, frequenza degli scambi e posizione dei dispositivi coinvolti) riguardanti gli interlocutori. Si tratta di informazioni che, nelle mani sbagliate (per esempio nel caso di un attacco hacker) potrebbero trasformarsi in un vero e proprio problema di sicurezza nazionale.
L’anomalia del settore governativo
Le strategie che gli esperti di cybersecurity raccomandano per garantire la riservatezza delle comunicazioni sono principalmente due: crittografare i contenuti e limitare al minimo le informazioni che vengono conservate.
Sono i principi a cui, per esempio si ispira Signal ed è il motivo per cui, accanto al sistema di crittografia end to end, l’applicazione prevede una rigorosa policy per cui non vengono conservati i metadati relativi alle conversazioni.
Enti governativi e pubblica amministrazione, però, hanno esigenze diverse. Negli Stati Uniti, per esempio, il Dipartimento della Difesa (DoD) ha una serie di regole molto rigide che prevedono la conservazione di tutte le comunicazioni tra i soggetti coinvolti nei processi decisionali.
Oltre che alla necessità di avere a disposizione informazioni utili per le attività degli enti coinvolti, la regola consente anche di garantire una maggiore trasparenza nelle attività del settore pubblico.
Il problema che si pone, di conseguenza, è quello di riuscire a conservare in maniera sicura tutte queste informazioni e, considerato il panorama nel settore digitale, la questione chiama in causa anche il concetto di sovranità dei dati, cioè l’assicurazione che tutte quelle informazioni siano accessibili solo a chi ne ha effettivamente diritto.
L’esempio francese
Un possibile punto di riferimento potrebbe essere Tchap, l’applicazione di messaggistica sviluppata dal governo francese nel 2019 che consente ai funzionari pubblici di comunicare attraverso una piattaforma sicura.
Si tratta di un progetto pressoché identico a quello avviato con la convezione annunciata da Acne Ipzs. Tchap è stato infatti pensato per essere usato da qualsiasi funzionario pubblico (al momento avrebbe 300mila utenti attivi) ed è disponibile sugli store Android e iOS. Unico vincolo: per registrarsi è necessario avere un indirizzo email governativo.
Da un punto di vista tecnologico, inoltre, il sistema messo a punto da Parigi risponde a tutti i requisiti immaginabili per una piattaforma di comunicazione “blindata” come quella su cui stanno lavorando gli esperti italiani.
L’app è basata su Element, un software di messaggistica “aperto” che sfrutta il protocollo open source Matrix e consente di gestire messaggi, chiamate vocali e videochiamate. Utilizza un sistema di crittografia end to end basato su Double Ratchet, lo stesso algoritmo usato da Whatsapp e Signal.
Infine, grazie all’architettura basata su Matrix, la piattaforma permette di avere il controllo completo nella registrazione dei metadati, che possono essere memorizzati e gestiti su server centralizzati o in cloud privato.
Insomma: è probabile che dalle parti dell’Ipzs, in futuro, gli esperti incaricati di mettere a terra il progetto della “chat di Stato” possano guardare all’esempio francese come a un “caso studio” particolarmente interessante.
Fonte : Wired
