A maggio 2022 la Commissione Europea ha avanzato una proposta di legge che potrebbe obbligare le app di messaggistica ad effettuare la scansione dei messaggi privati scambiati tra normali utenti.
Come si apprende leggendo il testo del regolamento del Parlamento Europeo e del Consiglio, che si inserisce nel più ampio schema del Digital Markets Act (DMA), le finalità sono certamente nobili e hanno come fine quello di prevenire l’adescamento dei minori via chat.
Prescrizioni come quelle contenute nella proposta di legge europea, tuttavia, significherebbe di fatto dire addio a tutte le garanzie offerte dai meccanismi di cifratura end-to-end quando l’uso della crittografia è oggi fondamentale ed è ormai uno strumento al quale gli utenti non dovrebbero mai rinunciare.
WhatsApp non indebolirà la crittografia end-to-end e a questo punto, per stessa ammissione del CEO Will Cathcart, l’unica strada che potrebbero imboccare le app di messaggistica istantanea è la scansione dei messaggi e dei contenuti multimediali degli utenti in locale, sui loro stessi dispositivi.
Apple aveva già provato a fare qualcosa simile ma l’iniziativa volta a scansionare il contenuto dei dispositivi iOS, macOS e iPadOS era stata fortemente criticata tanto da far desistere la Mela. Feroci, tra gli altri, gli appunti di EFF (Electronic Frontier Foundation) che parlò di un’inaccettabile ingerenza nella sfera privata dei cittadini.
Perché proposta della Commissione Europea può portare al blocco delle piattaforme open source e dei repository utilizzati dai sistemi operativi
Patrick Breyer, eurodeputato del Partito Pirata, ha messo nero su bianco tutte le criticità della proposta di legge europea parlando di Chat Control 2.0: ne scaturità un sistema di sorveglianza di massa completamente automatizzato che non ha precedenti nel mondo occidentale, lo screening da parte di soggetti terzi del contenuto dei servizi di storage cloud, la verifica obbligatoria dell’età con conseguente fine della comunicazione anonima, attività censorie sugli store online delle applicazioni e l’esclusione dei minori dal mondo digitale. Si legge nella pagina allestita da Breyer.
“Come conseguenza non intenzionale“, scrive oggi Mullvad, nota azienda svedese che offre servizi VPN, “la proposta di legge dell’UE sul controllo della chat non si limiterà a prendere il controllo totalitario di tutte le comunicazioni private ma vieterà anche i sistemi operativi open source“.
Secondo Mullvad, tra gli effetti collaterali del regolamento dei quali fino ad oggi si è discusso poco o niente, vi sarebbe la messa al bando di tutti i sistemi operativi open source esistenti, comprese le principali distribuzioni Linux e store Android di terze parti come lo storico F-Droid.
I repository software sono utilizzati quasi universalmente dai sistemi operativi open source sin dagli anni ’90 come metodo principale di distribuzione delle applicazioni e degli aggiornamenti di sicurezza. Questi archivi online sono spesso creati e mantenuti da piccole aziende o da volontari; sono ospitati da centinaia di organizzazioni come università e fornitori di servizi Internet in tutto il mondo.
Uno dei principali, l’archivio dei pacchetti Debian gestito da volontari, contiene attualmente oltre 170.000 pacchetti software.
Questi servizi non sono costruiti attorno al concetto di account e non prevedono la verifica dell’identità degli utenti: il download del software avviene direttamente verso i sistemi client che ne fanno richiesta, in modo del tutto anonimo.
Ecco, la proposta di legge europea obbligherebbe anche questi repository a non essere più gestiti in forma anonima, a verificare l’identità dell’utente e ad accertarne l’età.
Per soddisfare i requisiti di legge, il mondo open source sarebbe costretto a una riprogettazione totale del sistema di approvvigionamento e distribuzione degli aggiornamenti software, a un’incisiva ristrutturazione organizzativa con la conseguente centralizzazione e ricostruzione dell’infrastruttura di distribuzione dei pacchetti.
Ovviamente si parla solo di un approccio puramente teorico perché le questioni tecnico-pratiche sarebbero insormontabili.
“Per rispettare la legge tutto dovrebbe essere chiuso a livello globale poiché i server che forniscono software e aggiornamenti di sicurezza non sono in grado di distinguere tra un server Web, uno sviluppatore di software giapponese, un frigorifero e un adolescente dell’UE“, osserva Mullvad. “Può sembrare incredibile che gli autori della normativa non ci abbiano pensato, ma non è così sorprendente considerando che questa è solo una delle tante gigantesche conseguenze di questa legge malamente pensata e scritta“.
Mullvad è uno dei gestori VPN che già dal 2022 ha avviato la migrazione verso server diskless per proteggere ancora più efficacemente la privacy e i dati personali degli utenti.