REGOLAMENTO UE

Commissione UE in prima linea contro gli abusi sui minori, in un delicato bilanciamento con la privacy

La Commissione Europea ha proposto uno schema di regolamento con l’obiettivo di prevenire e contrastare gli abusi sui minori online (Children Sexual Abuse Material, CSAM), suggerendo la creazione di un Centro europeo che faccia da raccordo tra Autorità nazionali, piattaforme e hosting provider. Facciamo il punto

18 Mag 2022
F
Elio Franco

Avvocato, Founder presso Franco, Pirro & Partners

Qualche giorno fa la Commissione Europea ha proposto un nuovo regolamento per prevenire e contrastare gli abusi sui minori online. Anche in questo caso, l’organo ha scelto di rivolgersi alle piattaforme e agli hosting provider come primi destinatari della futura legge, adottando un approccio basato sul rischio.

Un nuovo Centro Europeo, invece, fungerà da raccordo fra le Autorità nazionali e le piattaforme stesse. Ciò richiederà, ovviamente, un intervento mirato alla tutela della riservatezza dei cittadini europei, onde scongiurare un uso distorto degli strumenti di indagine.

Abusi sui minori: le radici del problema

Secondo i dati pubblicati dalla stessa Commissione, solo nel 2021 sono state segnalate in tutto il mondo 85 milioni di immagini e video che ritraggono abusi sui minori (Children Sexual Abuse material, CSAM). E questo è solo l’emerso. Per l’Internet Watch Foundation, invece, la recente pandemia ha aumentato la circolazione dell’accennato materiale di oltre il 64%.

WHITEPAPER
I documenti aziendali che condividi durante le video riunioni online sono davvero al sicuro?
Amministrazione/Finanza/Controllo
CIO

L’attuale impianto normativo impone alle aziende che erogano servizi online (piattaforme, hosting ecc.) di segnalare volontariamente la presenza di materiale pedopornografico, ma se solo si pensa che il 95% delle segnalazioni proviene da una sola di esse, è lampante che qualcosa non funzioni.

Per questo, la Commissione Europea ha deciso di proporre uno schema di regolamento (che, ovviamente, ora inizierà il suo iter legislativo) di modo da contrastare la diffusione di immagini e video che, a parere di chi scrive, non dovrebbe nemmeno esistere.

Cosa prevederà il nuovo regolamento

Come nel caso del GDPR, del Digital markets Act (DMA) e del Digital Services Act (DSA), l’approccio scelto dalla Commissione è quello basato sul rischio: i destinatari del regolamento, infatti, dovranno implementare delle misure di sicurezza in grado di rilevare, segnalare e rimuovere il CSAM.

Per fare ciò, dovranno classificare, analizzare e mitigare i rischi legati al cattivo uso dei propri servizi, di modo che i presidi di mitigazione dei rischi possano essere presidi efficaci di salvaguardia per la sicurezza dei minori.

Sarà istituito un EU Centre on Child Sexual Abuse, con il compito di fungere da centro di coordinamento per le Autorità nazionali, con le quali condividerà le esperienze e le informazioni sul materiale che sarà identificato, grazie anche all’analisi dei report che riceverà da ogni Paese dell’Unione.

Nel dettaglio, le nuove regole riguarderanno:

  1. l’applicazione di misure di analisi, prevenzione e contrasto del rischio della diffusione dello CSAM;
  2. l’obbligo per gli Stati membri di individuare Autorità nazionali che dovranno controllare le misure di contrasto e prevenzione del rischio. Se dette Autorità rileveranno che il rischio rimane, dovranno chiedere al Tribunale o a un’altra Autorità indipendente di indagare sulla diffusione dello CSAM. Le indagini dovranno però essere limitate nel tempo e riguardare del materiale ben determinato su uno specifico servizio;
  3. le aziende che saranno oggetto di indagine saranno in grado di determinare i contenuti scabrosi grazie ai dati messi a disposizione dall’EU Centre. Le tecnologie di ricerca dovranno però essere utilizzate solo per l’identificazione dello CSAM, senza poter essere utilizzate per altri scopi, di modo che rispettino il diritto alla privacy dei cittadini europei e, comunque, siano in grado di limitare notevolmente i falsi positivi;
  4. piattaforme e hosting provider dovranno segnalare i casi di abuso di minori online senza indugio all’EU Centre;
  5. le Autorità nazionali potranno rendere ordinanze di rimozione dei contenuti che non saranno tempestivamente rimossi dalle piattaforme. I provider per l’accesso a Internet, inoltre, dovranno impedire l’accesso ai contenuti che non possono essere rimossi perché ospitati al di fuori della giurisdizione europea;
  6. i gestori di app store dovranno assicurare meccanismi per i quali i minori non potranno scaricare applicazioni che li espongano a rischi elevati di abusi;
  7. per minimizzare i falsi positivi, l’EU Centre verificherà le segnalazioni del presunto materiale sensibile prima di condividerlo con le Autorità nazionali e l’Europol.

