Una controversa proposta di legge che rischia di mettere fuori gioco la crittografia end-to-end in Unione Europea è ad un passo da diventare realtà. Oggi i governi degli Stati membri dell’UE sono chiamati a redigere un documento che ufficializzi la loro posizione in merito ad una proposta che obbligherebbe le piattaforme di messaggistica come WhatsApp e Telegram ad implementare un filtro automatico anti CSAM, acronimo di child sexual abuse material.

In altre parole: le piattaforme dovrebbero scansionare automaticamente i messaggi dei loro utenti – testi, foto e video e anche link -, identificando eventuali contenuti pedopornografici. In caso di esito positivo, il contenuto del messaggio verrebbe inoltrato ai moderatori della piattaforma e, quindi, alle autorità.

 

Addio crittografia end-to-end in nome della tutela dei minori?

“La strada per l’inferno è lastricata di buone intenzioni”, recitava un vecchio adagio. Non è la prima volta che le istituzioni dell’UE discutono una stretta alla pedopornografia che passerebbe da un sistema di moderazione automatizzato. Le precedenti proposte erano cadute nel nulla, sepolte da forti preoccupazioni per la privacy e la sicurezza degli utenti.

Eh già, perché un sistema come quello descritto dall’UE verrebbe inevitabilmente implementato ad un duro prezzo: la crittografia end-to-end che oggi protegge tutte le comunicazioni degli utenti di WhatsApp, Signal e (limitatamente alle chat segrete) Telegram non potrebbe più venire garantita.

Come si diceva, finora le proposte che andavano in questa direzione non avevano trovato un consenso, ma questa volta le cose potrebbero andare diversamente. Nel caso in cui oggi la maggior parte dei Governi si esprimesse a favore della proposta, la palla passerebbe al Parlamento e alla Commissione, con discrete possibilità che venga approvata. A maggio, Wired UK aveva ottenuto un documento riservato piuttosto allarmante: la maggior parte dei governi – si leggeva nel sondaggio informale del Consiglio atto a raccogliere le posizioni preliminari degli Stati membri – è schierato a favore di una qualche forma di limitazione della crittografia end-to-end.

Il caso più emblematico è quello del governo spagnolo, che addirittura propone di vietarla completamente. Ad inizio del 2024, l’Europol aveva dichiarato che la crittografia pone un serio ostacolo alle attività d’indagine: nel mirino non solo la pedopornografia, ma anche la lotta alle truffe e al terrorismo.

La bozza della legge prevede che gli utenti possano impedire la scansione dei loro messaggi, peccato che così facendo perderebbero anche la possibilità di condividere allegati (inclusi i link) con i loro contatti. Sul tema della crittografia end-to-end, la Commissione sembra avere una posizione inquietantemente ambigua: in un passaggio la crittografia E2E viene definita “uno strumento fondamentale per proteggere i diritti dei cittadini”, ma subito dopo si legge anche che “inavvertitamente può creare delle zone d’ombra, dove il materiale di abuso sessuale su minori può essere condiviso o diffuso”.

Le istituzioni dell’UE difendono questa presunta salvaguardia della crittografia sostenendo che i messaggi degli utenti verrebbero scansionati automaticamente dal filtro prima di venire crittografati e, quindi, inviati al destinatario.

Apple si è dichiarata contraria ad una proposta di legge del Regno Unito che vieterebbe la crittografia end-to-end Apple si è dichiarata contraria ad una proposta di legge del Regno Unito che vieterebbe la crittografia end-to-end

Signal minaccia di lasciare l’Unione Europea

Le principali applicazioni di messaggistica – assieme alle organizzazioni a difesa della privacy – non hanno mai fatto mistero di essere fortemente contrati alla proposta. Sul tema, le dichiarazioni più forti arrivano dalla presidente di Signal, Meredith Whittaker, che ha già affermato che se la legge venisse approvata, la sua app smetterebbe di funzionare in tutti gli stati dell’UE:

La proposta compromette irreparabilmente la crittografia. Possiamo chiamarla backdoor, front door o moderazione degli upload. A prescindere, tutti questi approcci finiscono per creare una vulnerabilità che può essere sfruttata dagli hacker e dagli stati nazione ostili.

Fortemente contrari sono anche l’Electronic Frontier Foundation, il Center for Democracy & Technology e la fondazione Mozilla: assieme ad altre organizzazioni non-profit, hanno già siglato una dura presa di posizione congiunta invitando l’UE e gli europarlamentari a bocciare la proposta di legge.