Violenza sui minori online, la nuova proposta Ue è un disastro per i nostri diritti - Agenda Digitale

eprivacy

Violenza sui minori online, la nuova proposta Ue è un disastro per i nostri diritti

La proposta di regolamento appena approvata dal Parlamento Ue per contrastare la violenza sui minori online rischia di sottoporre tutte le nostre comunicazioni, immagini e video, a una sommaria sorveglianza elettronica di massa. Il pericolo di un paradossale cortocircuito in cui ad avere la peggio saranno i diritti di tutti

31 Mag 2021
Matteo Navacci

Data Protection Counsel & Co-founder Privacy Network

Il 26 maggio 2021 la commissione per le libertà civili, la giustizia e gli affari interni del Parlamento europeo ha approvato una proposta di regolamento per una deroga temporanea ad alcune disposizioni della Direttiva ePrivacy, con lo scopo di combattere la violenza sui minori online (child sexual abuse). Come vedremo, questa proposta rischia di innescare una forma di sorveglianza elettronica di massa dei cittadini europei.

Regolamento ePrivacy: ambito di applicazione, ruolo delle autorità e sanzioni

Il contesto

A dicembre 2020 è entrato in vigore lo European Electronic Communications Code (EECC), che ha aggiornato l’esistente definizione di “electronic communication service” per includere anche i servizi cosiddetti Over The Top (OTT), come Whatsapp, Instagram messaging, Facebook Messenger, e così via. Questa modifica è molto importante, perché automaticamente estende l’applicazione della Direttiva 2002/58/CE (Direttiva ePrivacy) anche ai servizi OTT.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy

La Direttiva ePrivacy stabilisce esplicitamente la riservatezza delle comunicazioni effettuate tramite i servizi di comunicazione elettronica, vietando espressamente “l’ascolto, la captazione, la memorizzazione e altre forme di intercettazione o di sorveglianza sulle comunicazioni, e dei relativi dati sul traffico (senza il consenso degli utenti)”.

In questo contesto si incastra la proposta di Regolamento per combattere il child sexual abuse online.

Lo scopo del regolamento è chiaro: potenziare le capacità delle autorità europee di identificare proattivamente e combattere la diffusione di “child sexual abuse material” (CSAM) trasmessi attraverso le reti di comunicazione elettroniche.

Il nuovo framework normativo si applicherà ai fornitori di servizi di comunicazione elettronica alla luce della nuova definizione dell’EECC (quindi anche servizi OTT), che saranno chiamati a adottare specifiche tecnologie in grado di scansionare in tempo reale le comunicazioni online, alla ricerca di contenuti CSAM (immagini e video). Una volta identificati, i contenuti dovranno essere segnalati alle autorità giudiziarie e successivamente rimossi.

Nei fatti, quello che l’Unione Europea sta chiedendo è di sviluppare dei filtri automatizzati in grado di scansionare messaggi privati e posta elettronica, in deroga al divieto espresso della Direttiva ePrivacy. Con molta probabilità, questi filtri per la scansione faranno uso di tecnologie di machine learning.

C’è però un grande ostacolo a questo progetto europeo per la lotta al child sexual abuse: la crittografia end-to-end.

Crittografia, le indicazioni Ue per il giusto equilibrio tra interessi pubblici e diritti fondamentali

Il percorso dell’Ue per combattere il child sexual abuse online

Il 24 luglio 2020 la Commissione UE presentava, con una comunicazione pubblica, la strategia europea per la lotta al child sexual abuse online.

Per combattere la pedopornografia online la Commissione annunciava due principali iniziative:

  • Consentire ai provider di servizi di telecomunicazioni di identificare, su base volontaria, i contenuti pedopornografici trasmessi attraverso le loro reti, nonostante il nuovo EECC.
  • In un secondo momento, entro il Q2 2021, proporre un framework normativo europeo per combattere la pedopornografia online, obbligando i provider di servizi di comunicazioni elettroniche a implementare misure per identificare proattivamente i contenuti illegali e notificarli alle autorità competenti

In un comunicato stampa la Commissaria Ylva Johansson dichiarava infatti: “We are announcing today that next year, the Commission will propose new legislation to make it mandatory for relevant internet and social media messaging companies to detect, report and remove materials, and refer them to appropriate authorities”.

Nella comunicazione la Commissione evidenziava soprattutto il ruolo chiave della crittografia end-to-end nella lotta ai CSAM. Secondo la Commissione, la crittografia end-to-end, sempre più diffusa, favorirebbe la proliferazione di un sottobosco illegale di commercio e scambio di contenuti pedopornografici online.

Successivamente, anche il Consiglio dell’Unione Europea ha emesso una propria risoluzione, il 6 novembre 2020.

Il titolo della risoluzione del Consiglio era “Security through encryption and security despite encryption”: sicurezza attraverso la crittografia, e sicurezza nonostante la crittografia.

La risoluzione si pone l’obiettivo di analizzare e valutare come superare le sfide tecnologiche poste dalla crittografia end-to-end per il contrasto alla diffusione dei contenuti pedopornografici e terroristici online.

