Ubi maior, minor cessat. Ovvero, la cosa più importante prevale su quella meno importante. Sembra un po’ questo lo spirito alla base della controversa proposta di regolamento europeo (Csar) che prevede di controllare le chat dei cittadini per intercettare e contrastare la pedofilia online. In questo caso, a favore della necessità indiscutibile di contrastare gli abusi sui minori, finirebbero in secondo piano diversi aspetti non proprio marginali: quelli legati alla privacy, alla libertà d’espressione e alla cyber sicurezza. Per questo, lo Csar è stato ribattezzato dai suoi detrattori ‘chat control‘.
Il ‘Regulation to Prevent and Combat Child Sexual Abuse’ è stato proposto nel 2022 dall’allora Commissaria europea per gli affari interni, la svedese Ylva Johansson, ma si è poi incagliato nelle discussioni e nella mancanza di accordo tra i Paesi, in sede di Consiglio e di Parlamento. La Danimarca, che fino a fine anno detiene la presidenza di turno del Consiglio, vuole ora dargli nuovo impulso.
Cosa prevede il ‘chat control’
La proposta sul tavolo prevede che ogni messaggio audio, foto o video privato inviato su piattaforme come WhatsApp, Telegram, Messenger, Signal, Instagram o X venga scandagliato prima di essere inviato, direttamente dallo smartphone – o più in generale dal dispositivo che si sta usando – alla ricerca di sospette attività legate alla pedofilia. Il Regolamento chiede anche la creazione di un centro europeo sugli abusi, a cui dovranno arrivare tutte le segnalazioni.
Dunque, sarebbero i fornitori dei software crittografati a dover mettere a punto “misure tecnologiche” che permettano di individuare, bloccare e segnalare l’invio a monte di contenuti pedopornografici e i tentativi di adescamento (grooming).
Nello specifico, un algoritmo ad hoc dovrebbe bypassare la crittografia e cercare corrispondenze tra i testi e parole ‘chiave’, mentre sistemi che consentono di identificare un’immagine o un video con un codice univoco, (‘hash’) controllerebbero le immagini e le confronterebbero con quelle presenti in archivi gestito dalle autorità nazionali.
Se l’analisi individua qualcosa come sospetto, viene inviata una segnalazione alle autorità con le informazioni per poter procedere a una verifica. Teoricamente, i contenuti dovrebbero essere anonimizzati, e resi noti alla polizia solo nel caso in cui ci siano gli estremi di reato.
I rischi: sicurezza, privacy, abusi
Chi è a favore del regolamento sottolinea che un controllo preventivo dei messaggi bloccherebbe la diffusione di immagini pedopornografiche e consentirebbe di scoprire ad ampio raggio i tentativi di adescamento online. Tuttavia, per quanto nessuno metta in dubbio la necessità di combattere la pedofilia, i pericoli che Csar porta con sé sono molteplici.
La sicurezza
In primis la sicurezza: consentire all’algoritmo di bypassare la crittografia end-to-end, quella che ‘oscura’ anche ai fornitori il contenuto dei messaggi rendendoli disponibili solo a mittente e destinatario, significa indebolire la crittografia stessa e aprire nuove possibilità a cyber criminali e anche, eventualmente, a regimi autoritari o a chi abbia un qualsiasi interesse a ‘farsi gli affari’ degli utenti.
Il fatto che il controllo avvenga a monte, prima che i messaggi siano criptati, potrebbe fornire ai malintenzionati una backdoor, una porta secondaria, per accedere ai contenuti. È un po’ come aprire una finestra in un muro. Senza contare che tali sistemi di ‘intercettazione’ e analisi attualmente non esistono, dunque le piattaforme dovrebbero svilupparli, con tutti i rischi legati a eventuali errori di programmazione e con le difficoltà per rendere adeguati tutti i dispositivi.
