Il vero “falso Klitschko” mette in crisi processi e identità digitale

La diffusione dei deepfake mette in crisi il ruolo della prova informatica ed espone il lato debolissimo delle politiche sull’identità digitale. Ma come sempre, nessuno se ne preoccuperà fino a quando non sarà troppo tardi di Andrea Monti – Inzialmente pubblicato su Strategikon – un blog di Italian Tech

Il recente deep fake del sindaco di Kiev —l’indimenticato campione mondiale dei pesi massimi Vitali Klitschko— ha avuto grande spazio sui media e merita di essere analizzato dalla prospettiva delle vittime. La giustificazione per essere caduti nell’inganno è tutta nelle parole del sindaco di Berlino: “Non c’erano elementi per accorgersi che la videoconferenza non era con una persona reale”. Questa frase, quasi lasciata cadere per caso è, in realtà, il cuore di un problema noto da oltre vent’anni e rigorosamente trascurato dalle istituzioni: quello dell’attendibilità delle informazioni memorizzate in, e veicolate tramite un computer. A questo se ne aggiunge un altro, più o meno coevo: la sostanziale perdita di centralità del concetto di identità giuridica per colpa del modo in cui sono stati concepiti la firma digitale prima e poi lo SPID cui, pure, si attribuisce il rulo di pilastri della “digitalizzazione” italiana.

Computer forensics, questa sconosciuta

Sono probabilmente stato il primo —i lettori perdoneranno la nota autobiografica—a porre nei processi penali il tema del modo in cui polizia e magistratura si relazionavano con le prove informatiche. Erano i primi anni ’90 e, come raccontai insieme a Stefano Chiccarelli in Spaghetti Hacker, durante l’Italian Crackdown accaddero cose mai viste: sequestri di mouse e tastiere giustificati dalle sentenze in quanto “pertinenze”, cioè “cose relative” ai computer, dischi rigidi semplicemente smontati e portati via, senza alcuna cauterla e tanti altri “orrori”. Poi, nel 2002, dovetti affrontare un caso che si concluse con la “storica” sentenza sulla “tentata diffamazione online” a danno di una banca. L’autore fu condannato definitivamente dalla Cassazione penale, ma ritenuto non diffamatore da quella civile. Il giudice di primo grado diede valore di prova alla stampa delle pagine di un sito internet eseguite da un tecnico sotto il controllo di un ufficiale di polizia giudiziaria, che però non aveva la minima idea di cosa stesse accadendo. Ma va bene lo stesso. Nel 2005 mi trovai di fronte al caso Vjierika, il primo processo italiano per diffusione di virus, e il tribunale penale di Bologna stabilì, in sintesi, che non spetta all’accusa garantire che dati digitali sequestrati senza alcuna cautela per renderli inalterabili siano “prova”. Spetta invece alla difesa, ritenne il giudice, dimostrare che ci sia stata una qualche modifica successivamente al momento nel quale i dati sono usciti dalla disponibilità dell’indagato. In realtà, nel corso degli anni, qualche sentenza più attenta all’importanza delle componenti tecnologiche di un indagine pure c’è stata. In tre casi trovai degli interlocutori più sensibili a questi temi. Nel 2004 il tribunale penale di Civitavecchia decise che nell’invio di materiale da parte di agenti sotto copertura era necessario adottare adeguate cautele per essere certi che quanto spedito corrispondesse a quanto effettivamente ricevuto. Nel 2005 il tribunale di Chieti decise che i log di accesso andavano acquisiti dagli investigatori e non semplicemente “richiesti” all’internet provider mentre nel 2006 il tribunale penale di Pescara non ritenne “prova” la semplice stampa di un sito eseguita dalla polizia giudiziaria. Poche rondini, tuttavia, non fanno primavera e fino ad oggi sono state molte di più le sentenze basate su un approccio “sostanziale” che supera le questioni sugli aspetti tecnici legati al modo in cui un file è stato trovato, acquisito e analizzato. Si è arrivati fino al punto di non ritenere necessario nemmeno l’accertamento dell’effettiva identità di chi si sia connesso a un profilo social per pubblicare un contenuto illecito o, come ha ritenuto la I sezione della Cassazione penale con la sentenza 3591/22, di attribuire valore a un semplice screen-shot.

Le ragioni di questo “orientamento” della giurisprudenza sono abbastanza evidenti: “compensare” la scarsità di personale, competenze e risorse, evitare che indagini e processi finiscano nel nulla per delle “tecnicalità” informatiche e, a volte, non imbarcarsi nello studio di argomenti oggettivamente complessi per chi non appartiene al settore. Eppure a nulla sono serviti gli allarmi non tanto degli avvocati penalisti —sempre a sospetto di “interesse privato” quando parlano di diritto di difesa— ma degli esperti di digital forensics che hanno sempre messo in guardia dal fidarsi eccessivamente di quello che si trova su un computer o che viene presentato come “prova informatica”.

 Realtà, Percezione, Identità

Avere ignorato per decenni l’importanza della sicurezza dei dati sotto il profilo della loro integrità e attendibilità e avere legittimato per via giudiziaria l’irrilevanza del tema ha condotto alla convinzione tanto diffusa quanto sbagliata di poter prendere per buono tutto quello circola online. Dunque, sulla base del principio inespresso ma ubiquo secondo il quale “se sembra, allora è”, l’equivalenza fra realtà “da contatto fisico” e —come scriveva Neal Stephenson già nel 1999 — realtà sperimentata tramite un’interfaccia non è più in discussione. Tanto è vero che la “cybersecurity” —moda convegnistico-accademico-giornalistica del momento— è percepita essenzialmente come “protezione da hacker e ransomware” e molto meno come altro.

