Con una mossa senza precedenti, la Francia ha deciso di mettere ai ceppi niente meno che Pavel Durov, imprenditore nativo russo con cittadinanza nevisiana (Saint Kitts e Nevis), francese ed emiratina, fondatore del servizio di messaggistica istantanea Telegram. Dopo le frequenti frizioni (per usare un eufemismo) con il governo russo, che ha più volte tentato di bloccare Telegram, Durov ha stabilito la sua residenza principale e la sede del network proprio negli Emirati Arabi Uniti.
La notizia dell’arresto di Pavel Durov avvenuto in Francia, nella tarda serata del 24 agosto, quando l’imprenditore era in arrivo con il suo jet privato da Baku, è immediatamente balzata alle cronache nel giro di pochi minuti. Gli inquirenti d’Oltralpe avrebbero deciso di procedere in tal senso considerate le presunte mancate risposte di Telegram nella rimozione di contenuti illeciti pubblicati e diffusi attraverso il suo network.
In un altro articolo parliamo dei capi d’accusa mossi nei confronti di Durov, che potrà essere trattenuto un periodo massimo di 96 ore. Al termine di questo periodo, il giudice francese potrà scagionare l’imprenditore oppure avviare un procedimento formale estendendo la custodia cautelare.
I motivi dell’arresto di Pavel Durov e perché qualcosa non torna, su tutti i fronti
Il DSA (Digital Services Act) è una normativa dell’Unione Europea che mira a regolamentare i servizi digitali, imponendo obblighi specifici ai fornitori, tra cui la moderazione dei contenuti illeciti e del materiale che incita all’odio. L’obiettivo è proteggere i cittadini europei da contenuti dannosi online, garantendo al contempo che i diritti fondamentali, come la libertà di espressione, siano rispettati.
Durov ha sempre professato la neutralità di Telegram come fornitore del servizio di messaggistica. In altre parole, a detta dell’imprenditore, Telegram non interviene nella moderazione dei contenuti degli utenti proprio perché non ha e non deve avere alcuna autorità per farlo. La privacy al primo posto: ciò che scrivono gli utenti appartiene unicamente agli utenti e non deve essere sottoposto ad azioni di filtro o di censura poste in essere dal gestore del servizio di messaggistica.
Di default Telegram non usa la crittografia end-to-end
Un punto di vista che, diciamolo, stride con l’approccio scelto da Telegram per la protezione dei contenuti scambiati attraverso il network. Non tutti lo sanno: per impostazione predefinita, i messaggi inviati e ricevuti su Telegram non sono crittografati end-to-end. Con la cifratura end-to-end, le chiavi crittografiche sono generate e gestite sui dispositivi dei singoli utenti: nessun soggetto terzo, compreso il gestore del servizio, può accedere al contenuto dei messaggi.
Telegram utilizza di default una soluzione crittografica che non è end-to-end. La chiave di cifratura è nota al network guidato da Durov, quindi il gestore può potenzialmente leggere i messaggi altrui.
Per usare la cifratura end-to-end con Telegram, è necessario ricorrere alla funzionalità Chat segreta, che tuttavia non è così immediata da attivare. Per procedere in tal senso, sono necessari quattro passaggi: accedere al profilo del contatto di proprio interesse, toccare i puntini in alto a destra, selezionare Avvia chat segreta e, addirittura, attendere che l’interlocutore si colleghi alla rete.
Il tema del DSA europeo e il volume di utenti attivi
A Durov si contesta che Telegram non fa abbastanza per contrastare i reati in rete. L’utilizzo di accuse di carattere penale, tuttavia, con l’arresto avvenuto in aeroporto rappresenta una preoccupante escalation.
Fino ad oggi Telegram, ai sensi del DSA europeo, non era considerato una VLOP ovvero una “piattaforma online di dimensioni molto grandi” (più di 45 milioni di utenti attivi ogni mese). E Telegram stessa ha sempre contestato questa classificazione, nonostante la pressione esercitata dalla Commissione Europea.
Il DSA prevede sanzioni pesanti: fino al 6% del fatturato mondiale o addirittura l’esclusione dal mercato europeo per le aziende che contravvengono agli adempimenti contenuti nel provvedimento. Nel caso di Durov, però, la limitazione della libertà personale è qualcosa di molto più grave. Le Autorità francesi dovranno quindi dimostrare al mondo di avere tra le mani qualcosa di davvero pesante che possa giustificare l’azione intrapresa.
Chi fornisce servizi di messaggistica non protetti end-to-end è più vulnerabile?
