La descrizione dell’Europa come culla delle libertà, della democrazia, del rispetto dei diritti dei singoli cittadini e della privacy è spesso associata a diversi fattori storici, culturali e giuridici. Nessun luogo, tuttavia, è privo di sfide e il quadro può variare rapidamente se chi amministra la “cosa pubblica” non compie scelte saggie e lungimiranti. Nell’ambito del disegno di legge soprannominato, dai detrattori, Chat Control 2.0, foto e messaggi privati scambiati attraverso qualunque software di messaggistica possono essere inoltrati alle Autorità europee ed esaminati da funzionari specializzati. Non è fantascienza: il Grande Fratello del romanzo di George Orwell è già arrivato, proprio in quell’Europa che si è sempre dichiarata paladina dei diritti e rispettosa della sfera privata.
Le applicazioni di messaggistica diventano strumenti per il controllo di massa: foto e messaggi privati accessibili dalle Autorità
Il tema sul tavolo è molto serio ma gli organi di informazione ne hanno parlato, colpevolmente, davvero troppo poco. A breve, i messaggi che scambiate tramite WhatsApp o le email che spedite potranno essere letti e analizzati da personale preposto, in barba a qualunque salvaguardia in materia di privacy e tutela dei dati personali.
Sembra impossibile, ma questo è esattamente il succo della normativa che sta per entrare in vigore in tutti gli Stati membri europei e che autorizza le Autorità a mettere sotto la lente le comunicazioni private dei singoli cittadini.
Già a marzo 2023 osservavamo che i soggetti designati dalla Commissione Europea avranno titolo per accedere alle chat degli utenti e spiare contenuti personali: software di messaggistica istantanea, email, piattaforme di collaborazione e produttività, sistemi di comunicazione integrati in qualunque app o videogioco. Tutto dovrà essere accessibile dalle Autorità europee.
L’obiettivo dichiarato è perseguire penalmente chi distribuisce materiale relativo allo sfruttamento sessuale minorile (CSEM). Il risultato: sorveglianza di massa in tempo reale tramite la verifica automatizzata del contenuto di messaggi e chat.
Tanto c’è la crittografia end-to-end…
Sbagliato. Il provvedimento di legge in fase di approvazione prevede che la scansione dei messaggi sia effettuata lato client, direttamente sui dispositivi degli utenti. Non importa quindi se l’applicazione per scambiare messaggi o email utilizza la crittografia end-to-end. Le informazioni personali degli utenti viaggiano in modalità sicura tra i due capi della comunicazione (quindi non possono essere lette, modificate, monitorate o danneggiate lungo il loro tragitto) proprio grazie alla crittografia. La legge di fatto introduce però una backdoor lato client imponendo a tutti i gestori di servizi di messaggistica e posta elettronica l’attivazione di un canale di comunicazione diretto tra il dispositivo di ciascun utente e server in capo alle Autorità europee.
Lo ha spiegato benissimo Bert Hubert, nel corso di un’audizione dinanzi al Parlamento olandese. Nonostante il parere fortemente negativo di centinaia di esperti, l’Europa intende affidarsi all’intelligenza artificiale per scansionare il contenuto delle comunicazioni private degli utenti, alla ricerca di contenuti illeciti. I report delle scansioni automatizzate vengono poi girati a funzionari investiti del ruolo di “controllori”: nel caso in cui dovessero essere rilevati profili sospetti, le Autorità locali dei singoli Paesi sono chiamate a svolgere i successivi controlli contattando direttamente i soggetti che hanno gestito il materiale.
Hubert osserva che sarà come avere un partecipante aggiuntivo, nascosto e mai invitato, a ogni singola chat. Un destinatario non dichiarato per ogni singola email. E il legislatore europeo sembra non rendersi conto delle conseguenze di un’operazione che di fatto attiva un monitoraggio su larga scala delle comunicazioni private di 500 milioni di cittadini europei.
Fonte dell’immagine: Patrick Breyer – Licenza CC BY 3.0.
Tutte le applicazioni di messaggistica e email sono coinvolte
La nuova regolamentazione è battezzata Chat Control 2.0 perché in realtà già oggi è in vigore una disposizione che consente ai fornitori di servizi di comunicazione di scansionare volontariamente i messaggi degli utenti (Chat Control 1.0). Solo alcuni servizi di comunicazione come Gmail, Facebook/Instagram Messenger, Skype, Snapchat, iCloud e Xbox svolgono un’azione di verifica sui contenuti scambiati dagli utenti rilevando quelli potenzialmente illeciti. Con l’introduzione di un obbligo di legge, qualunque applicazione o servizio è chiamato ad attivare la scansione dei messaggi riportando quelli che possono configurare qualche tipo di reato.
Free Software Foundation (FSF) ha preannunciato battaglia, determinata a fermare il controllo delle chat private in Europa. Posizione analoga da parte del servizio VPN Mullvad che ha avviato una campagna per osteggiare la proposta di legge. Inoltre, poiché le disposizioni normative prescrivono l’obbligo di verificare l’identità e l’età degli utenti, si preannunciano rischi per l’esistenza stessa di alcuni store online e degli stessi sistemi operativi basati su architettura aperta.
Inutile dire che si sono messe di traverso anche realtà come Tutanota e ProtonMail, applicazioni che forniscono servizi di posta elettronica rispettosi della privacy degli utenti.
Telegram si sottrarrà alla nuova legislazione, che non riguarda le applicazioni non commerciali
Nella sua audizione, Hubert sottolinea che mentre WhatsApp si adeguerà alle disposizioni, Telegram intende sottrarsi alle disposizioni di legge. L’azienda fondata da Pavel Durov sembra intenzionata a protestare non attuando le prescrizioni europee e avviando una campagna informativa. Le conseguenze del mancato adeguamento sono tutte da verificare, ma non sono escluse sanzioni (da verificarne l’efficacia per un’azienda che ha sede a Dubai, negli Emirati Arabi Uniti) e censure a livello di rete che sarebbero degne dei regimi totalitari più oppressivi.
D’altra parte Hubert non poteva chiudere in maniera ficcante la sua lucida analisi: “se vogliamo imparare come implementare tale tecnologia di scansione, se vogliamo imparare a livello internazionale come farlo, c’è solo un Paese al mondo che può aiutarci. Ed è la Cina. Non so se sia una buona prospettiva“.
A nostro avviso, inoltre, usare il bastone con i cittadini europei non aiuterà a ottenere i lodevoli obiettivi dichiarati. Strumenti come OpenPGP e Tor, solo per fare un paio di nomi, permettono da tempo immemorabile il trasferimento di dati riservati attraverso la rete Internet. Peraltro, la normativa ammette che i prodotti open source non commerciali non possono essere in alcun modo destinatari delle prescrizioni di legge. Insomma, se esistono strumenti che possono sottrarsi alla “scansione di massa” non è forse più saggio proseguire con il contrasto dei reati come fatto fino ad oggi (potenziando le risorse disponibili per le forze di polizia), senza sottoporre milioni di cittadini a un’insostenibile ingerenza nella propria sfera privata?
Infine, Chat Control 2.0 non sembra un “unicum”: il Regno Unito ha proposto una sorta di backdoor governativa da inserire nelle app di messaggistica, con conseguenze che vanno ben oltre i confini del Paese di Sua Maestà Carlo III.