Il 26 maggio 2021 la commissione per le libertà civili, la giustizia e gli affari interni del Parlamento europeo ha approvato una proposta di regolamento per una deroga temporanea ad alcune disposizioni della Direttiva ePrivacy, con lo scopo di combattere la violenza sui minori online (child sexual abuse). Come vedremo, questa proposta rischia di innescare una forma di sorveglianza elettronica di massa dei cittadini europei.
Regolamento ePrivacy: ambito di applicazione, ruolo delle autorità e sanzioni
Il contesto
A dicembre 2020 è entrato in vigore lo European Electronic Communications Code (EECC), che ha aggiornato l’esistente definizione di “electronic communication service” per includere anche i servizi cosiddetti Over The Top (OTT), come Whatsapp, Instagram messaging, Facebook Messenger, e così via. Questa modifica è molto importante, perché automaticamente estende l’applicazione della Direttiva 2002/58/CE (Direttiva ePrivacy) anche ai servizi OTT.
La Direttiva ePrivacy stabilisce esplicitamente la riservatezza delle comunicazioni effettuate tramite i servizi di comunicazione elettronica, vietando espressamente “l’ascolto, la captazione, la memorizzazione e altre forme di intercettazione o di sorveglianza sulle comunicazioni, e dei relativi dati sul traffico (senza il consenso degli utenti)”.
In questo contesto si incastra la proposta di Regolamento per combattere il child sexual abuse online.
Lo scopo del regolamento è chiaro: potenziare le capacità delle autorità europee di identificare proattivamente e combattere la diffusione di “child sexual abuse material” (CSAM) trasmessi attraverso le reti di comunicazione elettroniche.
Il nuovo framework normativo si applicherà ai fornitori di servizi di comunicazione elettronica alla luce della nuova definizione dell’EECC (quindi anche servizi OTT), che saranno chiamati a adottare specifiche tecnologie in grado di scansionare in tempo reale le comunicazioni online, alla ricerca di contenuti CSAM (immagini e video). Una volta identificati, i contenuti dovranno essere segnalati alle autorità giudiziarie e successivamente rimossi.
Nei fatti, quello che l’Unione Europea sta chiedendo è di sviluppare dei filtri automatizzati in grado di scansionare messaggi privati e posta elettronica, in deroga al divieto espresso della Direttiva ePrivacy. Con molta probabilità, questi filtri per la scansione faranno uso di tecnologie di machine learning.
C’è però un grande ostacolo a questo progetto europeo per la lotta al child sexual abuse: la crittografia end-to-end.
Il percorso dell’Ue per combattere il child sexual abuse online
Il 24 luglio 2020 la Commissione UE presentava, con una comunicazione pubblica, la strategia europea per la lotta al child sexual abuse online.
Per combattere la pedopornografia online la Commissione annunciava due principali iniziative:
- Consentire ai provider di servizi di telecomunicazioni di identificare, su base volontaria, i contenuti pedopornografici trasmessi attraverso le loro reti, nonostante il nuovo EECC.
- In un secondo momento, entro il Q2 2021, proporre un framework normativo europeo per combattere la pedopornografia online, obbligando i provider di servizi di comunicazioni elettroniche a implementare misure per identificare proattivamente i contenuti illegali e notificarli alle autorità competenti
In un comunicato stampa la Commissaria Ylva Johansson dichiarava infatti: “We are announcing today that next year, the Commission will propose new legislation to make it mandatory for relevant internet and social media messaging companies to detect, report and remove materials, and refer them to appropriate authorities”.
Nella comunicazione la Commissione evidenziava soprattutto il ruolo chiave della crittografia end-to-end nella lotta ai CSAM. Secondo la Commissione, la crittografia end-to-end, sempre più diffusa, favorirebbe la proliferazione di un sottobosco illegale di commercio e scambio di contenuti pedopornografici online.
Successivamente, anche il Consiglio dell’Unione Europea ha emesso una propria risoluzione, il 6 novembre 2020.
Il titolo della risoluzione del Consiglio era “Security through encryption and security despite encryption”: sicurezza attraverso la crittografia, e sicurezza nonostante la crittografia.
