La Commissione Europea è un organo legislativo dell’UE con autorità di regolamentazione sulla tecnologia digitale. L'articolo 45 della proposta di regolamento eIDAS della CE indebolirebbe deliberatamente alcuni aspetti della sicurezza Internet che l'industria ha attentamente sviluppato e rafforzato per oltre 25 anni. Questo articolo garantirebbe in effetti ai 27 governi dell’UE ampi poteri di sorveglianza sull’uso di Internet.

La regola richiederebbe a tutti i browser Internet di fidarsi di un certificato radice aggiuntivo emesso da un'agenzia (o entità regolamentata) di ciascuno dei governi nazionali di ciascuno degli Stati membri dell'UE. Per i lettori non specialisti spiegherò cos’è un root certificate, come si è evoluta la fiducia in Internet e cosa comporta l’articolo 45 a riguardo. Successivamente, metterò in evidenza alcuni commenti della comunità tecnologica su questo problema.

La sezione successiva di questo articolo spiega come funziona l'infrastruttura di fiducia di Internet. Questo contesto è necessario per comprendere quanto radicale sia l’articolo proposto. La spiegazione è destinata ad essere accessibile a un lettore non tecnico.

La normativa in questione riguarda la sicurezza di Internet. Per “Internet” qui intendiamo, in larga misura, i browser che visitano i siti web. La sicurezza in Internet presenta molti aspetti distinti. L’articolo 45 mira a modificare l’infrastruttura a chiave pubblica (PKI), che fa parte della sicurezza Internet dalla metà degli anni 90. La PKI è stata prima adottata e poi migliorata nell’arco di 25 anni, per offrire agli utenti e agli editori le seguenti garanzie:

Privacy della conversazione tra browser e sito Web: browser e siti Web conversano su Internet, una rete di reti gestita da fornitori di servizi Internet e operatori di livello 1 o operatori di telefonia mobile, se il dispositivo è mobile. La rete stessa non è intrinsecamente sicura o affidabile. Il tuo fornitore di servizi Internet di casa, un viaggiatore nella sala d'attesa dell'aeroporto dove stai aspettando il tuo volo o un fornitore di dati che cerca di vendere contatti agli inserzionisti potrebbe voler spiarti. Senza alcuna protezione, un utente malintenzionato potrebbe visualizzare dati riservati come password, saldo della carta di credito o informazioni sanitarie.
Assicurati di visualizzare la pagina esattamente come te l'ha inviata il sito web: quando visualizzi una pagina web, potrebbe essere cambiata tra l'editor e il browser? Un censore potrebbe voler rimuovere i contenuti che non vuole che tu veda. I contenuti etichettati come “disinformazione” sono stati in gran parte rimossi durante l’isteria covid. Un hacker che ha rubato la tua carta di credito potrebbe voler rimuovere le prove delle sue spese fraudolente.
Assicurati che il sito web che vedi sia quello nella barra degli indirizzi del browser: quando accedi a una banca, come fai a sapere che stai vedendo il sito web di quella banca e non una versione falsa che sembra uguale? Controlla la barra degli indirizzi del browser. Il tuo browser potrebbe essere ingannato e mostrarti un sito Web falso che sembra identico a quello reale? Come fa il tuo browser a sapere con certezza che è collegato al sito giusto?

Agli albori di Internet non esisteva nessuna di queste garanzie. Nel 2010, un plug-in del browser disponibile nel negozio di componenti aggiuntivi consentiva all'utente di unirsi alla chat di gruppo Facebook di un'altra persona in un hotspot café. Oggi, con ICP, puoi essere abbastanza sicuro di queste cose.

Queste funzionalità di sicurezza sono protette da un sistema basato su certificati digitali. I certificati digitali sono una forma di identificazione: la versione Internet della patente di guida. Quando un browser si connette a un sito, il sito gli presenta un certificato. Il certificato contiene una chiave crittografica. Il browser e il sito web lavorano insieme utilizzando una serie di calcoli crittografici per stabilire una comunicazione sicura.

Insieme, il browser e il sito web forniscono le tre garanzie di sicurezza:

- riservatezza: crittografando la conversazione.
- firme digitali crittografiche: per garantire che i contenuti non vengano modificati in volo.
- verifica dell'editore: attraverso la catena di fiducia prevista dall'ICP, che spiegherò più dettagliatamente di seguito.

Una buona identità dovrebbe essere difficile da contraffare. Anticamente a questo scopo serviva la fusione in cera di un sigillo. Le identità umane si basano sulla biometria. Il tuo viso è una delle forme più antiche. Nel mondo non digitale, quando devi entrare in un locale soggetto a limiti di età, ad esempio per ordinare una bevanda alcolica, ti verrà chiesto un documento d'identità con foto.

accedi all'articolo