Sicurezza

Skype poco trasparente, Microsoft risponda o sarà guerra

Microsoft deve fare chiarezza sulle garanzie di privacy per gli utenti di Skype e sulla riservatezza delle loro conversazioni. A chiederlo è un gruppo di organizzazioni internazionali specializzate nella tutela della privacy e dei diritti digitali (fra cui l'italiana Hermes), insieme a un lungo elenco di programmatori, giornalisti e attivisti del web. Tutti insieme hanno sottoscritto una lettera aperta indirizzata al presidente della divisione Skype di Microfost Tony Bates, al responsabile Microsoft per la privacy Brendon Lynch e al consulente generale dell'azienda di Redmond, Brad Smith.

Su Skype la nostra privacy è tutelata?

Nel documento sono incluse cinque richieste esplicite e dettagliate. Innanzi tutto l'azienda di Redmond dovrebbe rivelare quali sono i dati utente raccolti e come sono conservati. Una risposta sufficientemente esaustiva dovrebbe soddisfare anche il terzo punto delle richieste, ossia quali dati utente altri soggetti possano intercettare o conservare – come per esempio fornitori di rete o criminali informatici.

Si chiede poi a Microsoft di comunicare tutte le informazioni relative alla cessione dei dati degli utenti Skype a terze parti. In dettaglio, sono richiesti i dati disaggregati per Paese, in cui compaiano tutti i dettagli sulle richieste inoltrate dai vari Paesi (numero, merito, quante sono state soddisfatte – con relative motivazioni – e quante respinte).

Fra gli utenti di Skype ci sono giornalisti che hanno il dovere di tutelare le proprie fonti, nonché dissidenti politici, blogger e altri utenti che trasferiscono informazioni riservate e critiche tramite il servizio VoIP. Per questo viene chiesta la documentazione sulla relazione tra Skype e TOM Online in Cina e altre parti autorizzate a usare la tecnologia Skype, tra cui le capacità di sorveglianza e censura a cui gli utenti possono essere soggetti.

###old1899###old

L'ultima delle richieste riguarda il riconoscimento e l'interpretazione delle responsabilità di Skype relativamente al Communications Assistance for Law Enforcement Act (CALEA), alla National Security Letters (NSLs) e più in generale alle politiche di gestione dei dati degli utenti a fronte di richieste specifiche da parte delle agenzie investigative statunitensi e di intelligence sia statunitensi sia estere.

Le richieste sono motivate da una serie di dichiarazioni contrastanti che si sono susseguite nel corso del tempo e che non consentono di avere certezze riguardo alla sicurezza delle conversazioni sulla rete Skype. Nel 2008 la software house estone che l'aveva creato spiegava che Skype non era in grado di intercettare le conversazioni degli utenti, che erano cifrate e avvenivano tramite un'architettura che ne impediva l'intercettazione. I fondatori avevano altresì assicurato che, considerata la sede in Europa, non sottostavano alle leggi statunitensi sulle intercettazioni (CALEA appunto).

Molte associazioni per la tutela della privacy vogliono chiarimenti

Poi nel 2011 Microsoft acquisitò il software VoIP e qualcosa sembrerebbe essere cambiato. Lo scorso anno infatti l'esperto di sicurezza Kostya Kortchinsky aveva scoperto che Skype non usava più i propri utenti come supernodi per la gestione della rete. Ufficialmente il provvedimento era stato preso per migliorare le prestazioni, ma secondo il programmatore così facendo si agevolavano le intercettazioni. Microsoft smentì vigorosamente questa ipotesi, ma i dubbi nel tempo si sono moltiplicati.

Fra le associazioni che hanno sottoscritto la lettera aperta c'è anche l'italiana Hermes – Centro per la Trasparenza e i Diritti Digitali in Rete. "Chiedere dichiarazioni chiare su come vengono gestiti e conservati i dati è il primo passo per riflettere sulle garanzie che rischiamo di perdere nel momento in cui ci affidiamo alle leggi di un altro Stato o ai termini di servizio di un'azienda" spiega il presidente Claudio Agosti nel comunicato ufficiale.

"Nonostante la natura gratuita del servizio spesso sia un incentivo più che sufficiente all'uso, dobbiamo ricordare che le nostre conversazioni, per definizione confidenziali, nel caso di queste reti non sono vincolate alle leggi europee sulla privacy e nemmeno alle nostre leggi statali, che siamo abituati a usare come riferimento".

I prossimi passi sono esplicitati nello stesso documento, in cui Agosti spiega che "nella peggiore delle ipotesi, cioè di fronte a una risposta non soddisfacente di Microsoft, disponiamo di due contromisure: una legale e l'altra tecnologica. Quella legale consiste nel richiedere la portabilità dell'identità digitale, un passaggio analogo a quello avvenuto nelle telecomunicazioni, che consentirebbe a un utente di cambiare operatore mantenendo inalterata la propria rete di contatti. Quella tecnologica consiste nel diffondere software che consentano di proteggere le chiamate e le chat su Skype da eventuali tentativi di raccoglierne i dati".