Il regolamento Chat Control proposto dalla Commissione europea ha scatenato un dibattito senza precedenti sulla compatibilità tra sicurezza dei minori e diritto alla privacy. La misura, bocciata dopo mesi di proteste da parte di organizzazioni, autorità nazionali e cittadini, evidenzia uno scollamento sempre più marcato tra gli obiettivi normativi di Bruxelles e la reale fattibilità tecnica delle soluzioni imposte.
Indice degli argomenti
Il web contro la proposta europea
Sia ben chiaro, la miriade di petizioni online e le proteste non hanno riguardato il fine, ovviamente pacifico e condiviso. Le preoccupazioni delle persone si sono espresse in tutte le forme possibili che Internet mette a disposizione: e-mail inviate direttamente ai rappresentanti della Commissione e a quelli dei governi degli Stati membri, thread di discussione sui social network, sui forum e sul web.
Non parliamo solo di utenti, ma di organizzazioni e Autorità nazionali stesse che proteggono il valore della privacy. In effetti, la proposta di regolamento prevede la possibilità di intercettazione preventiva di chiunque utilizzi un servizio di comunicazione interpersonale, e questo solleva legittimi dubbi sulla proporzionalità della misura.
A pensarci bene, fa sorridere che le proteste si siano espresse proprio tramite gli strumenti che il regolamento vorrebbe soggetto al controllo centralizzato delle varie autorità. E sono state efficaci. La politica ha ascoltato e il regolamento non ha raggiunto i voti necessari: l’Italia, che inizialmente era favorevole, ha concluso nell’indecisione. La Germania, che invece sembrava incerta fino alla scorsa estate, è stata l’ago della bilancia quando in ottobre ha espresso il veto.
Regolamentare tutto: l’eccesso normativo europeo
“Gli Stati Uniti e la Cina innovano, l’Europa regola” – se c’è un proverbio, di solito c’è un buon motivo. In effetti la Commissione sembra più prolifica che mai, e certamente il momento geopolitico è denso e richiede grande attenzione, ma a ben guardare si ha la sensazione che la quantità di regolamentazione prodotta ultimamente sia sempre più lontana dai principi cardine su cui si fonda l’Europa e che segua un percorso ricorrente: partire da una circostanza pretestuosa per poi divergere dalla direttrice dell’interesse democratico.
Lo abbiamo visto recentemente con il Digital Networks Act, che colpevolizza la competizione additandola come responsabile dei mancati investimenti nel settore delle telecomunicazioni. La stessa competizione che la stessa Europa fino a poco fa ha sostenuto come valore primario e che ha contribuito a creare un mercato concorrenziale, con prezzi equi e con una diffusione capillare. Oppure nel caso della Net Neutrality – il regolamento Europeo che stabilisce una Internet uguale per tutti: utenti, servizi, contenuti e fornitori. Anche questo pilastro è minacciato dal DNA.
Ora è stato il turno di Chat Control, che certamente rischia un effetto lesivo dei principi ispiratori della (iper)regolamentazione Europea – la privacy – ma che ha anche chiaramente evidenziato uno scollamento tra quello che immagina la Commissione, e quello che è ragionevolmente fattibile dal punto di vista tecnico senza stravolgere l’affidamento che l’utente può fare sulla confidenzialità offerta dai servizi di messaggistica – posta elettronica inclusa – o, peggio, quello che è ragionevole da un punto di vista etico.
Come dovrebbe funzionare il controllo preventivo e 4 motivi per cui è inattuabile
Chat Control prevedrebbe infatti che un fornitore di servizi di comunicazione interpersonale, ove notificato di un ordine di rilevamento, debba disporre misure che assicurino che le immagini, i video e le URL che vengono scambiati non rappresentino materiale pedopornografico. Il tutto senza depotenziare o rendere inefficace la End to End Encryption (E2EE), ma intervenendo prima della stessa crittografia.
Nel caso della messaggistica istantanea, infatti, l’implementazione della misura richiede necessariamente che il materiale venga verificato prima della criptazione che avviene automaticamente prima dell’invio. Per far questo, l’unica soluzione è che il dispositivo dell’utente sia dotato di un software che verifica l’idoneità del file – e questo apre a una serie di pensieri.
L’invasività del software
Il primo riguarda il fatto che tutti i file del dispositivo dell’utente siano accessibili a questo software, così come che le URL che vengono digitate sulla tastiera. Si tratterebbe di un software molto più invasivo di un keystroke logger – ammesso che sia accettabile avere anche solo questo su ogni dispositivo che utilizziamo. Cosa accadrebbe se un soggetto terzo non autorizzato prendesse il controllo di questo software? Continueremmo a usare il nostro smartphone nello stesso modo se fossimo consapevoli che qualsiasi file al suo interno possa essere esposto a terze parti in qualsiasi momento?
