In una lettera aperta pubblicata giovedì, un gruppo di oltre 270 accademici e ricercatori di spicco ha lanciato un allarme riguardo alla proposta dell’Unione Europea di combattere i contenuti pedopornografici online (CSAM). Sebbene l’obiettivo di proteggere i bambini sia lodevole, i critici sostengono che i requisiti tecnici della proposta sono irrealistici e rappresentano una ricetta per una sorveglianza diffusa che minerà la crittografia end-to-end ed eroderà i diritti digitali.
“La protezione offerta dalla crittografia end-to-end implica che nessuno, a parte il destinatario di una comunicazione, dovrebbe essere in grado di ottenere informazioni sul contenuto di tale comunicazione“, si legge nella lettera. “Consentire capacità di rilevamento, sia per i dati crittografati che per i dati prima che vengano crittografati, viola la definizione stessa di riservatezza fornita dalla crittografia end-to-end“.
Proposta UE minaccia la privacy
La controversia risale al 2020, quando la Commissione europea ha proposto per la prima volta il regolamento sull’analisi dei contenuti pedopornografici online. Le norme richiederebbero alle piattaforme di messaggistica di implementare tecnologie per rilevare nuovi CSAM sconosciuti e identificare potenziali comportamenti di adescamento, obiettivi che secondo gli esperti sono tecnologicamente impossibili senza compromettere la crittografia e impiegare una sorveglianza di massa.
L’anno scorso, i membri del Parlamento europeo hanno cercato di frenare la legislazione approvando emendamenti che eliminavano il mandato di rilevamento del grooming, esentavano i servizi criptati end-to-end e limitavano la scansione ai casi in cui si sospettava già un abuso. Tuttavia, i rappresentanti degli Stati membri dell’UE non hanno adottato una posizione unitaria e gli emendamenti recentemente proposti dall’attuale Presidenza belga includono un gran numero di elementi giuridicamente e tecnicamente delicati.
I rischi per la privacy e la sicurezza online
“Dato che gli utenti di WhatsApp inviano 140 miliardi di messaggi al giorno, anche se solo un messaggio su cento venisse testato da questi rilevatori, ci sarebbero 1,4 milioni di falsi positivi ogni giorno“, scrivono. “Per ridurre il numero di falsi positivi a poche centinaia, si dovrebbero identificare statisticamente almeno cinque ripetizioni utilizzando immagini o rilevatori diversi e statisticamente indipendenti“.
Gli esperti hanno anche messo in dubbio le proposte di classificare i servizi “ad alto rischio” per un’analisi prioritaria o per verificare la sicurezza delle tecnologie di rilevamento, sostenendo che tali misure sono in ultima analisi inutili date le carenze tecniche e l’adozione quasi universale di funzioni di messaggistica di base come la condivisione di testi e immagini.
Secondo gli esperti, il risultato finale sarebbe quello di minare completamente la sicurezza delle comunicazioni e dei sistemi nel perseguimento di una soluzione anti-MSC invasiva, giuridicamente dubbia e probabilmente inefficace, che crea capacità senza precedenti di sorveglianza e controllo degli utenti di Internet.
Anche il Garante europeo per la protezione dei dati e gruppi per i diritti digitali hanno denunciato la proposta come una sproporzionata invasione della privacy che potrebbe normalizzare la sorveglianza indiscriminata delle comunicazioni online.
Il delicato equilibrio tra sicurezza e diritti digitali
I responsabili politici dell’UE si trovano ad affrontare intense pressioni concorrenti da parte delle parti interessate nel tentativo di conciliare la lotta contro lo sfruttamento dei minori online con la difesa dei diritti e della sicurezza digitale.
Per gli esperti di sicurezza, però, non esiste una zona grigia: l’analisi lato client codificata nella legge non è né realistica né auspicabile, e una robusta crittografia end-to-end senza backdoor rimane la strada migliore per mantenere la sicurezza digitale, consentendo al contempo alle autorità di polizia di segnalare la presenza di CSAM quando viene rilevata.