Un nuovo disegno di legge del Regno Unito sulla sicurezza online per la crittografia end-to-end permetterà all’Ofcom, l’organo di controllo delle comunicazioni inglese, di ordinare ai produttori di app di messaggistica e altre aziende tecnologiche di controllare le conversazioni e i post per individuare e bloccare la diffusione di materiale illecito, dal pedopornografico al terroristico, così che una volta intercettati, questi contenuti possano essere cancellati e denunciati alle forze dell’ordine.
Indice degli argomenti
Rischi per la crittografia end-to-end
Il colosso Apple, che a dicembre del 2022 aveva annunciato tre nuove misure di sicurezza a tutela dei dati sensibili, tra cui una crittografia end-to-end sul servizio di cloud storage, al momento è tra le organizzazioni tecnologiche che stanno chiedendo alla Camera dei Lord di rivedere il nuovo disegno di legge per una maggiore salvaguardia proprio della crittografia end-to-end.
Secondo Apple, “La crittografia end-to-end è una funzionalità fondamentale che protegge la privacy di giornalisti, attivisti per i diritti umani e diplomatici […] Inoltre, aiuta i cittadini di tutti i giorni a difendersi dalla sorveglianza, dal furto di identità, dalle frodi e dalle violazioni dei dati. Il disegno di legge sulla sicurezza online rappresenta una seria minaccia a questa protezione e potrebbe mettere maggiormente a rischio i cittadini del Regno Unito”.
Ciò che sta creando una preoccupazione generale riguarda la cosiddetta “clausola di spionaggio”, da cui potrebbe scaturire la possibilità che il monitoraggio delle chat arrivi a scansionare in maniera automatizzata i dispositivi fino a censurare anche le chat private dei cittadini, mettendo in questo modo in dubbio la sicurezza della crittografia end-to-end offerta.
Si tratterà di una tecnologia accreditata dal governo, per cui i produttori di app potrebbero avere poca scelta nella sua eventuale implementazione nei loro sistemi.
L’Open Rights Group ha dichiarato che “Secondo un parere legale di un esperto, questo disegno di legge creerebbe il potere di imporre alcuni dei più ampi poteri di sorveglianza in qualsiasi democrazia occidentale”.
Da Cupertino non sono pervenute risposte su come agiranno nel caso in cui il disegno di legge venga ufficializzato; chi, invece, si è già pronunciato già lo scorso febbraio in merito, dichiarando di non voler più operare nel Regno Unito con il disegno di legge nella sua forma attuale, è la piattaforma di messaggistica Signal.
Altre piattaforme come Element, Session, Threema, Viber, WhatsApp e Wire, lo scorso aprile si sono rivolte ai legislatori britannici avvertendo il rischio di “indebolire la crittografia, minare la privacy e introdurre la sorveglianza di massa delle comunicazioni private delle persone”.
Da Wikipedia è arrivata, invece, la contestazione della parte del disegno di legge che richiederebbe la verifica dell’età degli utenti e, in questo caso, lascerebbe il Regno Unito.
La crittografia di Apple
Apple non è la prima volta che si trova ad affrontare una situazione del genere. Nel 2021 aveva presentato un piano che prevedeva la scansione automatica delle immagini di iPhone alla ricerca di materiale su abuso di minori, nel momento in cui quest’ultimo veniva caricato su iCloud, ma, a seguito delle forti opposizioni manifestate dal mondo della sicurezza informatica e dai gruppi per i diritti civili, il piano è stato ritirato.
Nel 2022 ha poi annunciato tre nuove misure di sicurezza, ossia iMessage Contact Key Verification, Security Keys per Apple ID e Advanced Data Protection, la crittografia end-to-end sul servizio di cloud storage, per blindare i dati sensibili degli utenti.
Come sottolinea Giorgio Sbaraglia, consulente aziendale cybersecurity e membro del Comitato Scientifico Clusit, queste nuove misure di sicurezza sarebbero piaciute molto “agli utenti più attenti alla propria privacy”, ma avrebbero creato sicuramente “tensioni con FBI ed il governo americano, che non sarà più in grado di leggere i dati sui dispositivi Apple criptati”.
La “clausola di spionaggio”
Come riporta Monica Horten dell’Open Rights Group già lo scorso 2 dicembre, “Il disegno di legge sulla sicurezza online intende proteggere i bambini dai contenuti dannosi. Tuttavia, include un obbligo per i servizi di messaggistica privata (chat) di intercettare e scansionare i post di ogni utente prima di caricare.
Questa prospettiva solleva profonde preoccupazioni in merito all’interferenza con la privacy e a un effetto di raffreddamento sulla libertà di espressione. Si tratta di una massiccia espansione della capacità di sorveglianza nascosta nel disegno di legge”.
Ciò che la portavoce del gruppo mette in evidenza è, innanzitutto, il fatto che la dicitura presente nel disegno di legge che fa riferimento a “contenuti comunicati pubblicamente o privatamente” include le chat private nel suo campo di applicazione. “L’articolo 104 [NC11] conferisce all’Ofcom poteri senza precedenti di richiedere ciò che è a tutti gli effetti una forma di sorveglianza di massa”.
Rispettare questo articolo significherebbe scansionare i messaggi in chat in maniera continuativa, come detto, per intercettare materiale pedopornografico e/o terroristico, per poi rimuoverli o bloccarli. I sistemi basati sull’intelligenza artificiale cercherebbero le corrispondenze tra i contenuti in un database utilizzando le impronte digitali e potrebbero anche usare classificatori basati sul testo.
I poteri dell’Ofcom potrebbero imporre una “tecnologia accreditata, un sistema di moderazione dei contenuti” progettato secondo standard approvati dal governo. In questo modo, ne uscirebbe compromessa la crittografia end-to-end (E2EE) e le possibili soluzioni tecniche prevedono la creazione di “back door” nel codice o la scansione delle immagini sul telefono dell’utente (scansione lato client).
Quest’ultimo approccio è quello favorito dal governo, ma non è specificato nel disegno di legge. In ogni caso, secondo la Horten, la sicurezza dei messaggi nell’intero sistema è a rischio.
Altro aspetto da non sottovalutare è una valutazione dell’impatto del governo errata, che presuppone una maggiore protezione della privacy, eliminata dal disegno di legge, il che riflette una mancanza di due diligence nella definizione delle politiche. Inoltre, il governo, con questo disegno di legge, chiede ad aziende private di applicare un sistema di sorveglianza per suo conto, senza mandati.
La nota si conclude con l’invito rivolto ai parlamentari di “abbandonare questo requisito distopico” e “tenere i cittadini britannici al sicuro della sorveglianza di massa”, rimuovendo, nello specifico, la parola “privatamente” nella “clausola di spionaggio” e revisionando l’intero disegno di legge, con una migliore valutazione d’impatto delle misure proposte.
