Il mese scorso, un giudice federale di Denver ha ordinato a una sospettata di fornire al governo il contenuto non crittografato di un computer che condivideva con la sua famiglia. L'ordine è stato rinviato mentre gli avvocati hanno portato il caso davanti a una corte d'appello, sostenendo che l'ordine viola le protezioni del Quinto Emendamento contro l'autoincriminazione. Ora, tuttavia, sembra che l'imputato dovrà decriptare il suo portatile o affrontare un'accusa di oltraggio al tribunale. La decima corte d’appello degli Stati Uniti ha rifiutato di essere coinvolta, affermando che il procedimento penale deve raggiungere una conclusione prima di rientrare nella giurisdizione della corte d’appello. L'imputato ha tempo fino al 27 febbraio per consegnare i suoi dati.
A prima vista potrebbe sembrare un caso di portata limitata, ma aspetta un secondo: la crittografia non è solo uno strumento opzionale utilizzato dai fanatici del computer per proteggere i contenuti sui loro dischi rigidi. Protegge tutto, dalle nostre password alle sessioni di online banking a tutto ciò che archiviamo nel cloud, come e-mail, documenti, ricevute e persino beni digitali. Come siamo arrivati qui? Può il governo davvero
ordine persone a decifrare i propri dati?Video consigliati
Il caso
Il caso coinvolge Ramona Fricosu e il suo ex marito Scott Whatcott, incriminati nel 2010 con l'accusa di frode bancaria relativa a una complicata truffa sui mutui. Secondo l'accusa, i due si sarebbero offerti di ripagare le ipoteche dei proprietari di case che volevano disperatamente uscire dalla situazione capovolta causata dal crollo della bolla immobiliare. Tuttavia, invece di estinguere i mutui e prenderne possesso, hanno invece presentato dichiarazione fraudolenta pratiche burocratiche con i tribunali per ottenere titoli sulle case, poi si è mosso per venderle senza pagare il saldo mutuo.
Nel maggio del 2010, il governo ha eseguito mandati di perquisizione presso la residenza che Fricosu condivideva con la madre e i due figli. (Anche Whatcott aveva vissuto lì in precedenza, ma a quel punto la coppia aveva divorziato e lui era stato incarcerato.) gli oggetti sequestrati dal governo erano sei computer: tre desktop e tre notebook, incluso un Toshiba Satellite M305 taccuino. Il governo ha ottenuto un mandato separato per perquisire il computer Toshiba M305, ma ha scoperto che il contenuto era crittografato Desktop PGP crittografia dell'intero disco. Lo schermo del Toshiba era danneggiato; gli investigatori hanno dovuto collegare un monitor esterno.
Il giorno successivo, Whatcott telefonò a Fricosu dal Four Mile Correctional Center del Colorado. La conversazione è stata registrata. In esso, Fricosu afferma che gli investigatori le avevano chiesto le password per il computer e che lei non ha risposto, dicendo che il suo avvocato le aveva detto che non era obbligata a fornire le password agli investigatori. Tuttavia, si riferisce ripetutamente al notebook come al suo computer e lascia intendere di conoscere la password per accedervi.
Finora, le autorità non sono state in grado di violare la crittografia del computer e di accedere ai dati sulla macchina.
Motivazione della decrittazione
Obbligare un imputato a rivelare una password o a fornire una versione decriptata dei dati archiviati su un computer sembrerebbe andare contro le protezioni contro l'autoincriminazione offerte dal Quinto Emendamento. Tuttavia, esistono numerose sfumature ed eccezioni alla protezione del Quinto emendamento. Nell'emettere l'ordine che Fricosu decifrasse il taccuino, il giudice distrettuale americano Robert Blackburn lo indicò ritiene che il caso Fricosu sia fuori dai limiti, anche se nota che non c’è molta giurisprudenza da seguire SU.