La risoluzione si pone l’obiettivo di analizzare e valutare come superare le sfide tecnologiche poste dalla crittografia end-to-end per il contrasto alla diffusione dei contenuti pedopornografici e terroristici online.
Nel testo della risoluzione il Consiglio esamina la questione della crittografia da due punti di vista completamente opposti. Da un lato, si riconosce pienamente il valore dello sviluppo e dell’implementazione di tecniche di crittografia end-to-end, riconosciuta come strumento per tutelare i diritti fondamentali delle persone e come strumento per assicurare la sicurezza delle infrastrutture essenziali.
Allo stesso tempo la crittografia end-to-end viene vista come un intralcio alle capacità delle forze dell’ordine di combattere e perseguire il crimine. La crittografia end-to-end è infatti un muro invalicabile che non permette in alcun modo di accedere al contenuto delle comunicazioni elettroniche tra due dispositivi. Questo strumento è ormai largamente diffuso, ed è palese che anche i criminali ne facciano uso per proteggere le loro comunicazioni.
La speranza del Consiglio è quella di creare un “migliore bilanciamento” tra questi due aspetti della crittografia end-to end. Da una parte, sicurezza e lotta al crimine; dall’altra, riservatezza delle comunicazioni.
Il tema dell’antagonismo tra crittografia e lotta al crimine non è affatto nuovo, e si ripropone periodicamente a livello globale. Anche negli Stati Uniti è attualmente in corso una nuova ondata anti-crittografia. Da poco è stato infatti presentato il “Lawful Access to Encrypted Data Act”. Questa legge darebbe al Justice Department il potere di obbligare i produttori di dispositivi, sistemi operativi, e fornitori di servizi di comunicazione, di creare sistemi per permettere l’accesso a dati crittografati su richiesta. In sostanza, una backdoor di Stato ad ogni comunicazione e dispositivo.
Vale la pena sottolineare che anche la Senate Committee on the Judiciary ha commentato questa proposta di legge parlando di un “bilanciamento” (The Lawful Access to Encrypted Data Act is a balanced solution that keeps in mind the constitutional rights afforded to all Americans, while providing law enforcement the tools needed to protect the public from everyday violent crime and threats to our national security), proprio come il Consiglio UE.
Anche in Australia è stata recentemente approvata una legge anti-crittografia (Assistance and Access Act), aspramente criticata anche da diversi esponenti delle “Big tech”, come Apple.
Le ipotesi del consiglio Ue per un “migliore bilanciamento”
Nella ricerca di un “migliore bilanciamento” la Commissione e il Consiglio UE vorrebbero unire le forze con il mondo dell’industria tecnologica e il mondo accademico per trovare soluzioni tecniche che permettano alle autorità giudiziarie di accedere a comunicazioni crittografate end-to-end quando necessario.
Insieme al dipartimento advocacy di Privacy Network ho avuto modo di esaminare dei documenti predisposti per il Consiglio, contenenti alcune possibili soluzioni per bypassare la protezione della crittografia end-to-end.
Prima di affrontare le soluzioni proposte però, è bene fare un passo indietro.
Ad oggi esistono già delle tecniche che permetto ai provider di servizi di comunicazione di scansionare in tempo reale le comunicazioni elettroniche e determinarne il contenuto. Funziona così: i contenuti che transitano nelle loro reti di comunicazione sono scansionati in modo automatizzato con hashing in tempo reale di immagini e video. Il risultato del processo di hashing (digest) – una stringa alfanumerica – viene comparato con un database precostituito di contenuti illegali. In caso di match positivo, allora i sistemi possono teoricamente bloccare proattivamente e in tempo reale contenuti illeciti.
Questa analisi in tempo reale però non è possibile in caso di comunicazioni protette con crittografia end-to-end, poiché i contenuti delle comunicazioni sono già crittografati prima di lasciare il dispositivo dell’utente, ed in nessun modo possono essere osservati in transito dai provider.
Nel documento leaked sono quindi descritte alcune possibili soluzioni per effettuare questa scansione, nonostante l’uso di crittografia end-to-end.
