- Il gruppo di alto livello dell’UE (HLG) considera ora le VPN tra le “sfide principali” per le attività investigative.
- La crittografia end-to-end viene indicata nel rapporto finale come il maggiore ostacolo
- Gli esperti invitano alla cautela sulle contromisure, temendo che i cittadini si ritrovino a portare “spyware di Stato nelle proprie tasche”.
Per la prima volta, un gruppo di esperti dell’Unione Europea ha citato esplicitamente i servizi VPN tra le “principali sfide” per il lavoro investigativo delle forze dell’ordine, al pari di dispositivi criptati, applicazioni di messaggistica e nuovi operatori di comunicazione.
Nel rapporto finale, il gruppo definisce la crittografia end-to-end come “la sfida tecnica più grande”.
Conosciuto come High-Level Group (HLG), il team di esperti è stato incaricato dal Consiglio dell’UE, nel giugno 2023, di elaborare un piano strategico sull’accesso ai dati per garantire un’applicazione efficace della legge.
Accesso lecito ai dati in fase di progettazione
Il primo insieme di raccomandazioni dell’HLG è trapelato al pubblico nel giugno dello scorso anno. L’obiettivo era chiaro: rendere legalmente e tecnicamente monitorabili in ogni momento i dispositivi digitali di uso quotidiano, dagli smartphone alle smart home, fino ai dispositivi IoT e persino alle automobili, da parte delle forze dell’ordine.
Commentando il piano, Jan Jonsson, CEO di Mullvad VPN, aveva dichiarato a TechRadar: "Significherebbe una sorveglianza totale e che gli abitanti d’Europa portino spyware di Stato nelle proprie tasche."
Il documento finale del gruppo HLG, datato 13 marzo 2025, mostra che la visione di fondo è rimasta pressoché invariata. Tuttavia, le raccomandazioni per realizzare un “accesso legale ai dati integrato nel design” appaiono ora più articolate.
Come già segnalato, i servizi VPN vengono oggi inclusi tra le principali sfide per le indagini. In passato, le preoccupazioni si concentravano soprattutto su app di messaggistica e software di posta elettronica sicura che, grazie alla crittografia, rendono i contenuti degli utenti illeggibili e di fatto difficili, se non impossibili, da decifrare per le autorità.
Law enforcement agencies from the EU, North America and Australia continue their work to gain future lawful access to private communications within the EU initiative Going Dark.We also note that VPNs are mentioned under “key challenges”.https://t.co/ktu9HlZre0March 18, 2025
L’estensione dell’attenzione verso i servizi VPN sembra riflettere la posizione di molti esperti, secondo cui l’accesso ai metadati è “essenziale per identificare i sospetti”.
Per metadati si intendono tutte quelle informazioni che non riguardano direttamente il contenuto delle comunicazioni, ma dati come il mittente, il destinatario, l’orario e il luogo da cui è stato inviato un messaggio. Le VPN intervengono proprio su quest’ultimo aspetto, mascherando l’indirizzo IP dell’utente, ovvero uno degli elementi principali per risalire alla sua posizione online.
Secondo gli esperti, il prossimo passo per i legislatori europei dovrebbe essere quello di trovare soluzioni che obblighino i fornitori di servizi a conservare almeno una parte di questi metadati per un periodo minimo. In questo senso, il bisogno di un quadro normativo “armonizzato e coerente” in materia di conservazione dei dati è incluso tra le raccomandazioni più recenti del gruppo HLG.
Introdurre nuovi obblighi per la raccolta di metadati identificabili, tuttavia, rischierebbe di scontrarsi con l’infrastruttura tecnica e le policy di molti servizi improntati sulla tutela della privacy. È il caso, ad esempio, delle VPN no-log, che per definizione non conservano alcuna informazione in grado di collegare un utente alle sue attività online.
Sicurezza e diritti al centro
Nonostante l’enfasi sulla necessità per le autorità di accedere ai dati per fini investigativi, gli esperti dell’HLG sottolineano che ciò non deve avvenire a scapito dei diritti fondamentali né della sicurezza informatica di sistemi e dispositivi.
Il rapporto ribadisce in più punti come la crittografia sia fondamentale per la protezione degli utenti, offrendo difesa contro furti di dati, attività di spionaggio sponsorizzate da Stati e altri tipi di accessi non autorizzati.
Resta da capire come i legislatori europei riusciranno a bilanciare l’obiettivo di accedere ai dati degli utenti – anche se criptati – con la necessità di garantire la sicurezza delle informazioni.
Da tempo, crittografi ed esperti del settore tecnologico avvertono che la crittografia funziona solo se è integra: introdurre eccezioni o "backdoor" significa comprometterla per tutti.
A riguardo, Andy Yen, CEO di Proton, ha dichiarato:
"La crittografia è matematica: o torna, o non torna. Non è possibile creare una backdoor che preservi la crittografia. È semplicemente impossibile."