Chatcontrol: sorveglianza globale delle comunicazioni
La proposta della Commissione europea per "tutelare i minori online" promette di trasformare l'UE nel più grande regime di sorveglianza al mondo.
Oggi parliamo di come l’Unione Europea voglia creare il peggior regime di sorveglianza di massa mai visto in occidente. Complottismo? Fantascienza? Nah, è lo scopo di una legge appena proposta dalla Commissione Europea.
Dagli amici viene chiamata Chatcontrol, ma il suo nome completo è “Child Sexual Abuse Regulation”.
Cercherò di spiegarvi in modo semplice di cosa parla il Chatcontrol, di come si applicherà questo folle e totalitario regime di sorveglianza, quali saranno gli effetti e se sarà possibile tutelarsi.
La storia finora
Prima di entrare nel merito, riassumiamo velocemente come siamo arrivati al Chatcontrol.
A marzo 2020 Stati Uniti, Australia, Regno Unito, Nuova Zelanda e Canada firmarono un accordo internazionale “Voluntary Principles to Counter Online Child Sexual Exploitation and Abuse”. Nell’accordo venivano definiti i principi a cui governi, aziende e forze dell’ordine avrebbero dovuto ispirarsi per combattere gli abusi sui bambini e la pedopornografia online.
A luglio 2020 la Commissione europea annunciò la nuova strategia (2020-2025) per combattere gli abusi sui minori e la pedopornografia online. La strategia aveva l’obiettivo di “Costruire un forte framework legale per la protezione dei bambini e facilitare un approccio coordinato tra tutti gli attori coinvolti nella protezione dei bambini”.
Il regolamento di cui parliamo oggi venne preceduto nel 2021 da un altro regolamento “ad interim”, che possiamo chiamare Chatcontrol 1.0.
Nel Chatcontrol 1.0 non c’era molto in realtà. Era una deroga alla Direttiva ePrivacy che permetteva agli operatori di servizi di comunicazione di effettuare attività volontarie di scansione di messaggi (non cifrati, tipo Messenger) per identificare e segnalare contenuti pedopornografici (che da ora in poi chiamerò CSAM1).
Il rischio di diffusione di contenuti pedopornografici
Il Chatcontrol 2.0 nasce formalmente per tutelare i minori dagli abusi online, contrastare la diffusione di materiale pedopornografico e creare un ambiente online “safe, predictable and trusted2”. Ma dietro il muro di 135 pagine di legalese e tecnicismi si nasconde un sistema di sorveglianza di massa che farebbe invidia alla Cina.
Prima di tutto, la legge obbligherà ogni fornitore di hosting e di servizi di comunicazione e app stores a identificare, analizzare e valutare il rischio che i loro servizi possano essere usati per abusare in qualche modo dei minori o per diffondere contenuti pedopornografici.
La valutazione del rischio è lo step che precede l’implementazione di misure di mitigazione, come la moderazione dei contenuti, la verifica dell’età (quindi identificazione delle persone) e particolari meccanismi di sorveglianza.
Aggiornamento giugno 2024: la valutazione del rischio (self-assessment) è adesso accompagnata da una categorizzazione del rischio attraverso una metodologia descritta nell’ANNEX XIV del Regolamento che prende in considerazione diversi criteri per stabilire se un servizio è ad alto, medio o basso rischio. Di questa metodologia ne ho parlato qui.
La verifica dell’età si applicherà — in teoria — ad ogni app store, compresi quelli come F-Droid. Questo potrebbe anche portare all’illegalità di questi store alternativi, che difficilmente potrebbero mettere in campo meccanismi di compliance adeguati.
La ciliegina sulla torta sarà la creazione di uno European Center on Child Sexual Abuse, che sarà il fulcro di tutto il sistema. Avrà sede a l’Aia, nei pressi dell’Europol - con il quale collaborarerà, usufruendo anche delle stesse risorse, sia umane che tecnologiche.
I detection orders
Aggiornamento giugno 2024: sembra che il grooming e l’analisi dei testi siano stati eliminati dall’ultima versione disponibile del testo.
Il Chatcontrol prevede due tipi diversi di sorveglianza che possono essere imposti sulle piattaforme attraverso i cosiddetti “detection orders”:
Sorveglianza e analisi delle comunicazioni, per prevenire il rischio di “grooming” onlineSorveglianza e analisi di foto e video, per prevenire la diffusione di materiale pedopornografico (CSAM)
La prima riguarda il testo delle nostre conversazioni private. Il ruolo degli algoritmi di sorveglianza (machine learning) sarà capire se stiamo parlando con un amico o se invece stiamo facendo avances sessuali verso un bambino.
“[…] the detection process is generally speaking the most intrusive one, since it requires automatically scanning through texts in interpersonal communications. […] such scanning is the only possible way to detect it […]. Detection technologies have also already acquired a high degree of accuracy, although human oversight and review remain necessary”.
Attraverso questi ordini di sorveglianza, le piattaforme e i servizi di comunicazione e hosting saranno obbligati a monitorare e ricercare attivamente possibili contenuti pedopornografici sui loro canali: chat private, email, archivi e così via.
Nel testo del Regolamento viene ripetuto più volte che le piattaforme dovrebbero comunque salvaguardare la privacy (come?) e la sicurezza delle comunicazioni, senza impattare sulla crittografia (se presente).
Questo tuttavia semplicemente non è possibile, poiché la legge stessa impone a questi soggetti di poter accedere ai contenuti delle comunicazioni al fine di rilevare immagini, video, GIF o URL illegali.
