La Spina nel Fianco

Domani sera, 8 Maggio 2007, dalle 21:30 in poi, a questa URL:

http://www.lucasartoni.com/streaming

Relatore: Alessandro Bottoni

Sede: Hotel Columbus, Marina Romea, Ravenna

Organizzatore: RavennaLUG

Per un’anteprima dell’argomento:

Il Meccanismo di Registrazione di Copyzero e le Licenze Copyzero X

Chiunque abbia seguito per qualche tempo una discussione che riguardava i diritti digitali si sarà sicuramente reso conto di una evidente contraddizione:

• quando sono i miei dati in discussione, la loro segretezza viene chiamata Privacy
• quando sono in discussione i dati di qualcun'altro, viene chiamata Omertà

Questo succede anche nella vita "reale": quando sono in discussione le comunicazioni tra due o più privati cittadini, si fa appello al diritto alla riservatezza (privacy) per proteggerle, agitando lo spauracchio del Grande Fratello (quello di Orwell, non quello della Marcuzzi) e della Dittatura Digitale. Quando sono in discussione le comunicazioni tra manager delle aziende, tra politici e tra altre figure "pubbliche" ci si stupisce che queste persone chiedano o pretendano di non essere intercettate.

Nel settore delle tecnologie digitali, si fa appello al diritto alla riservatezza per proteggere le comunicazioni tra due persone su Internet, anche quando queste sono chiaramente utilizzate per perpetrare "crimini" (dallo "scambio" abusivo di file musicali fino alla contrattazione sulla vendita di organi). Quando le aziende cercano di proteggere i propri documenti aziendali con sistemi ERM (Enterprise Right Management), le si taccia di omertà.

Siamo diventati tutti una manica di §%#@&£ oppure c'è qualcosa di legittimo in questa nostra schizofrenia?

Per quanto possa sembrare strano, la reazione istintiva delle persone di fronte a questo problema è razionale. Non si tratta di una contraddizione dovuta alla faziosità od alla miopia delle persone chiamate ad esprimersi. Il concetto di riservatezza, infatti, non può che avere due significati, molto diversi tra loro, a seconda del contesto in cui ci troviamo.

Quando una persona agisce nella sua sfera privata, cioè quella sfera di rapporti che coinvolge la familia, l'amante, gli amici, il medico di familia e via dicendo, le informazioni in transito ben difficilmente possono avere una rilevanza legittima per le persone che si trovano al di fuori di essa. Le informazioni che da questo sfera possono trapelare all'esterno rappresentano chiaramente una minaccia per l'individuo e non possono essere di nessuna legittima utilità per chi si trova al di fuori. Potrebbero essere piuttosto di utilità illegittima, cioè utili per un ricatto. Per questo motivo è legittimo e razionale invocare il diritto alla privacy.

Viceversa, quando una persona agisce in un contesto sociale, cioè sul mercato, in azienda, in società, le informazioni in transito hanno quasi sempre una grande rilevanza legittima per le persone che operano all'esterno della sua sfera di intimità. Le persone che vivono all'interno, o nell'intorno, di quella azienda, di quella società o di quel mercato, e che sono quasi sempre dei perfetti estranei, grazie a quelle informazioni potrebbero conoscere una situazione che, direttamente o indirettamente, li riguarda in modo legittimo e, di conseguenza, potrebbero legittimamente usare queste informazioni per cogliere una opportunità o per evitare un pericolo. In altri termini: ogni informazione che viene mantenuta all'interno di una cerchia ristretta di “amici” diventa quasi automaticamente uno strumento di potere, un potere che non può che essere diretto contro coloro che non appartengono a questa cerchia di eletti. In questo contesto, la segretezza diventa spesso uno strumento di distorsione del mercato ed uno strumento di frode. Per questo non si può legittimamente invocare il diritto alla riservatezza con la stessa facilità con cui lo si può fare nel caso dei dati personali.

Per convincersi di questo, basterà pensare ad alcuni clamorosi scandali degli ultimi anni, come lo scandalo Parmalat, quello dei Fondi Argentini o lo scandalo delle Banche nell'estate del 2006. In tutti questi casi, le parti più deboli (i piccoli investitori) sono stati tenuti all'oscuro di informazioni che avrebbero permesso loro di evitare di finire sul lastrico. Viceversa, la conoscenza di queste informazioni ha permesso ai manager delle aziende ed ai grosso capitalisti di speculare sulla situazione ed arricchirsi in modo vergognoso (come sembra abbia fatto, ad esempio, Stefano Ricucci).

