Il regolamento che vorrebbe istituire la scansione di tutti i messaggi per bloccare la pedopornografia preoccupa molti stati membri ed esperti di privacy. Scopri perché!

Immagina un mondo in cui ogni messaggio che invii viene scansionato prima ancora di essere criptato, un controllo costante su ogni parola, ogni immagine, ogni video condiviso tramite le tue app di messaggistica preferite, come WhatsApp o Telegram. Questo non è uno scenario distopico in stile 1984 o Blade Runner, ma una possibilità molto concreta, se la proposta di legge “Chat Control” dell’Unione Europea dovesse essere approvata nella sua versione integrale.

Questa iniziativa, concepita per combattere la diffusione di pedopornografia, conosciuta globalmente come CSAM (Child Sexual Abuse Material), ha sollevato accesi dibattiti riguardo alla privacy e alla sicurezza informatica, in particolare per le implicazioni per la crittografia end-to-end.

In questo post, vediamo in dettaglio cos’è la proposta “Chat Control”, il suo iter legislativo, le reazioni che ha suscitato e le preoccupazioni a livello di cybersecurity. Buona lettura!

Il problema principale di questo regolamento è che il controllo avverrebbe lato-client, ovvero sul dispositivo dell’utente.

Cos’è la proposta Chat Control?

Il Regolamento per la prevenzione e la lotta contro l’abuso sessuale su minori è stato proposto l’11 maggio 2022 dalla Commissaria Europea per gli affari interni Ylva Johansson. Lo scopo dichiarato di questa proposta è prevenire gli abusi sessuali online sui minori (pedopornografia) attraverso alcune misure, tra cui una serie di regole per le piattaforme digitali sul rilevamento e la segnalazione del materiale proveniente da abusi sessuali su minori all’interno dell’Unione Europea.

Date le implicazioni per la privacy, i detrattori di questa proposta hanno coniato il termine Chat Control, che ora viene usato anche dai media per parlare di questo regolamento.

In concreto, la legge prevede che le applicazioni di messaggistica, come WhatsApp o Signal, implementino sistemi di scansione lato client per identificare e segnalare automaticamente il CSAM prima che i contenuti vengano criptati e inviati.

Dettagli tecnici della proposta

Il cuore della proposta “Chat Control” è la scansione lato client. Un processo che prevede che le applicazioni di messaggistica analizzino i file multimediali sul dispositivo dell’utente prima di criptarli. Questo metodo sarebbe stato scelto per mantenere l’efficacia della crittografia end-to-end, in quanto la scansione avverrebbe prima che i dati vengano protetti e passino per i server dell’azienda che gestisce le comunicazioni.

Tuttavia, questa tecnologia solleva numerose preoccupazioni riguardo alla privacy degli utenti e alla sicurezza dei loro dati. La scansione lato client implica che ogni dispositivo diventi una sorta di agente di sorveglianza, analizzando continuamente i contenuti generati da chi lo usa.

Stato attuale della proposta

Attualmente, la proposta è ancora in fase di negoziazione tra il Parlamento Europeo e il Consiglio dell’UE. Sebbene ci siano forti pressioni per approvare la legge rapidamente, vi sono anche molte resistenze. Per cui il testo è stato modificato più volte e probabilmente passerà ancora del tempo prima che si trovi un accordo.

Alcuni stati membri, tra cui la Repubblica Ceca e la Germania, e molte organizzazioni per i diritti digitali si sono detti molto preoccupati e hanno richiesto ulteriori revisioni e garanzie. I prossimi passaggi includeranno altri dibattiti ed emendamenti prima di una votazione finale. Inoltre, rimane la possibilità che la proposta venga bocciata e la legge non veda mai la luce.

LEGGI ANCHE: Abbiamo bisogno di una legge sulla moderazione dei contenuti online?

Come vengono create le leggi dell’Unione Europea

Per capire cosa sta succedendo, facciamo un attimo una pausa e vediamo qual è l’iter legislativo dell’UE (se non ti interessa, puoi saltare direttamente al paragrafo successivo. Sulle critiche alla proposta).

L’Unione Europea ha un processo legislativo complesso che coinvolge vari organi. La Commissione Europea ha il ruolo di proporre nuove leggi. Una volta presentata la proposta, questa deve essere esaminata dal Parlamento Europeo e dal Consiglio dell’UE. Entrambi gli organi discutono e possono proporre emendamenti (modifiche) alla legge.

La proposta passa attraverso diverse fasi, dalla proposta iniziale alla discussione e revisione, fino alla votazione finale e all’approvazione. Se entrambe le istituzioni raggiungono un accordo, la legge viene approvata e diventa vincolante per tutti gli stati membri. Se vuoi approfondire questo argomento, ti consigliamo questa pagina sulla procedura legislativa ordinaria dell’UE.

Reazioni e critiche

La proposta ha suscitato forti reazioni da parte di vari paesi membri dell’UE, che hanno espresso riserve sulla possibile violazione della privacy dei cittadini. Inoltre, le Big Tech interessate hanno minacciato di ritirarsi dal mercato europeo qualora la proposta venisse approvata nella sua forma attuale.

