Il Chatcontrol torna sul tavolo
Dopo una breve sospensione, l'Unione Europea ci riprova con alcune importanti modifiche che potrebbero mettere d'accordo tutti i paesi membri.
Prima di continuare, lascia un like! E se vorrai, fammi sapere cosa ne pensi di nei commenti.
Dopo una breve sospensione, l’Unione Europea torna a discutere di Chatcontrol, il famigerato regolamento (Child Sexual Abuse Regulation) di cui si parla dal 2021. Se approvato, il Chatcontrol promette di instaurare in tutta Europa un pervasivo sistema di sorveglianza digitale di chat e comunicazioni.
Il 9 settembre 2024 è stata diffusa da POLITICO l’ultima versione revisionata del testo, che sarà discussa il 23 settembre dai rappresentanti dei vari paesi membri europei. Qui proporrò una breve analisi delle ultime modifiche, o per meglio dire, di quelle che ritengo più interessanti per un abitante del cyberspazio. All’analisi si aggiungerà anche una breve riflessione sulle reali motivazioni che — a fronte di uno scarso beneficio — spingono la Commissione Europea a voler emanare un regolamento estremamente ambiguo, sgradito a molti e soprattutto pericoloso sia per i cittadini che per le aziende che operano nel Vecchio Continente.
Il Chatcontrol si porta dietro una lunga e intricata storia, che ho ripercorso nel contesto delle Crypto Wars. Per chi fosse arrivato soltanto ora, consiglio di approfondire leggendo almeno questi contenuti:
Volendo sintetizzare al massimo, il Chatcontrol è un regolamento che propone di obbligare ogni piattaforma di comunicazione, social e hosting a introdurre misure per diminuire il rischio di diffusione di contenuti CSAM (pedopornografici) attraverso tecnologie evolute di sorveglianza di massa. Nel caso in cui una piattaforma possa essere ritenuta ad alto rischio, come ad esempio Telegram, le autorità possono inoltre obbligare l’azienda a monitorare attivamente le comunicazioni di ogni singolo utente o gruppi di utenti al fine di diminuire ulteriormente il rischio.
La legge non è uguale per tutti
Iniziando a discutere delle novità presenti nel testo revisionato, ciò che spicca subito è una speciale deroga sull’applicazione del regolamento per tutti i servizi di comunicazione non disponibili al pubblico, e il cui uso è ristretto a un’azienda, organizzazione, ente pubblico o autorità. La legge non si applicherebbe quindi nel caso in cui un’autorità pubblica o un ministero decidessero di utilizzare sistemi di comunicazione non disponibili al pubblico.
Il testo prosegue specificando ulteriormente che i famigerati “detection orders”, cioè quegli ordini di scansionare le comunicazioni di ogni utente di una specifica piattaforma, non si applicano agli account usati da ufficiali pubblici per finalità di sicurezza nazionale, polizia e militari.
Possiamo quindi assumere che se il testo fosse approvato così com’è, gli specifici account di politici, burocrati, agenti di polizia, ufficiali militari e intelligence su piattaforme pubbliche come Whatsapp, Telegram o X, non saranno soggetti a sorveglianza di massa.
Si profila così in sostanza una doppia eccezione, che crea un nucleo di immunità intorno a enti governativi e ufficiali pubblici di vario tipo. Una scelta curiosa, considerando che per anni i burocrati europei hanno cercato di convincerci che questa legge fosse assolutamente sicura e in linea con la protezione dei dati e della riservatezza delle comunicazioni dei cittadini. Se è così, perché prevedere queste “isole sicure” dietro la giustificazione della sicurezza nazionale?
Novità sui detection orders
I cosiddetti “detection orders”, cioè gli ordini di sorveglianza di massa, hanno ricevuto alcune integrazioni significative nella nuova versione.
Il nuovo testo propone alcune limitazioni ulteriori, per diminuire l’interferenza con i diritti fondamentali delle persone (riservatezza e libertà di pensiero). I detection orders non saranno estesi anche al testo delle comunicazioni ed i file audio, come precedentemente previsto (contro il c.d. “grooming”), ma limitati ai file media (video, immagini, gif, eccetera) e a URL. Nelle versioni precedenti c’era invece anche la possibilità di scansionare il testo delle comunicazioni, per individuare tentativi di “grooming”, cioè adescamento di minori. Il legislatore specifica comunque che tali tentativi potrebbero comunque essere identificati sulla base dell’analisi dei contenuti condivisi.
