Quello di Telegram è un equilibrio precario

Sabato sera il russo Pavel Durov, fondatore e amministratore dell’app di messaggistica Telegram, è stato arrestato in un aeroporto vicino a Parigi, nel contesto di un’ampia inchiesta sulle attività criminali che si svolgono sulla sua piattaforma. Lunedì sera la sua detenzione è stata estesa di altre 48 ore, fino a mercoledì: poi dovrà essere formalmente accusato di un crimine o rilasciato.

Nonostante le informazioni al momento siano scarse, la notizia ha suscitato un dibattito e alimentato vari commenti critici: su X, cioè Twitter, nel weekend è circolato l’hashtag #FreePavel. L’ha usato anche Elon Musk, proprietario della piattaforma, aggiungendo polemicamente che «nel 2030 in Europa verrai condannato per aver messo like a un meme». Il giornalista statunitense di estrema destra Tucker Carlson, noto per la sua vicinanza all’ex presidente degli Stati Uniti Donald Trump e per sostenere e diffondere teorie del complotto, ha scritto invece che l’arresto di Durov è «un avvertimento vivente per chiunque gestisca una piattaforma digitale e si voglia rifiutare di censurare la verità per volere di governi e agenzie di intelligence».

Altri hanno espresso preoccupazioni relative al fatto che l’arresto di Durov possa rappresentare un pericoloso precedente. Qualcuno teme che governi più autoritari di quello francese, per esempio, potrebbero approfittarne per mettere in futuro ulteriore pressione giudiziaria sui dipendenti di aziende tecnologiche che si rifiutano di rispondere alle loro richieste. In realtà sta già succedendo: da anni i governi di India, Turchia, Russia, Vietnam e Pakistan lavorano alle cosiddette “hostage taking laws”, che obbligherebbero le aziende tecnologiche ad aprire una sede nel loro territorio e assumere dipendenti locali (più vulnerabili rispetto a un dipendente statunitense o europeo, in caso di arresto). Se Durov venisse incriminato, per esempio, la Russia non potrebbe fare granché per proteggerlo, dato che ha la cittadinanza francese.

C’è poi chi teme che possa trattarsi dell’ennesimo tentativo di un governo che vuole cercare di sabotare la crittografia end-to-end, una cosa che avviene da anni. Non lo sappiamo, anche perché Telegram è una piattaforma piuttosto unica nel suo genere, sia per come tratta i dati in suo possesso, sia per come si oppone a qualsiasi richiesta da parte dei governi.

Intanto, non è ancora chiaro se Durov nello specifico sarà effettivamente accusato di qualcosa. Lunedì sera la procuratrice di Parigi Laure Beccuau ha detto che l’arresto si inserisce in un’indagine aperta l’8 luglio contro una persona per ora anonima per una serie di potenziali reati, tra cui complicità nella diffusione di materiale pedopornografico e rifiuto di collaborare con le forze dell’ordine. L’arresto di Durov, ha detto Beccuau, fa parte di una procedura penale francese standard, e non avrebbe nulla a che fare con l’applicazione del Digital Services Act o del Digital Markets Act, le due leggi europee approvate l’anno scorso che regolamentano le grandi piattaforme. Al momento non si sa nient’altro sull’inchiesta in questione né sulle ragioni per cui si sia ritenuto che Durov richiedesse una misura cautelare.

L’ultimo caso simile a quello di Durov risale al 2016, quando un dirigente di Facebook era stato arrestato in Brasile perché l’azienda si era rifiutata di fornire alle autorità brasiliane dei dati utili per un’indagine su un caso di traffico di droga. Per il resto, non era mai successo prima che l’amministratore delegato di una piattaforma tecnologica fosse arrestato per i contenuti presenti sulla piattaforma. Sia in America che nell’Unione Europea negli ultimi anni vari leader di aziende tecnologiche sono stati convocati dai parlamenti per rispondere a domande sulle loro piattaforme e, in particolare, sulle loro pratiche di sicurezza e di moderazione dei contenuti illegali o dannosi, ma questo non aveva portato a grandi conseguenze.