Già oggi sono disponibili tecnologie in grado di bypassare la crittografia e analizzare i contenuti (foto/video) delle comunicazioni, prima ancora che questi siano impacchettati in un messaggio cifrato (ad esempio su Whatsapp).Di seguito uno schema tecnico di come potrebbe funzionare un sistema del genere:
Apple, ad esempio, propose lo scorso anno un sistema simile, chiamato NeuralHash, per scansionare i contenuti direttamente sulla memoria del dispositivo. L’algoritmo aveva lo scopo di creare degli hash insieme ai messaggi (come se fossero allegati) che avrebbero permesso di identificare in modo univoco e in chiaro i contenuti del messaggio.
In sostanza: un meccanismo di sorveglianza direttamente nella memoria del telefono, a livello di sistema operativo. Questo è però solo uno dei modi in cui il Chatcontrol potrebbe obbligare le piattaforme a sorvegliare gli utenti. Saranno le autorità a stabilire e approvare le diverse soluzioni tecnologiche, una volta approvato il Regolamento.
Ma la soluzione tecnica è poco importante.
Ciò che conta è che con il Chatcontrol si crea un regime di sorveglianza sistematica di comunicazioni private, immagini e video, sia direttamente sui dispositivi che attraverso servizi di comunicazione (piattaforme online, chat, email, ecc.) o hosting Cloud. Sarà la fine di ogni speranza di privacy online. Non ci sarà più alcuno spazio sicuro.
Non dimentichiamo gli errori
Gli algoritmi automatizzati di sorveglianza non sono certo infallibili. Il rischio di essere segnalati come predatori sessuali da un algoritmo automatizzato esiste ed è concreto. Come scritto anche nel testo di legge, gli algoritmi più evoluti non superano l’88% di accuratezza. Secondo la polizia federale svizzera più dell’87% delle segnalazioni che arrivano già oggi, usando meccanismi simili a quelli proposti da Apple, sono falsi positivi.
In UE vivono circa 500 milioni di persone. Con tasso medio d’errore del 10% (a voler essere molto ottimisti) ogni anno 50 milioni di persone innocenti potrebbero essere segnalate erroneamente come pedofili, criminali, predatori sessuali.
Davvero così si aiutano i bambini?
Non è sorvegliando sistematicamente 500 milioni di persone che i bambini smetteranno di essere vittime di violenza.
Perché non investire risorse per combattere davvero il fenomeno invece di sorvegliare, come criminali, 500 milioni di cittadini innocenti? O magari, secondo la Commissione siamo tutti potenziali pedofili?
La risposta è molto semplice: l’obiettivo non è contrastare gli abusi sui minori ma contrastare la crittografia online.
Non è un caso che l’UE abbia annunciato la sua strategia proprio qualche mese dopo che i 5 Eyes3 (Stati Uniti, Canada, UK, Nuova Zelanda e Australia) firmarono un accordo internazionale sulla lotta contro gli abusi online sui minori.
Da anni i membri dei 5 Eyes spingono politicamente per limitare l’espansione delle comunicazioni cifrate. Non riuscendo, oggi cercano con ogni mezzo di bypassare la crittografia attraverso strumenti tecnologici e legali, come quello proposto da Apple lo scorso anno (NeuralHash).
E non è un caso a novembre 2020, proprio dopo l’annuncio della strategia europea, uscì un comunicato del Consiglio UE dal titolo “Security through encryption and security despite encryption”, in cui si descriveva la crittografia come un ostacolo al perseguimento dei reati.
E infine, non è un caso che il nuovo Centro Europeo sarà strettamente connesso all’Europol, che già da alcuni anni non fa mistero della propria agenda anti-crittografia. È impossibile non vedere la convergenza d’intenti.
Così come il terrorismo giustificò nel 2001 il Patriot Act statunitense, una delle peggiori leggi sulla sorveglianza di massa degli ultimi 20 anni, la pedopornografia oggi è il cavallo di troia per spingere l’occidente verso un regime di sorveglianza globale.
Il Chatcontrol avrà un grave effetto dissuasivo verso la crittografia end-to-end. Le aziende dovranno infatti scegliere tra proteggere la privacy degli utenti o proteggere se stessi dalle sanzioni. Secondo voi cosa sceglieranno?
CSAM = Child Sexual Abuse Material
Sicuro, prevedibile e affidabile
La più grande alleanza di spionaggio al mondo
Mi sa che è giunto il momento di cambiare il nome della newsletter a "Goverment Overreach Chronicles" o "Surveillance Chronicles" ;)
Ho tre domande:
1) il regolamento vuole essere anche retroattivo, almeno fino a un certo punto?
2) quando dovrebbe entrare in vigore?
3) se io mi costruissi Tutanota da sola partendo dal codice sorgente invece di usare la versione già pronta di quest'ultimo, potrei bypassare la cosa? Oppure in parte? Non credo, perché mi appoggerei comunque ai loro server...
Comunque, se può interessarti, ho scoperto che tra 2005 e 2007 in Germania successe una cosa molto similare. La Von der Leyen come ministro della famiglia voleva appunto creare una sorta di pool per ottenere dati e bannare siti, ufficialmente per contrastare la pedopornografia online. Ci fu grande scalpore e lei si guadagnò il soprannome di "Zensursula". Un caso che tutto questo si avveri a livello comunitario con lei come presidente della Commissione Europea? Così come tutto questo a livello globale sia stato messo in moto nel 2020?
(OT: oggi o domani comincio a leggere "Atlas Shrugegd", non vedo l'ora!)
La tecnologia è uno strumento di "salvezza" solo per pochi individui che già ora sono consapevoli di ciò che accade e accadrà. Ho l'impressione che gran parte delle persone siano totalmente inconsapevoli del problema, tuttavia non dobbiamo rinunciare a provare a sensibilizzarle, evidenziare i problemi e proporre soluzioni tecnologiche e culturali.