Agosto è certamente finito col botto per chi si occupa di piattaforme, con l’arresto, in gran parte inaspettato, di Pavel Durov, 39enne fondatore della app Telegram.
In estrema sintesi la vicenda: il cofondatore di origine russa (ma con passaporto anche emiratino, francese e di Saint Kitts and Nevis) della piattaforma di messaggistica (ormai quasi un social media) è stato arrestato mentre scendeva dal suo jet privato in Francia.
Rimasto in custodia della polizia per 24 ore, poi prolungate a 96, è stato infine rilasciato mercoledì 28 agosto, dopo essere stato messo formalmente sotto accusa con una serie di capi d’imputazione ancora vaghi ma che sembrano concentrarsi sull’idea che Telegram non collabori abbastanza a fronte di inchieste su specifiche attività criminali che si svolgono sulla piattaforma.
Durov ha ottenuto la libertà su cauzione (di 5 milioni di euro), non potrà lasciare la Francia e dovrà presentarsi a una stazione di polizia due volte alla settimana.
Francia ed Europa
Le norme europee non c’entrano nulla con la vicenda, e sebbene sia piuttosto evidente, dei portavoce della Commissione si sono sentiti in dovere di specificarlo. A muoversi è la Francia e la procura di Parigi.
“La quasi totale assenza di risposta di Telegram alle richieste giudiziarie è stata portata all’attenzione della sezione criminalità informatica (J3) del tribunale nazionale della criminalità organizzata (JUNALCO) presso la procura di Parigi, in particolare dall’ufficio nazionale per i minori (OFMIN)”, è scritto in un comunicato della procura (che contiene la lista di capi d’accusa).
Tutto nasce nel febbraio 2024 quando il tribunale di Parigi apre un’inchiesta preliminare e incarica l’OFMIN di condurre l’indagine. Il Centro per la lotta contro la criminalità informatica (C3N) e l’Ufficio nazionale antifrode (ONAF) hanno successivamente preso in carico l’inchiesta.
Secondo quanto riportato da Politico, i primi problemi di Durov partono da un’indagine separata incentrata su abusi sessuali su minori in cui un sospettato avrebbe usato Telegram per adescare ragazze minorenni minacciando di diffondere CSAM (Child Sexual Abuse Material) sui social media e rivelando anche uno stupro.
Ma alle richieste delle autorità francesi per identificare il sospettato, Telegram non avrebbe dato risposta, dando luogo così a un’indagine preliminare sulla sua riluttanza a collaborare con le forze dell’ordine su una questione penale.
Anche se l’Europa non c’entra con l’indagine francese, potrebbe metterci il carico a breve, in virtù del DSA, il Digital Services Act. Da febbraio la nuova legge obbliga tutte le piattaforme nell’UE a proteggere gli utenti online da contenuti illegali e dannosi. Ma quelle con più di 45 milioni di utenti attivi mensili in Europa sono soggette a obblighi più stringenti e sono regolamentate direttamente dalla Commissione (invece che dalle autorità nazionali).
Telegram, nel mirino proprio per le sue funzioni da social media (con gruppi e canali da migliaia di utenti), era finora sfuggita alle maglie più strette poiché a febbraio ha dichiarato di avere solo 41 milioni di utenti nei 27 Paesi dell’UE. E a fare da controllore dovrebbe essere l’autorità di telecomunicazioni belga, BIPT. Ma la Commissione avrebbe dubbi al riguardo.
“In base al Digital Services Act (DSA) dell’Ue – scrive il Financial Times – Telegram avrebbe dovuto fornire un numero aggiornato questo mese, ma non l’ha fatto, dichiarando solo di avere “significativamente meno di 45 milioni di utenti (recipients) attivi medi mensili nell’UE”.
L’incapacità di fornire i nuovi dati pone Telegram in violazione del DSA, hanno dichiarato due funzionari dell’UE, aggiungendo che è probabile che l’indagine dell’Unione europea scopra che il numero reale è superiore alla soglia per le “piattaforme online molto grandi”. Tale designazione comporta maggiori obblighi di conformità e di moderazione dei contenuti, di auditing da parte di terzi e di condivisione obbligatoria dei dati con la Commissione europea”.
Crittografia
I capi di imputazione citano anche due norme sull’importazione e fornitura di servizi/strumenti di crittografia, per le quali mancherebbe della documentazione (dichiarazione di conformità).
A livello legale di queste norme francesi se ne parla qua: “la fornitura, l’importazione e l’esportazione di mezzi crittografici in e dalla Francia sono soggette a una dichiarazione preventiva o a un’autorizzazione preventiva dell’ANSSI (l’agenzia nazionale per la cybersicurezza, ndr), a seconda delle funzionalità tecniche e dell’operazione commerciale (fornitura o importazione).”
Qui il link alla pagina dell’ANSSI che ne parla.
Questa angolazione sembra per ora secondaria nella vicenda, malgrado una parte della stampa americana, nota la giornalista statunitense Marcy Wheeler, continui a discuterne come se si trattasse di un crimine relativo all’uso della crittografia, quando avrebbe a che fare con una registrazione.
