Foto e video di ragazze spogliate o semivestite. Ci si confronta su quanto sarebbe divertente stuprarle, su quanto un po’ se lo meritino in fondo. Da un lato, gli aguzzini, perlopiù nascosti dietro un nickname. Alcuni sono adolescenti, altri scrivono di essere dei bambini, come a giustificare il proprio interesse per la pedopornografia. Non mancano i padri di famiglia, che offrono in sacrificio le foto delle loro figlie. Dall’altro, le vittime, ignare di quello che sta succedendo e spesso minorenni. Accade su Telegram, il servizio di messaggistica istantanea che fin dalla sua nascita, nel 2013, ha fatto della privacy un marchio di fabbrica.
Le conversazioni rivoltanti vengono rese pubbliche, arrivano denunce alla polizia postale e il web si indigna. Su Twitter le ragazze ringraziano coloro che hanno aiutato a segnalare gli abusi. Ma c’è anche chi scrive che se una donna pubblica una foto in costume, se l’è cercata. I gruppi incriminati vengono chiusi, ma dopo qualche giorno ricompaiono su altri social, o anche sullo stesso, più forti e determinati di prima.
È uno schema che si ripete da tempo. La “Bibbia del porno”, maxi-archivio di materiale pornografico divulgato soprattutto attraverso revenge porn (cioè la condivisione online di immagini o video intimi senza il consenso dei protagonisti, spesso partner o ex partner) è quasi arrivata alla sua sesta edizione. Il link per scaricare il file è messo a disposizione nelle chat per il tempo necessario al download. Era il 23 gennaio 2019 quando Wired pubblicava un’indagine sul gruppo Telegram “Canile 2.0”, attivo dal 2016 e con 2.300 iscritti.
La testata è tornata a occuparsi del caso, dopo aver ricevuto la denuncia di una ragazza venuta a sapere, tramite i molteplici insulti nei messaggi privati di Instagram, che alcune sue foto erano finite su un gruppo.
Viene scoperto così un network di ventuno canali, con oltre 43mila iscritti, che si mandano in media 30mila messaggi al giorno. Non solo revenge porn, anche foto prese e salvate dai profili social delle vittime.
I reati sono di pedopornografia, diffamazione e stalking. Il Codice penale non è clemente, ma online sembra esserci poca fiducia nella giustizia e molta nella sicurezza di Telegram.
È il 3 aprile, Simone Fontana scrive del gigantesco archivio. Sette giorni dopo, gli Anonymous e i LuzSec italiani, gruppi di hacker cosiddetti “etici”, lanciano RevengeGram. «Stiamo venendo a prendervi», recita il messaggio video caricato online. Iniziano a recuperare gli indirizzi IP (quindi l’identità) e le coordinate dei dispositivi connessi a una rete Internet dei membri delle chat.
«La stampa è pigra e non parla di queste cose, non vuole affrontarle», dice il direttore di Wired Federico Ferrazza. Ma stavolta potrebbe essere diverso. Stavolta i gruppi forse sono vicini all’eradicazione definitiva e i media costretti a parlarne.
Ancora una volta, Telegram è nell’occhio del ciclone. «Tutte le chat e i gruppi sono territorio privato dei loro rispettivi partecipanti. Non eseguiamo alcuna richiesta relativa ad esse», si legge nelle FAQ (le domande frequenti) del sito. Quale luogo migliore per condurre attività illecite? Perché gli utenti si sentono così al sicuro?
La piattaforma prevede due tipologie di messaggi: le Cloud Chats e le Secret Chats. I contenuti delle seconde sono cifrati tramite la cosiddetta “crittografia end-to-end”: vengono salvati sui server del servizio in modo da non poter essere visualizzati, se non avendo materialmente a disposizione lo smartphone dell’utente. Oltre a ciò, «puoi ordinare ai tuoi messaggi, foto, video e file di autodistruggersi in un lasso di tempo preimpostato dopo che sono stati letti o aperti dal destinatario. Il messaggio scomparirà sia dal tuo telefono che dal suo».