Ce ne sono alcune che vale la pena menzionare:
- Una prima soluzione propone di creare ciò che nel documento viene chiamato exceptional access. La soluzione è molto simile a quanto proposto anche dal Lawful Access to Encrypted Data Act statunitense e dall’Assistance and Access Act australiano. In sostanza, si propone di dotare i dispositivi ed i sistemi di comunicazione di backdoor in grado di bypassare la crittografia end-to-end al fine di poter accedere a specifiche comunicazioni. Il limite, dal punto di vista delle forze dell’ordine, è che questo “exceptional access” sarebbe utilizzabile solo previo mandato dell’autorità giudiziaria, e solo per l’accesso a specifiche comunicazioni. Questo andrebbe quindi a limitare la volontà del legislatore di scansionare in modo automatizzato e proattivo tutte le comunicazioni, alla ricerca di contenuti illeciti.
- Un’altra soluzione sarebbe quella di utilizzare delle tecnologie di scansione automatizzata della memoria dei dispositivi, in modo tale da identificare contenuti illeciti prima che questi vengano crittografati e poi comunicati all’esterno. In pratica, vorrebbe dire assoggettare ogni contenuto (immagini, video) presente sui dispositivi delle persone ad una scansione da remoto, alla ricerca di materiale pedopornografico.
- E poi ancora, un’altra idea è quella di scomporre le comunicazioni in due parti prima dell’invio: messaggio elettronico (testo) e contenuto media (immagini e video). In questo modo sarebbe possibile mantenere il testo crittografato e, contestualmente, sottoporre ad hashing l’immagine o il video contenuto nel messaggio. Questi hash verrebbero poi inviati in chiaro insieme al messaggio crittografato, come una sorta di metadato allegato alla comunicazione. In questo mondo, i contenuti delle comunicazioni rimarrebbero crittografati, ma al tempo stesso i fornitori di servizi di comunicazione elettronica avrebbero la possibilità di confrontare gli hash “allegati” verso un database precostituito di materiale pedopornografico. Anche questa soluzione, come la precedente, non sarebbe altro che un’attività di scansione automatizzata della memoria del dispositivo, con l’unica differenza di utilizzare un passaggio in più.
Cosa significa tutto questo per i cittadini europei
A tutti gli effetti, stiamo assistendo ad una convergenza globale anti-crittografica, proprio nel momento in cui la crittografia end-to-end inizia a diventare uno strumento accessibile a chiunque per proteggere le proprie comunicazioni.
Come visto, il legislatore cerca sempre di mitigare con le parole gli effetti negativi di queste proposte, parlando di “bilanciamento” tra sicurezza e riservatezza delle comunicazioni, di garanzie e tutele per i cittadini, e di rispetto per la normativa privacy (che in realtà viene puntualmente derogata). Nei fatti, questa proposta di regolamento rischia invece di essere un disastro per i diritti e libertà d’espressione dei cittadini europei, nonostante l’UE sia considerata a livello globale un esempio proprio per la tutela di questi diritti.
È proprio la Carta dei diritti fondamentali dell’Unione Europea a stabilire alcuni diritti fondamentali, particolarmente importanti, che verrebbero gravemente intaccati da questa deriva anti-crittografia:
- Diritto all’integrità fisica e psichica (art. 3)
- Diritto al rispetto della vita privata e della vita familiare (art. 7)
- Diritto della protezione dei dati di carattere personale (art. 8)
- Diritto alla libertà di pensiero, di coscienza, e di religione (art. 10)
- Diritto alla libertà di espressione e d’informazione (art. 11)
Nella società dell’informazione, dove tutte le nostre comunicazioni sono ormai online, la crittografia end-to-end è l’unico strumento a tutela di questi diritti e libertà da ingerenze e abusi.
Da ormai più di 30 anni è chiaro che non esiste alcuna tecnica o soluzione per bypassare in modo “sicuro” la crittografia, che sarebbe inevitabilmente svuotata di significato, lasciando vulnerabili ad abusi di stato e cybercriminali le comunicazioni di centinaia di milioni di persone.
Non esiste alcun “miglior bilanciamento”. O si sceglie di far prevalere l’interesse di Stato, o si sceglie di far prevalere i diritti fondamentali delle persone.
