Nel panorama politico dell’Unione Europea, si sta intensificando il dibattito riguardante le nuove obbligazioni per i provider di servizi Internet volte a contrastare in maniera più efficace i reati perpetrati contro i minori, utilizzando gli strumenti digitali. Alla vigilia di una cruciale votazione, le critiche si moltiplicano. Al centro della diatriba c’è sempre il regolamento proposto dalla Commissaria per gli Affari Interni, Ylva Johansson, noto come CSA Regulation ma ribattezzato Chat Control 2.0 da parte dei detrattori.
L’adozione di questa normativa, per la quale il voto del Parlamento era atteso il 20 giugno 2024, obbligherebbe gli utenti a scegliere tra accettare la scansione automatica dei messaggi di chat o rinunciare alla possibilità di inviare immagini e video. Tale scenario ha provocato forti proteste e minacce di ritiri di prodotti dal mercato europeo da parte di alcune aziende.
Nonostante le numerose criticità evidenziate dagli esperti, soprattutto sul piano di un’impostazione generale fortemente lesiva dei diritti fondamentali del cittadino, una nuova proposta legata alla normativa Chat Control era stata presentata a metà aprile 2024.
La notizia, che fa esultare i sostenitori della privacy e dei diritti fondamentali del cittadino, è che il legislatore ha ritenuto opportuno posticipare a data da destinarsi qualsiasi votazione sul tema CSA Regulation.
Chat Control: la proposta originale della Commissione Europea
Il regolamento inizialmente proposto ha sollevato accese discussioni per oltre due anni. Nella sua veste originale, prevedeva misure drastiche, tra cui l’obbligo per gli operatori delle piattaforme di messaggistica (servizi email compresi) di scansionare i contenuti degli utenti in automatico. L’analisi dei dati altrui sarebbe dovuta avviene a livello di dispositivo dell’utente, in modo da superare le limitazioni imposte dalla crittografia end-to-end (pratica conosciuta come client-side scanning). Tali misure avrebbero dovuto essere accompagnate dall’invio automatico di segnalazioni a un punto di raccolta centrale europeo.
Un approccio del genere ha incassato feroci critiche da parte dei difensori dei diritti civili. Le Autorità europee avrebbero potuto monitorare le comunicazioni private degli utenti, ottenendo accesso non solo ai contenuti archiviati sui server, ma anche a quelli non ancora inviati dai dispositivi.
La proposta della Presidenza belga: scansione basata su hash
Sotto la guida belga della Presidenza del Consiglio Europeo, si è recentemente cercato una sorta di compromesso. La nuova ipotesi normativa prevede misure a carico dei provider, che potrebbero dover confrontare i contenuti degli utenti con database di rappresentazioni note di abusi o effettuare ricerche assistite da intelligenza artificiale su vari tipi di contenuti, tra cui immagini, video, file di backup cloud e altro ancora. La proposta esclude la scansione di file audio e messaggi di testo.
Il confronto tra il materiale scambiato attraverso i servizi di messaggistica e i contenuti già noti alle forze di polizia avverrebbe utilizzando la tecnica dell’hashing. I meccanismi implementati dai provider paragonerebbero insomma i file multimediali trasferiti dai singoli utenti con un database di hash conosciuti. Solo in caso di corrispondenza, scatterebbe una segnalazione (inizialmente in forma anonima, primo passo verso l’apertura di un “fascicolo”).
Le critiche al progetto belga
La proposta della Presidenza del Consiglio belga ha comunque attirato numerose critiche. Meredith Whittaker, presidente della fondazione statunitense che si occupa dello sviluppo dell’app di messaggistica Signal, ha dichiarato che la scansione delle comunicazioni private mina la crittografia end-to-end. Anche se effettuata in locale sui dispositivi degli utenti.
Anche il portavoce del Chaos Computer Club, Linus Neumann, ha criticato l’idea che gli utenti debbano acconsentire a una scansione in massa dei loro messaggi o rinunciare all’invio di contenuti visivi e URL.
L’associazione industriale Eco ha evidenziato i rischi di una categorizzazione errata dei servizi che andrà a penalizzare quelli che danno massima priorità alla protezione dei dati personali.
L’appello per bloccare l’approvazione della legge
Un folto gruppo di parlamentari europei ha inviato una lettera aperta al Consiglio e ai governi nazionali, esortandoli a respingere la proposta belga. La missiva sottolinea le preoccupazioni rispetto agli impatti in termini di privacy delle comunicazioni.
