L'Unione Europea si prepara a lanciare una delle iniziative più controverse degli ultimi anni nel campo della sicurezza digitale: entro il 2030, le forze dell'ordine europee potrebbero essere in grado di decrittare i dati privati dei cittadini. La strategia ProtectEU, presentata dalla Commissione Europea il 24 giugno 2025, rappresenta un piano ambizioso che mira a garantire alle autorità un accesso "legale ed efficace" alle informazioni digitali, sollevando però delle serie preoccupazioni tra gli esperti di privacy e sicurezza informatica.
La crittografia end-to-end, tecnologia che protegge le comunicazioni private trasformandole in codici illeggibili, è stata identificata come "la sfida tecnica più grande" per le indagini delle forze dell'ordine. Questo giudizio emerge dal rapporto finale del Gruppo di Alto Livello, pubblicato a marzo 2025, che prende di mira specificamente l'uso di servizi VPN, app di messaggistica crittografata e strumenti simili. Il documento rappresenta il culmine del lavoro svolto nell'ambito dell'iniziativa Going Dark, avviata dal Consiglio UE nel giugno 2023.
La roadmap delineata dalla Commissione si articola su sei pilastri fondamentali, ciascuno con obiettivi temporali precisi. La conservazione dei dati vedrà un'estensione degli obblighi di retention e un rafforzamento della cooperazione tra fornitori di servizi e autorità. L'intercettazione legale punterà a migliorare la cooperazione transfrontaliera entro il 2027, mentre lo sviluppo di soluzioni di intelligenza artificiale per le forze dell'ordine è previsto per il 2028.
Il cuore più controverso dell'iniziativa riguarda la decrittazione vera e propria. Il prossimo anno la Commissione UE presenterà una roadmap tecnologica specifica sulla crittografia, con l'obiettivo di identificare e valutare soluzioni di decrittazione. Queste tecnologie dovrebbero equipaggiare gli ufficiali di Europol a partire dal 2030, rappresentando un cambiamento radicale nell'approccio alla sicurezza digitale europea.
La strategia include anche lo sviluppo di capacità di forensics digitale per analizzare e preservare le prove digitali memorizzate su dispositivi elettronici, oltre a un processo di standardizzazione che coinvolgerà Europol, stakeholder industriali ed esperti del settore. L'obiettivo dichiarato è quello di creare un approccio uniforme alla sicurezza interna europea.
Robin Wilton, Senior Director dell'Internet Society, ha espresso serie preoccupazioni riguardo questa direzione politica. "Gli sforzi per sviluppare tecniche di decrittazione introducono quasi inevitabilmente nuove vulnerabilità che potrebbero essere sfruttate da chiunque abbia la motivazione e le conoscenze necessarie", ha dichiarato a TechRadar. Secondo Wilton, questi approcci potrebbero anche incoraggiare l'accumulo di vulnerabilità, pratica contraria alle buone norme di cybersicurezza.
La posizione dell'UE appare paradossale se confrontata con l'attuale contesto di minacce informatiche. L'aumento degli attacchi informatici a livello mondiale ha spinto organismi governativi, inclusi FBI e CISA negli Stati Uniti, a incoraggiare i cittadini a utilizzare servizi crittografati end-to-end per difendersi da queste minacce. La stessa Commissione Europea aveva precedentemente riconosciuto la crittografia come misura necessaria per proteggere l'integrità del cyberspazio.
Questa contraddizione potrebbe spiegare perché una proposta simile, nota come Chat Control, non sia riuscita ad ottenere la maggioranza necessaria dal 2022. Tecnologi, crittografi e attivisti per la privacy hanno espresso profonde preoccupazioni per i piani UE di indebolire la crittografia, considerando l'iniziativa Going Dark come un rebranding della controversa proposta Chat Control.
Magnus Brunner, Commissario UE per gli Affari Interni e la Migrazione, ha promesso un impegno per trovare il giusto equilibrio tra "soluzioni efficienti e a prova di futuro per facilitare l'accesso legale delle forze dell'ordine alle informazioni digitali, rispettando il diritto alla privacy e mantenendo alti livelli di cybersicurezza". Tuttavia, gli esperti rimangono scettici sulla possibilità di raggiungere tale equilibrio senza compromettere la sicurezza fondamentale dei sistemi digitali.
La strategia ProtectEU rappresenta quindi un momento decisivo per il futuro della privacy digitale in Europa, con implicazioni che si estendono ben oltre i confini del continente. La sfida sarà dimostrare se sia davvero possibile conciliare le esigenze di sicurezza pubblica con la protezione dei diritti fondamentali dei cittadini nell'era digitale.
