EdoardoLimone.com

Cybersecurity e altro ancora...

L’arresto di Pavel Durov

Indice

In queste ore stanno circolando molte informazioni sull’arresto del fondatore del servizio di messagistica Telegram: Pavel Durov. Non tutte queste informazioni sono corrette, proviamo a mettere insieme i fatti e ad affidarci a fonti certe.

Cosa è successo

Pavel Durov è stato arrestato sabato 24 agosto 2024 alle ore 20:00 all’aeroporto di Le Bourget, alla periferia di Parigi. Il suo arresto è legato ad un’indagine giudiziaria avviata l’8 luglio 2024 avviata dalla Sezione J3 – JUNALCO (Juridiction Nationale de Lutte contre la Criminalité Organisée) della Procura della Repubblica di Parigi. Una presentazione ufficiale dei risultati della JUNALCO è disponibile cliccando qui.

La copia inglese della nota rilasciata dal Tribunal Judiciaire de Paris

La nota del suo arresto è stata rilasciata il giorno 26 luglio 2024 nella quale si leggono anche i capi di accusa mossi contro ignoti (questo aspetto è molto rilevante) e di fatti è scritto “This judicial investigation was opened against unnamed“. Al momento Durov è stato arrestato per essere interrogato come chiaramente scritto dalla nota: “I magistrati inquirenti incaricati di questa indagine giudiziaria preliminare hanno chiesto il rinvio congiunto del centro per la lotta contro la criminalità informatica[…] e dell’Ufficio nazionale per la lotta antifrode per lo svolgimento delle indagini. È in questo quadro procedurale che Pavel DUROV è stato interrogato dagli inquirenti.

I capi d’accusa

I capi d’accusa contro ignoti sono 12 e sono veramente molto pesanti. Se ne riporta una traduzione automatica:

  1. Complicità – web-mastering di una piattaforma online al fine di consentire una transazione illegale in un gruppo organizzato,
  2. Rifiuto di comunicare, su richiesta delle autorità competenti, informazioni o documenti necessari per l’effettuazione e l’operatività delle intercettazioni consentite dalla legge,
  3. Complicità – possesso di immagini pornografiche di minori,
  4. Complicità – distribuzione, offerta o messa a disposizione di immagini pornografiche di minori, in gruppi organizzati,
  5. Complicità – acquisizione, trasporto, detenzione, offerta o vendita di sostanze stupefacenti,
  6. Complicità – l’offerta, la vendita o la messa a disposizione, senza un motivo legittimo, di apparecchiature, strumenti, programmi o dati progettati o adattati per ottenere l’accesso e danneggiare il funzionamento di un sistema automatizzato di elaborazione dei dati,
  7. Complicità – frode organizzata,
  8. Associazione a delinquere finalizzata alla commissione di un reato o di un reato punibile con 5 o più anni di reclusione,
  9. Riciclaggio dei proventi derivanti da reati e reati di gruppo organizzato,
  10. Fornitura di servizi di crittografia volti a garantire la riservatezza senza dichiarazione certificata,
  11. Fornire uno strumento di crittografia che garantisca non solo l’autenticazione o il monitoraggio dell’integrità senza previa dichiarazione,
  12. Importazione di uno strumento di crittografia che garantisca l’autenticazione o il monitoraggio dell’integrità senza previa dichiarazione.

Infine è bene riportare che alla fine del testo è scritto:

Il periodo di custodia cautelare è stato prorogato fino al 25 agosto 2024 da un magistrato inquirente e può durare fino a 96 ore (ovvero il 28 agosto 2024) data la procedura applicabile per i reati di criminalità organizzata, come sopra indicato.

La faccenda della “dichiarazione di cifratura”

Tra questi ne spicca uno che ha incuriosito molte persone, il numero 10:

Fornitura di servizi di crittografia volti a garantire la riservatezza senza dichiarazione certificata

Ci si è quindi domandato di quale dichiarazione certificata si stia parlando. Con molta probabilità si potrebbe fare riferimento alla “Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique“. All’articolo 31 della predetta legge ci sono due commi che affermano quanto segue.

I. - La fornitura di prestazioni di crittografia deve essere dichiarata al Primo Ministro. Un decreto in Consiglio di Stato definisce le condizioni in cui viene effettuata tale dichiarazione e può prevedere eccezioni a tale obbligo per le prestazioni le cui caratteristiche tecniche o condizioni di fornitura sono tali che, rispetto agli interessi della difesa nazionale e della sicurezza interna o esterna dello Stato, tale fornitura può essere esentata da qualsiasi formalità preliminare.

II. - Le persone che esercitano questa attività sono soggette al segreto professionale, alle condizioni previste dagli articoli 226-13 e 226-14 del codice penale.