Abbiamo sempre stigmatizzato la decisione di Telegram che non attiva per default la crittografia end-to-end (e la rende accessibile solo seguendo un percorso piuttosto cervellotico…).
Ma a questo punto sorge spontanea un’altra domanda. L’arresto di Durov è proprio conseguenza del fatto che Telegram non usa per impostazione predefinita la cifratura end-to-end?
Diversamente, Telegram si sarebbe potuta trincerare dietro al fatto che non ha materialmente la possibilità di leggere i messaggi crittografati una coppia di chiavi (pubblica e privata) generate sui dispositivi dei singoli utenti.
Perché la sciagurata alternativa si chiama Chat Control 2.0: ideata in Europa e, fortunatamente al momento tramontata, la proposta di legge prevedeva l’imposizione di un obbligo in capo a tutti i gestori di messaggistica. Questi ultimi avrebbero dovuto effettuare una scansione dei messaggi privati in locale, sui dispositivi dei singoli utenti, allertando le forze di polizia nel caso in cui fossero rilevati contenuti sospetti.
Telegram, come WhatsApp e altri software similari, integra un meccanismo per segnalare messaggi problematici ai moderatori. Una moderazione esiste, quindi. Ci sono casi specifici che gli investigatori contestano a Durov e “ai suoi”? Lo sapremo, forse, nei prossimi giorni.
Il problema del sorgente aperto
Durov ha sempre contestato ad altre piattaforme rivali il fatto di non condividere il codice sorgente delle loro applicazioni. Come fanno gli utenti ad assicurarsi che le app non contengano backdoor, magari disposte in segreto da qualche regime? In queste situazioni, infatti, l’utilizzo della crittografia end-to-end sarebbe di fatto inutile.
WhatsApp, ad esempio, ha sempre risposto che non acconsentirà mai all’introduzione di “porte sul retro” e che l’unico caso in cui i messaggi cifrati tornano in chiaro è quello in cui l’utente che riceve un messaggio sconveniente o illecito può segnalarlo.
Signal aveva restituito al mittente (proprio a Durov) le accuse che descrivevano l’app di messaggistica come intrinsecamente insicura. Il servizio, come in parte fa anche Telegram, permette di verificare che il codice sorgente pubblicato online permetta di ottenere lo stesso binario disponibile sulle varie piattaforme (ad esempio sugli store online di ciascun produttore).
Ecco, questa sarebbe una buona idea: fare in modo che per tutti i client di messaggistica ci sia una corrispondenza diretta tra il sorgente e le versioni compilate disponibili nei vari store. WhatsApp, molto probabilmente, remerebbe contro. Anche perché – com’è noto – chi effettua attività di reverse engineering con finalità di sicurezza si è spesso dovuto misurare con ampie porzioni di codice fortemente oscurate.
E mentre Elon Musk fa discutere con il suo messaggio su X “Liberté”, viene da chiedersi quale sia il limite da un lato tra i comportamenti censori e palesemente volti al controllo delle comunicazioni e dall’altro tra la trasparenza online e la correttezza dei contenuti.
La posizione di Telegram
Nel frattempo, Telegram non ha perso la sua “guida”. A tenere le “redini”, c’è sempre il fratello di Pavel Durov, Nikolaj, che ha dalla sua un know how informatico di primissimo piano. Per gli utenti finali, di fatto, non cambia nulla. Almeno per il momento.
E l’azienda ha pubblicato un messaggio in cui sottolinea alcuni punti. In primis, Telegram rispetterebbe in toto le disposizioni di legge europee, incluso il DSA. L’attività di moderazione sarebbe in linea con gli standard industriali correnti e verrebbe continuamente migliorata.
“È assurdo che il proprietario di una piattaforma sia responsabile per gli eventuali abusi commessi sulla stessa piattaforma. Il CEO Pavel Durov non ha nulla da nascondere ed è solito viaggiare di frequente nei Paesi europei“, si legge. “Siamo in attesa di risolvere la situazione nel più breve tempo possibile“.
Insomma, dietro l’arresto di Durov c’è una situazione intricata. La “patata bollente” che la Francia ha deciso di gestire, permetterà di riaprire una discussione seria sulla tutela della privacy online? Oppure saremo condannati a dover subire le posizioni oltranziste di certe lobby che soltanto a parole si proclamano protettrici dei diritti dei cittadini e promotrici di una rete libera da cyberreati, quando in realtà l’approccio appare essere molto più ipocrita, opportunista e manipolatore?
Credit immagine in apertura: Copilot Designer