Nuova normativa sulla crittografia in Cina in vigore da ieri, è propedeutica al lancio dello yuan digitale

Come riferito dal China Money Network, sito di news finanziarie in lingua inglese, a partire dalla giornata di ieri è diventata pienamente operativa la nuova normativa che regola il mondo della crittografia in Cina; la legge era stata approvata il 26 ottobre dal comitato permanente del 13° congresso nazionale e, da questo momento, va a regolamentare in particolar modo la gestione delle password. La nuova regolamentazione è considerata cruciale per l’emissione della nuova CBDC cinese, che, secondo quanto si vocifera da tempo, dovrebbe avvenire proprio nel corso di quest’anno. Del resto la tecnologia blockchain è strettamente legata alla crittografia come disciplina, di conseguenza la nuova regolamentazione dimostra la lungimiranza dei cinesi che, in attesa di lanciare lo yuan digitale, si sono premuniti di introdurre una prima regolamentazione proprio della crittografia e del modo in cui vanno gestite le password. Non ho purtroppo avuto modo di leggere il disegno di legge originale, anche perché non ho trovato una traduzione in inglese del testo ed è improponibile tradurre un testo complesso come lo è un disegno di legge usando un traduttore online, quindi non mi è possibile descrivere più nello specifico quali cambiamenti verranno introdotti dalla nuova regolamentazione; possiamo tuttavia fare una serie di riflessioni sulla base di ciò che sappiamo.

Come ogni anno, quindi, a gennaio le società di sicurezza informatica distribuiscono vari report sull’uso delle password usate più comunemente e, immancabilmente, salta fuori che una delle password più usate dagli utenti è ancora “123456” con tutte le diverse varianti (ad esempio 1q2w3e4r5t6y); l’incapacità di ideare password sicure è una caratteristica che accomuna tantissime persone, sia nel privato che in ambito lavorativo e, purtroppo, inevitabilmente anche in ambito istituzionale. Ora, dubito che la nuova legge cinese includa anche un modello per la generazione di password sicure, più probabilmente definisce semplicemente il modo in cui le password vanno custodite dalle varie aziende e il tipo di crittografia da utilizzare nella loro archiviazione, tuttavia questo tipo di regolamentazione, comunque fondamentale, viene poi svilita dal fatto che gli utenti non sono capaci di generare password sicure. Indipendentemente da quanto accuratamente vengano protette le password degli utenti, in altre parole, se come password scegli “123456” sei inevitabilmente a rischio. Posto che sarebbe folle pretendere di istituire una legge che ponga obblighi in capo alle persone comuni sulle modalità attraverso cui generare le proprie password (è chiaramente una questione culturale ed educativa), tale provvedimento, però, potrebbe essere più che sensato in ambito istituzionale; se un altro funzionario, un ministro, o comunque persone in posizioni apicali, dovessero scegliere password troppo banali e quindi insicure per proteggere gli account con cui lavorano questo finirebbe inevitabilmente per mettere a rischio le istituzioni stesse ed è un comportamento che potremmo considerare omissivo delle condotte minime di sicurezza e, in questo caso, si che potremmo immaginare di punire tale comportamento istituendo un reato ad hoc. Immaginiamo, banalmente, un ministro della difesa che scegliesse come password dei propri account mail qualcosa del tipo “123456”, chiaramente esporrebbe a rischi incalcolabili il proprio paese, di conseguenza se i suoi account venissero bucati sarebbe corretto ipotizzare un capo d’imputazione ad hoc per punire una condotta che mette a tutti gli effetti a repentaglio la sicurezza del paese. Ovviamente proposte del genere non sono nemmeno minimamente in discussione, del resto la classe dirigente, sempre inflessibile quando si tratta di regolamentare la vita quotidiana dei comuni cittadini, si guarda bene dall’assumersi anche la minima responsabilità del proprio operato.