di Roberto Vivaldelli (*)
Il prossimo 14 ottobre rappresenta una data cruciale per il futuro della privacy in Europa. Quel giorno, il Consiglio dell’Unione Europea voterà la proposta di regolamento Csar (Child Sexual Abuse Regulation), ribattezzata dai suoi critici “Chat Control”. La proposta legislativa, infatti, rappresenta un pericolo senza precedenti per la privacy digitale e la sicurezza delle comunicazioni. Come osserva l’Electronic Frontier Foundation (EFF), organizzazione no-profit fondata nel 1990 negli Stati Uniti con l’obiettivo di difendere i diritti digitali, la libertà di espressione e la privacy online, una delle tante realtà che si oppone a quest’iniziativa, Chat Control obbligherebbe i fornitori di servizi, inclusi quelli che utilizzano la crittografia end-to-end, a scansionare tutte le comunicazioni e i file sui dispositivi degli utenti per individuare “materiale abusivo” attraverso una tecnica chiamata client-side scanning. Ma come spesso accade, la strada dell’inferno è lastricata di buone intenzioni.
La minaccia della sorveglianza di massa
Secondo l’EFF, il client-side scanning compromette la crittografia end-to-end, che garantisce la sicurezza delle comunicazioni su piattaforme come Signal e WhatsApp. La Presidenza danese dell’Ue ha sostenuto che questa scansione non violi la crittografia, ma non è affatto così: se il governo ha accesso a uno dei “termini” di una comunicazione criptata, quella comunicazione non è più sicura. Un approccio di questo tipo mina dunque le promesse di privacy offerte da strumenti di messaggistica sicuri, distruggendo il diritto a spazi privati digitali.
Giornalismo a rischio
Chat Control imporrebbe un monitoraggio generalizzato di tutte le comunicazioni e i file, anche su dispositivi personali, senza distinzioni tra cittadini comuni e sospetti. Come sottolineato dall’EFF, questa sorveglianza di massa viola il diritto fondamentale alla privacy, trasformando telefoni e laptop in “cimici nelle nostre tasche” al servizio dei governi, sia nazionali che stranieri. La proposta mette a rischio categorie particolarmente vulnerabili, come giornalisti, whistleblower, attivisti, avvocati e difensori dei diritti umani. Categorie che, naturalmente, dipendono dalla crittografia per proteggere le loro comunicazioni da persecuzioni o abusi. L’inevitabile indebolimento della crittografia espone queste persone a gravi pericoli, compromettendo la loro capacità di operare in sicurezza.
Signal: “Chat Control è una minaccia esistenziale”
Secondo Meredith Whittaker, presidente della Signal Foundation, Chat Control rappresenta una grave minaccia per il diritto alla privacy, poiché l’obbligo di scansionare lato client ogni messaggio, foto e video presente sui dispositivi personali dei cittadini.
Tale approccio, secondo Signal, mina “il principio stesso della crittografia end-to-end“, compromettendo “la sicurezza delle comunicazioni private e aprendo la porta a vulnerabilità che potrebbero essere sfruttate da hacker, governi ostili o altre entità malintenzionate”.
Tale sistema, spiega Whittaker, che prevede l’analisi dei contenuti tramite database imposti dal governo o modelli di intelligenza artificiale, “non solo mette a rischio la sicurezza nazionale”, ma rappresenta anche una “violazione fondamentale della privacy individuale“, esponendo comunicazioni sensibili di funzionari governativi, militari, giornalisti investigativi e attivisti. Signal, la più grande piattaforma di comunicazione privata al mondo, considera questa proposta una “minaccia esistenziale” per la sua missione di garantire comunicazioni sicure. Meredith Whittaker ha dichiarato con fermezza: “Se ci trovassimo di fronte alla scelta tra integrare un sistema di sorveglianza in Signal o abbandonare il mercato, sceglieremmo di lasciare il mercato”.
Una misura inefficace
Oltre ai rischi per la privacy menzionati sin qui, Chat Control rischia inoltre di rivelarsi inefficace per ciò che si propone di combattere a causa di gravi limiti tecnici, come sottolineato da Carmela Troncoso, direttrice scientifica del Max Planck Institute for Security and Privacy, citata da Wired. Il sistema, infatti, si basa sull’hashing per identificare contenuti pedopornografici già noti, una tecnica che può essere facilmente aggirata alterando anche minimamente un file (ad esempio ritagliando o ruotando un’immagine), poiché questa modifica ne cambia l’”impronta digitale” digitale (hash). Ciò costringe a una scelta: non rilevare i contenuti modificati o segnalare anche le corrispondenze parziali. Troncoso avverte che quest’ultima opzione “apre la strada alla possibilità che migliaia di persone vengano segnalate per errore”, minando l’affidabilità dell’intero sistema. A fronte di tutto questo, ne vale davvero la pena o forse è meglio fermare una proposta che rischia di fare più danni che altro?
(*) InsideOver
