Esperti di sicurezza di spicco hanno espresso preoccupazione per la proposta di revisione dell’articolo 45.2 del regolamento eIDAS da parte dell’Unione Europea (UE), citando potenziali rischi per gli standard di autenticazione e crittografia web. Un nuovo rapporto, prodotto dagli Economist Impact Studios per Mozilla e dalla campagna #SecurityRiskAhead, include i risultati di esperti globali dell’industria e della società civile.
Il report mostra che l’articolo 45.2 potrebbe indebolire la sicurezza degli utenti web, rendendoli vulnerabili alla sorveglianza statale e all’intercettazione mirata del traffico Internet. La legge potrebbe effettivamente aggirare i controlli di sicurezza esistenti poiché i browser sarebbero tenuti a supportare gli EU-designed Qualified Web Authentication Certificates (QWAC). I QWAC non sono disponibili gratuitamente e possiedono proprietà di sicurezza più deboli rispetto ai certificati più comunemente utilizzati dai browser.
Joseph Lorenzo Hall, Vicepresidente senior per lo “Strong Internet” presso l’Internet Society, ha sottolineato che la sicurezza web è in continua evoluzione e adattamento e che l’introduzione di una simile legislazione non tiene conto della natura dinamica delle minacce alla sicurezza. Il Vicepresidente ha inoltre dichiarato: “Aggiungendo un meccanismo di eccezione per le entità di fiducia governative EU, ai browser sarà vietato, ad esempio, revocare la fiducia per determinate cose. Ciò significa che si potrebbe avere un gruppo di siti web online che vengono falsificati o intercettati da qualche autorità incaricata dall’UE. E abbiamo le mani legate, non possiamo fare cose che normalmente faremo molto rapidamente per proteggere gli utenti del web“.
Marshall Erwin, Vicepresidente e Responsabile della sicurezza di Mozilla Corporation, ha aggiunto: “Il vero problema con l’articolo 45.2 dell’eIDAS è lo stabilimento di un precedente che i regimi di tutto il mondo seguiranno, di conseguenza non solo compromettendo la crittografia web in generale, ma mettendo anche a rischio immediato dissidenti e giornalisti“.
Arvid Vermote, Responsabile globale per la sicurezza delle informazioni di GlobalSign, una Certificate Authority, ha evidenziato il rischio di avere 30 ulteriori organismi di vigilanza in grado di definire un’azienda affidabile a livello globale, rispetto a soli quattro. Afferma: “Per me, questo sarebbe un problema astronomico“, in quanto potrebbe consentire l’intercettazione mirata del traffico Internet in caso di compromissioni.
Concordando con gli altri intervistati, Scott Helme, Rcercatore nel campo dell’autenticazione e della sicurezza ha sottolineato l’importanza di avere certificati gratuiti che “sono stati fondamentali nella transizione completa della sicurezza web“.