I dati dei clienti sono spacchettati su data center (cioè le strutture dove sono inserite le informazioni) dislocati in vari punti geografici. Nel caso in cui la privacy di un individuo sia violata, le sanzioni sono di tipo amministrativo e penale. «Il luogo fisico in cui si verifica il trattamento di questi dati, cioè dove materialmente sono contenuti, è quello in cui si trova il data center. Solo l’autorità giudiziaria territorialmente competente può ordinare l’esibizione di quei dati», spiega F. F., avvocatessa specializzata in data protecion e privacy.
Se le informazioni, per esempio, si trovano a Dublino, la competenza è del tribunale irlandese. È a quest’ultimo che il giudice italiano dovrà rivolgersi per chiedere l’ordine di esibizione di quei dati. Questo strumento di collaborazione prende il nome di rogatoria internazionale.
Secondo l’avvocatessa, il fatto che i data center rispondano a giurisdizioni diverse può comportare difficoltà: «Finché ci troviamo nell’Unione europea, il problema è pressoché inesistente. È poco più rilevante quando lo scambio avviene tra Europa e Stati Uniti. È famoso il caso di Microsoft contro il Dipartimento di Giustizia, in cui l’autorità giudiziaria statunitense non poté intervenire perché i dati degli utenti erano nel data center irlandese dell’azienda. Non aveva quindi nessun potere di ordinare l’esibizione di quelle informazioni. Quando si tratta di Paesi ancora più lontani, o con cui l’Italia non ha alcun accordo, l’operazione diventa estremamente difficile».
A complicare il quadro, il periodico cambiamento dei data center: «Passato un po’ di tempo dalla registrazione nell’applicazione, il centro a cui i tuoi dati sono associati cambia. È proprio questo il punto di forza di Telegram, il motivo per cui è così diffuso anche tra persone che vogliono scambiare materiale segreto. La privacy degli utenti è in una botte di ferro perché per poter esibire i dati di un individuo sono necessari gli ordini congiunti di almeno due autorità giudiziarie, quella del Paese dove si trova chi ha denunciato la violazione e quella del luogo fisico dove risiede il data center», sostiene Ferrari.
La rogatoria consentirebbe di acquisire gli indirizzi IP dei titolari dei profili social attraverso i quali si commettono i reati. Per effettuarla, però, è necessario che il crimine sia tale nel Paese richiedente e nel Paese cui viene inoltrata la richiesta. «La diffamazione, per esempio, in California è un illecito civile, non un reato come in Italia. Di conseguenza, se non ci sono altri strumenti utili alle indagini, quasi tutte le diffamazioni commesse su Facebook con un banalissimo nickname alla fine vengono archiviate». A dirlo è Marisa Marraffino, avvocatessa che si occupa di reati informatici e rischi della rete.
Secondo Stefano Zanero, professore associato presso il dipartimento di elettronica, informazione e bioingegneria al Politecnico di Milano, «il fatto che un reato sia tale in una giurisdizione ma non in un’altra, o che l’acquisizione di un certo dato sia possibile in uno Stato e non altrove, a volte rende vane le rogatorie internazionali. Anche laddove non fossero vane, sicuramente sarebbero lente e costose per tutti i passaggi che richiedono. Quindi si ricorre a questo strumento per reati di una certa gravità, per esempio per la pedopornografia. In teoria c’è l’obbligo di procedere alle indagini, nella pratica però i mezzi sono finiti e si perseguono solo gli illeciti che si possono perseguire».