Il Quinto Emendamento prevede espressamente che nessuno possa essere obbligato a testimoniare contro se stesso. Tuttavia, le successive sentenze della Corte Suprema hanno limitato tale protezione ad applicarsi solo alle comunicazioni testimoniali forzate, in genere comunicazioni scritte o verbali davanti a un tribunale. Esiste anche una giurisprudenza che riconosce che anche se un documento non è protetto dal privilegio del Quinto Emendamento, l'atto di produrre il documento potrebbe essere: Se i pubblici ministeri venissero a conoscenza di un documento solo chiedendo all'imputato di produrlo, ciò equivarrebbe ad autoincriminazione.
Secondo i precedenti della Corte Suprema, un imputato non può essere costretto a rivelare il contenuto della sua mente: dopo tutto, esiste il diritto a rimanere in silenzio. Pertanto Fricosu non potrà essere obbligato a produrre la password.
Tuttavia, il giudice Blackburn ritiene che il governo abbia ragionevolmente stabilito che il notebook Toshiba appartiene a Fricosu o è stato utilizzato principalmente da lei, e che il il governo “è a conoscenza dell’esistenza e della posizione dei file del computer”. La sua scoperta si basa fortemente sulla conversazione telefonica registrata tra Whatcott e Fricosu. Pertanto, Blackburn conclude che obbligare Fricosu a fornire versioni decrittografate dei contenuti del computer – non la password stessa – non è protetto dall’eccezione di produzione. Il giudice ritiene valido anche il mandato di perquisizione che verterebbe sul contenuto del computer.
Il giudice Blackburn ha ha concesso a Fricosu un'immunità limitata da parte del governo utilizzando l'atto di produrre i dati decrittografati contro di lei. In altre parole, se le informazioni decriptate contenessero qualcosa di inaspettato o addirittura non correlato, il governo non sarebbe in grado di perseguire un procedimento giudiziario sulla base del fatto che Fricosu è riuscito a decriptarle.
E il Quinto Emendamento?
Il caso di Fricosu non rientra davvero nella tutela del Quinto Emendamento? L’avvocato di Fricosu non la pensa così, e nemmeno gruppi come la Electronic Frontier Foundation, che all’inizio di quest’anno hanno presentato una memoria amicus (amico del tribunale) (PDF) per conto di Fricosu.
L’argomento di base secondo cui i diritti del Quinto Emendamento di Fricosu la proteggono dal dover produrre un in chiaro dei suoi contenuti si riduce a ciò che il governo fa e non sa già di questi Contenuti. Il giudice BlackBurn ritiene che il governo abbia stabilito che il contenuto del computer è rilevante per il caso, e gli avvocati del governo sostengono che essendo tenuto a fornire l'accesso non è diverso dal richiedere ai sospettati di firmare l'autorizzazione per consentire agli investigatori di indagare su conti bancari e depositi di sicurezza all'estero scatole.
Tuttavia, nei casi in cui il governo è in grado di obbligare gli imputati a rivelare documenti o conti, il governo è già venuto a conoscenza dell’esistenza di tali voci attraverso un terzo festa. Nel caso di Fricosu, si potrebbe sostenere che il governo non ha idea di quali contenuti troverà sul computer crittografato o di dove tali informazioni potrebbero trovarsi sul computer. (L’EFF ha anche sostenuto che il governo non può realmente provare che il taccuino sia lo stesso sequestrato durante la perquisizione.)
Sebbene il giudice Blackburn abbia concesso a Fricosu un'immunità limitata per impedire al governo di utilizzare il atto di fornire dati decriptati contro di lei, l'immunità non si estende al dati si. Si può sostenere che questa immunità limitata viola potenzialmente un divieto della Corte Suprema contro gli usi derivati della testimonianza forzata. Se il governo dovesse utilizzare le prove ottenute dal laptop non crittografato contro Fricosu, potrebbe essere costretto a farlo dimostrare di aver ottenuto (o avrebbe potuto ottenere) tutte quelle prove da fonti indipendenti piuttosto che esclusivamente da Fricosu se stessa. Finora, il governo non ha avuto fortuna nel reperire da altre fonti le informazioni che ritiene siano presenti sul taccuino, né gli investigatori hanno fatto alcun progresso nel decifrare il taccuino. Ciononostante, il giudice Blackburn ha ritenuto che “il fatto che [il governo] non conosca il contenuto specifico di alcun documento specifico non costituisce un ostacolo alla produzione”.