Sebbene lo scopo di questa legge sia nobile e necessario, effettivamente ci sono delle preoccupazione legittime:

  • Violazione della privacy: la scansione potrebbe permettere l’accesso ai dati privati prima della crittografia. E, in generale, rappresenta un’intrusione da parte delle aziende e delle autorità nelle comunicazioni personali. Soprattutto considerando che la scansione dovrebbe avvenire sul dispositivo dell’utente.
  • Vulnerabilità informatiche: introdurre questo passaggio nelle app di messaggistica significa potenzialmente aprire una porta in più agli hacker, creando nuove vulnerabilità.
  • Precedenti per nuovi metodi di controllo abusivi: una volta introdotta questa misura, potrebbe essere estesa ad altri ambiti o fare da apripista per altre misure poco rispettose della privacy e della libertà personale.
  • Invalidazione della crittografia end-to-end: nonostante il controllo vero e proprio avvenga prima della criptazione, eseguire la scansione di messaggi e contenuti contraddice le premesse stesse della crittografia end-to-end, che al momento è la base fondante della sicurezza delle comunicazioni online. La crittografia end-to-end, lo ricordiamo, è un processo di criptazione dei messaggi e dei dati dal mittente al destinatario. In modo che nessuno possa leggere i dati in chiaro, neanche l’azienda che gestisce i server per cui passano le comunicazioni.
  • Sovraccarico dei client e peggioramento dell’esperienza utente: sicuramente, aggiungere un passaggio di controllo dei contenuti rallenterebbe l’uso della chat e l’invio dei messaggi, soprattutto di immagini e video. Sebbene, la sicurezza dei bambini sia prioritaria, molti esperti e aziende sostengono che bisognerebbe cercare delle alternative che non facciano passare la voglia di usare le app agli utenti.

Preoccupazioni di sicurezza informatica

L’implementazione di una scansione client-side comporta seri rischi di sicurezza informatica, principalmente perché i cybercriminali potrebbero cercare e sfruttare vulnerabilità nel software stesso, introducendo malware o accedendo a dati personali.

Un esempio pratico potrebbe essere un attacco di tipo “man-in-the-middle“, dove un hacker intercetta e manipola i dati prima che vengano criptati, sfruttando le falle nel sistema di scansione sul dispositivo dell’utente. Questo potrebbe non solo esporre informazioni private, ma anche compromettere l’intero sistema di comunicazione delle app di messaggistica.

La tutela dei minori è prioritaria, ma è importante trovare una soluzione che non rovini l’esperienza utente e non comprometta la sicurezza informatica.

Alternative al sistema “Chat Control”

Esistono diverse alternative che potrebbero essere considerate per affrontare il problema della pedopornografia e della sua distribuzione senza compromettere la crittografia end-to-end e la privacy degli utenti. Vediamo quelle più efficaci:

Potenziamento delle polizia e delle forze dell’ordine

Un approccio alternativo è quello di potenziare le capacità delle forze dell’ordine nella lotta contro CSAM, soprattutto attraverso la formazione e l’aumento delle risorse disponibili (più agenti dedicati e più denaro) e tramite la collaborazione internazionale, che è uno dei pilastri della lotta contro i crimini informatici di tutti i tipi.

Segnalazione volontaria e collaborazione con le piattaforme

Invece di imporre scansioni obbligatorie, si potrebbe usare un approccio più collaborativo con le piattaforme di messaggistica. Per prima cosa, si potrebbe incentivare le piattaforme a implementare sistemi che consentano agli utenti di segnalare contenuti sospetti. Poi, sarebbe interessante creare delle partnership tra pubblico e privato, ad esempio delle task force ibride, formate da rappresentati delle autorità e dagli specialisti delle Big Tech interessate.

Analisi dei metadati

I metadati sono informazioni che contrassegnano e descrivono altri dati. Esistono già sistemi di monitoraggio dei modelli di traffico e dei metadati delle comunicazioni che consentono di identificare i messaggi sospetti senza dover analizzare ogni singolo contenuto inviato dalle persone.

Uso dell’AI

L’intelligenza artificiale non è la soluzione a tutti i mali del mondo, ma le reti neurali sono perfette per analizzare grandi quantità di dati e trovare modelli di comportamento, tendenze e correlazioni.

Inoltre, parallelamente, sarebbe utile coinvolgere di più gli istituti di ricerca per provare nuovi sistemi specifici per combattere la pedopornografia.

Educazione e sensibilizzazione

Come sempre, le persone sono la chiave del successo delle iniziative (o del loro fallimento). Si potrebbero potenziare le campagne di comunicazione e formazione nelle scuole per educare sia i minori che i genitori e insegnare a riconoscere i comportamenti sospetti e segnalarli.

Parental control

Infine, le suite di cybersicurezza come Panda Dome includono strumenti di parental control che aiutano i genitori a monitorare l’attività online dei propri figli. In questo modo è possibile prevenire una parte degli abusi sui minori, ad esempio l’adescamento di bambini sui social network.

In questo post abbiamo visto cos’è la proposta di legge “Chat Control” e quali preoccupazioni suscita a livello di privacy e sicurezza informatica. È evidente che la legge non verrà approvata nella sua versione attuale e che bisogna trovare un compromesso migliore tra la lotta contro la pornografia infantile e il rispetto della privacy e della libera comunicazione.

Nei prossimi mesi (o anni) vedremo come verrà modificata questa legge o se verrà abbandonata per provare altre soluzioni.

CONTINUA A LEGGERE: Sondaggio di cybersecurity, italiani primi in Europa per controllo dei figli online

Buona navigazione e buona informazione sulle leggi europee per la tutela dei minori!