Regolamento Chatcontrol: così la Ue vira verso il monitoraggio di massa - Agenda Digitale

sicurezza e privacy

Regolamento Chatcontrol: così la Ue vira verso il monitoraggio di massa

Col regolamento Chatcontrol contro la pedopornografia, sembra impossibile non prendere atto che l’Europa, che finora ha sempre preso le distanze non solo dal modello di sorveglianza cinese ma anche dalla “diversa democrazia” Usa, sta virando verso un modello civile fondato sul monitoraggio esteso e capillare dei cittadini

26 Lug 2021
Dario Antares Fumagalli

legale specializzato in privacy e data protection

Lungi dal voler affermare che il Regolamento “Chatcontrol” sia finalizzato ad instaurare una dittatura europea in stile novecentesco, ci si sente abbastanza sereni nell’affermare che sono evidenti alcuni pattern che rivelano l’intento di superare, nell’unico modo tollerabile, alcune libertà fino ad oggi ritenute inalienabili.

Una virata strategica in materia di monitoraggio di massa

Il Regolamento titolato “on a temporary derogation from certain provisions of Directive 2002/58/EC of the European Parliament and of the Council as regards the use of technologies by number-independent interpersonal communications service providers for the processing of personal and other data for the purpose of combatting child sexual abuse online”, da qui in poi “Chatcontrol”, è sospettosamente simile alla testa di ponte normativa di una virata strategica nell’orientamento politico, a livello europeo, in materia di monitoraggio di massa dei cittadini attraverso il controllo dei flussi digitali.

WHITEPAPER
Perché impostare una strategia di manutenzione dei server?
Datacenter
Sicurezza

Regolamento Chatcontrol ovvero la sorveglianza di massa anche in Europa

Ci sono due elementi – di natura indiziaria e non probatoria, chiaramente – che inducono a convincersi di quanto appena affermato.

Il primo fa riferimento alla scelta del Legislatore europeo di licenziare una norma provvisoria, manifestamente dotata di una “data di scadenza”. È noto, infatti, che simili scelte non hanno una funzione tecnica ma, per lo più, politica.

Infatti, in particolare quando una norma è emanata da una fonte di primo livello, può essere facilmente reiterata o prorogata nei suoi effetti, eludendo qualunque termine incluso in essa (si pensi allo stato di emergenza attualmente in corso in Italia, continuamente differito). I limiti a pratiche di questo genere, d’altro canto, non sempre esistono e, ad ogni modo, per essere efficaci, devono provenire da fonti di rango superiore, ovvero poche nel caso di specie. Inoltre, per converso, nulla vieta ad un Legislatore di intervenire sull’efficacia di una norma, priva di orizzonti temporali di efficacia definiti, per abrogarla, laddove la ritenga non più allineata con la sensibilità e i valori condivisi che rappresenta, se non addirittura pericolosa.

Salvo il caso delle norme fisiologicamente temporanee (previste negli ordinamenti per far fronte a stati di emergenza), dunque, a livello pratico una simile previsione è quasi totalmente priva di utilità. L’unica applicazione pratica che potrebbe trovare assumerebbe consistenza nell’improbabile ipotesi in cui la norma dovesse risultare talmente priva di carattere da cadere in una sorta di oblio, nel qual caso sarebbe utile un meccanismo di decadenza automatica, per evitare che per inerzia istituzionale resti vigente pur se sostanzialmente inutile (e, magari, inapplicata).

Perché, allora, progettare una norma “a tempo” e perché, soprattutto, invece di seguire la prassi di annegare la previsione negli ultimi articoli della norma, conferire ad essa ampia visibilità inserendola nel titolo? (“on a temporary […]”).