La privacy delle comunicazioni è assolutamente necessaria per garantire la libertà di pensiero, la libertà di autodeterminazione, e in alcuni casi anche la libertà fisica e psichica. Nella società dell’informazione l’unico mezzo per garantire la privacy delle comunicazioni è la crittografia end-to-end. Non ci sono alternative o vie di mezzo. La sicurezza, intesa come interesse di Stato, non può essere un motivo per privare le persone dell’unico vero strumento che hanno a disposizione per tutelare i propri diritti fondamentali.
Non serve neanche essere espert* di privacy o crittografia per comprendere l’importanza del tema. Da una recente survey pubblica realizzata da Privacy Network emerge infatti che la stragrande maggioranza delle persone ritiene le proprie comunicazioni come i dati più “sensibili” in assoluto, molto più che tutti gli altri dati, compresi quelli sanitari.
La crittografia end-to-end è anche l’unico strumento di tutela per le minoranze e per ogni persona che ha bisogno di proteggere la propria individualità in contesti discriminatori o contro abusi e ritorsioni: giornalisti, attivisti politici, dissidenti, fino ad arrivare ai whistleblower. La crittografia end-to-end è poi l’unico strumento di tutela anche per bambini e bambine di tutto il mondo, che ogni giorno scambiano milioni di messaggi online, che senza crittografia sarebbero vulnerabili a cybercriminali e stalker di ogni tipo.
Se questa proposta di regolamento passasse, il rischio sarebbe che tutte le nostre comunicazioni, immagini e video, sarebbero sottoposte a un’indiscriminata sorveglianza elettronica di massa – comprese le comunicazioni delle bambine e bambini che il regolamento si propone invece di tutelare.
L’ipocrisia dell’UE, il caso Snowden e la Corte europea dei diritti umani
Questa proposta di regolamento dell’Unione Europea coincide con una recente sentenza della Corte Europea dei diritti umani (BIG BROTHER WATCH AND OTHERS v. THE UNITED KINGDOM) che ha sancito l’illegalità delle attività di spionaggio di massa da parte dell’agenzia britannica GCHQ attraverso l’operazione TEMPORA.
I fatti sono quelli portati alla luce da Edward Snowden, che nel 2013 ha mostrato al mondo l’orrore della sorveglianza di massa globale portata avanti dalla NSA statunitense insieme ad altre agenzie di intelligence di tutto il mondo, tra cui anche la GCHQ. I giudici hanno affermato che quest’attività oltre a violare la normativa europea, violava anche i diritti fondamentali dei cittadini europei. Questa sentenza arriva dopo otto anni di azioni giudiziarie, mentre Edward Snowden è ancora esiliato in Russia per aver diffuso i documenti top-secret della NSA.
La sentenza arriva un anno dopo la sentenza della Corte di Giustizia dell’Unione Europea con cui è stato invalidato il Privacy Shield, proprio a causa delle attività di sorveglianza elettronica di massa portate avanti dalle autorità statunitensi su dati e comunicazioni di cittadini europei. Anche queste, in completa violazione dei principi fondamentali europei.
Oggi invece è la Commissione stessa che in un paradossale corto circuito rinnega gli stessi principi fondamentali che hanno portato a condannare Stati Uniti e Regno Unito sia dalla Corte di Giustizia dell’Unione Europea che dalla Corte Europea dei diritti umani, proponendo sostanzialmente un’analoga sorveglianza di massa su scala europea all’insegna di un “migliore bilanciamento” tra sicurezza e riservatezza delle comunicazioni.
Il tema è estremamente importante e impatta sui diritti di chiunque, e non può certo essere facilmente congedato con una semplice valutazione d’interesse a perseguire una specifica tipologia di criminalità.
We cannot expect governments, corporations, or other large, faceless organizations to grant us privacy out of their beneficence. […] Cypherpunks deplore regulations on cryptography, for encryption is fundamentally a private act. The act of encryption, in fact, removes information from the public realm. Even laws against cryptography reach only so far as a nation’s border and the arm of its violence. Cryptography will ineluctably spread over the whole globe, and with it the anonymous transactions systems that it makes possible.
Eric Hughes, a Cypherpunk Manifesto, 1993.
