Regolamento chatcontrol, cosa prevede e perché rischia di violare i diritti privacy - Cyber Security 360

deroga eprivacy

Regolamento chatcontrol, cosa prevede e perché rischia di violare i diritti privacy

In votazione al Parlamento europeo il regolamento chatcontrol, che prevede una deroga alla Direttiva ePrivacy al fine di consentire ai provider di controllare i messaggi che transitano sulle piattaforme per individuare contenuti pedopornografici: un obiettivo lodevole, ma che mina i diritti di tutti gli europei

06 Lug 2021
N
Matteo Navacci

Data protection counsel, DPO, Co-Founder Privacy Network

Il Regolamento chatcontrol, la cui votazione in Parlamento europeo è fissata per oggi 6 luglio, ha lo scopo di derogare alla Direttiva ePrivacy per permettere ai provider di comunicazioni elettroniche (anche OTT, come Whatsapp o Messenger) di scansionare i messaggi che passano sulle loro piattaforme alla ricerca di contenuti pedopornografici. Il 26 maggio 2021 la Commissione LIBE per le libertà civili ha votato in favore di questo Regolamento, che probabilmente passerà senza problemi anche nella votazione di oggi.

La deroga alla Direttiva ePrivacy si è resa necessaria poiché questa prevede espressamente il divieto di sorveglianza, intercettazione o conservazione di comunicazioni elettroniche delle persone, salvo consenso dell’utente o specifica autorizzazione di legge. In pratica, il legislatore europeo sta creando un’eccezione a questo divieto, permettendo ai provider di servizi di comunicazione di sorvegliare e intercettare tutte le nostre conversazioni private, su messaggistica istantanea o email, alla ricerca di contenuti illegali.

L’obiettivo dell’Unione Europea è lodevole, ma non è assolutamente giustificabile annientare i diritti di tutta la popolazione europea per combattere una singola fattispecie di delitto, che per quanto orrendo riguarda soltanto una piccola parte dei crimini commessi all’interno dell’Unione Europea. Per ora, l’unica salvezza è scegliere di usare servizi dotati di crittografia end-to-end, evitando strumenti come Instagram Direct, Messenger, e altre chat che non forniscono prova degli algoritmi di crittografia usati.

Cosa prevede il Regolamento chatcontrol

È importante sottolineare che per il momento il Regolamento prevede la volontarietà di quest’attività di sorveglianza delle comunicazioni, sapendo però che i maggiori provider di servizi OTT, come Facebook, sono già ben disposti a farlo, ed è esattamente il motivo per cui si è resa necessaria questa deroga. Poco importa in ogni caso, considerato che tra i piani della Commissione Europea c’è la volontà di definire successivamente un quadro normativo per obbligare tutti i provider a sorvegliare le comunicazioni elettroniche alla ricerca di contenuti pedopornografici. Nella pratica, il Regolamento chatcontrol e le successive evoluzioni normative avranno una serie di conseguenze dirette per le persone:

  • Tutti e-mail e messaggi dei cittadini europei saranno automaticamente scansionati alla ricerca di contenuti illegali
  • In caso di match positivo (contenuto ritenuto illegale dall’algoritmo) il provider di servizi dovrà verificare ed eventualmente segnalare il contenuto alle forze dell’ordine

Questo significa, ad esempio, che le fotografie e video intimi di milioni di persone potranno essere acquisiti, conservati ed esaminati dai provider di servizi e dai loro dipendenti. Eh sì, perché la scansione è automatizzata, ma l’attività di verifica a seguito di segnalazione da parte dell’algoritmo sarà umana. Ai provider di servizi dovranno aggiungersi poi le forze dell’ordine, che in caso di segnalazione potranno esaminare i contenuti a loro volta. In pratica, questo regolamento promette di esporre la vita privata e sessuale (sexting) di ogni cittadino europeo.

Sospensione Direttiva ePrivacy per tutelare i minori sfruttati online: ecco la posizione di Google

Chatcontrol e AI, i rischi

A questa assurda violazione della privacy – espressamente voluta dal legislatore europeo con la deroga della Direttiva ePrivacy – deve aggiungersi il rischio derivante dall’uso di algoritmi di intelligenza artificiale. È risaputo che nessun algoritmo raggiunge un’accuratezza del 100%, e chiunque abbia a che fare con Facebook lo sa bene: quante volte è capitato che un post venisse rimosso soltanto perché l’algoritmo ha male interpretato una foto o un messaggio? La stessa cosa potrebbe accadere in questo caso. Gli algoritmi di machine learning usati per la scansione dei messaggi potrebbero identificare erroneamente una fotografia o un video come pedopornografici. O peggio ancora, nel caso di utilizzo di modelli per il riconoscimento del linguaggio (natural language processing), gli algoritmi potrebbero decidere che un certo messaggio rappresenta un tentativo di “child grooming”, portando alla segnalazione dello stesso alle forze dell’ordine.

Chatcontrol e minori

Che dire poi della libertà di espressione dei minori? Uno scambio di foto/video intimi tra minorenni potrebbe essere più facilmente segnalato come contenuto pedopornografico, portando all’assurda ipotesi di minorenni indagati per diffusione di materiale pedopornografico.