Poteri temporanei destinati a durare: cosa ci insegna la Storia

Nel rispondere a questa domanda, ci soccorre la storia. Troppi, infatti, sono gli episodi documentati che si potrebbero citare al fine di dimostrare come l’attribuzione di poteri temporanei è, spesso, un semplice atto propedeutico ad un successivo consolidamento strutturale degli stessi. Si tratta di evitare uno strappo netto rispetto a consuetudini (o regole, di solito aventi per oggetto libertà, facoltà o diritti) che gli stakeholder (cittadini, forze politiche, categorie, lobbies) ritengono rilevanti, indorando la pillola con l’alibi della provvisorietà, magari motivata da contesti emergenziali, per poi superarle in modo definitivo una volta che sia sopraggiunta l’abitudine (e con essa la tolleranza) o che il potere accumulato sia tale da rendere ormai trascurabile il rischio, anche in caso di dissenso.

Per questa via ha preso il potere Napoleone, prima Console insieme a Sieyés e Roger Ducos e poi Console a vita e Imperatore e sempre per la stessa via Hitler ha assunto la guida della Germania, sfruttando il “Verordnung des Reichspräsidenten zum Schutz von Volk und Staat” ovvero un decreto d’emergenza emanato con la scusa dell’incendio del Reichstag, ben prima che venisse promulgato il famoso “decreto dei pieni poteri”.

Gli esempi, scelti perché noti ed evocativi, si riferiscono all’attribuzione di poteri già esistenti ad un soggetto diverso (un unico soggetto, nei casi di specie), ma la dinamica funziona (ed è stata sfruttata in innumerevoli circostanze) anche laddove si debbano attribuire poteri nuovi ad un soggetto esistente e senza che ciò debba per forza dar luogo ad una concentrazione di poteri abnorme, come una dittatura.

Naturale, a questo punto, introdurre il secondo profilo indiziario inizialmente evocato, ovvero la scelta di motivare un intervento con la lotta ad un fenomeno particolarmente inviso all’opinione pubblica. Non è, infatti, la reale criticità del fenomeno combattuto (certamente riscontrabile nel caso della pedopornografia online) la vera finalità del richiamo, ma l’efficacia in chiave emotiva che lo stesso dispiega nell’immaginario delle masse. Queste, infatti, saranno così istintivamente portate a bypassare ogni osservazione collaterale pur di sostenere una misura che, almeno nominalmente, è posta a contrasto di qualcosa che li disturba in modo così graffiante.

Nulla di nuovo, si tratta di quello che, per richiamare uno degli esempi storici già utilizzati, rappresentò la sollecitazione della paura delle classi medie e alte di una rivoluzione comunista in Italia e Germania degli anni ’30, per legittimare l’ascesa del nazifascismo. Intestare un’iniziativa che comporta compressioni di libertà fondamentali alla lotta contro fenomeni particolarmente spaventosi, a prescindere dalla reale attualità del pericolo o dall’effettiva efficacia delle misure proposte è, del resto, una tattica efficace.

Le critiche principali al regolamento chatcontrol

Sintetizzando alcune delle principali critiche poste al provvedimento, infatti, ci si accorge di diversi aspetti controversi che completano il quadro fin qui presentato, calandolo nel concreto della norma in esame. Da un lato questa, si nota, non sembra poter assicurare una reale efficacia nella lotta all’odiosissimo fenomeno target. Difatti, come già molti hanno osservato, ciò che presumibilmente avverrà sarà il semplice trasferimento del vero network pedopornografico su infrastrutture differenti, clandestine ed elusive della regolamentazione ordinaria. Per questo, si attendono scarsi (per quanto non nulli) effetti in fatto di contrasto alle pratiche che si dichiara di voler affrontare.

Per contro, l’effetto collaterale (che per portata è invece quello principale) della norma, sarà che ogni privato cittadino verrà costantemente monitorato nella sua corrispondenza privata digitale, con rischi enormi per la sua libertà e autodeterminazione. Saranno, infatti, soggetti privati, mediante strumenti automatizzati (algoritmi) a scandagliare gli angoli più reconditi dell’intimità della totalità cittadini (si pensi all’enormità, sul piano quantitativo e qualitativo, delle informazioni in transito sui sistemi di instant messaging ed e-mail). In una conversazione su WhatsApp con i propri cari, una persona può infatti mettere a nudo le proprie vulnerabilità più profonde, attraverso parole, immagini o video.

