Regolamento Chatcontrol ovvero la sorveglianza di massa anche in Europa - Agenda Digitale

l'analisi

Regolamento Chatcontrol ovvero la sorveglianza di massa anche in Europa

La lotta alla pedopornografia è motivo di un regolamento, appena approvato dal Parlamento europeo, che consentirà ai provider dei servizi di messaggistica di effettuare un super controllo sul contenuto delle chat svolte sulle proprie piattaforme. Molte le critiche: primo caso di sorveglianza di massa in UE

09 Lug 2021
Marina Rita Carbone

Consulente privacy

Il Parlamento Europeo ha espresso voto favorevole in merito all’emanazione di un nuovo Regolamento che consentirà ai provider dei servizi di messaggistica di effettuare un controllo maggiormente intensificato sul contenuto delle chat svolte sulle proprie piattaforme, al fine di individuare potenziali contenuti pedopornografici e segnalare ipotesi di reato alle forze di polizia competenti.

Tale normativa costituisce una deroga espressa alla Direttiva ePrivacy, che vieta ai provider di porre in essere attività di sorveglianza, intercettazione o conservazione delle comunicazioni elettroniche, salvo il caso in cui l’utente non abbia prestato il proprio consenso o il provider sia stato espressamente autorizzato per legge.

Per tale ragione, il Regolamento è stato denominato “Chatcontrol” rappresentando, ad oggi, l’eccezione al divieto di sorveglianza massiva dell’utenza previsto all’interno della Direttiva ePrivacy.

Sorveglianza, Europa sotto accusa: “Così rafforza i regimi e indebolisce i diritti umani”

Nonostante l’intento perseguito dall’Unione Europea sia ammirevole, non sono mancate aspre critiche in merito alle conseguenze che la concreta applicazione di tale Regolamento potrà avere ed ai rischi per gli utenti.

Nel seguito, una sintetica disamina dei punti cardine del Regolamento e delle critiche mosse allo stesso.

Cosa prevede il Regolamento ChatControl

Al momento il Regolamento, titolato “on a temporary derogation from certain provisions of Directive 2002/58/EC of the European Parliament and of the Council as regards the use of technologies by number-independent interpersonal communications service providers for the processing of personal and other data for the purpose of combatting child sexual abuse online”, prevede, come anticipato in premessa, che possa consentirsi ai provider di servizi di comunicazione interpersonale (come, ad esempio, Whatsapp, Messenger, Telegram ed altri) di attuare un controllo sistematico e massivo del contenuto delle chat private, in deroga all’articolo 5, paragrafo 1, e all’articolo 6, paragrafo 1 della Direttiva 2002/58/CE, che tutelano la riservatezza delle comunicazioni e del traffico dati, fatta eccezione per i messaggi audio.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy

Il Regolamento, che sarà in vigore per tre anni al fine di concedere al legislatore europeo il tempo necessario per adottare un nuovo quadro giuridico a lungo termine, potrà, in tal modo, consentire di verificare ogni comunicazione svolta sulla piattaforma, allo scopo di individuare esclusivamente i contenuti pedopornografici, le attività di adescamento di minori, o qualsiasi alto tipo di contenuti relativi ad abusi su minori diffusi all’interno delle comunicazioni, in modo molto più efficace rispetto a quanto fatto sinora. In mancanza di una normativa specifica, infatti, le collaborazioni con le forze dell’ordine avvengono su base volontaria, senza standard certi sulle modalità di tutela della privacy degli utenti.

Il regolamento di follow-up che seguirà quello di cui si discute, renderà, inoltre, obbligatorio il controllo delle chat per tutti i provider di posta elettronica e messaggistica, costringendo anche i servizi di messaggistica crittografati end-to-end come Whatsapp o Signal a installare delle backdoor.

Occorre precisare che, come indicato nei considerando del Regolamento, alcuni fornitori di servizi di comunicazione non telefonici, come webmail e messaggistica non crittografata, utilizzano già delle tecnologie specifiche, su base volontaria, al fine di rilevare abusi sessuali su minori all’interno della propria piattaforma, al fine di segnalare la presenza di fattispecie di reato alle autorità pubbliche, provvedendo alla scansione di immagini o testi, e all’analisi dei dati di traffico delle comunicazioni, anche storici (trattasi delle tecnologie di c.d. hashing).

