HomeInformaticaInternetNewsNormativaProtectEU: cybersicurezza o sorveglianza preventiva?
ProtectEU fa discutere

ProtectEU: cybersicurezza o sorveglianza preventiva?

Morbinati & Longo
Morbinati & Longo
Da oltre 30 anni al vostro fianco. Ci occupiamo di responsabilità civile, risarcimento danni; diritto immobiliare (locazioni/proprietà); diritto del lavoro; contenzioso esattoriale; recupero crediti, equa riparazione per l’eccessiva durata dei processi, gestioni patrimoniali, successioni, aste immobiliari; ristrutturazione e controllo di legalità dei processi interni delle organizzazioni. In tali ambiti prestiamo assistenza completa, sia in sede stragiudiziale che in ogni sede giudiziale.

Siamo disposti a sacrificare la nostra libertà individuale per la sicurezza di massa?

Fino a che punto?

Sono le domande chiave che agitano il dibattito europeo dopo la proposta di legge ProtectEU. Vista la data, qualcuno aveva sperato in un pesce d’Aprile. Invece, è tutto, incredibilmente vero. 

Presentata dalla Commissione Europea lo scorso 1° aprile, è stata salutata da molti come il nuovo baluardo contro le minacce digitali; secondo i suoi detrattori rischia invece di trasformare il cerchio di stelle della bandiera UE nell’occhio onnipresente del Grande Fratello di Orwell. A tal punto che oltre 400 firmatari, tra cui Mozilla, Tuta, Proton, Signal, l’EDRi (European Digital Rights) e decine di associazioni e sviluppatori indipendenti, hanno firmato una lettera aperta per manifestare il proprio sconcerto e preoccupazione (qui la lettera pubblicata sul sito di Tuta in Italiano)


La ragione? ProtectEU presenta la possibilità che la Commissione europea vieti o limiti l’uso di strumenti di comunicazione che utilizzano crittografia end-to-end, definiti “non conformi agli standard di cybersicurezza”. Un’affermazione che apre a prospettive poco rassicuranti: proprio la tecnologia che oggi garantisce riservatezza e protezione delle comunicazioni private rischia di diventare il bersaglio delle future normative europee. 

Cos’è la crittografia end-to-end (e perché andrebbe considerata un diritto)

La crittografia end-to-end (ovvero: “dall’inizio alla fine”) è un sistema che consente al mittente e al destinatario di un messaggio di comunicare in modo che nessun altro possa leggerlo, nemmeno il fornitore del servizio che consente la trasmissione.

Una forma di “busta chiusa digitale”, ormai adottata dai più noti sistemi di messaggistica, WhatsApp, Signal, ProtonMail, Tutanota e molti altri strumenti oggi entrati a far parte del nostro quotidiano.

Grazie alla crittografia, se un malintenzionato provasse a intercettare la nostra comunicazione, non avrebbe modo di decifrarla. Si comprende bene, quindi, quanto questo sistema sia essenziale per tutelare la privacy di tutti noi, e in particolare di:

  •     giornalisti e attivisti in contesti a rischio (vero, Paragon?)
  •     professionisti legali e sanitari che trattano dati sensibili
  •     chiunque eserciti un diritto di difesa, libera opinione o libertà religiosa

Non solo: se vogliamo considerarla da un punto di vista giuridico, la crittografia rappresenta un presidio di diritti fondamentali ben espressi dalle normative internazionali: 

  •     Art. 7 e 8 della Carta dei diritti fondamentali dell’UE: rispetto della vita privata e protezione dei dati personali
  •     Art. 8 della CEDU (Convenzione europea dei diritti dell’uomo): diritto alla riservatezza delle comunicazioni
  •    GDPR (Reg. 2016/679): obbligo di minimizzazione dei dati e sicurezza del trattamento

Insomma, la crittografia è l’espressione informatica di un diritto e in quanto tale è importante tutelarla.

Tuttavia, va ammesso che esiste anche un rovescio della medaglia. La crittografia, infatti fornisce anche un’involontaria protezione a chi utilizza questi strumenti per compiere reati gravi, dalla pedofilia al terrorismo. La criminalità organizzata, in particolare, sfrutta abilmente questi canali riservati sapendo di godere di una sostanziale “impunità comunicativa”, se così possiamo chiamarla. Il timore europeo verso gli utilizzi criminali di questi sistemi, pertanto, non è peregrina. 

Peregrino è sembrato però il discorso con cui Henna Virkkunen, vicepresidente esecutivo della Commissione Europea per la sovranità tecnologica, la sicurezza e la democrazia, ha presentato il progetto. Ha infatti dichiarato che “la Commissione europea intende elaborare una tabella di marcia tecnologica” per consentire “un accesso legale ed efficace ai dati per le autorità di contrasto nel 2025”, auspicando il raggiungimento di “tale obiettivo entro il 2026.

Secondo Virkunnen, nell’85% dei casi di polizia, le forze dell’ordine non hanno potuto accedere ai dati necessari per portare avanti le indagini. 

 “Il problema attuale è che le nostre forze dell’ordine stanno perdendo terreno rispetto ai criminali perché i nostri investigatori di polizia non hanno accesso ai dati”, ha aggiunto.

“Naturalmente, vogliamo proteggere la privacy e la sicurezza informatica allo stesso tempo; ed è per questo che abbiamo affermato che ora dobbiamo preparare una tabella di marcia tecnica per vigilare su questo aspetto, ma è qualcosa che non possiamo tollerare, non possiamo garantire la sicurezza perché non abbiamo gli strumenti per lavorare in questo mondo digitale (…) La proposta è di modificare l’attuale legge sulla sicurezza informatica per consentire questi cambiamenti”. 

Potete farvi un’idea più chiara vedendo il discorso integrale qui:

ProtectEU: il linguaggio ambiguo delle eccezioni

Ricapitoliamo: la Commissione UE afferma di voler “valutare soluzioni tecniche che consentano alle autorità di accedere ai dati crittografati in modo lecito”.

Tradotto: trovare un modo per aggirare la crittografia, ma solo per “i buoni” e solo “a fin di bene”.

Ma… in che modo questo potrebbe avvenire?

Creando quella che in gergo informatico viene chiamata “backdoor”, ovvero una “Porta di servizio” da cui le forze dell’ordine possano accedere alle comunicazioni crittografate e decifrarle. Detto cosi’, potrebbe sembrare una buona idea. Ma immaginatela come una vera e propria porta di servizio: se la lasciamo aperta, può  entrare chiunque, non soltanto le forze dell’ordine: potrebbero entrarci in casa anche ladri, rapinatori, spie. Come ben spiegano i detrattori, non esiste un “silver bullet”, una “pallottola d’argento” che possono sparare solo i “buoni” contro i “cattivi”: un’arma è un’arma e puo’ essere usata contro chiunque. Cosi’    

 la crittografia è o per tutti o per nessuno. 

Come spiegano gli esperti di cybersicurezza: “Se crei una backdoor, prima o poi qualcuno la troverà. E potrebbe non essere dalla parte della legge”. 

Il “caso Mark”: quando l’algoritmo sbaglia, chi paga le conseguenze?

Supponiamo che la proposta di legge passi, e che vengano realizzate le famose “backdoor”, i “buchi nel muro” da cui le forze dell’ordine (si spera, solo loro) potranno leggere i messaggi criptati. La quantità di dati da esaminare sarebbe talmente mastodontica da rendere impossibile una sorveglianza esclusivamente umana: dovrebbero subentrare dei “bot”, software di monitoraggio che già sono impiegati da social media e sistemi cloud per il rilevamento di contenuti che violano i termini d’utilizzo, come frasi che incitano al razzismo e all’odio o foto esplicite. 

Questi software spesso prendono eccezionali “tranvate”: hanno censurato il David di Michelangelo (nudo, sì, ma di marmo!), una cheesecake ai mirtilli (la salsa ai frutti di bosco scambiata per sangue) e persino bloccato l’account social di una guida turistica per la foto di un presepe (Betlemme è in Cisgiordania e le lucine delle capanne sono state scambiate per esplosioni notturne). Insomma, gli algoritmi hanno ancora molto da imparare. E delegargli la prima fase della sorveglianza backdoor non sembra un’idea geniale. 

Ecco un esempio emblematico: il caso “Mark” (il cognome è rimasto nascosto ai media).

Nel 2021, Mark, un padre di San Francisco, contatta il pediatra perché suo figlio ha un’ irritazione genitale. Ma siamo in piena pandemia e ci sono restrizioni sulla circolazione: gli viene quindi chiesto di scattare una foto ai genitali e inviarla al medico, in modo che possa farsi una prima idea e capire la gravità della situazione. Il cellulare di Mark, per impostazione, salva tutte le foto sul sistema cloud di Google (Google Foto). Qui, l’algoritmo di Google “vede” la foto, la analizza automaticamente, la etichetta come materiale pedopornografico e…

  •     lo segnala direttamente al Centro Nazionale per i bambini scomparsi e vittime di abusi (come previsto dalla legge statunitense) che a sua volta allerta subito le autorità competenti;
  •     disattiva tutti i suoi account;
  •     gli impedisce l’accesso a email, documenti, foto, contatti;
  •     gli blocca il numero di telefono.

A questo punto si attiva la polizia, quella vera. Che approfondisce, indaga e ovviamente, non trova nulla. Informa quindi Mark di stare tranquillo: il caso è stato archiviato. Immaginate però il patema d’animo dei genitori di fronte alla notizia di essere stati indagati per un crimine tanto odioso, e nei confronti dei loro stessi figli, per un errore dell’algoritmo. Senza contare il disagio per un account che è stato eliminato in via definitiva, nonostante Mark abbia sventolato a più riprese i documenti che lo assolvono da ogni accusa. 

(Qui l’articolo originale del New York Times sul caso Mark)

La scansione preventiva di immagini può essere molto utile per l’identificazione di reati pedopornografici; ma la possibilità di falsi positivi è ancora molto alta, specie nell’Era della Telemedicina. 

Il nodo giuridico: la sorveglianza preventiva è davvero compatibile con lo Stato di diritto?

Nel diritto penale europeo, l’intervento dello Stato è legittimo solo ex post, dopo la commissione di un reato, e in base al principio di legalità.

La sorveglianza “massiva” e preventiva, invece:

  •     viola il principio di proporzionalità (Corte di Giustizia UE, sentenza Schrems II)
  •     può portare a discriminazioni e abusi
  •     crea un clima di sospetto generalizzato, incompatibile con i valori democratici

Il rischio è che, pur in buona fede, l’UE si allinei ai modelli di controllo statale propri di regimi illiberali, come il sistema cinese di social scoring o i programmi dell’agenzia statunitense NSA svelati da Edward Snowden già nel “lontano” 2013.

 

Da ChatControl a ProtectEU: un déjà-vu normativo

A volte, ritornano, direbbe Romero. La proposta ProtectEU non nasce dal nulla. È, di fatto, l’erede diretta di “ChatControl”, la controversa proposta di regolamento europeo del 2022, guardacaso nata proprio per il contrasto agli abusi sui minori online.

Quel testo prevedeva l’obbligo per i fornitori di servizi digitali (chat, email, cloud) di scansionare automaticamente tutti i contenuti trasmessi dagli utenti, alla ricerca di materiale illegale. Anche i contenuti cifrati. Insomma, fare come gli americani, o quasi (qui il testo della proposta ChatControl). 

La reazione fu durissima: decine di esperti e giuristi denunciarono il rischio di violazioni sistematiche della privacy e il Parlamento europeo, dopo ampie discussioni, adottò una posizione più garantista, con forti limitazioni al ricorso a questi strumenti.

Ma la partita non è mai davvero finita. Come molti attivisti digitali hanno evidenziato, con ProtectEU “ChatControl rientra dalla finestra”, annacquata nel lessico tecnico della cybersicurezza e ripresentata in una strategia più ampia e difficile da contrastare mediaticamente.

Insomma, direbbero a Roma: ce stanno a prova’.

Ma cambiare il nome non cambia la sostanza. E il tentativo di reintrodurre una forma di sorveglianza preventiva su larga scala, stavolta senza chiamarla per nome, rende ancora più importante restare vigili.

La vera sicurezza è nei diritti, non nel controllo

ProtectEU nasce da una precisa esigenza: quella di proteggere i cittadini da minacce reali che si annidano nei meandri della Rete. Ma non possiamo combattere l’insicurezza digitale generando insicurezza giuridica: la cura rischia di essere peggiore del male. Inoltre, non dobbiamo dimenticare che le istituzioni non sono rette da entità ascetiche ma da esseri umani, e tra loro si possono trovare anche persone vendicative, manipolatrici, corrotte, o persino concentrate su occulte trame di potere, come ben insegna la Storia recente del nostro Paese. Immaginate cosa potrebbero fare, avendo accesso a tutti i nostri “album di famiglia” e carteggi digitali. 

Come giuristi, continueremo a vigilare affinché ogni innovazione normativa sia fondata sul rispetto dei principi costituzionali, e non sulla paura.

CONTATTI

TELEFONO

+39.06.98.240.069

SEDI

ROMA

VIA POMPEO MAGNO, 94 00192 ROMA

 

E-MAIL

info@morbinatilongo.it

 

POMEZIA

VIA PONTINA VECCHIA, 6 00071 POMEZIA (RM)

 

WHATSAPP

+39.392.5519.604

 

LATINA

VIA DEI SICANI, 2
04100 LATINA
Facebook Twitter Instagram Linkedin Whatsapp
© MMXXV Morbinati & Longo società tra avvocati S.p.A
Partita IVA: 14978301001 – Website by Kodobeat
Privacy Policy
Cookie Policy

CONTATTI

TELEFONO

+39.06.98.240.069
E-MAIL

info@morbinatilongo.it
WHATSAPP

+39.392.5519.604

SEDI

ROMA

VIA POMPEO MAGNO, 94 00192 ROMA
POMEZIA

VIA PONTINA VECCHIA, 6 00071 POMEZIA (RM)
LATINA

VIA DEI SICANI, 2
04100 LATINA
Facebook Twitter Instagram Linkedin Whatsapp
© MMXXV Morbinati & Longo società tra avvocati S.p.A Partita IVA: 14978301001 – Website by Kodobeat
Privacy Policy
Cookie Policy