Dal punto di vista tecnico, ritengo che la discriminante che ha fatto sì che Telegram venisse attenzionato dalle autorità francesi, mentre altre piattaforme non hanno subito lo stesso trattamento, sia legato a due questioni: la crittografia di default e la conservazione dei dati sul server in chiaro.
Mentre Whatsapp, Signal o piattaforme equivalenti proteggono i dati scambiati dagli utenti come impostazione di fabbrica rendendoli inaccessibili alla piattaforma stessa, codificando le comunicazioni tramite cifratura end-to-end, Telegram nel suo utilizzo standard non lo fa.
La piattaforma ideata da Durov implementa di base un livello di cifratura, ma lo utilizza solo tra gli utenti e il server, questo significa che sui loro sistemi possono leggere tutto, sapere chi sta scrivendo cosa, potenzialmente persino ascoltare – e intercettare – le chiamate o le videochiamate.
Si spera ovviamente che non lo facciano, dichiarano di non farlo ma potenzialmente potrebbero farlo. Se gli utenti vogliono privacy completa devono abilitare le chat segrete, operazione non banale, che si può fare soltanto se entrambi gli utenti sono online e soprattutto che nessuno o quasi conosce perché non ne sente l’esigenza, presentandosi Telegram come sistema sicuro.
Non solo quindi Telegram non cifra le conversazioni o i dati se l’utente non lo chiede esplicitamente, ma conserva sui suoi server le informazioni che vengono scambiate (chat, foto, video, audiomessaggi, etc…) dando la sensazione di sicurezza e riservatezza ma in realtà non fornendola realmente (a meno di non impostare appunto l’opzione di chat segrete).
Oltre ai dati scambiati, Telegram conserva ovviamente anche i metadati, cioè le informazioni relative alle nostre attività (dati di ogni connessione, i nostri contatti, la nostra attività, etc…). C’è chi dice che questi dati siano conservati per sempre: non è al momento possibile verificare, ma possiamo essere certi che i dati rimangono sui server almeno fino a che gli utenti non li cancellano, il che è già tanto.
Aggiungiamo anche che, a differenza di Whatsapp (ma anche di altre piattaforme che permettono di comunicare come Instagram, Twitter, Facebook, TikTok eccetera) permette un sostanziale anonimato e non fornisce alle Forze di Polizia i dati (chat, contatti, indirizzi eccetera) degli utenti, anche su richiesta giudiziaria.
Le altre piattaforme legano l’utenza al numero di telefono, alla mail, tengono svariati dati e pubblicano sul loro sito le istruzioni su cosa possono fornire all’Autorità Giudiziaria e come devono essere prodotte le richieste.
Basta cercare “law enforcement” e il nome della piattaforma che emergono tutti i dettagli di cosa ogni provider può fornire e cosa invece non può essere acquisito: scopriamo ad esempio così nelle “Linee guida per le procedure legali” che Apple dichiara che “Le comunicazioni via iMessage sono interamente codificate e Apple non può decodificare in alcun modo i dati in transito da un dispositivo all’altro”.
“Apple non può intercettare le comunicazioni che avvengono via iMessage e non dispone dei registri delle comunicazioni iMessage”, che in sostanza significa che non può fornire i contenuti delle chat iMessage dei propri utenti.
Ma nello stesso documento Apple indica invece molti altri dati che può fornire su richiesta alla Polizia Giudiziaria, e allo stesso modo è possibile leggere le disponibilità di TikTok, Twitter, Instagram, Facebook, etc… ovviamente sempre quando si tratta di informazioni non cifrate dall’utente oppure di comunicazioni non cifrate end-to-end.
Telegram, a tutela dei suoi utenti – almeno così dicono – non fa nulla di tutto ciò e non risponde alle richieste di Polizia circa gruppi o i canali dove si scambia materiale riguardante minori, si vendono droghe e armi o tramite i quali vengono gestiti i C&C dei ransomware.
Il punto, quindi, ritengo risieda nel fatto che pur potendo agevolmente intervenire, Telegram non lo fa e preferisce declinare o più frequentemente non rispondere alle richieste di Polizia, così da dare l’impressione di proteggere i criminali, mentre nella loro intenzione probabilmente l’intento è proteggere la privacy di tutti.
Questo rifiuto non va paragonato a quello di chi fornisce servizi di cifratura end-to-end o di archiviazione cifrata e non può intervenire perché non possiede le chiavi di comunicazione utilizzate dagli utenti. Si pensi ad esempio ad Apple, che sugli iPhone dopo la vicenda di Carolina Picchio ha deciso di cifrare i propri dispositivi senza lasciare (almeno così dichiara) backdoor che ne rendono possibile l’accesso, dovendo quindi rifiutare le richieste di Polizia per impossibilità tecnica e non per decisione strategica.
Da qui ritengo vengano le imputazioni, per ora contestate a ignoti, ma che lasciano intendere chiaramente essere rivolte a chi detiene la gestione della piattaforma o agevola, in qualche modo, i reati meglio specificati nel documento pubblicato dal Tribunal Judiciaire de Paris che parla di “Refus de communiquer” e “Complicité” prima, “Fourniture” e “Importation” poi, lasciando in mezzo l’associazione a delinquere e il riciclaggio che probabilmente è eccessivo vengano contestati ai gestori della piattaforma.
In sostanza, l’impressione che si ha è che nel caso in cui – pur potendolo fare, questo ormai è chiaro – non venisse fornito il supporto richiesto, si andrebbe a configurare tutta quella serie di reati che partono proprio dalla complicità nei reati sterssi commessi da terzi tramite la piattaforma.
Vedremo gli sviluppi della questione e se Durov è stato sentito – come sostengono alcuni – come semplice persona informata sui fatti o se invece la Procura francese ritiene che possano essere ravvisate in lui delle responsabilità per i reati indicati nel comunicato con il quale viene spiegato il motivo per il quale “Il fondatore e dirigente della piattaforma di messaggeria istantanea Telegram Pavel Durov è stato arrestato e tenuto in custodia.