Altri casi
Nelle sue conclusioni, il giudice Blackburn rileva che non ci sono molti altri casi paralleli alle circostanze del caso Fricosu. Il precedente più diretto sembra riguardare un passaggio di frontiera nel Vermont nel 2006. Durante una perquisizione, un agente ha aperto un computer e (senza inserire una password) ha visualizzato i suoi file, inclusa la pornografia infantile. L'imputato è stato arrestato e il taccuino sequestrato; tuttavia, quando gli agenti hanno successivamente tentato di accedere al computer, si è scoperto che era protetto da password. In quel caso, all'imputato non è stato ordinato di produrre la password, ma di produrre una versione non crittografata del drive "Z" in cui gli agenti avevano precedentemente visto il materiale. Una parte fondamentale di quel caso, tuttavia, è che le autorità avevano effettivamente visto il contenuto illegale sul computer. Sapevano dov'era prima che all'imputato fosse ordinato di fornire l'accesso alle informazioni. Nel caso di Fricosu, i pubblici ministeri sanno semplicemente di avere un computer crittografato. Non hanno prove o testimonianze indipendenti riguardo al suo contenuto.
Nello Stato di Washington nel 2004, l'ex detective dello sceriffo della contea di King Dan Ring era arrestato per uso improprio dei database delle forze dell'ordine così come altre accuse penali. Sebbene i dati trovati sul computer di Ring dettagliassero alcune delle sue interazioni con fidanzate, circoli di prostituzione e servizi di escort in più paesi, una parte del suo disco rigido era crittografata. Ring ha costantemente affermato di non ricordare la password per i dati crittografati, e in parte come risultato il caso contro di lui è stato archiviato tre giorni prima del processo. Ring è andato in pensione – con pensione – e i dati crittografati non sono mai stati violati.
Creare un precedente
In una dichiarazione di ieri, l'avvocato di Fricosu Phillip DuBois ha osservato: "È possibile che la signora Fricosu non abbia la capacità di decrittografare il computer, perché probabilmente non ha impostato la crittografia su quel computer e potrebbe non conoscere o ricordare la password o la passphrase", ha detto DuBois in una nota Martedì.
In particolare, DuBois ha anche difeso il creatore di PGP Philip Zimmerman quando è stato oggetto di indagini penali il servizio doganale degli Stati Uniti, che ha cercato di classificare l'algoritmo PGP come una munizione soggetta a controlli sulle esportazioni. Il caso fu archiviato senza atto d'accusa nel 1996.
Se Fricosu potesse essere costretto a fornire una versione non crittografata dei dati memorizzati sul computer, ciò potrebbe costituire un precedente inquietante per gli utenti della tecnologia moderna. Persone che utilizzano servizi come DropBox, iCloud di Apple, Amazon S3 e una miriade di altri servizi Tutto fare affidamento sul fatto che i loro dati vengano archiviati in modo sicuro in forma crittografata. Allo stesso modo, i dischi rigidi e gli SSD con crittografia basata su hardware stanno diventando sempre più diffusi, in particolare con la proliferazione di dispositivi mobili facilmente persi o rubati. La crittografia di alto livello non è più solo uno strumento per i tecnofili di alto livello: è presente nei prodotti di uso quotidiano e milioni di persone vi fanno affidamento ogni giorno. Se il governo potesse costringere gli utenti a produrre copie non crittografate dei loro dati – senza sapere quali potrebbero essere – potrebbe soffocare in modo significativo la libertà di parola e la libertà di informazione.
E questo indipendentemente dal fatto che Fricosu ricordi o meno la sua password.
Credito immagine: Shutterstock/Maxx-Studio/J. Helgason/JMiks
