Da mesi Mullvad ha lanciato una campagna per sensibilizzare istituzioni e cittadini sui problemi che potrebbero derivare dall’entrata in vigore della normativa europea sulla scansione automatizzata delle chat degli utenti.
Battezzate nel loro complesso Chat Control 2.0, le nuove disposizioni in corso di approvazione in sede europea potrebbero obbligare WhatsApp, Telegram, iMessage, Google Chat, Signal ma anche altre applicazioni di messaggistica oltre alle applicazioni per le videoconferenze come Meet, Skype, Teams, Zoom, alle funzionalità di chat integrate nei videogiochi ad effettuare una scansione dei contenuti privati degli utenti alla ricerca di contenuti illeciti e lesivi dei diritti dei minori.
L’obbligo in capo alle app di messaggistica costrette alla scansione dei messaggi privati è parte integrante delle disposizioni contenute nel Digital Markets Act (DMA).
Alla scansione delle chat degli utenti si sono opposti non solo Mullvad ma anche, tra i tanti, ProtonMail e Tutanota che evidenzia come la Germania si sia messa di traverso descrivendo il provvedimento “un mostro di sorveglianza senza precedenti che viola i diritti fondamentali“.
Cos’è Mullvad e perché critica Chat Control 2.0
Mullvad è un servizio VPN (Virtual Private Network) che offre agli utenti una connessione Internet sicura e privata. Come abbiamo spiegato nell’articolo su cos’è una VPN, anche Mullvad consente – come altri servizi della stessa categoria – di creare una connessione crittografata tra il proprio dispositivo e un server VPN remoto. Tutti i dati trasmessi attraverso questa connessione sono cifrati, il che significa che sono protetti da eventuali occhi indiscreti.
Con le soluzioni VPN come Mullvad, che ha il suo “quartier generale” in Svezia, gli utenti possono superare eventuali censure (a qualunque livello esse siano state imposte), superare eventuali limitazioni geografiche, proteggere tutto il traffico (anche i dati originariamente non cifrati dalle rispettive app) grazie all’utilizzo di un tunnel crittografato e permettere agli utenti di raggiungere i server remoti con un indirizzo IP pubblico diverso da quello assegnato dall’operatore di telecomunicazioni locale.
Mullvad sostiene che in una società che cerca sempre più di limitare il diritto alla privacy, l’utilizzo di una VPN facile, rapida e affidabile è il primo passo per garantirsi protezione. Ed è quindi tra i promotori più decisi e motivati di una campagna contro l’adozione delle nuove disposizioni decise in Europa in materia di controllo delle chat.
In un lungo articolo dal titolo “la Commissione Europea non comprende cosa c’è scritto nella sua stessa normativa sul controllo delle chat” scagliandosi senza mezzi termini contro Ylva Johansson, commissaria europea responsabile del disegno di legge.
Mullvad contesta per filo e per segno tutte le dichiarazioni rese dalla Johansson a vari organi di stampa sostenendo che la scansione delle chat è addirittura paragonabile alla scansione antivirus e che i messaggi degli utenti possono essere esaminati senza violare la crittografia end-to-end.
Il punto è che, diversamente da quanto viene sostenuto, fino ad oggi non esisteva alcun meccanismo che effettuasse, per conto terzi, una scansione dei messaggi privati degli utenti. E il fatto che questo venga prescritto per legge, sui terminali dei singoli utenti, non può che suonare come un campanello d’allarme.
La cifratura end-to-end protegge dall’analisi dei dati in transito, ad esempio da e verso i dispositivi degli utenti. Ma il provvedimento europeo prescrive che i controlli vengano fatti in locale, da parte di ogni singola app con funzionalità di messaggistica, di fatto quando le informazioni private si trovano direttamente accessibili, in chiaro.
Come spiega Mullvad, durante i primi test di questi mesi l’80-90% delle segnalazioni di materiale illecito erano fasulle (“falsi positivi”). E quale sicurezza può esservi, quale tutela della privacy dei singoli individui può esistere, se materiale sospetto (magari che si rivelerà ben lungi dall’essere tale) viene analizzato da soggetti esterni?
Johansson fa infatti riferimento a un’attività di verifica svolta non solo dalle forze di polizia, che si troverebbero a sostenere un carico di lavoro enormemente maggiorato, ma anche da “centri specializzati” nel territorio dell’Unione Europea chiamati ad analizzare ogni segnalazione pervenuta dalle app.
“Se una o più organizzazioni possono leggere le comunicazioni private, prima o poi i contenuti potrebbero venire a galla. Questo è il motivo per cui la raccolta dei dati è pericolosa. Questo è il motivo per cui è importante che la crittografia end-to-end sia preservata per legge“, osserva Mullvad.
D’altra parte, come faceva presente Tutanota, l’attivazione della scansione dei messaggi sul client non è alla fine crittografia perché si perdono tutte le garanzie precedentemente insite nel sistema. In questo modo la crittografia end-to-end ne risulterebbe irrimediabilmente compressa, in corrispondenza di uno dei “nodi” più critici ovvero il terminale personale dell’utente.