Negli Stati Uniti, peraltro, esiste una vera e propria legge che lo rende impossibile: la sezione 230, secondo cui «nessun fornitore e nessun utilizzatore di servizi Internet può essere considerato responsabile, come editore o autore, di una qualsiasi informazione fornita da terzi». Domenica, in una dichiarazione, Telegram ha detto che «è assurdo affermare che una piattaforma o il suo proprietario siano responsabili del modo in cui quella piattaforma viene usata illecitamente».

– Leggi anche: Le 26 parole che hanno cambiato internet

Ci sono varie ragioni per cui arresti di questo tipo sono così rari: la prima è che le aziende tecnologiche tendenzialmente rispettano le richieste legalmente vincolanti delle autorità giudiziarie dei paesi in cui operano, specialmente se hanno una sede fisica e dei dipendenti in quel paese. In Germania, per esempio, Facebook nel tempo ha cancellato migliaia di post che violano le leggi locali contro i discorsi d’odio, l’incitazione alla violenza e la propaganda neonazista. Quasi tutte le grandi piattaforme nel tempo hanno poi implementato delle politiche di moderazione dei contenuti che portano alla rimozione sistematica di milioni di foto, video e post che sarebbero considerati illegali quasi ovunque, dal materiale pedopornografico a quello terroristico. Soltanto negli ultimi quattro mesi del 2022, Meta ha detto di aver cancellato automaticamente 34 milioni di contenuti pedopornografici, senza bisogno che la polizia glielo chiedesse.

Ovviamente alcune richieste delle autorità sono più ragionevoli di altre: il governo indiano, per esempio, negli ultimi anni ha più volte richiesto alle piattaforme di social network di oscurare i post di attivisti e manifestanti antigovernativi. Ancora più estremi sono i casi di paesi come Russia o Iran, dove collaborare con le autorità e fornire loro informazioni sulle informazioni scambiate dagli utenti li metterebbe potenzialmente in grande pericolo.

Anche per evitare di mettere in pericolo utenti che vivono in questo genere di paesi, da anni quasi tutte le piattaforme che permettono di scambiarsi messaggi privatamente fanno ricorso alla crittografia end-to-end, un tipo di cifratura dei dati che fa sì che i gestori di vari servizi digitali non possano mai accedere al contenuto dei messaggi che gli utenti si scambiano attraverso i loro servizi. Un’azienda non può scegliere se fornire o meno i messaggi scambiati dai suoi utenti a un governo autoritario se non ha mai avuto modo di leggerli.

L’unico modo sarebbe quello di inserire una cosiddetta “backdoor” (“porta sul retro” in inglese) per permettere soltanto alle autorità di accedere alle comunicazioni protette da crittografia end-to-end. Ma la comunità di sicurezza informatica è unanime nell’affermare che questo è impossibile, perché non si può creare una backdoor che non possa essere poi sfruttata anche da terze parti malintenzionate: hacker che potrebbero usarla per qualsiasi tipo di crimine informatico, dal furto d’identità al ricatto o allo stalking.

In questo contesto, Telegram ha sempre operato in modo molto singolare, da tutti i punti di vista. L’app fu fondata da Durov nel 2013 e oggi conta più di 900 milioni di utenti: a lungo è stata completamente gratuita, finanziata con i soldi che Durov guadagnava con altre attività imprenditoriali, e soltanto negli ultimi due anni ha cominciato a guadagnare grazie a microtransazioni e a un sistema di abbonamento “premium” per gli utenti che vogliono utilizzare funzionalità aggiuntive.

I servizi principali che offre sono tre, due dei quali sono più simili a quelli offerti da un social network che da un’app di messaggistica: i canali, che permettono a chiunque di seguire e talvolta commentare i contenuti pubblicati da un individuo o da un piccolo gruppo di amministratori (qui, per esempio, c’è il canale del Post), e le chat di gruppo, che possono ospitare fino a 200mila persone (molte più di qualsiasi altra app di messaggistica, da Facebook Messenger a WhatsApp). Poi ci sono le chat private, in cui due persone possono scambiarsi messaggi.

