Apple vs FBI: e l’UE?

By | 3 marzo 2016

Alcuni giorni fa, il CEO di Apple, Tim Cook, si è opposto all’ordine emesso da un Giudice californiano rifiutandosi di supportare l’FBI per consentire di violare con un attacco “brute force” l’IPhone dei terroristi di San Bernardino.

Apple si rifiuta di sviluppare il software necessario per questa azione per proteggere la privacy dei sui clienti: da qui la rilevanza di questo fatto per il sito europrivacy.info. Tra il diritto alla protezione dei dati personali e il diritto alla sicurezza serve un bilanciamento, anche se non sempre è facile. In questo caso, però, per quanto si può capire, non è questo bilanciamento il cuore del problema.

Sarebbe interessante sapere cosa ne pensino i lettori di questo blog. Andiamo però avanti con la storia.

Per consentire all’FBI di accedere ai dati memorizzati nell’Iphone del terrorista è necessario disattivare tre caratteristiche di sicurezza del dispositivo:

  1. Rimuovere il limite di dieci tentativi (dopo il decimo tentativo fallito i dati vengono cancellati)
  2. Rimuovere il ritardo fra i tentativi (fino ad un tentativo all’ora: richiederebbe secoli forzare il telefono)
  3. Consentire di effettuare i tentativi mediante un dispositivo digitale esterno

Per fare tutto ciò è necessario sviluppare una versione modificata di IOS.

FBI accetta che questa versione hackerata sia tale da poter essere usata solo su quel dispositivo (l’immagine software è firmata con l’ID del dispositivo) e che tutte le operazioni siano svolte all’interno di una sede Apple, fuori dal controllo dell’FBI e che l’FBI non abbia mai la disponibilità della versione modificata del software.

La ragione addotta da Apple per opporsi è di proteggere la privacy dei propri clienti e le argomentazioni a sostegno sono descritte in un “Message to our customers” del CEO di Apple.

Nel suo messaggio, Cook non dice che ciò che si chiede a Apple di fare non sia fattibile: sarebbe fattibile (solo da Apple) ma non è mai stato fatto e Apple non vuole farlo adesso.

Questi i fatti.

Alcuni commenti per spiegare le ragioni per cui non sono d’accordo con la posizione di Apple.

  1. Non un problema che contrappone Apple a FBI ma Apple a un giudice. Questo è signifcativo perché il ruolo del giudice è proprio quello di assicurare che i diritti di ciascuno siano rispettati. Oltretutto la decisione del giudice può essere appellata.
  2. La persona interessata è morta ed inoltre le implicazioni di sicurezza pubblica sono così rilevanti che è indiscutibile che l’FBI abbia titolo ad ottenere l’accesso a quei dati. Per questa ragione Apple stessa ha dato pieno supporto all’azione dell’FBI finchè si è posto questo specifico tema.

Così non sembra che la questione sia legata al diritto alla privacy quanto al diritto di un produttore di cellulari di garantire la protezione dei dati dei propri clienti, al di là della legge e persino contro la legge.

  1. La domanda è: può esistere un luogo inaccessibile alle autorità pubbliche quando usino procedure legali per finalità legittime? Nel mondo fisico, un simile posto non esiste. Ciò che Apple chiede è il diritto di costruire un luogo digitale dove nessuno sarà in grado di entrare, neppure quando il proprietario dei dati è morto e un giudice ha stabilito l’interesse pubblico di entrarci.

 

Qusto significherebbe che la giursdizione degli USA non copre, con le proprie leggi ed i diritti che riconosce, l’intero territorio degli Stati Uniti perché c’è un luogo digitale creato da Apple e verosimilmente controllato da Apple dove solo Apple può entrare.

  1. Questo dovrebbe essere accettabile per il fatto che Apple dichiara che essa non accederà mai a quel luogo (anche se sono in grado di farlo). L’opposizione allo stesso ordine di un giudice contribuirebbe a dimostrare che ci si può fidare.

Perché il nostro diritto alla protezione dei dati dovrebbe essere più sicuro se viene garantito da Apple invece che da uno Stato democratico? Apple non risponde a nessuna regola democratica mentre FBI sì.

  1. Noi viviamo in un mondo globale. Apple è una società USA, l’attacco terroristico è avvenuto in USA ed il giudice in questione è americano. Che cosa sarebbe successo se l’attacco fosse avvenuto in Italia o in Cina o in Iran, in una democrazia piuttosto che in una dittatura, a favore o contro gli amici degli USA?

In tutti questi casi si applicherebbero leggi diverse, a prescindere dalla sentenza finale che emetterà la Corte Suprema degli USA.

Non è un caso teorico. Qualcosa di simile sta accadendo nel caso di Giulio Regeni, il giovane ricercatore italiano torturato a morte in Egitto: gli investiogatori italiani stanno chiedendo a Facebook e ad altri social networks l’accesso alle sue informazioni private di cui non hanno le password. Qui non viene richiesta la violazione di un hardware né di produrre una versione modificata di un Sistema Operativo ma la questione è molto simile: sarà possibile per un giudice italiano ordinare di fornire le password necessarie o avrà solo l’opzione di chiedere “per favore aiutaci”?

Category: Legal framework Open Forum Tag:, , ,

About Sergio Fumagalli

Vice President Zeropiu Spa, system integrator specialized in digital identity and data security with operations in Italy and in the Nordics. After serving as MP in the Italian Parliament, I started a professional collaboration with the Data Protection Italian Authority and a professional activity on these topics. Co-author of “Privacy guida agli adempimenti”, IPSOA, 2004, 2005 a book on compliance to the Italian Law. Since 2008 member of the Oracle Community for Security - http://c4s.clusit.it/views/Homepage.html - and since 2014 member of the board of Clusit a leader association on IT Security in Italy Between 2004 and 2012 member of the board of Webank Spa, the online banc of the Banca Popolare di Milano group.

Lascia un commento

This site uses Akismet to reduce spam. Learn how your comment data is processed.