Dalla UK all'UE: il dramma silenzioso della crittografia E2E
Due proposte di legge in UK e UE (Online Safety Bill e Chatcontrol) rischiano di far fuggire le aziende che offrono servizi di comunicazione sicura, come Signal.
Il famoso software per le comunicazioni sicure, Signal, potrebbe cessare i suoi servizi in UK. Il motivo è la legge chiamata Online Safety Bill, una legge molto simile al Chatcontrol di stampo Europeo, che se approvata potrebbe portare aziende come Signal a uscire anche dal mercato continentale.
Dell’Online Safety Bill abbiamo già parlato insieme, ma per i nuovi lettori e per gli smemorati facciamo un breve riassunto degli episodi precedenti per capire cosa diavolo sta succedendo.
Tutto iniziò quando nel 2020 USA, UK, Nuova Zelanda, Australia e Canada decisero di sottoscrivere un accordo internazionale chiamato “Voluntary Principles to Counter Online Child Sexual Exploitation and Abuse”. Il documento affrontava il delicato tema di come combattere la diffusione di immagini e video pedopornografici online, con alcune proposte e principi che avrebbero dovuto guidare l’azione internazionale.
Nello stesso periodo, anche l’UE decise di fare lo stesso, emanando una strategia copia-carbone di quell’accordo internazionale. Stati Uniti, Regno Unito e Unione Europea pubblicarono così tre proposte di legge per combattere la pedopornografia online: EARN IT (USA), Online Safety Bill (UK) e Chatcontrol (UE).
Il trittico oggi propone, più o meno con le stesse modalità, di sottoporre a sorveglianza di massa e analisi automatizzata dei contenuti (testo, immagini, video) tutte le nostre comunicazioni elettroniche, per “scovare” potenziali pedofili.
In base a queste leggi, aziende come Signal sarebbero chiamate a introdurre nei loro sistemi delle modalità di scansione dei messaggi e rimozione dei contenuti su richiesta delle autorità.
Il problema è che per farlo potrebbero essere obbligate a indebolire i loro stessi sistemi di crittografia end-to-end (E2E) con backdoor o fantasiosi mezzi per individuare questi contenuti pedopornografici, come affermato anche dal Garante Privacy europeo la scorsa estate:
[…] potrebbe incidere pesantemente sulle scelte tecniche dei prestatori, soprattutto in considerazione del tempo limitato a loro disposizione per conformarsi a tale ordine e delle pesanti sanzioni cui andrebbero incontro qualora non vi si conformassero. In pratica ciò potrebbe indurre alcuni prestatori a cessare l’utilizzo della E2EE.
Ecco allora che le aziende saranno poste di fronte a un tremendo bivio: rispettare la legge, violando la privacy e libertà delle persone oppure fuggire per evitare pesanti sanzioni?
Alcuni, come Signal, sceglieranno di andarsene. Altri decideranno di rimanere e continuare a fare affari rispettando la legge. La prospettiva non è certo delle migliori: da un lato, una perdita di sicurezza e privacy a causa della scarsità artificiale di crittografia E2E; dall’altro invece un regime di sorveglianza di massa grazie alle aziende colluse che rimarranno.
In quanto complottista, questa era un’ipotesi che immaginavo già nel 2021. Oggi, all’alba del comunicato di Signal, possiamo dire che forse avevo ragione.
Keep reading with a 7-day free trial
Subscribe to Cyber H3rmetica to keep reading this post and get 7 days of free access to the full post archives.