Solo queste ultime possono essere protette da crittografia end-to-end, e non lo sono automaticamente: l’utente deve decidere di attivare la funzione “chat segreta” e ricordarsi di scrivere soltanto in quel contesto, se vuole assicurarsi davvero che i suoi messaggi non vengano mai letti dalle autorità. Servizi come Signal, ma anche come WhatsApp e Facebook Messenger, applicano invece automaticamente la crittografia end-to-end a tutte le comunicazioni che avvengono al loro interno, comprese le chat di gruppo.

Ciononostante, negli ultimi anni Telegram si è fatto la fama di essere un’app particolarmente sicura per chiunque volesse svolgere attività illecite, illegali o non del tutto approvate dal governo. Al suo interno si trovano notoriamente migliaia di canali dedicati allo scambio di contenuti pornografici non consensuali, tra cui milioni di foto e video che ritraggono bambini e minorenni, così come enormi reti di estremisti di destra che pubblicano contenuti razzisti, misogini e antisemiti spregevoli e gruppi paramilitari che incitano alla violenza. È anche un’app comunemente usata nello spaccio di droga, perlomeno quello di livello più basso.

Al contempo, Telegram è da tempo utilizzata da decine di migliaia di persone che vivono in paesi dove i media sono fortemente controllati dal governo, come Russia e Iran, per ottenere informazioni su cosa sta succedendo nel mondo (o nel loro stesso paese). Ad attivisti, giornalisti e dissidenti in questi paesi normalmente si consiglia di utilizzare Signal, ma molti si affidano anche a Telegram.

– Leggi anche: L’importanza di Telegram in Russia

L’azienda sa che grandissima parte dei contenuti scambiati su Telegram non è crittografata, e quindi è accessibile tramite i suoi server: sul suo sito spiega che, per proteggerli, «i dati delle chat vengono archiviati in una serie di distinti data center in tutto il mondo, controllati da diverse entità legali sparse in diverse giurisdizioni. Le chiavi di decrittazione [che permettono di accedere al contenuto di questi data center, ndr] sono divise in più parti e non vengono mai conservate nello stesso luogo dei dati che proteggono. Di conseguenza, sono necessarie ordinanze di tribunali di varie giurisdizioni per costringerci a consegnare un qualsiasi dato».

Telegram dice di non aver mai consegnato un solo byte di dati degli utenti a un governo, e Durov ha costruito molto del proprio personaggio attorno alla sua inflessibilità nella collaborazione con qualsiasi autorità. «In fin dei conti, la privacy è più importante della nostra paura che succeda qualcosa, per esempio un attacco terroristico», ha scritto Durov nel 2015. «Per essere veramente liberi, dovremmo essere pronti a rischiare tutto per la libertà».

Questo aveva portato già in passato a frizioni tra Telegram e diversi governi: dal 2022, per esempio, la Germania cerca senza successo di costringere l’applicazione a rimuovere contenuti neonazisti che sono illegali in base alla legge tedesca. Nel corso degli anni Telegram è stata bandita temporaneamente o definitivamente in 31 paesi.

«Telegram opera su tutto un altro livello» rispetto alle altre aziende tecnologiche, ha scritto su Threads l’ex responsabile delle politiche relative al terrorismo di Meta, Brian Fishman. «È stato il centro digitale nevralgico dell’Isis per un decennio. Tollera i materiali pedopornografici. Si rifiuta di collaborare con le richieste ragionevoli delle forze dell’ordine da ANNI. Non è che la sua moderazione dei contenuti è particolarmente lieve: stiamo parlando di un approccio completamente diverso al tema».