La libertà d’espressione
C’è poi la questione della libertà d’espressione. Come è noto, la strada per l’inferno è lastricata di buone intenzioni, e un controllo a tappeto su tutte le chat e tutti i contenuti, anche se per un buon motivo, potrebbe ‘normalizzare’ un controllo che aprirebbe la strada a motivazioni meno nobili. Ad esempio, da pare di governi autoritari sui cittadini, sugli oppositori e sui giornalisti.
Il rischio infatti è quello di una “sorveglianza di massa”, e lo ha denunciato anche il Parlamento europeo, che il 14 novembre 2023 ha approvato la sua posizione in merito allo Csar proponendo piuttosto scansioni mirate su soggetti già sospettati, non un filtraggio di massa né “in chiaro” dei contenuti cifrati.
Lo stesso anno si è espresso anche il servizio legale del Consiglio dell’Unione Europea secondo cui, come rivelato allora dal Guardian, l’analisi preventiva “imporrebbe il controllo generale e indiscriminato”, anche sulle persone estranee a qualsiasi tipo di reato. E la nuova proposta, che ha accolto i rilievi dell’Europarlamento e prevede una distinzione tra contenuti pedopornografici già noti, contenuti nuovi e tentativi di adescamento nei confronti di minori, è stata giudicata “nulla di nuovo”.
I falsi positivi e la verifica dell’età
Vi è poi il problema dei falsi positivi, sia relativamente a contenuti innocui valutati come sospetti, sia a conversazioni tra adolescenti consenzienti. Con tutte le conseguenze per la vita personale di chi si trovasse coinvolto a sproposito e rispetto a quello che poi è uno dei crimini più odiosi e infamanti in assoluto.
Infine: la ricerca dei tentativi di adescamento dovrebbe limitarsi “solo alle comunicazioni interpersonali quando uno degli utenti è un utente minore”, una specifica che apre a tutti i problemi ancora irrisolti riguardo alla verifica dell’età da parte dei fornitori.
Agevolare le indagini
Dall’altra parte, chi combatte ogni giorno sul campo da tempo chiede di allargare le maglie per agevolare le indagini, che si scontrano con sempre maggiori difficoltà dovute proprio alle nuove tecnologie. Lo ha chiesto l’Europol, lo ha chiesto anche Bartjan Wegter, coordinatore antiterrorismo dell’Ue, che a Politico ha sostenuto la necessità – in casi selezionati e “strettamente regolati” – di consentire alla polizia l’accesso a messaggi cifrati end-to-end e ad altre informazioni.
Il problema, dunque, non riguarderebbe solo la pedopornografia ma la sicurezza e il contrasto al crimine in senso più ampio, come dimostra anche l’aumento delle richieste di accesso rivolte alle piattaforme di messaggistica.
La coperta insomma, come al solito, è troppo corta: se si copre una parte, l’altra rimane fuori. Tutto sta a trovare un compromesso accettabile.
Paesi al voto in Consiglio il 14 ottobre
Il prossimo appuntamento per tentare di trovare una quadra è il 14 ottobre, quando il Consiglio dovrà esprimersi. A quel punto, se ci sarà l’ok dalla maggioranza necessaria, partiranno i triloghi, ovvero i negoziati informali con il Parlamento e la Commissione Ue. Ma cosa ne pensano i Ventisette?
Austria, Belgio, Germania, Lussemburgo, Repubblica Ceca, Finlandia, Paesi Bassi e Polonia sono contro, con Berlino che possiede un peso specifico che potrebbe fare la differenza. Favorevoli invece 15 Paesi, tra cui Italia, Francia, Svezia, Irlanda e Spagna, mentre Estonia, Grecia, Romania e Slovenia risultano ancora tra gli indecisi.
Più facile immaginare cosa ne pensano le aziende interessate: le big tech respingono da anni qualunque misura che indebolisca la crittografia e la libertà d’espressione è stata più volte cavalcata per portare acqua al proprio mulino. Signal e Meta hanno già minacciato di lasciare l’Europa se Chat control verrà approvato.