I. - La fourniture de prestations de cryptologie doit être déclarée auprès du Premier ministre. Un décret en Conseil d'Etat définit les conditions dans lesquelles est effectuée cette déclaration et peut prévoir des exceptions à cette obligation pour les prestations dont les caractéristiques techniques ou les conditions de fourniture sont telles que, au regard des intérêts de la défense nationale et de la sécurité intérieure ou extérieure de l'Etat, cette fourniture peut être dispensée de toute formalité préalable.

II. - Les personnes exerçant cette activité sont assujetties au secret professionnel, dans les conditions prévues aux articles 226-13 et 226-14 du code pénal.

Questo essenzialmente significa che:

  1. La crittografia adottata dalle soluzioni informatiche deve essere dichiarata al Primo Ministro quando adottata in soluzioni software francesi.
  2. Si viene esentati solo quando non si ritiene che non ci siano rischi per “gli interessi della difesa nazionale e della sicurezza interna o esterna dello Stato”.

Telegram è un sistema di messaggistica su scala globale nel quale, come è noto, sono condotte anche attività illecite (come quelle specificate tra i capi d’accusa), è ragionevole quindi pensar che l’articolo 31 si attui in pieno. È bene ricordare che la Francia adotta un sistema analogo a quello di altri paesi tra cui gli Stati Uniti con il Foreign Act.

In effetti questo discorso lo si ritrova anche nelle specifiche per la pubblicazione delle app nell’App Store di Apple. In cui si legge che se l’applicazione fa uso di “utilizza algoritmi proprietari di cifratura non inclusi negli standard internazionali (quali ad esempio IEEE, IETF o ITU) // uses proprietary encryption algorithms not accepted by international standard bodies (such as IEEE, IETF, or ITU)” è necessario che lo sviluppatore fornisca ad Apple anche la “French Encryption Declaration” con una nota che dice chiaramente:

Il modulo di dichiarazione di crittografia francese è richiesto solo se stai distribuendo la tua app sull'App Store in Francia

French encryption declaration form is only required if you’re distributing your app on the App Store in France.

Conclusioni

La faccenda di Durov ha incendiato molte discussioni in merito: dall’utilità dell’iniziativa francese, fino a quella legata alla compressione della libertà e del diritto alla privacy. È però indubbio che all’interno di Telegram siano presenti una enormità di attività illecite facilmente accessibili, di recente è stato trattato il caso della violenza su minori.

Nota dell’autore

Mi piacerebbe coinvolgere il lettore in una riflessione “filosofica” che non ha alcuna pretesa di stabilire una verità ma solo di accendere pensieri critici.

Noi italiani (o sarebbe meglio dire europei) percepiamo il diritto individuale come garantito dalla legge. Il caso più importante è quello della proprietà privata o della libera imprenditoria. Sono “sacrosanti diritti” che la persona comune identifica come “individuali”. La legge garantisce “i miei diritti”. Il FISA americano e anche la regolamentazione francese pongono l’accento sul “bene collettivo” di cui spesso ci si dimentica. Prima di tutto c’è il bene collettivo e poi il bene dell’individuo: questo ha spinto il governo americano, dopo l’11 settembre, a rafforzare il FISA voluto inizialmente da Nixon. Non è importante stabilire se ciò sia giusto o sbagliato, per il momento concentriamoci solo su questa possibile interpretazione.

In tal senso la Francia, l’America e le altre nazioni, agirebbero per il bene della collettività in un’ottica di protezione della sicurezza nazionale (interna o esterna). D’altro canto, però, la critica più frequente a questo modello riguarda le modalità con cui sono conservate queste informazioni. La regolamentazione francese chiarisce che le informazioni acquisite dal fornitore della tecnologia, saranno mantenute segrete ma se così non fosse? La questione della compressione dei diritti è semplicemente meravigliosa e non ha una soluzione semplice (quasi mai problemi complessi hanno soluzioni semplici). In questo caso forse si potrebbe anche fare riferimento a quello che i filosofi chiamano aporia ossia un problema che non può essere apparentemente risolto.

Ecco, se il lettore è arrivato fino a questo punto sappia che: questa lotta intestina nel tentativo di bilanciare diritti e obblighi è ciò che fa della democrazia occidentale uno strumento da invidiare. Nella sua imperfezione, nella sua fragilità, è comunque assoggettata ad una continua ricerca di equilibrio e di miglioramento.

Picture of Edoardo Limone

Edoardo Limone

Ha svolto per 12 anni l'attività di consulente direzionale per le principali amministrazioni centrali del Paese, tra cui: Ministero della Difesa, Ministero di Giustizia ma anche per le principali Direzioni Generali dell'Unione Europea su progetti afferenti iniziative per la gestione di infrastrutture critiche. Consulente di Cyber Security nell'analisi di strategie atte a rafforzare consapevolezza e sicurezza tecnica all'interno delle infrastrutture ICT. Per maggiori informazioni leggere questa pagina.