Su Le Monde il giornalista francese esperto di tecnologia Damien Leloup ha scritto che «l’arresto di Durov arriva dopo anni di scambi infruttuosi tra l’applicazione e gli inquirenti e i governi di decine di paesi, che muovono tutti le stesse critiche alla piattaforma: non modera i contenuti e non collabora neanche in casi penali gravi. L’azienda si rifiuta di cooperare in alcun modo con le forze dell’ordine e interviene solo se l’equilibrio di potere si sbilancia troppo a loro sfavore».

Anche per questo motivo, molti esperti di moderazione di contenuti – e molti attivisti normalmente esposti sul tema della libertà d’espressione online – stanno facendo fatica a capire come approcciarsi all’arresto di Durov. Come riassume Casey Newton, uno dei più noti giornalisti che seguono e approfondiscono questo tema, «è del tutto possibile che i pubblici ministeri francesi si allarghino un po’ troppo», magari chiedendo a Telegram di includere una backdoor nelle proprie comunicazioni crittografate, come vari governi hanno provato a chiedere a Meta per anni (senza successo, per quanto ne sappiamo). «Ma cosa vuol dire l’arresto di Durov per le altre piattaforme? Non lo sappiamo ancora».

«Da una parte, ormai da anni le piattaforme sono sottoposte a una pressione crescente: viene chiesto loro di reprimere la libertà d’espressione dei propri utenti a livello globale e di cooperare di più con le forze dell’ordine, anche a costo di violare la crittografia end-to-end. Dall’altra, costruire piattaforme in modo responsabile significa raggiungere compromessi con le forze dell’ordine che consentano di indagare su crimini gravi proteggendo al tempo stesso la privacy degli utenti nella massima misura possibile. È un equilibrio difficile, costoso, e quando funziona bene né le piattaforme né le forze dell’ordine sono soddisfatte del risultato»

Natalia Krapiva, un’avvocata che lavora per l’organizzazione non governativa dedicata alla protezione dei diritti digitali Access Now, ha detto che il gruppo «ha difeso Telegram ogni volta che un regime autoritario ha provato a bloccare l’app o a convincere la piattaforma a fornire loro le chiavi crittografiche», ma che al contempo «denuncia da anni la mancanza di politiche per la protezione dei diritti umani su Telegram, di canali di comunicazione affidabili e di protezione dei suoi utenti».

Anche il presidente francese Emmanuel Macron si è inserito inaspettatamente nella discussione: succede raramente che un politico francese commenti un’inchiesta nelle sue fasi iniziali. Macron ha sottolineato che l’arresto di Durov «è avvenuto nel contesto di un processo giudiziario in corso» e che «non è in alcun modo una decisione politica», dato che «saranno esclusivamente i giudici a giudicare nel merito». «La Francia è profondamente impegnata nella protezione della libertà di espressione e di comunicazione» e «rimarrà così», ha aggiunto, «ma in un paese governato dallo stato di diritto, le libertà si esplicano all’interno di un quadro giuridico definito, sia sui social media che nella vita reale».

«Penso che sia importante distinguere tra i governi che esercitano pressione su Telegram affinché consegni loro dei dati e quelli che lo fanno in modo che moderi i contenuti», ha detto Eva Galperin, una delle più rispettate esperte di libertà d’espressione online. «Mi ribellerò ogni volta che un governo proverà a chiedere che venga inserita una backdoor in un sistema di crittografia end-to-end. Ogni singola volta. Ma non sono del parere che tutte le richieste di moderazione dei contenuti da parte dei governi vadano gettate nella spazzatura»

«Il problema è che per ora non sappiamo nulla di cosa sia successo nel caso Durov», dice Galperin al Post. «Ci sono un sacco di cose che potrebbero rivelarsi preoccupanti, o potrebbe finire per non voler dire nulla per le altre piattaforme. Da quel che ho letto finora nulla sembra indicare che la Francia abbia l’intenzione di arrestare Meredith Whittaker [la presidente di Signal] la prossima volta che passa per l’aeroporto Charles De Gaulle».

– Leggi anche: Come ci si scrive nel mondo