L’Organizzazione delle Nazioni Unite (ONU) sta lavorando a una nuova Convenzione sul crimine informatico per salvaguardare i cittadini dai cyber criminali e al contempo la loro privacy. In stallo i negoziati per difendere i diritti digitali dalla sorveglianza intrusiva proposta da molti Stati, che usano la nuova convenzione come un cavallo di Troia per un pugno duro contro i diritti digitali, la libertà di espressione su internet e la riservatezza delle comunicazioni.
Da mesi, infatti, le lunghe trattative sulla convenzione si sono incagliate proprio sul dilemma tra privacy e reato informatico. L’Unione europea ha un approccio molto difensivo sulla privacy, mentre Cina, Iran e Stati Uniti sono più disposti a passarci sopra, a diverso titolo. E queste distanze, che faticosamente la mediazione di altre cancellerie cerca di azzerare, peseranno ancora di più a fine agosto quando a New York è in programma il prossimo round di discussioni delle Nazioni unite con l’obiettivo di giungere a una prima bozza dell’accordo.
Come spiegano dall’Iniziativa globale contro il crimine organizzato transnazionale, l’ONU punta a chiudere il trattato nei primi mesi del 2024, mandando “in pensione” la Convenzione di Budapest, l’attuale accordo internazionale che regola la risposta al cybercrime.
Definire i crimini informatici
Il nodo del contendere è il capitolo IV del futuro trattato che riguarda la cooperazione internazionale. “È considerato da molti il capitolo più importante”, ha osservato a Wired Karine Bannelier, direttrice del Grenoble Alpes Cyber Security Institute e osservatrice dei negoziati. La ragione riguarda gli accordi sulla cooperazione a regolare lo scambio di prove e indizi tra i firmatari. È all’interno di questo perimetro che si individuano quali sono i crimini informatici per cui gli Stati sono tenuti a collaborare gli uni con gli altri. “Rappresenta una grossa sfida per la protezione dei diritti fondamentali – osserva Bannelier –, in particolare per la protezione della privacy o dei dati personali”. Gli Stati sono notoriamente affamati di dati e usare la sicurezza come “grimaldello” è un’occasione che fa molto gola non solo per Russia, Cina, paesi arabi, africani e gruppo di Caraibi, a favore di mani libere online ma anche gli Stati Uniti e la stessa Unione europea, i cui componenti spingono per misure intrusive al loro interno.
Al momento i negoziati su quando condividere le prove si sono arenati su tre opzioni. La prima proposta: in ogni caso di reato, ossia, in sostanza, non ci sono paletti allo scambio di informazioni. La seconda opzione limita la cooperazione ai crimini previsti dalla convenzione; una lista predefinita e condivisa dalle parti. La terza opzione di un gruppo di negoziatori, ossia collaborare solo in caso di “crimini gravi” (quelli puniti con la detenzione di almeno quattro anni) e inseire una serie di condizioni per rifiutarsi di collaborare.
Controllo sulle chat
Un punto cruciale affinché il negoziato si sblocchi riguarda la decisione circa quali reati inserire nella convenzione, punto ancora in stallo. “Tutti gli Stati concordano che debbano includere i crimini che dipendono dalle infrastrutture cibernetiche – dice Bannelier -. Tuttavia, Russia, Cina e altri stati vogliono inserire una lunga serie di reati abilitati dalla dimensione cyber”. Si tratta di una serie di crimini che possono essere compiuti anche in forma analogica, come una truffa, ma che internet rende ancora più dannosi.
Gli Stati sono concordi a inserire gli abusi su minori nella lista. La stessa Unione europea, d’altronde, ha in discussione un regolamento, denominato Chatcontrol, che deroga alle regole sulla privacy per dare alle piattaforme di comunicazioni digitali, come Whatsapp e Messenger, accesso alle chat private per tre anni alla ricerca di abusi sessuali online su minori su incarico di un’autorità nazionale. Wired Uk ha ottenuto un documento che mostra come la Spagna, per esempio, sia a favore di un blocco alla crittografia end-to-end (un sistema di comunicazione cifrata attraverso cui solo le persone che stanno comunicando tra di loro hanno accesso ai messaggi) per spianare la strada ai controlli.
Su altri nodi, invece, le divisioni sono più marcate e le possibilità che le proposte diventino realtà sono minori. Ad esempio, nel caso della maggior parte dei “crimini potenziati a livello cyber – spiega Bannelier – o perché già coperti da altri strumenti o a causa dell’impatto negativo sul diritti umani”, oppure di proposte per criminalizzare la diffusione di false informazioni, l’incitamento ad attività sovversive o reati connessi all’estremismo. Idee avanzate da paesi autocratici come Cina e Russia, che dietro la maschera del cybercrime vogliono nascondere un attacco alla libertà di espressione.
La faglia della privacy
Ad allontanare l’accordo è anche la frattura tra Stati Uniti e Unione europea sul tema della privacy. I 27 componenti dell’Ue hanno sostenuto l’inserimento di un articolo dedicato alla protezione dei dati, utile anche a “giustificarsi” con il Garante della privacy comunitario, che ha ammonito le cancellerie di non firmare alcun trattato che contraddica i principi del Gdpr. Tuttavia, ha rifiutato la proposta un’inedita intesa tra Cina, Russia e Stati Uniti. In particolare, Washington, ha riferito Bannelier, ha rigettato la proposta “perché non ha il mandato di negoziare una intera convenzione sulla protezione dei dati”. Il Regno Unito ha proposto una mediazione, inserendo principi come “i dati personali sono analizzati in modo legale e trasparente” e “non possono essere usati per scopi che sono incompatibili con quelli per cui sono stati trasferiti”.
Si vedrà se queste formule saranno sufficienti ad appianare le divergenze tra Washington e Bruxelles, che, ha commentato l’esperta, è chiaro “che stiano cercando di raggiungere un accordo su questo aspetto fondamentale”. Hanno bisogno del reciproco sostegno per controbilanciare gli assalti dell’asse russo-cinese. Secondo Bannelier “ci sono ancora troppe incertezze e divergenze per stabilire se le discussioni stanno andando nella direzione giusta o in quella sbagliata”.
Infine ma non meno importante, il mondo dell’attivismo digitale è preoccupato dalla china deviante su cui la convenzione può scivolare, “arrivando a legittimare un potere di sorveglianza intrusiva che invade le vite private delle persone e viola i loro diritti”, ha osservato Katitza Rodriguez, responsabile politiche per la privacy globale della Electronic frontier foundation (Eff), una fondazione che tutela i diritti digitali. Le fa eco Raman Jit Singh Chima, che per l’organizzazione Access Now è responsabile dell’area cybersecurity a livello globale: “Qualsiasi trattato delle Nazioni unite sul cybercrime deve renderci più sicuri, non meno. Un aspetto chiave di questa cornice legale internazionale dovrebbe occuparsi delle persone coinvolte nella cybersecurity, come ricercatori di sicurezza, formatori, ma anche giornalisti. Sfortunatamente, la nostra idea è che il testo attuale, se non fortemente migliorato, potrebbe di fatto renderci meno sicuri. Non fornire protezione legale ai ricercatori è un errore che la comunità globale di cybersecurity non può permettersi”.
https://www.wired.it/article/privacy-onu-convenzione-cyber-crime-sicurezza/