Compania elvețiană Crypto AG, deținută în secret de un parteneriat format din serviciile de informații americane (CIA, NSA) și germane (BND), a vândut timp de aproape 50 de ani, echipamente și software de criptare cu algoritmi „aranjați”.

Cumpărători au fost guvernele din întreaga lume. Astfel, guvernele democrate ale SUA și Germaniei au interceptat insațiabil comunicațiile criptate ale aliaților și dușmanilor deopotrivă (i). Rețeta poate fi intitulată, avant la lettre, „securitate prin criptare și securitate în pofida criptării”.

În 2018, Crypto AG, deconspirată de jurnaliștii de la Washington Post și ZDF, este dezmembrată și își vinde ultimele active (ii). La doi ani după lichidarea companiei, în noiembrie 2020, Consiliul Uniunii Europene (Consiliul), reprezentând „vocea guvernelor membre ale UE”(iii), sub președinția Germaniei, a emis o Rezoluție cu privire la criptare, intitulată oximoronic „Securitate prin criptare și securitate în pofida criptării”(iv).

Uniunea Europeană ar sprijini o „criptare solidă”, dar în același timp autoritățile competente, „în scopuri judiciare și de asigurare a respectării legii”, să aibă acces și să poată intercepta datele și comunicațiile criptate. „Colaborarea” largă care să implice guvernele, industria, cercetarea și mediul academic sugerată în Rezoluție, pare să nu se refere, cum am fi tentați să credem la o primă vedere, la găsirea unor soluții tehnice de punere în practică a „obiectivelor stabilite” de Consiliu(v), ci mai degrabă la maieutica unei conivențe între guverne și reprezentanții părților implicate, menite să justifice legitimitatea unei excepții legislative în acest sens.

De asemenea, în preambulul acestei Rezoluții este sugerată și disponibilitatea stimulilor financiari pentru atingerea acestui obiectiv prin fondurile Mecanismului de redresare și reziliență. Așadar, Consiliul se arată dispus să finanțeze soluții tehnice de compromitere legală a echipamentelor sau software-ului de criptare, propunând o „fraternitate” (deloc) sui generis între Big Brother și Big Tech. „Backdoor”-ul pe care îl urmăresc în această etapă guvernele din UE și Comisia Europeanăvi nu este atât cel tehnologic, cât cel legislativ.

Miza este constituită în primul rând de o „intrare în legalitate” prin indexarea excepției „în pofida criptării” la legislația privind protecția datelor (în special Directiva/Regulamentul ePrivacy)  și instituirea ei ca obligație legală pentru companii. În al doilea rând, noua eră a globalizării aduce cu sine, pentru comunitatea de informații, necesitatea implementării unor instrumente tehnice capabile să prelucreze ubicuu și facil celălalt Big Data, constituit în zona informațiilor criptate – în speță volume masive și diverse de date în timp real, cu posibilități de analiză și profilare, greu accesibile sau innaccesibile în momentul de față autorităților.

Dincolo de orice narativ oficial, afacerea Crypto AG sau cazul Edward Snowden au dezvăluit pofta nestăvilită a guvernelor de a controla și de a supraveghea pe scară largă, indiferent dacă aceste guverne aparțin sau nu unor țări cu regim democratic.

„Securitate în pofida criptării”  

Conceptul de „securitate în pofida criptării” reprezintă în ultimă instanță un eufemism pentru supraveghere (și, în final, pentru insecuritatea cetățenilor). „Echilibrul” propus de UE între „securitate prin criptare” (echivalent conceptului  de securitate) și „securitate în pofida criptării” (echivalent celui de insecuritate) se dovedește practic irealizabil, întrucât conceptele sunt ireconciliabile, diminuarea securității însemnând nimic altceva decât lipsa ei, indiferent cât de abil și-ar pleda autoritățile cauza.

În orice caz, instituțiile abilitate ale statului au acces în prezent la o multitudine de date precum informațiile stocate necriptat în cloud sau transmise prin intermediul mesageriilor electronice necriptate, ori la metadate, iar criptarea poate fi eludată și în momentul de față prin intermediul unor soluții software (cum ar fi, de exemplu, „Pegasus”, oferit de firma NSO Group), utilizate în întreaga lume de organele judiciare și serviciile de informații pentru interceptarea comunicațiilor.

Totuși, aceste soluții oferă un acces relativ limitat și presupun costuri ridicate, iar, din perspectiva autorităților, activitățile de supraveghere în societatea globalizată necesită un upgrade care să le asigure accesul implicit la toate informațiile criptate și la analiza acestora, în timp real.