“Signal, l’applicazione di messaggistica cifrata più protettiva – scrive Wheeler – si è registrata in base a questa legge quando ha richiesto per la prima volta di offrire Signal negli app store francesi. Quindi, no, loro [Signal, diversamente da Telegram, ndr] non saranno perseguiti in base a questa legge, perché stanno seguendo la legge”.
Il riferimento della giornalista a Signal sembra prendere spunto da alcuni post di uno dei principali sviluppatori di Signal (oggi ad Apple) Frederic Jacobs, che dice di ricordarsi l’incombenza burocratica per pubblicare l’app nell’App Store in Francia. E aggiunge: “Un buon promemoria per ricordare che la Francia è uno dei rari paesi al mondo ad avere l’obbligo di dichiarazione quando si importa **crittografia**.
Anche se non è necessaria l’approvazione, è fondamentale presentare una dichiarazione accurata del sistema di crittografia all’agenzia per la cybersicurezza ANSSI. Secondo i pubblici ministeri, Telegram non ha compilato accuratamente la sua dichiarazione”.
Che dice Signal?
Più in generale vale la pena riportare interamente una risposta data da Meredith Whittaker, presidente di Signal, al giornalista Andy Greenberg (l’intervista merita tutta comunque), dopo l’arresto di Durov in Francia.
Greenberg chiede a Whittaker, che è appena stata in Francia e appare interessata all’Europa anche come possibile alternativa alla sede di Signal: “Ha davvero senso cercare questo tipo di flessibilità giurisdizionale in Europa quando il fondatore di Telegram Pavel Durov è stato appena arrestato in Francia? Questo vi fa riflettere sul futuro di Signal nell’UE?”
Risponde la presidente di Signal: “Beh, per cominciare, Telegram e Signal sono applicazioni molto diverse con casi d’uso molto diversi. Telegram è un’app di social media che consente a un individuo di comunicare con milioni di persone contemporaneamente e non fornisce una privacy significativa o una crittografia end-to-end. Signal è esclusivamente un’applicazione per comunicazioni private e sicure, senza funzioni di social media. Quindi stiamo già parlando di due cose diverse.
E ad oggi [27 agosto 2024] ci sono troppe domande senza risposta e poche informazioni concrete sulle motivazioni specifiche dietro l’arresto di Durov perché io possa darvi un’opinione informata. Per quanto riguarda la questione più ampia, siamo realisti: non c’è nessuno Stato al mondo che abbia un bilancio ineccepibile sulla crittografia.
Ovunque nel mondo ci sono anche campioni della privacy delle comunicazioni, inclusi molti nel governo francese e in Europa. Coloro che si battono da tempo per la privacy riconoscono che si tratta di una battaglia continua, con alleati e avversari ovunque. Cercare di dare priorità alla flessibilità non significa idealizzare una giurisdizione o l’altra.
Siamo consapevoli delle acque in cui dobbiamo navigare, ovunque siano. Vediamo un’enorme quantità di sostegno e di opportunità in Europa. E ci sono grandi differenze tra gli Stati. La Germania sta prendendo in considerazione una legge che imponga la crittografia end-to-end, mentre la Spagna è stata in testa nel cercare di minare la crittografia. Insomma, ancora una volta, non si tratta di un monolite”.
In soldoni, Whittaker al momento non appare preoccupata di quanto accaduto a Telegram perché (integro un po’ quello che dice con altre info) Signal non ha funzioni che la renderebbero simile a un social; implementa la crittografia end-to-end su tutto, e non tiene metadati, quindi significa che anche volendo non ha dati da dare; si è registrata regolarmente in Francia; non fa profitti sulle attività dei suoi utenti, perché è una no profit.
La reazione di Telegram e Durov
Negli ultimi giorni c’è stata un po’ di discussione in relazione al linguaggio usato nelle FAQ di Telegram, perché ci sono state delle recentissime modifiche. In particolare sarebbe stata rimossa una frase che diceva; “Tutte le chat di Telegram e le chat di gruppo sono private tra i partecipanti. Non elaboriamo alcuna richiesta relativa alle stesse”. Tuttavia altri fanno notare che la stessa frase sarebbe ancora presente in altri punti delle FAQ.
Eviterei le congetture in punta di FAQ. Più interessante semmai l’intervento dello stesso Pavel Durov nel suo canale Telegram (si firma Du Rove, trasposizione goliardica del suo nome con la quale avrebbe ottenuto il già controverso passaporto francese, come raccontato da Mediapart).
In sostanza Durov sembra riconoscere che Telegram può fare di più contro la presenza di attività criminali, dice che non è un “paradiso anarchico” e appare molto dialogante.
Scrive Durov o se preferite Du Rove: “Ascoltiamo la voce di chi dice che [quello che abbiamo fatto finora. ndr] non è abbastanza. L’improvviso aumento del numero di utenti di Telegram a 950 milioni ha causato problemi di crescita che hanno reso più facile per i criminali abusare della nostra piattaforma. Ecco perché mi sono posto l’obiettivo personale di assicurare un miglioramento netto su questo aspetto. Abbiamo già avviato tale processo internamente e presto condividerò con voi ulteriori dettagli sui nostri progressi”.
Vedremo i prossimi sviluppi.
* da Guerre di Rete
- © Riproduzione possibile DIETRO ESPLICITO CONSENSO della REDAZIONE di CONTROPIANO
Ultima modifica: stampa