Nel testo della risoluzione il Consiglio esamina la questione della crittografia da due punti di vista completamente opposti. Da un lato, si riconosce pienamente il valore dello sviluppo e dell’implementazione di tecniche di crittografia end-to-end, riconosciuta come strumento per tutelare i diritti fondamentali delle persone e come strumento per assicurare la sicurezza delle infrastrutture essenziali.

Allo stesso tempo la crittografia end-to-end viene vista come un intralcio alle capacità delle forze dell’ordine di combattere e perseguire il crimine. La crittografia end-to-end è infatti un muro invalicabile che non permette in alcun modo di accedere al contenuto delle comunicazioni elettroniche tra due dispositivi. Questo strumento è ormai largamente diffuso, ed è palese che anche i criminali ne facciano uso per proteggere le loro comunicazioni.

La speranza del Consiglio è quella di creare un “migliore bilanciamento” tra questi due aspetti della crittografia end-to end. Da una parte, sicurezza e lotta al crimine; dall’altra, riservatezza delle comunicazioni.

Il tema dell’antagonismo tra crittografia e lotta al crimine non è affatto nuovo, e si ripropone periodicamente a livello globale. Anche negli Stati Uniti è attualmente in corso una nuova ondata anti-crittografia. Da poco è stato infatti presentato il “Lawful Access to Encrypted Data Act”. Questa legge darebbe al Justice Department il potere di obbligare i produttori di dispositivi, sistemi operativi, e fornitori di servizi di comunicazione, di creare sistemi per permettere l’accesso a dati crittografati su richiesta. In sostanza, una backdoor di Stato ad ogni comunicazione e dispositivo.

Vale la pena sottolineare che anche la Senate Committee on the Judiciary ha commentato questa proposta di legge parlando di un “bilanciamento” (The Lawful Access to Encrypted Data Act is a balanced solution that keeps in mind the constitutional rights afforded to all Americans, while providing law enforcement the tools needed to protect the public from everyday violent crime and threats to our national security), proprio come il Consiglio UE.

Anche in Australia è stata recentemente approvata una legge anti-crittografia (Assistance and Access Act), aspramente criticata anche da diversi esponenti delle “Big tech”, come Apple.

Le ipotesi del consiglio Ue per un “migliore bilanciamento”

Nella ricerca di un “migliore bilanciamento” la Commissione e il Consiglio UE vorrebbero unire le forze con il mondo dell’industria tecnologica e il mondo accademico per trovare soluzioni tecniche che permettano alle autorità giudiziarie di accedere a comunicazioni crittografate end-to-end quando necessario.

Insieme al dipartimento advocacy di Privacy Network ho avuto modo di esaminare dei documenti predisposti per il Consiglio, contenenti alcune possibili soluzioni per bypassare la protezione della crittografia end-to-end.

Prima di affrontare le soluzioni proposte però, è bene fare un passo indietro.

Ad oggi esistono già delle tecniche che permetto ai provider di servizi di comunicazione di scansionare in tempo reale le comunicazioni elettroniche e determinarne il contenuto. Funziona così: i contenuti che transitano nelle loro reti di comunicazione sono scansionati in modo automatizzato con hashing in tempo reale di immagini e video. Il risultato del processo di hashing (digest) – una stringa alfanumerica – viene comparato con un database precostituito di contenuti illegali. In caso di match positivo, allora i sistemi possono teoricamente bloccare proattivamente e in tempo reale contenuti illeciti.

Questa analisi in tempo reale però non è possibile in caso di comunicazioni protette con crittografia end-to-end, poiché i contenuti delle comunicazioni sono già crittografati prima di lasciare il dispositivo dell’utente, ed in nessun modo possono essere osservati in transito dai provider.

Nel documento leaked sono quindi descritte alcune possibili soluzioni per effettuare questa scansione, nonostante l’uso di crittografia end-to-end.

Ce ne sono alcune che vale la pena menzionare:

  • Una prima soluzione propone di creare ciò che nel documento viene chiamato exceptional access. La soluzione è molto simile a quanto proposto anche dal Lawful Access to Encrypted Data Act statunitense e dall’Assistance and Access Act australiano. In sostanza, si propone di dotare i dispositivi ed i sistemi di comunicazione di backdoor in grado di bypassare la crittografia end-to-end al fine di poter accedere a specifiche comunicazioni. Il limite, dal punto di vista delle forze dell’ordine, è che questo “exceptional access” sarebbe utilizzabile solo previo mandato dell’autorità giudiziaria, e solo per l’accesso a specifiche comunicazioni. Questo andrebbe quindi a limitare la volontà del legislatore di scansionare in modo automatizzato e proattivo tutte le comunicazioni, alla ricerca di contenuti illeciti.
  • Un’altra soluzione sarebbe quella di utilizzare delle tecnologie di scansione automatizzata della memoria dei dispositivi, in modo tale da identificare contenuti illeciti prima che questi vengano crittografati e poi comunicati all’esterno. In pratica, vorrebbe dire assoggettare ogni contenuto (immagini, video) presente sui dispositivi delle persone ad una scansione da remoto, alla ricerca di materiale pedopornografico.
  • E poi ancora, un’altra idea è quella di scomporre le comunicazioni in due parti prima dell’invio: messaggio elettronico (testo) e contenuto media (immagini e video). In questo modo sarebbe possibile mantenere il testo crittografato e, contestualmente, sottoporre ad hashing l’immagine o il video contenuto nel messaggio. Questi hash verrebbero poi inviati in chiaro insieme al messaggio crittografato, come una sorta di metadato allegato alla comunicazione. In questo mondo, i contenuti delle comunicazioni rimarrebbero crittografati, ma al tempo stesso i fornitori di servizi di comunicazione elettronica avrebbero la possibilità di confrontare gli hash “allegati” verso un database precostituito di materiale pedopornografico. Anche questa soluzione, come la precedente, non sarebbe altro che un’attività di scansione automatizzata della memoria del dispositivo, con l’unica differenza di utilizzare un passaggio in più.

Cosa significa tutto questo per i cittadini europei

A tutti gli effetti, stiamo assistendo ad una convergenza globale anti-crittografica, proprio nel momento in cui la crittografia end-to-end inizia a diventare uno strumento accessibile a chiunque per proteggere le proprie comunicazioni.

Come visto, il legislatore cerca sempre di mitigare con le parole gli effetti negativi di queste proposte, parlando di “bilanciamento” tra sicurezza e riservatezza delle comunicazioni, di garanzie e tutele per i cittadini, e di rispetto per la normativa privacy (che in realtà viene puntualmente derogata). Nei fatti, questa proposta di regolamento rischia invece di essere un disastro per i diritti e libertà d’espressione dei cittadini europei, nonostante l’UE sia considerata a livello globale un esempio proprio per la tutela di questi diritti.

È proprio la Carta dei diritti fondamentali dell’Unione Europea a stabilire alcuni diritti fondamentali, particolarmente importanti, che verrebbero gravemente intaccati da questa deriva anti-crittografia:

  • Diritto all’integrità fisica e psichica (art. 3)
  • Diritto al rispetto della vita privata e della vita familiare (art. 7)
  • Diritto della protezione dei dati di carattere personale (art. 8)
  • Diritto alla libertà di pensiero, di coscienza, e di religione (art. 10)
  • Diritto alla libertà di espressione e d’informazione (art. 11)

Nella società dell’informazione, dove tutte le nostre comunicazioni sono ormai online, la crittografia end-to-end è l’unico strumento a tutela di questi diritti e libertà da ingerenze e abusi.

Da ormai più di 30 anni è chiaro che non esiste alcuna tecnica o soluzione per bypassare in modo “sicuro” la crittografia, che sarebbe inevitabilmente svuotata di significato, lasciando vulnerabili ad abusi di stato e cybercriminali le comunicazioni di centinaia di milioni di persone.

Non esiste alcun “miglior bilanciamento”. O si sceglie di far prevalere l’interesse di Stato, o si sceglie di far prevalere i diritti fondamentali delle persone.

La privacy delle comunicazioni è assolutamente necessaria per garantire la libertà di pensiero, la libertà di autodeterminazione, e in alcuni casi anche la libertà fisica e psichica. Nella società dell’informazione l’unico mezzo per garantire la privacy delle comunicazioni è la crittografia end-to-end. Non ci sono alternative o vie di mezzo. La sicurezza, intesa come interesse di Stato, non può essere un motivo per privare le persone dell’unico vero strumento che hanno a disposizione per tutelare i propri diritti fondamentali.

Non serve neanche essere espert* di privacy o crittografia per comprendere l’importanza del tema. Da una recente survey pubblica realizzata da Privacy Network emerge infatti che la stragrande maggioranza delle persone ritiene le proprie comunicazioni come i dati più “sensibili” in assoluto, molto più che tutti gli altri dati, compresi quelli sanitari.

La crittografia end-to-end è anche l’unico strumento di tutela per le minoranze e per ogni persona che ha bisogno di proteggere la propria individualità in contesti discriminatori o contro abusi e ritorsioni: giornalisti, attivisti politici, dissidenti, fino ad arrivare ai whistleblower. La crittografia end-to-end è poi l’unico strumento di tutela anche per bambini e bambine di tutto il mondo, che ogni giorno scambiano milioni di messaggi online, che senza crittografia sarebbero vulnerabili a cybercriminali e stalker di ogni tipo.

Se questa proposta di regolamento passasse, il rischio sarebbe che tutte le nostre comunicazioni, immagini e video, sarebbero sottoposte a un’indiscriminata sorveglianza elettronica di massa – comprese le comunicazioni delle bambine e bambini che il regolamento si propone invece di tutelare.

WHITEPAPER
Quali sono le minacce digitali che mettono in pericolo le vendite al dettaglio?
Retail
Sicurezza
@RIPRODUZIONE RISERVATA

Articolo 1 di 3