A questi si aggiungono i metadati, cioè il corredo informativo che descrive le interazioni tra utenti e sistemi, come l’indirizzo IP, informazioni sul dispositivo usato, dati GPS legati a un’immagine o video, e ogni altro tipo d’informazione tecnica che possa essere utile ai fini investigativi per identificare chiunque sia sospettato di diffondere contenuti pedopornografici o di adescare minori online (grooming).
Se vuoi sapere come diminuire la tua identificabilità online, limitare la creazione di metadati o rimuoverli dai tuoi file, ti consiglio questo approfondimento:
Estensione dell’applicazione e profilazione
Il nuovo testo del regolamento prevede un’estensione dell’applicazione delle sue clausole anche ai motori di ricerca online, originariamente esclusi. L’ambito di applicazione oggi copre quindi:
Servizi di hosting
Servizi per le comunicazioni interpersonali
App store
Servizi per l’accesso a internet
Motori di ricerca
Inoltre, nel testo di legge è stata aggiunta una clausola ambigua che sembrerebbe introdurre una sorta di profilazione degli utenti, al fine di mitigare il rischio della piattaforma. Si legge infatti che:
The risk mitigation measures shall be limited to an identifiable part or component of the service, or to specific users or specific groups or types of users, where possible, without prejudice to the effectiveness of the measure.
Le misure di mitigazione dei rischi (come le tecnologie di sorveglianza) potranno quindi essere applicate limitatamente a parti identificate del servizio, a specifici utenti o gruppi di utenti. La nozione “gruppi di utenti” mi fa quindi presumere una sorta di profilazione attraverso cui catalogare gli utenti in base al rischio percepito.
Il problema della crittografia
Fin dalle sue prime versioni, il Chatcontrol ha creato problemi riguardo l’uso di tecnologie di crittografia end-to-end (E2E). Il motivo è semplice: se la piattaforma o il servizio di comunicazione usano crittografia E2E, non potranno scansionare le comunicazioni degli utenti e quindi non saranno in grado di rispettare la legge.
Il legislatore oggi ci dice che la proposta di legge non dovrebbe essere intesa come un divieto alla crittografia E2E, né dovrebbe renderla di fatto impossibile. Tuttavia, è anche doveroso che le varie piattaforme che offrono questo tipo di tecnologie non diventino “zone sicure” attraverso cui condividere materiale pedopornografico. Per questo, in ogni caso i file media (immagini e video) dovrebbero essere scansionati prima di essere caricati e inviati attraverso il servizio di comunicazione — cioè prima che vengano cifrati.
This ensures that the detection mechanism can access the data in its unencrypted form for effective analysis and action, without compromising the protection provided by end-to-end encryption once the data is transmitted.
[…] In interpersonal communications services those technologies shall detect the dissemination of known child sexual abuse material prior to its transmission.
Non serve essere esperti di crittografia per capire che è chiaramente una presa in giro. Non si può più parlare di crittografia E2E se i contenuti della comunicazione sono scansionati prima che questi vengano impacchettati e spediti attraverso i servizi di comunicazione cifrati.
Sarebbe come dire: puoi spedire questo pacco sigillato e chiuso ermeticamente, ma prima devi farmi vedere cosa ci metti dentro. Viene meno il senso stesso della crittografia E2E, che è proteggere il contenuto delle comunicazioni da chiunque non sia il mittente e il destinatario. Non a caso aziende come Signal e Threema hanno già minacciato di lasciare il mercato europeo.
La seconda riflessione attiene invece alla critica del legislatore verso il rischio di creare “zone sicure” che possano essere usate per condividere materiale pedopornografico online. Che dire quindi delle zone sicure create dalla legge stessa, che prevede l’immunità per account di politici, burocrati, forze dell’ordine e militari e in generale per gli enti governativi che scelgano di usare sistemi di comunicazione interni?
