La responsabilità da progettazione

Il problema posto dall’arresto di Durov si riassume in questa domanda: quando un prodotto/servizio viene progettato con determinate caratteristiche, e queste caratteristiche consentono di commettere o impedire l’accertamento di un reato, chi le ha decise è corresponsabile degli illeciti penali che sono commessi tramite questi prodotti/servizi?

Alcuni precedenti

Per quanto riguarda gli USA, il precedente più rilevante è senz’altro lo scontro risalente al 2016 fra Apple e il FBI statunitense a proposito del rifiuto di Apple di cooperare nell’accesso a un iPhone utilizzato dagli autori della strage di San Bernardino. Anche in questo caso, infatti, il nodo della questione era sostanzialmente lo stesso: Apple rifiutò di cooperare con gli investigatori sostenendo che l’iPhone era progettato by default in modo da non consentire di essere craccato e che dunque non poteva far nulla. Ma Apple non si fermò qui perché in una lettera ai propri utenti, Tim Cook dichiarò esplicitamente che non avrebbe accettato la richiesta del FBI di installare una backdoor negli iPhone.

Apple non subì conseguenze giudiziarie da questa scelta, mentre ebbe una sorte drammaticamente diversa Encrochat, un sistema di messaggistica cifrata diffuso ampiamente (se non esclusivamente) nel mondo criminale europeo e smantellatoda un’indagine franco-olandese. I cosiddetti Encro-Phones non si limitavano a far girare applicazioni per scambiare messaggi e chiamate cifrate tramite una rete di server proprietari, ma erano anche modificati fisicamente con la rimozione di GPS e porte-dati, in modo da rendere ancora più difficile il compito delle autorità investigative. Anche in questo caso, dunque, siamo di fronte a una scelta consapevole e deliberata del produttore di un device e/o del fornitore di un servizio che si traduce nella messa a disposizione di strumenti che non consentono, o rendono più difficile, compiere indagini di polizia.

Il limite giuridico alla sicurezza di un prodotto/servizio

Per quanto il diritto sia l’arte della tetrapilia, nel caso della responsabilità da progettazione è abbastanza difficile spaccare il capello in quattro per cercare differenze fra queste vicende. Tutte, infatti, sono accomunate dalla consapevolezza o meno dei vertici sulle conseguenze delle scelte assunte nella progettazione di prodotti e servizi messi a disposizione degli utenti finali.

In termini penalistici, tuttavia, le cose sono più complesse perché di base la responsabilità riguarda fatti specifici commessi consapevolmente. Quindi, venendo al pratico, nel caso delle piattaforme e dei produttori di hardware bisognerebbe dimostrare il coinvolgimento diretto e volontario di specifiche persone che hanno deliberatamente fatto in modo di agevolare la commissione di reati, senza poter stabilire automaticamente la responsabilità di un dirigente o di un amministratore delegato.

Fuori da ogni ipocrisia, dunque, il dilemma è chiaro: se è consentito mettere in circolazione ciò che ostacola il controllo da parte dello Stato, allora bisogna accettare l’esistenza di servizi di anonimizzazione totale, di sistemi progettati per essere impenetrabili ai tentativi di accesso non autorizzato a prescindere da chi (delinquenti o forze di polizia) li voglia commettere, e il diritto di non cooperare con l’autorità giudiziaria.

Oppure tutto questo è vietato, e dunque punito, e di conseguenza bisogna accettare cose come backdoor hardware e software, crittografia indebolita, VPN gestite in modo da consentire l’acquisizione del traffico in chiaro, abolizione di password e altri sistemi di autenticazione, obbligo di cooperazione generalizzato e via discorrendo.

Nel primo caso, dunque, nessuno dovrebbe essere sanzionato, ma nel secondo tutti (tutti, nessuno escluso) dovrebbero essere puniti.



