Risale all’11 maggio 2022 la proposta della Commissione Europea del “Regulation laying down rules to prevent and combat child sexual abuse”. Questo disegno di legge, se approvato, comporterebbe l’obbligo per i fornitori di servizi di hosting e di comunicazione (chat, posta elettronica, messaggistica) di installare tecnologie di rilevamento automatico del materiale pedopornografico (CSEM).
Se siamo ancora oggi qui a parlarne, è perché ci sono parecchie perplessità attorno a questa iniziativa. Nessuno mette in discussione il suo fine ultimo, ma le modalità per raggiungerlo, decisamente sì. Gli ultimi a farlo sono stati i tedeschi, riaprendo una discussione trasversale che coinvolge anche esperti di crittografia e security. Il problema della norma, infatti, sarebbe infatti di natura strettamente “cyber-tecnologica”.
L’obbligo di scansione “scavalca” la crittografia
Nelle scorse settimane, la commissione per gli affari digitali del Bundestag si è scagliata contro questa proposta di legge europea denominata “Chat Control” in modo piuttosto evidente e allarmato. A preoccupare, sarebbe l’uso di tecnologie come la scansione lato client (CSS): secondo molti esperti “si è andati un po’ troppo oltre”.
In verità, esiste già un regime di scansione a cui partecipano alcuni tra i più noti fornitori di servizi di comunicazione non criptati USA, tra cui Gmail, Facebook/Instagram Messenger, Skype, Snapchat, iCloud Mail e XBox. Per ora, però, resta una scelta volontaria: è una sorta versione 1.0 di Chat Control, abbozzata, che nella sua forma aggiornata 2.0 renderebbe comporterebbe l’obbligatorietà. Per comprendere l’impatto di questo ipotetico passaggio, è importante precisare che la decisione riguarderebbe anche le comunicazioni crittografate. Nella pratica ciò si tradurrebbe o nella scansione dei contenuti prima della crittografia, o nella gestione delle chiavi di crittografia da parte del fornitore di servizi anziché dell’utente finale.
Entrambe le strade fanno tremare gli esperti in sicurezza informatica, ma questo non sarebbe l’unico “neo” di Chat Control 2.0. C’è un altro passaggio molto criticato: quello che prevede limitazioni dell’età per le applicazioni di comunicazione e archiviazione e per gli app store. La legge riguarderebbe tutti i servizi commerciali di ogni dimensione, resterebbero esclusi però i progetti open source, per esempio, non essendo finanziati dalla pubblicità.
L’obiettivo finale sarebbe quello di evitare che i minori accedano ad applicazioni “pericolose”.
Il “no” corale a Chat Control
Le voci e le ragioni che si oppongono al piano dell’UE sono innumerevoli e variegate. La sua proposta di legge tocca gli interessi e le corde di soggetti molto diversi: dagli accademici ai gruppi per la tutela dei diritti, fino ai provider e ai produttori di tecnologia.
Tutti concordano sull’entità dei danni che tale disegno normativo arrecherebbe al diritto alla privacy, molti temono anche una violazione della Carta dei diritti fondamentali dell’UE, la Legge sui servizi digitali (DSA) e il Regolamento generale sulla protezione dei dati (GDPR), oltre ad altre leggi.
C’è poi chi sostiene che la proposta dell’Unione derivi da un errore di fondo: una forte sopravvalutazione delle capacità della tecnologia di scansione. Il timore, in questo caso, è quello di essere sommersi da un numero enorme di falsi positivi.
Inoltre, prima di bypassare spensieratamente la crittografia, andrebbe valutato anche se ne vale la pena davvero. Secondo alcuni esperti di criminalità informatica, infatti, nell’ambito degli abusi su minori questa forma di protezione si rivela un ostacolo alle indagini solo in un numero insignificante di casi. Il problema da affrontare, a livello anche Europeo, sarebbe invece la mancanza di risorse umane con un background tecnologico all’interno delle forze dell’ordine. Una constatazione pragmatica, un “bagno di realtà” che non tutti i politici e i legislatori vorranno forse fare.