Questi sono ovviamente dei casi limite e servono solo per esemplificare un concetto. Nella vita reale, le aziende, le società umane ed i mercati vivono anche di piccoli e grandi segreti legittimi che devono essere tutelati. Questo avviene, ad esempio, per le decisioni strategiche delle aziende che, in modo del tutto legittimo, devono essere nascoste agli occhi della concorrenza. Raggiungere un equilibri tra queste due esisgenze è ovviamente difficile. Come si può distinguere il caso in cui la segretezza delle informazioni è legittima da quello in cui questa segretezza diventa un potenziale strumento di frode?

Si tratta naturalmente di un problema di diritto di accesso. La logica, e la Legge, assicurano ad alcune persone e ad alcuni enti il diritto di accedere a determinate informazioni che, per il resto del mondo, devono restare del tutto segrete. Il problema diventa quindi quello di decidere chi debba avere accesso a cosa. Personalmente, credo che non sarebbe male avere un manipolo di ficcanaso professionisti nel consiglio di amministrazione di ogni media e grande azienda, all'interno di ogni partito politico e di ogni grande ente di controllo. Questo impedirebbe la creazione di “bolle di segretezza” e “cricche” come quelle che inquinano da sempre la vita economica e politica di molti paesi. Un minore tasso di segretezza potrebbe solo migliorare l'efficienza e la salubrità dei nostri sistemi economici e politici.

Comunque, in questa sede il problema è un altro: la riservatezza delle informazioni riveste un ruolo molto diverso nel caso della vita personale e nel caso della vita sociale. Mentre nel primo caso è del tutto legittimo considerare il diritto alla riservatezza come un diritto fondamentale ed inalienabile dell'individuo, nel secondo caso la riservatezza delle informazioni deve essere guardata con sospetto a causa della sua natura dualistica. Non si può seriamente e legittimamente considerare il diritto alla riservatezza delle informazioni aziendali e sociali alla stregua di un diritto fondamentale ed inalienabile dell'individuo. Piuttosto, in questo contesto, la segretezza delle informazioni va considerata come uno strumento potenzialmente utile ma anche potenzialmente pericoloso, da trattare con accortezza e sotto lo stretto controllo degli organi democratici preposti.

Di riflesso, questo significa che mentre il diritto ad usare la crittografia per proteggere la propria vita personale non può essere messo in dubbio, può invece essere messo in dubbio il diritto di aziende ed altri enti “pubblici” di utilizzare questi strumenti per proteggere la riservatezza delle loro informazioni. Più esattamente, il diritto di usare la crittografia in applicazioni che riguardano la società ed il mercato potrebbe legittimamente essere limitato da apposite norme e sottoposto ad opportuni controlli.

Questo ci porta a parlare di sistemi ERM.

Personalmente, credo che l'uso di sistemi ERM a fini aziendali dovrebbe essere vietato tout court. Non vedo proprio come sia possibile sottoporre ad un controllo efficace questi sistemi ed impedire che vengano usati, con molto maggior profitto, a fini criminali piuttosto che a fini socialmente utili. Come ho già detto in altri articoli, esistono altri modi, sempre crittografici ma molto meno pericolosi, di garantire la necessaria segretezza delle informazioni e di gestire la loro diffusione.

Immediatamente prima ed immediatamente dopo le elezioni, si è scatenata una violenta polemica riguardo alle tecnologie per il voto elettronico. In realtà, nel caso delle ultime elezioni politiche italiane non si è trattato di “voto elettronico” ma piuttosto di “scrutinio elettronico”: i PC non sono stati usati per esprimere il voto ma solo per raccogliere i dati ed inviarli al centro di raccolta del Viminale. L'elemento “fidato” del sistema sono rimaste le solite, vecchie, inaffidabili schede su carta. Nonostante questo, il problema del voto elettronico resta e merita qualche riflessione.

Diciamo subito che, come al solito, in queste discussioni l'Italia arriva da buona ultima. Il voto elettronico (quello vero) è in uso da anni negli USA, ha già scatenato feroci polemiche durate altri anni ed è ritenuto, da molto tempo e da molti osservatori, la principale ragione della, altrimenti inspiegabile, sopravvivenza politica di George W. Bush. Scientific American ha dedicato un bellissimo articolo a questo tema almeno una decina di anni fa, giungendo prima di altri a delle conclusioni che ora sono condivise da molti.