Infine, l’EU Centre fornirà gli indicatori per rilevare lo CSAM sui servizi e si occuperà anche della rimozione del materiale da internet.

Iniziative parallele: la soluzione di Apple

La Commissione Europea non è arrivata per prima a perseguire una simile strada: infatti, già lo scorso mese di agosto, Apple aveva annunciato che in iOS 15 ci sarebbero stati alcuni algoritmi in grado di identificare su iCloud Foto eventuali immagini già note relative ad abusi sui minori.

Il sistema, non più implementato per via di forti polemiche, ma ancora ufficialmente in via di sviluppo, prevedeva l’uso di una tecnologia chiamata NeuralHash, in grado di calcolare l’hash delle immagini presenti sugli account iCloud per confrontarlo con quello di ogni contenuto presente nel database del National Center for Missing ad Exploited Children e, ove vi fossero state più corrispondenze, dei dipendenti di Apple stessa avrebbero verificato manualmente ogni contenuto per poi segnalarlo alle Autorità competenti, non prima di aver disabilitato l’account iCloud stesso.

Il delicato bilanciamento con la privacy

Non v’è dubbio che le intenzioni della Commissione siano effettivamente votate a proteggere i minori online, perseguendo chi diffonde materiale relativo ai loro abusi, ma ci sono alcuni aspetti che possono effettivamente compromettere la tutela della privacy di ciascun cittadino europeo.

Senza giungere alle conclusioni del Prof. Matthew Green, che ha definito il sistema proposto come “il più sofisticato sistema di sorveglianza di massa sviluppato al di fuori della Cina e della Russia”, e a quelle di Jan Penfrat del gruppo di attivisti European Digital Rights (EDRi), che, invece, sostiene che sia “una legge per la sorveglianza che mal si adatta ad ogni libera democrazia”, è ovvio che il sistema rischia di compromettere i protocolli di comunicazione basati sulla crittografia end to end, visto che il monitoraggio del materiale non potrà che avvenire solo con tecniche tipo quella del man in the middle o, comunque, aprendo pericolose “backdoor di stato”.

Di fatto, quindi, sempre secondo l’EDRi, tutto ciò potrebbe condurre a un sistema di sorveglianza di massa che, secondo l’Electronic Frontier Foundation, “sarebbe un disastro per la privacy degli utenti, non solo in Europa, ma anche in tutto il mondo”.

I dubbi prospettati possono essere in parte condivisibili: infatti, la proposta di legge non si limita solo a limitare la circolazione di materiale che ritrae abusi sui minori, ma anche a contrastare il c.d. “grooming behaviour, ossia quei comportamenti che vengono posti in essere per costruire rapporti con i minori per manipolarli, circonvenirli e poi abusare di loro.

Per quanto il disegno di regolamento preveda esplicitamente che il tracciamento di detti comportamenti deve essere svolto in anonimato, è ovvio che alcuni soggetti potranno essere messi sotto controllo a loro insaputa. Del resto, sostiene sempre l’EDRi, i filtri antispam esistono da oltre vent’anni, eppure tutti noi continuiamo a riceverlo (o ricevere e-mail importanti nella casella spam, ndr): dunque, i filtri auspicati dalla Commissione potrebbero essere aggirati o, peggio, produrre più falsi positivi del dovuto.

Regole ferree per la tutela della privacy

Come accennavo, l’iter legislativo è ancora all’inizio. Per quanto giri un testo trapelato dagli uffici della Commissione (chi fosse interessato può leggerlo qui, confrontato con una sua prima bozza ancor più restrittiva), il tutto dovrà essere rivisto più volte e portato all’attenzione del Parlamento, nel quale siedono diverse forze attente alla privacy.

Data l’invasività dei meccanismi prospettati, credo che alcuni di essi verranno rivisti. Più che altro, sarebbe opportuno intervenire immediatamente sulle piattaforme social, così come ha già fatto la nostra Autorità Garante per la Protezione dei Dati Personali con TikTok, onde implementare misure di sicurezza che, da un lato, consentano di impedire l’accesso indiscriminato dei minori ai servizi online, senza il preventivo controllo degli adulti, e poi puntare sulla formazione di costoro, di modo da renderli edotti e partecipi dei pericoli connessi all’uso sconsiderato della rete.

Nel caso in cui si renda necessario avviare le indagini, poi, dovranno essere previste regole ferree, di modo che le informazioni raccolte non possano essere utilizzate per altri scopi, anche connessi alla commissione di altri reati diversi da quelli contro i minori, dato che, in caso contrario, si aprirebbe una pericolosa breccia nelle nostre democrazie.

Basti pensare all’uso distorto che, in alcuni casi, s’è fatto delle intercettazioni telefoniche e a quanto potrebbe essere devastante un simile approccio con i dati raccolti dai dispositivi dei soggetti indagati, a maggior ragione se le indagini scaturissero da un falso positivo.

WHITEPAPER
Canale ICT: 5 misure di successo automatizzare il business
Sicurezza
Software
@RIPRODUZIONE RISERVATA

Articolo 1 di 5