Nella maggior parte delle ipotesi, però, si tratta di reati che sono tali anche in Califonia. «Per questi crimini, Telegram (e qualunque altra piattaforma) avrebbe l’obbligo di collaborare. Eppure, spesso avverte le autorità di non poter fare gli accertamenti necessari perché non sa cosa l’utente abbia scambiato sulle sue chat. È una spiegazione molto fragile, ma i colossi della Silicon Valley da sempre, in assenza di una convenzione internazionale, hanno fatto prevalere la privacy dei loro utenti sulla collaborazione. Per troppi anni ogni Stato ha legiferato per conto proprio. Addirittura Mark Zuckerberg, fondatore di Facebook, dopo le famose audizioni al Congresso per lo scandalo Cambridge Analytica (la società di consulenza britannica aveva raccolto in modo illecito i dati sensibili di milioni di account del social network per sfruttarli a scopo elettorale), è arrivato (come provocazione) a chiedere lui stesso una legge sopranazionale alla quale poi si sarebbe adeguato», continua Marraffino.
I più grandi servizi di condivisone online sono monopolisti. Giudicano loro stessi sui propri casi. Secondo l’avvocatessa, «oggi hanno assunto un peso politico enorme, è più difficile farli sedere a un tavolo per trattare. La rete non ha confini, emanare ogni volta leggi nazionali è come arginare il mare con un cucchiaio. In Italia abbiamo stabilito che basti una comunicazione formale per far scattare l’obbligo della piattaforma. Ma non è sufficiente perché online ventiquattro ore possono essere troppe. Un video diventa virale anche in sessanta minuti e poi occorre agire nei confronti dei singoli social network per rimuoverlo».
Secondo gli esperti di sicurezza informatica, non è la tecnologia a dover essere condannata per un abuso che alcuni soggetti ne fanno. «Una crittografia impenetrabile dai governi ha dei vantaggi. Nei Paesi autoritari, per esempio, è l’unico modo per avere l’attivismo politico. Si tratta di strumenti che tutelano anche la libertà di espressione e di pensiero», sostiene una specialista del settore che vuole rimanere anonima. «Alla fine – continua – devi decidere qual è il giusto mezzo tra libertà e sicurezza, ma questo è un problema di principio che non ha una soluzione».
Così anche Stefano Zanero: «Su Telegram non sono utilizzati nomi utenti direttamente collegati a un numero di cellulare. Su WhatsApp, invece, è facile rintracciare il contatto telefonico di chi sta partecipando a un gruppo. L’autorità, quindi, può risalire all’intestatario della linea ed eventualmente iniziare l’indagine. Qui il problema della rogatoria internazionale non si pone. Per Telegram sì e, considerata la lentezza del procedimento, questo crea delle difficoltà. È una questione di diritto, non della singola piattaforma».
I due esperti informatici concordano su un punto: chi sfrutta un canale per commerciare un certo tipo di materiale, ne utilizza anche altri. «Nel caso di un individuo che diffonde fotografie pornografiche o pedopornografiche, non c’è bisogno della singola foto scambiata in chat. Non è che un giorno uno è un pedofilo e tutto il resto della sua vita no. Ci saranno altre prove, quella persona avrà scambiato molte informazioni in diversi altri modi. A quel punto, è possibile portare avanti un’indagine di tipo tradizionale. È diverso se l’autorità ha bisogno di sbloccare proprio quei dati per portare avanti un’inchiesta», specifica la fonte anonima.
«Fino all’avvento degli strumenti con cifratura end-to-end – continua – per avere accesso a quel tipo di materiale dovevi essere ferrato dal punto di vista tecnologico e questo rappresentava una barriera all’entrata. I pedofili ci sono sempre stati, per un periodo erano soliti scambiarsi i numeri di telefono nella sezione commenti di YouTube. Però certo, avere uno strumento semplice come Telegram, che lo installi sul telefono e fai distribuzione di massa del materiale che preferisci, facilita enormemente il lavoro. Credo che il vero problema di questa piattaforma sia che può portare a una diffusione massiccia della pedofilia e di altri reati, data l’estrema facilità con cui consente di commettere un illecito».