Da un punto di vista logico, i sistemi di voto e di scrutinio elettronico sono destinati ad uno spettacolare fallimento a causa di una evidente, ma mai del tutto accettata, contraddizione interna: questi sistemi devono garantire, nello stesso tempo e con lo stesso grado di sicurezza, sia la segretezza del voto che la possibilità di accurata contabilità dei voti stessi.

La segretezza del voto può essere garantita solo svincolando l'elettore dalla sua scheda. Si deve poter sapere che sono state usate 1000 schede ma non chi sono i 1000 votanti relativi.

Ovviamente, se non è possibile sapere a chi appartiene ogni singola scheda, diventa impossibile garantire che ad ogni elettore corrisponda la sua vera scheda e non un'altra che esprime un voto diverso. Nei sistemi tradizionali questa garanzia viene fornita dall'uso delle schede di carta, delle urne e dalla presenza dei rappresentanti di lista.

Tecnicamente parlando, è perfettamente possibile ricreare questo scenario nel mondo digitale ed avere (quasi) le stesse identiche garanzie. Al posto delle schede di carta possono essere usati dei token digitali anonimi (qualcosa di molto, molto simile al numero a 14 cifre usato per le ricariche delle schede telefoniche). Si gratta la “ricarica elettorale”, si usa il numero a 14 cifre per accedere alla cabina elettorale e si vota. Al posto delle urne si può usare un database ed al posto dei rappresentanti di lista si possono usare degli appositi server di verifica (macchine identiche alle prime su cui l'elettore deve riesprimere separatamente il voto per conferma).

La Salvezza, il Paradiso e la Vita Eterna sono quindi a portata della nostra mano, giusto?

Sbagliato: nessuno di questo elementi è affidabile. La scheda elettorale con il numerello a 14 cifre può essere stampata abusivamente dai responsabili del sistema per far votare due volte i loro protetti ed avvantaggiare i propri candidati. Il database può essere manomesso con estrema facilità. I server di verifica potrebbero anche registrare i brogli, ma alla fine qualcuno dovrà pur decidere quale di questi server riporta il valore attendibile, e siamo di nuovo al punto di partenza. "Taroiccare" le elezioni in un mondo digitale come questo sarebbe molto più facile che nel mondo fisoco a cui siamo abituato e si lascrebbe dietro di sè molte meno tracce. Tutto questo senza contare il fatto che la stragrande maggioranza della popolazione nemmeno riuscirebbe a capire cosa sta succedendo.

In realtà, per garantire il sistema nel suo complesso dai brogli, bisognerebbe tenere memoria, su un supporto non modificabile e comunque non accessibile ai politici, del voto espresso da ogni singolo elettore, in modo da poter ricreare la votazione complessiva in qualunque momento per effettuare i dovuti controlli. Questa soluzione però crea un problema di democrazia e di sicurezza.

Vi do una Smart Card. Voi la usate per votare e la Smart Card registra come avete votato per permettere ai controllori di verificare in seguito la correttezza del voto in caso di contestazioni. Poi mando la Polizia a casa vostra a controllare la vostra Smart Card. Se non avete votato come volevo…. problemi vostri.

Comunque, nessuno dei sistemi di voto elettronico realmente usati si basa su questa tecnologia degli “anonymous token”. Quasi tutti i sistemi esistenti si basano su tecniche molto, ma molto meno raffinate e molto ma molto meno affidabili. Di solito si tratta semplicemente di “contatori” digitali debitamente attrezzati. Dopo le ultime elezioni presidenziali americane, questi scatolozzi sono stati oggetto di una seria analisi da parte degli specialisti e, com'era prevedibile, le critiche non sono mancate.

Insomma, se c'è un settore in cui è proprio meglio non applicare le nostre amate tecnologie digitali, questo è il settore politico. Meglio, molto meglio la vecchia cara (ed inaffidabile) scheda di carta. Non ci metterà mai completamente al riparo da brogli elettorali (peraltro sempre più difficili da mettere in atto) ma non ci consegnerà mai nelle mani della polizia politica.

PS: I token anonimi sono anche alla base della tecnologia per il denaro digitale anonimo. Potete trovare ampia documentazione su questi argomenti un po' dovunque in rete, da wikipedia ai vari centri che si occupano di diritti digitali.