Cifratura, exceptional access e diritti individuali

Nel cuore della trasformazione digitale che caratterizza la nostra epoca, la cifratura delle comunicazioni si pone come una delle sfide più complesse e decisive per il diritto contemporaneo. Non si tratta soltanto di un problema di crittografia o di implementazione IT, ma di una vera e propria frontiera tra due valori fondamentali dell’ordinamento: la libertà individuale e la sicurezza collettiva. In un ecosistema sempre più interconnesso, governato da protocolli di rete (TCP/IP, TLS/SSL) e infrastrutture di Public Key Infrastructure (PKI), i giuristi devono riflettere non solo sulla regolamentazione del traffico cifrato (end-to-end encryption, E2EE), ma anche sul significato profondo di «privacy by design», «data minimization» e sul ruolo dello Stato in un contesto tecnologico radicalmente mutato.

La cifratura – sia essa simmetrica (AES, ChaCha20) o asimmetrica (RSA, ECC) – non serve solo a proteggere i dati in transito o a impedire accessi non autorizzati, ma si configura come un’espressione di libertà individuale: un «diritto negativo» in senso kantiano, ossia la facoltà di disporre di uno spazio esente da sorveglianza. Il Regolamento UE 2016/679 (GDPR) include la cifratura tra le «misure tecniche e organizzative appropriate» volte a garantire “integrità e riservatezza” (art. 32, par. 1 lett. a; art. 5, par. 1 lett. f), nonché una best practice riconosciuta nella Bozza di Regolamento ePrivacy come strumento di «confidenzialità dei metadati» e «protezione dei contenuti».

Nel dominio digitale la cifratura agisce come un vero e proprio habeas corpus elettronico: autorizza l’autodeterminazione informatica dell’individuo, opponendosi a qualsiasi forma di «lawful intercept»  priva di adeguate garanzie. Essa rappresenta una barriera, sia simbolica sia concreta, contro intrusioni massive nei sistemi di comunicazione (mass surveillance, deep packet inspection, bulk decryption).

Questa barriera crea però un punto di attrito con le esigenze investigative dello Stato. Autorità giudiziarie e organi di polizia denunciano da anni le difficoltà – talvolta l’impossibilità – di estrarre contenuti cifrati, anche in procedimenti su reati gravi quali terrorismo o pornografia minorile. Il dibattito ha così proposto soluzioni quali «backdoor», «key escrow» o «lawful access» , ossia la possibilità di decriptare sotto controllo giudiziario (i cosiddetti «exceptional access schemes»).

Sul piano giuridico e costituzionale, però, la questione rimane spinosa. Esiste un vero «diritto dello Stato» alla decifratura? Oppure si tratta di un pretese incompatibile con i principi dello Stato di diritto e con il diritto alla segretezza delle comunicazioni garantito dall’art. 8 CEDU e dall’art. 11 della Carta dei diritti fondamentali UE? La Corte di Giustizia dell’Unione Europea, nella sentenza C-293/12 (Digital Rights Ireland), ha infatti dichiarato l’invalidità della direttiva Data Retention per violazione del principio di proporzionalità e necessità, mentre nella causa C-311/18 (Schrems II) ha rafforzato il limite alla sorveglianza di massa. Analogamente, la Corte EDU in più decisioni (ad es. Zakharov c. Russia, 2015) ha ribadito che ogni interferenza deve essere «legale, necessaria e proporzionata».

C’è però un piano più profondo, di natura culturale e antropologica: la cifratura inaugura una moderna concezione di segreto. Nel mondo greco antico il misterion indicava ciò che era velato ai profani; nell’era della trasparenza obbligatoria (es. obblighi di data breach notification, audit log, PNR), il segreto diviene un’anomalia da gestire anziché un diritto da tutelare. Proprio in questo paradosso risiede la sfida: recuperare il valore del silenzio digitale, dello spazio inaccessibile, della dignità che si esprime anche nel diritto di non essere tracciati.

Alla luce dei recenti sviluppi normativi europei – che puntano all’introduzione di backdoors obbligatorie nei sistemi di cifratura, con il rischio strutturale di indebolire la sicurezza delle reti – diventa urgente abbandonare un approccio legislativo basato sull’eccezione permanente. È necessario, invece, riaffermare una cultura del bilanciamento: se proprio si intende introdurre forme di exceptional access, queste dovrebbero essere rigorosamente delimitate, sottoposte a controllo giurisdizionale rafforzato (judicial oversight, audit indipendenti) e limitate a ipotesi tassativamente determinate, evitando derive da sorveglianza sistemica.  

In ultima analisi, la regolazione del traffico cifrato tocca l’essenza stessa dell’idea di diritto. Non si tratta di scegliere tra libertà e sicurezza, ma di evitare che la sicurezza diventi alibi per erodere le fondamenta dello Stato di diritto. La giustizia digitale inizia dal riconoscimento del limite: quel confine inviolabile in cui l’altro resta irriducibilmente libero, anche dal dovere di rendere trasparente ogni sua parola. Come ha osservato Luciano Floridi, «essere lasciati soli è un diritto dell’uomo informazionale, non per isolamento, ma per autodeterminazione». In un ecosistema dove ogni interazione può essere tracciata, ogni parola archiviata, ogni silenzio violato, il vero spazio di libertà è quello che resta inaccessibile. La cifratura non è solo tecnica: è etica della distanza, architettura del limite, condizione minima per esistere senza dover giustificare ogni byte di sé.  

a cura di Paolo Battaglino

Bibliografia

• CGUE, causa C-311/18, Data Protection Commissioner v. Facebook Ireland Ltd e Maximillian Schrems (Schrems II), sentenza del 16 luglio 2020.

• Corte di Giustizia dell’Unione Europea, cause riunite C-293/12 e C-594/12, Digital Rights Ireland Ltd, sentenza dell’8 aprile 2014.

• Corte Europea dei Diritti dell’Uomo, Zakharov c. Russia, ricorso n. 47143/06, sentenza del 4 dicembre 2015.

• Floridi L., The Fourth Revolution: How the Infosphere is Reshaping Human Reality, Oxford University Press, 2014.

• Le backdoor di stato stanno arrivando. Ma questa volta, con il timbro UE!, in Red Hot Cyber, 2025