La settimana scorsa, il governo del Regno Unito ha fatto una dichiarazione alla Camera dei Lord riconoscendo(new window) che parti del controverso disegno di legge sulla Sicurezza Online potrebbero non essere tecnicamente applicabili senza rompere la crittografia end-to-end. Ciò ha giustamente attirato molta attenzione, rappresentando un cambiamento significativo nella posizione del governo britannico.
La legge, come redatta, richiederebbe alle aziende tecnologiche di scansionare in qualche modo i messaggi alla ricerca di materiale abusivo. Tuttavia, come Proton e altri difensori della privacy hanno ripetutamente spiegato(new window), non c’è modo di farlo senza distruggere la crittografia end-to-end per tutti. Anche se la dichiarazione del governo non ha portato a cambiamenti legali nel testo (qualcosa che riteniamo ancora essenziale), ha rappresentato una vittoria importante nell’ammettere che non esiste una tecnologia che possa scandagliare l’attività online di tutti garantendo al contempo sicurezza e privacy. Ciò ha quindi allineato il Regno Unito con il consenso degli esperti di lunga data, e qualsiasi affermazione contraria è pura fantasia.
Purtroppo, la Commissione Europea non ha offerto un simile riconoscimento pubblico mentre continua a portare avanti la propria proposta, comunemente nota come Controllo delle Chat. Il Controllo delle Chat è apparentemente una misura per combattere l’abuso sessuale sui minori, che tutti concordiamo essere abominevole. Ma anziché concentrarsi su individui sospettati di partecipare a queste attività criminali, il testo presume che tutti gli utenti di un determinato servizio siano colpevoli per default — non perché abbiano fatto qualcosa di sbagliato, ma perché stanno utilizzando un particolare servizio.
Combattere il crimine proteggendo la privacy
Questa è una significativa deviazione dalle misure giudiziarie adottate nel mondo offline. Ci sono molti modi per combattere il crimine online senza violare i diritti di un intero continente. La bozza della Commissione Europea va anche oltre i piani del Regno Unito, includendo disposizioni che potrebbero effettivamente vietare la crittografia end-to-end per una gamma ancora più ampia di servizi, inclusi messaggeri, fornitori di email, servizi di archiviazione file e altre piattaforme.
Come il disegno di legge sulla Sicurezza Online, il Controllo delle Chat cerca di affrontare il grave problema dei contenuti illegali creando un altro grave problema: far saltare in aria il diritto alla privacy.
Giuristi di diverse istituzioni europee hanno già detto chiaramente(new window) che il Controllo delle Chat porterebbe “de facto a una sorveglianza permanente di tutte le comunicazioni interpersonali”, cosa che è illegale nell’UE. Mentre il Consiglio e il Parlamento considerano la loro posizione sulla proposta della Commissione Europea nelle prossime settimane, è fondamentale che i legislatori a Bruxelles e nelle capitali europee seguano ora le raccomandazioni legali e modifichino il testo di conseguenza.
Cosa intendono per ‘sorveglianza permanente’
Per anni, i governi di tutto il mondo hanno preso di mira le aziende tecnologiche in nome della sicurezza nazionale, della lotta al terrorismo o della protezione dei minori. Qualunque sia il motivo, le loro soluzioni proposte si affidano troppo spesso a qualche forma di sorveglianza di massa o backdoor alla crittografia.
È la stessa storia con il disegno di legge sulla Sicurezza Online e il Controllo delle Chat. Ogni proposta autorizza i regolatori a costringere le aziende a rompere la propria crittografia attraverso la scansione lato client — un modo di scansionare i messaggi prima che vengano inviati al destinatario — o qualche altra tecnologia ipotetica che non esiste nella realtà. Il problema è che non c’è modo di implementare questi metodi preservando la privacy.
Ogni volta che rompi la crittografia end-to-end sulla tua piattaforma per una persona, la rompi per tutti. Questo non solo distrugge la fiducia dei clienti nel tuo servizio, ma invita gli hacker a trovare vulnerabilità e rubare più dati possibile. Non esiste una backdoor che lasci entrare solo i buoni.
L’ironia è che rompere la crittografia sulle piattaforme più popolari non impedirà che le attività illegali avvengano online. I criminali si sposteranno semplicemente su altre piattaforme sicure e non cooperative, o utilizzeranno il proprio software di crittografia (molti dei quali sono open source), per continuare a svolgere le loro attività illegali lontano dagli occhi del pubblico.
Verso la sicurezza e la privacy nell’UE
Proton è stato molto chiaro: intraprenderemo azioni legali nel caso ricevessimo qualsiasi richiesta di rompere la nostra crittografia. Tralasciando il fatto che queste richieste sarebbero molto probabilmente illegali secondo la legge europea, dandoci motivo per azioni legali, sarebbe inaccettabile per noi compromettere la nostra crittografia e la sicurezza di tutti gli utenti, aziende e organizzazioni che contano su di noi, sia nell’UE che nel resto del mondo.
Ma non ci arrendiamo alla speranza che il Parlamento e il Consiglio europei facciano la cosa giusta. Sappiamo, parlando con i legislatori a Bruxelles, che c’è una crescente opposizione alle proposte e una comprensione dei pericoli che il disegno di legge presenta.
Tuttavia, “comprendere” non è sufficiente. Il Consiglio e il Parlamento stanno attualmente lavorando sulle rispettive posizioni e si prevede che le adottino nelle prossime settimane. È fondamentale che tengano conto dello stato attuale della scienza e della tecnologia, e modifichino il testo introducendo forti garanzie per la crittografia, la crittografia end-to-end e i diritti fondamentali in generale.
L’Europa ha stabilito uno standard globale per la privacy grazie al GDPR e, con NIS2, ha anche una posizione di leader nella cybersecurity e nel sostegno alla crittografia. L’UE deve costruire su questa leadership invece di minarla. È perfettamente possibile combattere il crimine salvaguardando allo stesso tempo la privacy e la crittografia. Dobbiamo trovare un equilibrio tra la protezione della società e la salvaguardia dei diritti civili.