Al grottesco scenario di sorveglianza di massa legalizzata si aggiunge poi l’ancora più grottesca volontà da parte della Commissione Europea di creare e mantenere un database di contenuti pedopornografici (foto/video) per agevolare le operazioni di confronto e ricerca da parte dei provider di servizi di telecomunicazioni.

Il rapporto con il GDPR

Se la privacy delle comunicazioni è stata definitivamente abolita ex-lege con la deroga alla Direttiva ePrivacy, non vale però lo stesso per il GDPR (General Data Protection Regulation), che invece disciplina l’ambito della protezione dei dati personali e della tutela dei diritti delle persone in riferimento al trattamento dei loro dati. All’articolo 22 del GDPR il legislatore europeo ha previsto particolari garanzie per le persone che sono sottoposte a processi decisionali automatizzati che possono avere conseguenze giuridiche (o analoghe).

La scansione automatizzata delle conversazioni private alla ricerca di materiale pedopornografico può certamente portare a conseguenze giuridiche per le persone (anche gravi), e per questo ritengo che si applichi l’articolo richiamato. L’articolo 22 prevede che la legge che autorizza questo trattamento deve prevedere misure adeguate a tutela dei diritti, delle libertà, e dei legittimi interessi delle persone. Tra le misure a tutela dei diritti delle persone ce ne sono alcune particolarmente importanti:

  • la specifica informazione al soggetto interessato
  • il diritto di ottenere l’intervento umano
  • il diritto di ottenere una spiegazione della decisione
  • il diritto di contestare la decisione

Il legislatore poi al considerando 71 del GDPR specifica che queste decisioni automatizzate non dovrebbero riguardare un minore. Partendo proprio da questo punto, pare chiaro che la sorveglianza di massa a cui vuole assoggettarci la Commissione Europea non possa tecnicamente discriminare tra minori e adulti, andando quindi a violare i diritti delle stesse persone che intende tutelare.

Per quanto riguarda invece i diritti previsti dall’articolo 22, al momento non c’è traccia nel regolamento di alcuna misura per ottenere intervento umano e contestare la decisione. Non vi è neanche traccia delle modalità con cui le persone saranno specificamente informate del fatto che tutte le loro chat e email saranno soggette a sorveglianza e intercettazione.

La possibile violazione dei diritti

D’altronde, l’alea di oscurità e poca trasparenza intorno a questo regolamento è palese. A livello europeo non ne ha parlato quasi nessuno, salvo Patrick Breyer, europarlamentare del Partito Pirata, che segue la vicenda fin dall’inizio. Non so se la carenza d’informazioni è una precisa scelta politica, o soltanto un caso, ma credo che se ci fosse stato un dibattito pubblico si sarebbe creata molta più resistenza ad un regolamento che è anche in palese violazione della giurisprudenza della Corte di Giustizia Europea, che a più riprese ha affermato la violazione dei diritti fondamentali europei di qualsiasi attività indiscriminata di sorveglianza dei dati delle comunicazioni – un’attività che può essere giustificata solo da specifiche e delimitate esigenze di sicurezza nazionale. La pedopornografia, per quanto crudele, non rientra tra le esigenze di sicurezza nazionale. E in ogni caso, la sorveglianza dovrebbe essere delimitata nel tempo e nello spazio – non certo estesa a qualsiasi cittadino europeo a tempo indeterminato.

Il ruolo della crittografia

In ultimo, questo regolamento rischia anche di far danni per quanto riguarda la diffusione della crittografia end-to-end delle comunicazioni in Europa. Come molti sanno, la crittografia end-to-end è l’unico vero strumento per evitare che terzi possano leggere comunicazioni private, perché i messaggi sono cifrati prima di lasciare il dispositivo, e decifrati solo all’arrivo nel dispositivo del destinatario.

La crittografia end-to-end è la Kryptonite del regolamento chatcontrol. Nessun provider di comunicazione potrà sorvegliare e scansionare le chat delle persone se queste sono protette da crittografia end-to-end. Il problema è che la Commissione Europea e il Consiglio Europeo sono ben consapevoli di questo “ostacolo”, e sono già iniziate delle analisi tecniche per cercare soluzioni in grado di bypassare la crittografia end-to-end.

Dobbiamo quindi aspettarci nei prossimi mesi e anni una campagna anti-crittografia da parte dell’Unione Europea, che potrebbe definitivamente portare al collasso di qualsiasi aspettativa di privacy nelle comunicazioni elettroniche. Non sarebbe la prima volta che si trova la scusa della pedopornografia per iniziare una campagna anti-crittografia. È già accaduto negli Stati Uniti, in Gran Bretagna, e in Australia. Una volta “rotta” la crittografia, non si torna più indietro. Sarebbe un disastro. La riservatezza delle comunicazioni è l’unica difesa per garantire la libertà d’espressione, di pensiero, e di autodeterminazione delle persone.

CLICCA QUI per scaricare il White Paper: "Cyber Security As A Service"
@RIPRODUZIONE RISERVATA

Articolo 1 di 5