Libertà d’espressione subordinata alla sorveglianza
Infine, vale la pena soffermarsi su un’importante questione giuridica. Il nuovo testo prevede che tali tecnologie di monitoraggio possano essere usate soltanto col consenso dell’utente, che dovrà accettare termini e condizioni della piattaforma. Chi non accetta tali termini, sarà escluso dalle funzionalità di invio di contenuti visivi e URL.
In questo caso, ciò che giuridicamente sta esprimendo il legislatore, è che la piena libertà d’espressione del pensiero può essere esercitata soltanto se si accetta di essere sorvegliati preventivamente. Chi non lo accetta, verrà censurato, o per meglio dire silenziato, alla fonte.
La questione è particolarmente rilevante anche per il modo in cui la cultura popolare viene diffusa nel cyberspazio: coi meme, che sono file immagine. Con tale disposizione, il Chatcontrol subordina quindi la capacità di condividere meme online, cioè pura manifestazione della libertà di pensiero, all’accettazione della sorveglianza di massa. Lo stesso vale chiaramente anche per gli URL, altro mezzo fondamentale per diffondere e condividere conoscenza e opinioni online.
La legge dovrà applicarsi il prima possibile
Infine, una cosa che mi ha colpito particolarmente è in merito ai termini di entrata in vigore di questo regolamento:
The rules of this Regulation should apply as soon as possible.
Vale la pena farsi una domanda: perché mai il legislatore europeo vuole a tutti i costi approvare e accelerare l’entrata in vigore di una legge non centrale nelle politiche europee, ed anzi estremamente ambigua e mal vista? Per quale motivo i burocrati europei sono disposti a tutto pur di realizzare questo progetto di “protezione dei minori”?
Forse perché come scrivo dal 2021 l’obiettivo non è affatto proteggere i minori, che anzi vengono ulteriormente vessati da una legge che li costringe ad essere sorvegliati come criminali per il loro stesso “bene”. Forse l’obiettivo è da ricercarsi altrove.
In effetti, una legge come questa può facilmente diventare un cavallo di troia per numerose attività di sorveglianza di massa e controllo dell’informazione. I sistemi che oggi verranno usati per analizzare foto, video e URL alla ricerca di materiale pedopornografico, potranno in futuro essere ampliati per estendere la ricerca a qualsiasi tipo di materiale, come già proposto da Europol nel 2022.
Un’altra motivazione è quella economica, sottolineata da Giacomo Zandonini, Apostolis Fotiadis and Luděk Stavinoha su Balkan Insight.
L’europarlamentare svedese Ylva Johansson, tra le principali sostenitrici di questa proposta di legge, da tempo collabora con realtà come Thorn e Brave Movement, organizzazioni statunitensi con grandi interessi nell’ambito del contrasto alla pedopornografia. A queste si aggiunge l’organizzazione WeProtect Global Alliance, nata nel 2020 da un’iniziativa dell’Unione Europea insieme al governo del Regno Unito.
Tutte queste organizzazioni, che da anni portano avanti un’asfissiante attività di lobbying politica per l’approvazione del Chatcontrol (grazie anche al contributo della Johansson) sono finanziate dalla Oak Foundation, organizzazione fondata dal miliardario inglese Alan M. Parker nel 1983.
Gli interessi economici e politici che sostengono questa catena di finanziamenti milionari sono ancora più evidenti nel momento in cui si approfondisce il ruolo di Thorn, che nonostante la facciata no-profit è in realtà impegnata nella commercializzazione di strumenti d’intelligenza artificiale per la scansione e identificazione di contenuti pedopornografici; esattamente ciò che servirà nel caso in cui il Chatcontrol venga approvato.
Ciò che dovrebbe comunque farci storcere il naso è che i cittadini dell’Unione Europea potranno presto essere privati della loro libertà a causa delle ingerenze di americani e inglesi (come spesso è già capitato nella storia). E neanche questo dovrebbe stupire, considerando che come già scrivevo anni fa, tutta questa storia è partita proprio da un accordo internazionale tra i paesi che compongono i Five Eyes, tra cui Stati Uniti e Regno Unito spiccano…