Con la tecnologia di hashing, il materiale pedopornografico viene segnalato nel momento in cui si è in presenza di un risultato positivo, di una corrispondenza fra un’immagine o un video e un ‘hash’ presente in un database, contenente materiale verificato sugli abusi sessuali nei confronti dei minori online, gestito da un’organizzazione che agisce nell’interesse pubblico dei minori. I fornitori fanno riferimento alle hotline nazionali per la segnalazione di materiale pedopornografico online, nonché a organizzazioni il cui scopo è identificare i bambini e ridurre lo sfruttamento e l’abuso sessuale degli stessi. Dette organizzazioni di volontariato svolgono un ruolo prezioso nel processo di identificazione e soccorso delle vittime, i cui diritti fondamentali alla dignità umana e alla l’integrità fisica e mentale sono gravemente violati, e permettono di evitare l’ulteriore diffusione di materiale pedopornografico online, contribuendo anche alle indagini nei confronti dei trasgressori ed all’attività di prevenzione, individuazione e perseguimento dei reati di abuso sessuale sui minori.

Sorveglianza, Europa sotto accusa: “Così rafforza i regimi e indebolisce i diritti umani”

Tuttavia, nonostante l’obiettivo perseguito dal Regolamento, come detto, sia pienamente legittimo, le attività di sorveglianza che potranno condurre i providers, molto più invasive rispetto a quelle sinora poste in essere, costituiscono una forte interferenza con alcuni diritti fondamentali dell’uomo, come il diritto alla tutela dei dati personali ed al rispetto della vita privata e familiare.

Infatti, per il controllo del contenuto dei messaggi e delle e-mail dei cittadini europei saranno usati innovativi sistemi di Intelligenza Artificiale, che scandaglieranno anche la corrispondenza intercorsa con medici, psicologi, avvocati, la quale dovrebbe invece essere coperta da segreto professionale (salvo alcune eccezioni).

In caso di riscontro positivo da parte dell’algoritmo, il risultato sarà esaminato dal provider tramite l’ausilio di match positivo (contenuto ritenuto illegale dall’algoritmo) il provider di servizi dovrà verificare ed eventualmente segnalare il contenuto alle forze dell’ordine.

All’interno dei Considerando, si specifica anche che il Regolamento, sebbene costituente una deroga alla Direttiva ePrivacy, non fa venir meno i principi, i diritti e gli obblighi di cui al Reg. UE 679/2016, altresì noto come GDPR. Ne deriva che il trattamento di dati personali da parte dei provider al fine di perseguire gli scopi indicati nel Regolamento Chatcontrol (segnalare abusi sessuali sui minori e rimuovere il materiale pedopornografico presente online) rientra pienamente nell’ambito di applicazione del GDPR, ed è soggetto alle garanzie ed alle condizioni previste nello stesso.

L’art. 3 del Regolamento prevede che l’attività di indagine sulle comunicazioni potrà essere svolta a condizione che:

  • Il trattamento sia proporzionato e limitato alle tecnologie utilizzate dai provider per la sola finalità della prevenzione dei reati di pedopornografia e adescamento di minori;
  • Le tecnologie utilizzare siano conformi allo stato dell’art del settore (al fine di limitare il tasso di errore di falsi positivi nella massima misura possibile) e siano meno invasivi possibile della privacy degli utenti;
  • Sia stata condotta una valutazione d’impatto e una procedura di consultazione preventiva ai sensi degli artt. 35-56 GDPR;
  • Con riferimento alle nuove tecnologie utilizzate ai fini del rilevamento di materiale pedopornografico, quest’ultime non siano state utilizzate prima della data di entrata in vigore del regolamento, senza che sia stata previamente completata una procedura di consultazione ex art. 36 GDPR;
  • Gli utenti siano informati in modo chiaro, evidente e comprensibile del fatto che le loro comunicazioni sono monitorate al solo fine di rilevare, rimuovere o segnalare abusi sessuali su minori online, della logica alla base di tali misure e dell’impatto che le stesse hanno sulla riservatezza delle comunicazioni degli utenti, compresa la possibilità che i dati personali siano condivisi con le autorità preposte all’applicazione della legge e le organizzazioni che agiscono nel pubblico interesse contro gli abusi sessuali su minori;
  • L’utente sia informato sui propri diritti, compresa la possibilità di proporre reclamo a un’autorità di controllo o ricorso in sede giudiziale;
  • La tecnologia utilizzata per rilevare i modelli di possibile adescamento dei minori usa indicatori chiave pertinenti (e fattori di rischio oggettivamente identificati come l’età) differenza e il probabile coinvolgimento di un bambino nella comunicazione scansionata, fatto salvo il diritto alla revisione umana.