Certo, almeno sulla carta si parla dappertutto dell’importanza di garantire certezza ai dati e all’identità di chi è coinvolto negli scambi che li riguardano. L’inutile e burocratico regolamento per la protezione dei dati personali impone obblighi tanto stringenti quanto inapplicati in questo senso, la altrettanto confusa normativa sulla firma digitale serve per evitare che l’autore di un file possa disconoscerne il contenuto e la PEC attribuisce valore presunto all’identità del mittente (ma, fra l’altro, solo se l’indirizzo è pubblicato in determinati registri).

Nei fatti, però, le necessità della “società dell’informazione” non possono subire i “rallentamenti” di cavillosità giuridiche di vecchio stampo. Tutto deve andare veloce, tanto veloce che i velocisti non si rendono nemmeno conto di dove stanno andando. Come la firma digitale e la PEC, anche SPID funziona sostanzialmente delegando a soggetti privati la “certificazione” dell’identità individuale. Tuttavia, SPID non serve soltanto a identificare una persona ma consente anche di “firmare” contratti con pieno valore giuridico. Sarà anche comodo, ma bisogna sempre considerare che l’attribuzione di valore legale a questa “certificazione privata” “inverte l’onere della prova”. Scarica sulle spalle dell’utente l’obbligo di dimostrare che non è stato lui a compiere una determinata transazione. Di fronte a conseguenze così serie ci si aspetterebbe che lo Stato mantenga un controllo assoluto ed esclusivo sull’identificazione a distanza dei cittadini, ma non è così.

 

Chi ha bisogno della carta d’identita?

Così, Amazon rivoluziona il mondo della contrattualistica a distanza utilizzando (brillantemente) la carta di credito come sostituto di quella di identità. Non mi serve la “copia del documento”: se hai un carta di credito vuol dire che chi te la ha data ha già fatto la fatica di sapere chi sei. Esisti se —o perché— puoi spendere.

Il processo di privatizzazione dell’identità accelera con la diffusione della telefonia mobile. Un numero dovrebbe essere attribuito solo dopo avere identificato l’intestatario. Nei fatti, però, questo accade semplicemente presentando un documento del quale l’addetto del negozio di telefonia non può verificare l’originalità. Gli attacchi di tipo SIM Swap si sono moltiplicati fino a quando a fine 2021 —meglio tardi che mai—l’AGCOM ha deciso di intervenire.

Durante la pandemia il green pass ha sostituito il documento di identità perché l’identificazione anagrafica aveva assunto un’importanza secondaria: non voglio sapere chi sei, ma se ti trovi in una determinata condizione. Il resto, non rileva (e, tanto per non trascurare nulla, si è perso il conto delle firme digitali dei clienti che, in realtà, sono nelle mani dei professionisti che li assistono e che “firmano” in loro vece).

Questo processo, iniziato come detto da molto tempo, ha cambiato la funzione dell’identificazione da strumento giuridico per verificare l’identità di un individuo a strumento per capire se il detentore di credenziali può o non può fare determinate cose (comprare, accedere a un servizio pubblico, esercitare un diritto) a prescindere da chi egli sia effettivamente.

 

Conclusioni

Potrà anche essere considerato antistorico porsi questioni del genere quando oramai il mondo è andato da un’ altra parte. Però il tema dell’identità e della sua attribuzione legale è stato troppo frettolosamente messo da parte anche in nome di un malinteso diritto all’anonimato “assoluto”. Persino Stefano Rodotà parlava di “anonimato protetto” a dimostrazione che serve una qualche forma di garanzia sul rapporto fra apparenza oline e sostanza fisica: il problema è capire chi deve fornirla. La scelta è stata quella di andare verso una privatizzazione complessiva del sistema, nel quale lo Stato manterrà pure la sovranità formale, ma non esercita alcun ruolo di sostanza.

E dunque, per chiudere il cerchio, se per decenni ci è stato detto che quello che appare sullo schermo di un computer è intrinsecamente vero, che non dobbiamo preoccuparci più di tanto delle “robe da tecnici” e che possiamo essere o non essere chi vogliamo, basta che ci sia qualcun altro che lo dice, come possiamo stupirci che un politico o un amministratore pubblico vengano tratti in inganno da un deep fake?

Si potrebbe rispondere che nel caso Klitschko tutto questo ragionamento non funziona perché siamo di fronte ad un atto ostile commesso da soggetti stranieri nell’ambito di un conflitto più ampio e che non riguarda la giurisdizione italiana. Si potrebbe anche dire che non si può esigere da uno che fa un altro mestiere il possesso di competenze tecniche per riconoscere questo tipo di azioni.

A parte il fatto che la prossima volta il bersaglio potrebbe essere un politico italiano (in grado di parlare inglese, ovviamente), il tema è quello della superficialità nell’uso della comunicazione elettronica interattiva. Se il vero “falso Klitschko” si fosse presentato di persona alle porte del Rotes Rathaus avrebbe avuto parecchi ostacoli da superare, non ultimi quelli del cerimoniale, prima ancora di quelli relativi alla sicurezza. L’induzione a pensare alla comunicazione oline come un qualcosa di “smart”, invece, fa abbassare la guardia perché tutto è come appare. E che gli “esperti di sicurezza” la smettano con tutta questa enfasi sulla formazione e sull’importanza del dotarsi di persone in grado di prevenire, rilevare e bloccare attacchi di vario tipo. D’altra parte, siamo soltanto di fronte allo schermo di un computer, no?

Possibly Related Posts: