Da oltre due anni Matrice Digitale indaga sul progetto europeo di chat-control, una misura che rischia di trasformarsi in una gigantesca macchina di sorveglianza preventiva, sacrificando la privacy dei cittadini sull’altare della sicurezza. Mentre le principali testate preferivano parlare di scandali secondari o restavano silenti di fronte a possibili conflitti di interesse dentro la Commissione Europea, abbiamo documentato con inchieste e analisi indipendenti i lati oscuri di questa proposta. Dal nostro primo allarme sull’escalation in Commissione Europea, passando per le difese d’ufficio di Ylva Johansson e gli affari poco trasparenti che circondano il dossier, fino ai pareri legali ignorati e alle spinte di Europol, abbiamo raccontato ciò che altri non hanno voluto vedere. Senza dimenticare le prese di posizione della Signal Foundation e i risvolti legati all’uso delle AI generative come ChatGPT, che aprono scenari ancora più complessi.
In questo contesto, di fronte ai nuovi compromessi portati avanti dal Consiglio UE, abbiamo raccolto la voce di Giuliano Peritore, Presidente dell’AIIP (Associazione Italiana Internet Provider), che mette in guardia sui rischi di un sistema capace di compromettere cifratura end-to-end, riservatezza delle comunicazioni e libertà fondamentali dei cittadini europei.
Cosa c’entrano gli Internet provider su una misura del genere quando noi colleghiamo la messaggistica alle grandi multinazionali, dalla più piccola Signal a quella più grande che può essere appunto What’sApp?
Come è noto ricopro attualmente il ruolo di Presidente della più longeva associazione italiana di operatori di telecomunicazioni, AIIP, associazione che promuove principalmente un mercato delle telecomunicazioni aperto, contendibile, competitivo, etico, equo, innovativo, legale, trasparente, rispettoso del cliente e dei principi fondanti della stessa Internet.
Cosa fa un Internet service provider?
Trasporta pacchetti di dati inviati da un utente verso altri utenti, senza accedere o intervenire sui dati contenuti in quei pacchetti… “just deliver the bits”. Non molto difforme da quello che è avvenuto in seguito con la posta elettronica, inizialmente fornita solo dai provider, che provvedevano al recapito dei messaggi, senza intervenire o accedere ai contenuti degli stessi messaggi. Oggi la posta elettronica, un mondo aperto ed interoperabile, dove l’utente può inviare messaggi ad indirizzi di posta elettronica di qualsiasi utente di qualsiasi fornitore, è stato affiancato dai sistemi di messaggistica delle grandi piattaforme, che però non sono interoperabili ma, di fatto, dei mondi chiusi – l’utente di un servizio non può inviare un messaggio all’utente di un altro servizio. Ora, vede, Internet in sé non può offrire garanzie di confidenzialità di messaggi inviati in chiaro, perché si attraversano reti di soggetti diversi, tant’è che al di sopra del puro trasporto sono stati introdotti meccanismi, basti pensare all’SSL o alla crittografia end-to-end, per dare all’utente sufficienti garanzie di confidenzialità e permettere lo sviluppo di una miriade di servizi, dall’e-commerce all’home banking, ecc. Lo sviluppo di Internet non può fare a meno di adeguate garanzie di confidenzialità. Ed, ovviamente, nostro interesse è sia la crescita di Internet, sia il rispetto del diritto costituzionale (art. 15) alla riservatezza e l’inviolabilità della corrispondenza di ciascun cittadino, in modo che quest’ultimo possa fare affidamento sulla rete e sui servizi che utilizzano la rete.
In che modo l’Europa sta cercando di forzare la decrittazione delle chat e se questo rende realmente efficace nella misura non solo del contrasto alla ai contenuti degli abusi sessuali sui minori e della pedofilia, ma anche ad altri tipi di reati visto che lo chiedono le forze di sicurezza come l’Europol?
Premesso il valore di qualsiasi attività di contrasto a crimini odiosi, rimanendo focalizzati sul chat-control l’Europa non sta forzando la decrittazione delle chat, ma sta pensando di ricorrere ad applicazioni da installare sui dispositivi degli utenti che possano agire prima che il messaggio in chiaro venga crittografato. Ricordiamo infatti che nel nostro cellulare, per fare un esempio – ma non che sia molto diverso su un personal computer -, il messaggio viene digitato in chiaro, viene gestito in chiaro dal sistema operativo, e solo ad un certo punto viene crittografato dall’applicazione, prima che venga spedito sulla rete. Per cui agendo sul sistema operativo o sull’applicazione è possibile avere accesso al messaggio in chiaro. Con il chat-control si sta pensando di fare questo, cioè di agire prima della crittografia end-to-end.
Ma chi ci assicura che questo sistema una volta installato non possa essere sfruttato da soggetti non legittimati o da malintenzionati per compromettere la confidenzialità dei messaggi dell’utente, magari anche minore?
Ma non è questo il punto, il punto è che si venga trattati come delinquenti presunti, perquisiti in via preventiva. Si tratta di un concetto di “soglia” di affidabilità. Per combattere un certo numero di reati si ricorre ad un sistema che alza il livello di rischio per tutti, per me, per lei, per tutti i cittadini. E possiamo stare sicuri che chi avrà qualcosa da nascondere troverà il modo di dissimularsi agendo ancora più in profondità e rendendo ancor più difficoltose eventuali indagini. Riteniamo che indipendentemente da ciò che chiedono agenzie europee come l’Europol, che non è una forza di polizia, il diritto alla riservatezza dell’utente debba poter essere violato solo dietro intervento di un GIP o di un PM in caso di emergenza, e certamente mai con iniziative di intercettazione ad ampio raggio magari di soggetti estranei ai fatti, mi riferisco evidentemente a progetti come il client-side scanning specialmente se in forma di “pesca a strascico”.
Quali sono le motivazioni, invece, che vi portano a dubitare di questa nuova misura nel caso venga approvata?
Ciò che ci preoccupa maggiormente è creare un sistema controllato a distanza, sui dispositivi di chiunque – anche se estranei ai fatti – che può potenzialmente essere sfruttato da malintenzionati oltre che dai soggetti legittimati dalle leggi vigenti. Ma non solo. La ricerca di contenuti “critici” sulla base di analisi del testo o di immagini, con riferimento sia ad contenuti noti che ad oggetti “emergenti” (nuovi), magari con tecniche di IA, può portare rischi di “falsi positivi”. Molte frasi, private dell’intonazione, della colloquialità, se trascritte possono condurre ad interpretazioni completamente differenti dalle intenzioni dell’interlocutore. E sappiamo tutti che l’IA non è un oracolo affidabile, perché non è intelligenza e perché non “comprende” i dati. E quali sono le assicurazioni che il chat-control dai semplici messaggi social, ricordiamo testo e immagini, non si estenda a qualsiasi file presente sul dispositivo, sia esso uno smartphone, un tablet o addirittura un personal computer? Uno scenario inquietante… Non per niente i principali dubbi dei paesi ancora indecisi sono relativi alla compromissione dell’efficacia delle crittografia, all’implementazione tecnica, agli impatti sulla privacy, alla costituzionalità della misura.
Cosa si aspetta dal governo? Quali dovrebbero essere le misure? E’ un problema di soldi o è un problema anche di valori?
Ad oggi abbiamo 14 stati membri favorevoli, fra cui l’Italia, 9 contrari e 4 indecisi, fra cui la Germania, probabile ago della bilancia. Mi aspetto che, trattandosi di un Regolamento europeo e quindi immediatamente applicabile senza necessità di un recepimento, in Italia ne venga quanto prima fatta un’attenta analisi di legittimità costituzionale per l’eventuale identificazione dei “controlimiti”. Del resto, non applicandosi il trattato UE su materie come quella penale, la UE quali competenze può avere sulla stessa materia penale? E’ in parte un problema di soldi, non essendo noti al momento i costi né l’impatto implementativo, ma soprattutto è un problema di valori. Come detto poc’anzi si tratta di aprire una sorta di “backdoor” potenzialmente sfruttabile da malintenzionati o magari in futuro per fini diversi da quelli per cui è stata inserita. Del resto se il sistema chat-control fosse così “sicuro” non si capisce perché si sia deciso di escludere e quindi proteggere alcune categorie di soggetti.
Oltre al prendere le chat, criptarle, oltre a creare le chat per acquisire delle prove o per fare arresti preventivi è possibile che con queste chat si possa passare alla manipolazione delle chat e/o creare azioni di depistaggio e creare “casini” dal punto di vista investigativo e/o giudiziario?
Questa è una bella domanda. Si parla di applicazioni software espressamente approvate dalla Commissione che però agiscono sul testo e sulle immagini prima che vengano crittografati. Essendo dati in chiaro il sospetto che i dati siano manipolabili non è per nulla infondato… sotto il controllo di chi saranno le applicazioni? Vedremo cosa accadrà il 14 ottobre.