Apoi, posibilitatea ca unele companii legendate de tipul Crypto AG, care să ofere pieței soluții de criptare compromise în secret în favoarea unor guverne, în mod cert constituie în continuare o plauzibilă ipoteză de lucru pentru comunitățile de informații. Pe tot parcursul anului 2021, reacțiile la propunerea Consiliului din partea societății civile, academice sau a specialiștilor din sfera tehnologică s-au materializat într-o dezbatere de anvergură în jurul criptării și a dorinței UE de a o eluda.

Petițiile sau scrisorile deschise onlinevii împotriva unui astfel de demers, organizarea de dezbateri și mese rotundeviii sau luările de poziție ale susținătorilor drepturilor fundamentale au reliefat o receptare negativă a retoricii guvernelor din UE, considerată îngustă și părtinitoare.

Pretinsa combatere a abuzului sexual asupra minorilor și a terorismului prin asigurarea posibilității autorităților de a accesa datele criptate stocate sau transmise deturnează înțelegerea rolului mult mai larg al criptării tocmai în prevenirea și investigarea criminalității(ix). În fapt, criptarea a devenit sinonimă cu termenul ”securitate”, reprezentând în sine instrumentul online cel mai prețios de luptă împotriva criminalității.

Creșterea cazurilor de abuz sexual asupra minorilor în Europa și necesitatea de a o opri nu pot constitui o bază pentru încălcarea altor drepturi fundamentale precum dreptul la viață privată și protecția confidențialității și nici nu justifică tratarea tuturor cetățenilor ca potențiali infractori.

Datorită îngrijorărilor exprimate de experții în securitate și protecția datelor, compania Apple a fost nevoită să anunțe în toamna acestui an că întârzie implementarea unei preconizate tehnologii de scanare (NeuralHash) a dispozitivelor pe care le produce pentru a detecta imagini pornografice cu minorix.

Atât abuzurile sexuale asupra minorilor cât și terorismul pot fi combătute prin alte mijloace, mai ales prin revizuirea și întărirea legislației specifice în domeniile care generează lipsa securității. Autoritățile ar trebui să își pună în primul rând întrebarea de ce abuzurile sexuale asupra minorilor și infracțiunile conexe au crescut în Europa și să găsească, pentru a combate eficient fenomenul, cauzele reale ale acestuia, criptarea nefiind în mod cert una dintre ele.

Obligația de confidențialitate sau secret profesional a avocaților, preoților, medicilor sau profesioniștilor din domeniul protecției datelor trebuie protejată indiscutabil. Jurnaliștii și activiștii din ONG-uri necesită o protecție specială având nevoie adeseori de securitate inclusiv față de propriul guvern.

Printre soluțiile tehnice de acces la datele criptate pot fi amintite tehnologiile de scanare/filtrare a conținutului, accesul la cheile de criptare, ”backdoor”-uri sau funcționalități criptografice care să permită controlul utilizatorului, al furnizorului ori al unor terți asupra serviciilor de comunicarexi. Aceste soluții ar presupune într-un fel sau altul colaborarea cu furnizorii de servicii și învestirea unei doze uriașe de încredere în companiile respective și în măsurile aplicate de acestea pentru protecția informațiilor.

Dar industria (Big Tech și Ad Tech) încalcă flagrant atât Directiva ePrivacy cât și Regulamentul 679/2016 privind protecția datelor cu caracter personal (cunoscut ca GDPR) la peste 3 ani de la intrarea în vigoare a celui din urmă. Pe de altă parte, autoritățile responsabile pentru aplicarea GDPR s-au dovedit extrem de îngăduitoare cu Big Tech și Ad Tech, încălcările legislației de către marii giganți tehnologici (inclusiv prelucrări de date personale fără un temei legal) fiind sancționate firav, într-o manieră mai degrabă ”prietenoasă”, sau, cel mai adesea, încălcările au rămas nepedepsite.

În acest context, învestirea industriei cu încredere într-o materie mult mai delicată, constituie un risc deloc de neglijat. Rămâne de văzut dacă autoritățile europene vor ține cont sau nu de reacția publică profund negativă.

Într-o societate democratică excepția ”securitate în pofida criptării” nu ar fi trebuit să fie nici măcar adusă în discuție. În cazul în care dezbaterea publică generată de acest subiect se va dovedi în final una formală - urmând ca excepția să fie oricum adoptată fără a se ține cont de greutatea aspectelor negative identificate - legislația europeană privind protecția datelor va avea câteva aspecte comune cu legislația similară adoptată de China, în ceea ce privește accesarea datelor și interceptarea comunicațiilor propriilor cetățeni.