Dalla UK all'UE: il dramma silenzioso della crittografia E2E
Due proposte di legge in UK e UE (Online Safety Bill e Chatcontrol) rischiano di far fuggire le aziende che offrono servizi di comunicazione sicura, come Signal.
Questo articolo fa parte di una serie di articoli in cui racconterò la storia e gli sviluppi attuali della subdola guerra alla crittografia e alle comunicazioni cifrate.
In questo episodio analizzeremo la proposta di legge conosciuta come “Chatcontrol”, che porrà le basi legali per avviare un regime di sorveglianza di massa delle comunicazioni di ogni cittadino europeo.
Il famoso software di comunicazione sicura, Signal, potrebbe cessare i suoi servizi in UK e — presumibilmente — anche in UE.
Il motivo è la legge chiamata Online Safety Bill.
Dell’Online Safety Bill abbiamo già parlato insieme, ma per i nuovi lettori e per gli smemorati facciamo un breve riassunto degli episodi precedenti per capire cosa diavolo sta succedendo.
Tutto iniziò quando nel 2020 USA, UK, Nuova Zelanda, Australia e Canada decisero di sottoscrivere un accordo internazionale chiamato “Voluntary Principles to Counter Online Child Sexual Exploitation and Abuse”. Il documento affrontava il delicato tema di come combattere la diffusione di immagini e video pedopornografici online, con alcune proposte e principi che avrebbero dovuto guidare l’azione internazionale.
Nello stesso periodo, anche l’UE decise di fare lo stesso, emanando una strategia copia-carbone di quell’accordo internazionale. Stati Uniti, Regno Unito e Unione Europea pubblicarono così tre proposte di legge per combattere la pedopornografia online: EARN IT (USA), Online Safety Bill (UK) e Chatcontrol (UE).
Il trittico oggi propone, più o meno con le stesse modalità, di sottoporre a sorveglianza di massa e analisi automatizzata dei contenuti (testo, immagini, video) tutte le nostre comunicazioni elettroniche, per “scovare” potenziali pedofili.
In base a queste leggi, aziende come Signal sarebbero chiamate a introdurre nei loro sistemi delle modalità di scansione dei messaggi e rimozione dei contenuti su richiesta delle autorità.
Il problema è che per farlo potrebbero essere obbligate a indebolire i loro stessi sistemi di crittografia end-to-end (E2E) con backdoor o fantasiosi mezzi per individuare questi contenuti pedopornografici, come affermato anche dal Garante Privacy europeo la scorsa estate:
[…] potrebbe incidere pesantemente sulle scelte tecniche dei prestatori, soprattutto in considerazione del tempo limitato a loro disposizione per conformarsi a tale ordine e delle pesanti sanzioni cui andrebbero incontro qualora non vi si conformassero. In pratica ciò potrebbe indurre alcuni prestatori a cessare l’utilizzo della E2EE.
Ecco allora che le aziende saranno poste di fronte a un tremendo bivio: rispettare la legge, violando la privacy e libertà delle persone oppure fuggire per evitare pesanti sanzioni?
Keep reading with a 7-day free trial
Subscribe to Cyber Hermetica to keep reading this post and get 7 days of free access to the full post archives.