Oltre alle questioni, da molti sottolineate, legate alla sicurezza tecnica di simili trattamenti di dati (bias ed errori degli algoritmi, confidenzialità delle informazioni laddove vengano poi esaminate da operatori umani) vi sono problemi di altro tipo. Si pensi al fatto che, ad esempio, pochi supervisori umani, tanto più nel contesto di enti privati non certo immuni da sanzioni o censure di tipo giudiziario, saranno disposti ad assumersi la responsabilità di “bloccare” l’iter di allerta rispetto a un contenuto ritenuto a rischio da un algoritmo. Facile supporre che il check umano si trasformi quasi in un mero passaggio formale. La conseguenza sarà certamente quella di una forte impennata del rischio, per un normale cittadino, di vedersi sottoposto ad un procedimento per un reato particolarmente disonorevole e inabilitante sul piano sociale, anche laddove abbia scambiato contenuti del tutto leciti. Il tutto, mentre i reali cyberpedofili continueranno le loro attività su altri supporti. Ma non solo.

Di fronte ad un divieto generale come quello che la norma intende derogare, i controlli per prevenire o punire gli abusi nel trattamento di dati sono molto più agevoli, dal momento che gli elementi sufficienti a contestare l’illecito sono spesso macroscopici: la stessa esistenza in azienda di processi e infrastrutture progettati e impostati raccogliere e analizzare i dati, come le backdoor e gli algoritmi di analisi (o l’assenza di misure volte a prevenire che ciò avvenga, come la crittografia end to end) è di per sé indice di una forte probabilità di violazione. Se, invece, si mette il soggetto nella posizione di poter (rectius, dover) dotarsi di simili processi e infrastrutture, di poter (rectius, dover) raccogliere, conservare e analizzare i dati stessi, gli sarà molto più semplice dissimulare le eventuali violazioni, che consisteranno nella ben più sfuggente alterazione delle finalità dei trattamenti.

Un “alibi” per un monitoraggio a 360 gradi

Perché qualcuno dovrebbe farlo? Le aziende private, particolarmente le OTT e le Big Tech in genere, hanno un disperato bisogno di raccogliere quante più informazioni possibili sui propri utenti, poiché sulla quantità, qualità, attualità dei dati e dei metadati ad essi riferiti si fonda la produttività del loro business e, conseguentemente, il loro potere.

A queste enormi quantità di informazioni, infatti, vengono applicati pattern ricavati dagli studi, ormai molto avanzati, in materia di psicologia e scienze cognitive. Questi, a loro volta, consentono di estrarre dalle informazioni grezze dei profili accurati dell’utenza, che viene classificata in base alle proprie paure, ai propri desideri, al proprio modello caratteriale e, in definitiva, alle proprie vulnerabilità. Per quale ragione? Perché tutto questo è alla base delle più recenti (ed efficaci) strategie di marketing e vendita (target advertising) sia esso a fini commerciali o politici. Esiste un fiorente mercato dell’attenzione degli utenti, tutto fondato sui modelli comportamentali di questi ultimi e sulle analisi previsionali, operate mediante algoritmi, degli stessi.

Possiamo, oggi, prevedere con una notevole efficacia cosa un utente leggerà, cosa acquisterà, cosa voterà, se restituirà un prestito a patto di disporre di sufficienti informazioni circa la sua attività digitalmente tracciata: che articoli legge? Per quanto tempo li legge? Visualizza i contenuti sponsorizzati? Che sistema operativo ha sul device con cui naviga? A che ora si connette? Si immagini di poter dare in pasto ai sistemi previsionali tutte le informazioni e le meta-informazioni relative alle nostre conversazioni: a che ora scriviamo? A quali contatti scriviamo di più? Quando? Per quanto? Quali vocaboli utilizziamo? Parliamo forbito o semplice? Quali emozioni rivela il nostro linguaggio laddove comunichiamo con un dato contatto? Paura? Amore? Eccitazione? Tutte queste informazioni sono potenzialmente ricavabili con ottime chance di efficacia tramite le attuali tecnologie.