Il contenuto e i dati sul traffico elaborati e i dati personali generati durante lo svolgimento delle attività di controllo delle comunicazioni, e il periodo di conservazione degli stessi nel caso di identificazione di sospetto abuso sessuale su minori, dovranno essere limitati a quanto strettamente necessario per svolgere tali attività. Nel momento in cui la conservazione dei dati non sia più strettamente necessaria alla persecuzione delle finalità specificate nel Regolamento, nel caso in cui non sia identificato alcun sospetto di abusi sui minori, o, comunque, decorso il termine di dodici mesi, tutti i dati dovrebbero essere immediatamente e irrevocabilmente cancellati.

Le critiche al Regolamento

Il disegno di legge, votato favorevolmente da 537 deputati, è stato fortemente criticato da alcuni eurodeputati e dagli esperti del settore, in quanto si teme che possa rappresentare una pericolosa vulnerabilità per i diritti dei cittadini europei, in virtù del “controllo” delle comunicazioni riservate e private.

Gli stessi legislatori europei hanno rilevato come, nonostante il risultato positivo, le regole contenute nel Regolamento siano “legalmente viziate” e potrebbero essere facilmente contestabili in un qualsiasi tribunale.

In aggiunta a ciò, si teme che l’applicazione del regolamento possa minare i principi e gli obiettivi posti dalle norme europee sulla tutela dei dati personali e che l’utilizzo massivo e indiscriminato di sistemi di intelligenza artificiale possa portare a gravi conseguenze, restituendo falsi positivi e fornendo segnalazioni alla polizia anche senza la previa verifica umana.

Contro il Regolamento si è apertamente schierato il Partito Pirata Europeo, e, in particolar modo, Patrick Breyer, uno dei quattro deputati europei della delegazione di partito, il quale ha affermato che il Chat Control prevede che “tutte le nostre e-mail e messaggi privati saranno soggetti a sorveglianza di massa in tempo reale privatizzata utilizzando macchine di incriminazione soggette a errori. Innumerevoli cittadini innocenti verranno sospettati di aver commesso un crimine, i minorenni vedranno nudi da loro inviati (sexting) cadere in mani sbagliate, le vittime di abusi perderanno canali sicuri per la consulenza. Questo regolamento stabilisce un terribile precedente.”

Breyer ha anche denunciato l’impiego dell’intelligenza artificiale per il controllo delle conversazioni, sostenendo che costituirebbe una violazione della privacy dei cittadini. I sistemi di intelligenza artificiale, infatti, sono notoriamente esposti a numerosi errori, dovuti alla programmazione degli stessi, all’esistenza di “bias” negli algoritmi, o a semplici errori di valutazione. Sebbene sia previsto un controllo umano successivo, non può prevedersi con esattezza se tale controllo potrà essere eseguito con attenzione e con scrupolo, senza pregiudizio per gli interessati, o per i soggetti segnalati, nei cui confronti non sono effettuate notifiche.

