Sistemi crittografici e tutela dei diritti fondamentali
Perché la sicurezza delle informazioni ormai non può prescindere dalle tecniche di protezione più avanzate.
Uno degli effetti più immediati riscontratisi con l’affermarsi della società dell’informazione, è stato quello di far sì che sempre più esseri umani, a vario titolo, dipendessero, in ogni loro relazione, dalle tecnologie digitali da essi impiegate, ponendole quale fondamento imprescindibile dei più disparati processi relazionali e/o decisionali. Tale centralità dell’informazione e della sua elaborazione anche in settori delicati, da un punto di vista giuridico, ha ben presto sollevato problemi di sicurezza (affrontati e dibattuti, nel mondo tecnologico, nella disciplina della c.d. Information, Computer and Network Security) dei quali la crittografia costituisce una delle soluzioni principali. In prima approssimazione, si può riassumere il procedimento della crittografia come l’uso di un algoritmo matematico per operare una trasformazione su di una sequenza di caratteri in cui la trasformazione del testo dipende dal valore di una chiave segreta e la segretezza di questa chiave è il punto cruciale della sicurezza. In altre parole, per cifrare un testo devono usarsi: un algoritmo (che prima o poi sarà) pubblico e una chiave (che deve essere mantenuta) segreta. Uno dei primi algoritmi crittografici della storia è il cifrario di Giulio Cesare. È un cifrario a sostituzione monoalfabetica in cui ogni lettera del testo in chiaro è sostituita nel testo cifrato dalla lettera che si trova un certo numero di posizioni dopo nell’alfabeto definito dalla ‘chiave’ N. Se N è uguale a ‘3’ vuol dire che nel testo da cifrare ‘A’ sarà sostituita da ‘D’ e via via per tutte le altre lettere presenti nel testo.
Le tecniche di cifratura oggi
Oggi i metodi più tradizionali di creazione di algoritmi di crittografia si basano su due sistemi principali:
– il primo c.d. a sostituzione (confusion), che consiste nel rendere confusa la relazione tra il testo in chiaro e quello cifrato, tipicamente tramite la sostituzione di un carattere secondo una tabella;
– il secondo c.d. a permutazione (diffusion), che consiste nel distribuire l’informazione su tutto il testo cifrato, per esempio trasponendo (permutando) i caratteri.
Inoltre, è possibile operare una distinzione fra le varie tecniche di crittografia esistenti, basandosi sul tipo di chiave utilizzata. Si individuano così due categorie di sistemi:
– quelli a repertorio, che sostituiscono a ciascuna parola una determinata serie di lettere e numeri;
– quelli a cifratura letterale, che provvedono alla sostituzione di lettere (sistemi a sostituzione monoalfabetica, come il cifraio di Cesare), di gruppi di lettere (sistemi a sostituzione poligrammica), o di frazioni di lettere (sistemi tomogrammici).
Sempre in funzione del tipo di chiave utilizzata, si distinguono due ulteriori tipi di tecniche crittografiche:
– quelle che richiedono l’uso di una sola chiave segreta per criptare e decriptare il messaggio, e perciò dette simmetriche;
– quelle che utilizzano una coppia di chiavi diverse per chiudere il documento, di cui una viene resa pubblica, dette allora, asimmetriche.
Di queste ultime, le prime funzionano partendo da una medesima chiave segreta posseduta dall’emittente e dal destinatario, che serve per la cifratura e la decifrazione: sono efficaci per esigenze di genuinità del documento nel momento della sua conservazione, e implicano conseguenze negative che ne compromettono l’efficienza, nel momento in cui l’attività relativa al documento diviene dinamica, dovendo scambiarsi le parti le chiavi di criptazione, la cui trasmissione implica tutelarne la sicurezza. La chiave infatti potrebbe perdersi, o essere intercettata e, in caso di comunicazione con diversi soggetti, si ha la necessità di adottare chiavi diverse per ognuno di essi. Le seconde, dette sistemi asimmetrici di criptazione, o sistemi a chiave pubblica, sono state rese operative dal 1977, attraverso la creazione di uno specifico algoritmo, che prese il nome di RSA dai nomi dei suoi creatori. In applicazione di tale algoritmo, ciascuna persona risulta in possesso di due chiavi, una pubblica e l’altra privata, necessarie per applicare l’algoritmo matematico che permette la cifratura del documento e utilizzabili con finalità diverse, ora per criptare, ora per decriptare, con la conseguenza che non è più necessario che le parti si scambino informazioni riservate relative al metodo di protezione del documento. Tale forma di crittografia è suscettibile di due distinte utilizzazioni, potendo essere impiegata a fini di segretezza ovvero a scopo di autenticazione ove per autenticazione si intende il processo in forza del quale il destinatario di un messaggio digitale ha la certezza dell’identità del mittente e/o dell’integrità e non ripudiabilità del messaggio stesso.
Protezione dei contenuti e identificazione degli autori
All’interno del quadro tecnologico descritto, dal punto di vista giuridico, sembra imprescindibile, per chi scrive, consentire che l’esercizio dei diritti di c.d. cittadinanza digitale, dei quali il rispetto delle norme contenute nel GDPR costituisce prerequisito sostanziale, si attui in condizioni di sicurezza, vale a dire in condizioni tali da consentire che siano garantite, a ogni livello, l’inviolabilità delle comunicazioni e l’attribuibilità delle condotte. Sia sul versante dell’inviolabilità delle comunicazioni attuate per mezzo di strumenti elettronici di elaborazione, sia su quello, non meno importante, dell’attribuibilità delle manifestazioni di volontà contenute nelle comunicazioni predette, sia, infine, sul versante della loro trasmissione a distanza, mediante tecnologie telematiche, non può prescindersi, allo stato della tecnologia attuale, dall’impiego di tecniche crittografiche per la protezione dei contenuti e per l’identificazione dei loro autori. In mancanza di crittografia i nostri conti correnti bancari, le nostre cartelle cliniche, le nostre conversazioni telefoniche e più in generale la nostra stessa esistenza e qualunque dato (a noi riferibile) conservato su supporto informatico sarebbe nella libera disponibilità di chiunque volesse, senza alcuna limitazione, con effetti disastrosi già tipici nel passato dei regimi più totalitari che, nel corso della storia, hanno a vari livelli compresso i diritti della persona, non ultimo il diritto alla privacy. Ciò chiarito, occorre ora constatare che la sicurezza di un sistema informativo non dipende solo da aspetti tecnici ma, anche, se non principalmente, da quelli organizzativi, sociali e legali, e deve essere pertanto ritenuta come caratteristica complessiva di un sistema, in grado di assicurare e mantenere, dinamicamente, con l’evolversi delle necessità e delle tecnologie, il desiderato livello di disponibilità, integrità e riservatezza delle informazioni e dei servizi da esso erogati.
A tale stregua si definisce sicuro un Sistema Informativo Automatizzato (giuridicamente anche SIA) che possa soddisfare a tutti i livelli del suo funzionamento, almeno, le seguenti proprietà: disponibilità, o meglio l’informazione e i servizi che eroga devono essere a disposizione degli utenti del sistema compatibilmente con i livelli di servizio; integrità, vale a dire, l’informazione e i servizi erogati possono essere creati, modificati o cancellati solo dalle persone autorizzate a svolgere tale operazione; autenticità, intesa come garanzia e certificazione della provenienza dei dati; riservatezza, nel senso che l’informazione deve poter essere fruita solo dalle persone autorizzate.