La lettera afferma che l’iniziativa della Presidenza belga rischia di minare la confidenzialità delle comunicazioni private, nonostante il compromesso proposto. La scansione obbligatoria dei contenuti video e delle immagini, crittografate e non, è vista come un’invasione dei diritti digitali fondamentali e un ritorno alle proposte originarie della Commissione del dicembre 2021.
I firmatari evidenziano l’importanza della comunicazione sicura e crittografata per tutti, inclusi i bambini e le vittime di abusi, che necessitano di servizi di emergenza sicuri e confidenziali. La scansione lato client e altre forme di sorveglianza di massa rischiano essere controproducenti, recando anche evidenti danni ai professionisti soggetti a segreto professionale come giornalisti, avvocati, e operatori sanitari, nonché ai whistleblower.
La lettera mette in guardia anche contro il potenziale utilizzo di misure come quelle presentate che potrebbero diventare modello per attività di “sorveglianza di Stato” e indebolire la sicurezza della comunicazioni. Infine, i nuovi obblighi potrebbero favorire un clima di sospetto generalizzato, danneggiando l’immagine dell’Unione Europea come garante della libertà del cittadino.
Grande vittoria in difesa della privacy digitale
Secondo l’ex parlamentare Patrick Breyer, la presidenza belga del Consiglio europeo ha posticipato il voto all’ultimo momento, proprio il 20 giugno. Ancora una volta, la proposta legge cade miseramente. “Senza l’impegno e la resistenza di innumerevoli individui e organizzazioni in Europa, oggi i governi dell’UE avrebbero deciso a favore di un controllo totale e indiscriminato delle chat, seppellendo la privacy digitale e il diritto all’utilizzo di una messaggistica protetta da misure crittografiche sicure“, ha commentato Breyer, difensore delle libertà digitali e negoziatore per il suo gruppo (Partito Pirata) al Parlamento Europeo. “Per ora, i fanatici della sorveglianza (…) non sono riusciti a costruire una maggioranza qualificata. Ma non si arrenderanno e potrebbero riprovarci nei prossimi giorni“.
La controproposta: cosa dovrebbero fare i Governi
A questo punto, con il provvedimento Chat Control sempre più impaludato, Breyer sollecita il fattivo intervento degli Stati membri dell’Unione Europea. Non basta difendere l’uso della crittografia. Lo screening indiscriminato dei messaggi privati, intrinsecamente soggetto a errori, è la parte più “tossica” della bozza di regolamento. I problemi, tuttavia, vanno ben oltre.
Secondo l’ex eurodeputato, la proposta avanzata dovrebbe essere rivista per almeno quattro punti principali:
- No al controllo indiscriminato delle chat: Invece di un controllo generalizzato dei messaggi e delle chat, dovrebbe essere la magistratura ad avere il potere di ordinare ricerche nei messaggi e nei file scambiati da individui al centro delle indagini.
- Proteggere la crittografia sicura: Il cosiddetto client-side scanning per creare una breccia nel funzionamento della crittografia end-to-end deve essere esplicitamente escluso. Le dichiarazioni generali di supporto alla crittografia nel testo della legge sono inutili se la scansione e l’estrazione dei dati avvengono prima di cifrare le informazioni. I dispositivi personali degli utenti non devono essere trasformati in scanner automatizzati, peraltro gestiti da soggetti terzi.
- Proteggere l’anonimato: Breyer propone di rimuovere la verifica obbligatoria dell’età da parte di tutti i servizi di comunicazione per salvaguardare il diritto a comunicare in modo anonimo. I whistleblower rischiano di essere silenziati se devono mostrare un proprio identificativo prima di divulgare informazioni “scomode”.
- No alla censura delle app e agli “arresti digitali”: Escludere i giovani da app come Whatsapp e Instagram è inaccettabile secondo Breyer. Semmai, sono le impostazioni predefinite dei servizi che devono assicurare maggiore sicurezza e privacy.
Cosa fare per protestare contro Chat Control 2.0
Molti Paesi non avevano ancora deciso se sostenere l’ultima spinta belga per l’approvazione di Chat Control. Tra di essi c’è anche l’Italia, insieme a Finlandia, Repubblica Ceca, Svezia, Slovenia, Estonia, Grecia e Portogallo. I governi di Germania, Lussemburgo, Paesi Bassi, Austria e Polonia hanno invece già chiarito che non sosterranno la proposta, ma il loro “peso” non era sufficiente per bloccare l’iter di approvazione.
A questo punto, dopo l’ennesimo “nulla di fatto” di Chat Control, Breyer sottolinea l’importanza di “passare al contrattacco” perché l’Europa non si discosti – neppure in futuro – da concetti come il rispetto della privacy e dei diritti fondamentali.