L’impossibile universalità del software di sorveglianza
Secondo, il software dovrebbe essere disponibile per qualsiasi dispositivo che sia idoneo alle comunicazioni interpersonali. Non solo quindi smartphone, ma anche workstation, console e Smart TV. E per tutti i sistemi operativi disponibili per queste categorie. Risulta realisticamente fattibile ipotizzare l’esistenza di un software di intercettazione che dovrà non solo essere creato, ma anche aggiornato per tutta la vita del dispositivo garantendone l’efficacia anche a valle di tutti gli aggiornamenti – periodici – del sistema operativo?
Intelligenza artificiale e falsi positivi
Terzo, il materiale da verificare dovrà necessariamente essere elaborato da IA, che per determinarne la liceità, dovrà correlare il file a un data set noto. In pratica, confrontare il file con una serie di altri a sua disposizione: se il risultato sarà positivo, allora il file dovrà essere approfondito prima che determini l’avvio di un procedimento giudiziario. Ma ricordiamo che l’IA non è deterministica, lavora, si potrebbe dire, per approssimazione. Quindi in ultima istanza, sarà necessario un controllo umano, ma è completamente irrealistico pensare di avere forze di polizia che siano in grado di verificare la miriade di falsi positivi che verranno generati.
La fine della posta elettronica come la conosciamo
Quarto, alcuni servizi di comunicazione diverranno indisponibili o inutilizzabili. Pensiamo alla posta elettronica così come la conosciamo oggi: qualsiasi file appartenente a quelle categorie, e che sia inviato con una mail dovrà essere confermato come lecito prima di essere allegato. Questo significa che prima di inviare il file, dovremo farlo verificare da un software o da un servizio esterno – e – il fornitore del servizio di posta elettronica dovrà, a sua volta, controllare che il file sia stato validato prima di essere spedito. Peccato che un fornitore di posta elettronica trasmette pacchetti di informazione, da sempre, senza guardarci dentro, come gli prescrivono le leggi vigenti. Una soluzione come la vorrebbe Bruxelles per la posta elettronica – ammesso che sia accettabile per il Garante della Protezione dei Dati e della Privacy – semplicemente, non esiste.
Quale fornitore di servizi di posta elettronica, tipicamente gratuiti, si prenderebbe l’onere di implementare un servizio proprietario di questo tipo? Sicuramente molti fornitori farebbero prima a smettere di offrire il servizio.
Videogames e servizi accessori nel mirino
Lo scollamento dalla fattibilità tecnica e dal senso comune di Chat Control è talmente lampante che prevedrebbe che la verifica fosse effettuata anche su servizi di comunicazione interpersonale accessori al servizio principale a cui sono collegati. Per esempio le chat utilizzate nei videogames, in cui non è inconsueto scambiarsi file immagine che rappresentano oggetti del gioco stesso. Significa che prima di scambiare una skin di un mitra in un gioco, il file dovrebbe essere verificato dal soggetto che ne legittima il contenuto. Pensiamo veramente di far implementare una soluzione di questo tipo ai produttori di videogames e di console? E se il sistema di verifica avesse un disservizio? Si blocca la messaggistica? Magari durante un’emergenza?
Costi e impatti su fornitori e utenti
La proposta di regolamento ha uno spettro d’impatto incredibilmente ampio, complesso e articolato, tanto da declinarsi su una miriade di snodi e fronti. Basti pensare che la verifica si applicherebbe anche ai servizi in hosting, quindi prevedendo l’obbligo per il fornitore di verificare anche i servizi dei suoi clienti ospitati.
Quanto dovrebbero costare tutti questi servizi se dovessero essere adattati? Continueremmo ad usarli?
Un progetto irrealistico e contrario ai principi costituzionali
Bruxelles dovrebbe iniziare a fare considerazioni sugli impatti pratici e la fattibilità della regolamentazione. Troppe regole aumentano i costi, la complessità, appesantiscono le architetture nate da menti brillanti con i requisiti fondamentali di semplicità, snellezza ed efficacia che hanno contribuito a renderci utenti felici di Internet. Ma non solo, regole troppo invasive portano chi deve nascondersi a nascondersi ancora meglio. Il risultato è complessità e compressione delle libertà per chi sono non si macchia di reati, invito a nascondersi meglio per chi deve compiere atti illeciti.
E se proprio non si vorrà tener conto degli ingegneri che hanno concepito Internet, che almeno si tenga in considerazione la Costituzione. Articolo 15:
“La libertà e la segretezza della corrispondenza e di ogni altra forma di comunicazione sono inviolabili. La loro limitazione può avvenire soltanto per atto motivato dell’autorità giudiziaria con le garanzie stabilite dalla legge.