Avere, dunque, un alibi per costruire tutte le premesse necessarie a monitorare ogni aspetto psicologico, comportamentale, comunicativo e metacomunicativo delle interazioni relazionali tra i loro utenti è, per le grandi società tecnologiche, una circostanza di straordinaria appetibilità.

Come detto, per quanto la norma limiti il monitoraggio alla sola ricerca di contenuti pedopornografici, diventerà assai più complesso accertarsi che le società, una volta avuto accesso a queste informazioni e alla loro analisi, non si ingegnino per ricavarne qualcosa di utile per altri fini secondo modalità difficili da conoscere, da intercettare e, dunque, da sanzionare.

Tutto questo è ben noto al Legislatore europeo, così come gli sono ben note le considerazioni mosse in precedenza circa la limitata (non assente, limitata) utilità di un simile intervento quale fattore di lotta e contrasto all’orribile condotta del traffico di contenuti pedopornografici online. Allo stesso Legislatore, poi, non mancano le competenze necessarie a inferire come interventi di compressione (se non annullamento) delle libertà fondamentali dei cittadini, quale è quello in analisi, restino raramente confinati al perimetro di finalità originarie.

Se non falliscono, questi interventi normativi si traducono in grimaldelli che scardinano rapidamente le chiuse dell’Ordinamento, aprendo a soluzioni analoghe per ogni problema ritenuto rilevante. Una volta che si è monitorati per il contrasto alla pedopornografia, perché non esserlo per il contrasto al terrorismo, per la sicurezza sanitaria o per la lotta al traffico illegale di stupefacenti? Fanno forse meno danno? Una volta, poi, che si è continuamente monitorati per tutte queste finalità, perché non dare per scontato di esserlo in senso lato, sperando che ne discenda qualcosa di buono per l’utente?

Tuttavia, nessuno prima d’ora si è mai sognato di consentire ai postini o, meglio, ai corrieri privati, di aprire la nostra corrispondenza e curiosare nelle nostre lettere o pacchi per verificare che non stessimo confessando un delitto ad un amico o inviandogli droga o foto di minori in atteggiamenti osceni. Neppure, nessuno si è mai sognato di far installare agli amministratori di condominio delle telecamere negli appartamenti dei condomini al fine di verificare, ad esempio, violenze domestiche a danno di minori, che pure sono una piaga tanto incisiva (tristemente, forse di più, per frequenza) della pedopornografia online. Ciò sebbene, a ben vedere, i rischi nei casi esemplificati sarebbero comunque notevolmente inferiori di quelli, citati in precedenza, connessi all’analisi automatizzata dei nostri dati digitali.

Conclusioni

A ben vedere, concludendo, sembra impossibile non prendere atto che l’Europa, che fino ad ora si è sempre mossa prendendo nettamente le distanze non solo dal modello di sorveglianza cinese ma, come affermato anche da Capi di Stato di primissimo piano nel Vecchio Continente, dalla “diversa democrazia” americana (si pensi alle affermazioni di Macron ma anche alla presa di posizione della Corte di Giustizia attraverso la sentenza Schrems II in merito ai trasferimenti di dati personali in USA) si è mossa in questo caso in modo diametralmente opposto, virando – pur con forme tipicamente occidentali – verso un modello civile fondato sul monitoraggio esteso e capillare dei cittadini. Che sia mossa dall’esigenza di competitività con le grandi potenze globali? Che sia un caso isolato? Non è possibile desumerlo da outsider, ma certamente, se si procede in questa direzione, non si persegue quella via di alternatività del modello europeo, fondato sulla centralità e sulla prevalenza dei diritti umani rispetto alle logiche di mercato o di potere, che sul piano delle dichiarazioni di intenti dovrebbe essere la cifra ed il fine ultimo dell’azione politica dell’Unione.

WHITEPAPER
Security as a service, scopri le soluzioni più innovative della sicurezza gestita
Intelligenza Artificiale
Sicurezza dei dati
@RIPRODUZIONE RISERVATA

Articolo 1 di 4