Sul delicato tema della lotta alla pedopornografia, Breyer ha aggiunto che “Le ricerche indiscriminate non proteggeranno i bambini e li metteranno in pericolo esponendo le loro foto private a sconosciuti e criminalizzando i bambini stessi. Gli investigatori già oberati di lavoro sono impegnati a risolvere migliaia di messaggi criminalmente irrilevanti. Le vittime di un crimine così terribile come l’abuso sessuale di minori meritano misure che prevengano in primo luogo gli abusi. L’approccio giusto sarebbe, ad esempio, intensificare le indagini sotto copertura sui circuiti pedopornografici e ridurre gli arretrati di elaborazione di anni nelle ricerche e nelle valutazioni dei dati sequestrati”. Senza contare, afferma Breyer, che “le vittime di abusi sono particolarmente danneggiate da questa sorveglianza di massa. Poter parlare liberamente degli abusi che hanno subito e cercare aiuto in uno spazio sicuro è fondamentale per le vittime di violenza sessuale. Dipendono dalla possibilità di comunicare in modo sicuro e riservato. Questi spazi sicuri ora vengono loro tolti, il che impedirà alle vittime di cercare aiuto e sostegno.

Anche Marcel Kolaja, anch’esso eurodeputato del Partito pirata ceco e vicepresidente del Parlamento europeo, ha commentato affermando che “anche gli agenti postali non aprono le tue lettere private per vedere se stai inviando qualcosa di discutibile. La stessa regola dovrebbe applicarsi online. Tuttavia, ciò che questa eccezione farà è un danno irrevocabile al nostro diritto fondamentale alla privacy. Inoltre, il monitoraggio su piattaforme di grandi dimensioni porterà solo i criminali a spostarsi su piattaforme in cui il controllo della chat sarà tecnicamente impossibile. Di conseguenza, persone innocenti verranno ficcanasate su base giornaliera mentre il tentativo di rintracciare i criminali fallirà.”

Occorre rilevare, infatti, che con tale sistema di monitoraggio delle conversazioni le fotografie e i video intimi di milioni di persone potranno essere acquisiti, conservati ed esaminati dai provider di servizi e dai loro dipendenti, oltre che dalle forze dell’ordine, che a loro volta potranno esaminare i contenuti oggetto di segnalazione.

In poche parole, la vita privata (e sessuale, nel caso in cui si usino le piattaforme per condividere fotografie e contenuti espliciti a sfondo sessuale ma che non costituiscono un’ipotesi di reato) dei cittadini europei sarà del tutto esposta.

Le possibili conseguenze del Regolamento Chatcontrol

In conclusione, sono molteplici le conseguenze che l’entrata in vigore del Regolamento Chatcontrol potrà avere sui diritti dei cittadini europei:

  • Tutte le conversazioni e le e-mail della chat verranno automaticamente analizzate per la ricerca di contenuti sospetti, senza la necessità di ottenere autorizzazioni da parte dei tribunali, tramite sistemi di intelligenza artificiale;
  • Se un algoritmo classifica il contenuto di un messaggio come sospetto, le foto private o intime, così come i messaggi di testo a sfondo sessuale, possono essere visualizzati dal personale e dagli appaltatori delle società internazionali che forniscono il servizio di messaggistica e dalle autorità di polizia (con sottoposizione delle stesse a pericolose vulnerabilità e a rischi determinati anche dal dolo o dall’errore umano);
  • Le conversazioni possono essere soggette a falsi positivi, con conseguente segnalazione di chat intime non costituenti ipotesi di reato o di abuso. Pertanto, un cittadino potrebbe essere falsamente segnalato e indagato per presunta diffusione di materiale di sfruttamento sessuale su minori. Non sarebbe la prima volta che gli algoritmi segnalino foto di vacanza completamente legali di bambini su una spiaggia, ad esempio. Secondo quanto riportato dalle autorità di polizia federale svizzere, e richiamato da Breyer, l’86% di tutti i rapporti generati dalle macchine si è scoperto infondato;
  • i report generati dagli algoritmi potranno essere potenzialmente trasmessi anche all’interno di Paesi terzi che non forniscono garanzie equivalenti a quelle previste dalla normativa europea ai trattamenti di dati personali;
  • I servizi di intelligence e gli hacker potrebbero essere in grado di spiare le chat private e le tue e-mail utilizzando le backdoor appositamente create nei sistemi di messaggistica.
WEBINAR
28 Ottobre 2021 - 12:00
FORUM PA 2021- Sanità: Cybersecurity, conoscere per non rischiare
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Articolo 1 di 4