App di messaggistica costrette alla scansione dei messaggi: salta la crittografia end-to-end?

Forti dubbi si erano sollevati tra gli esperti del settore circa le prescrizioni contenute nel Digital Markets Act (DMA), la nuova normativa europea che dovrebbe entrare in vigore a primavera 2023 salvo modifiche o ulteriori rinvii.
Il legislatore ha previsto che piattaforme come WhatsApp, Telegram, iMessage e altre debbano essere rese interoperabili senza però considerare che uno scambio di dati tra app di sviluppatori completamente diversi può avere conseguenze devastanti per la sicurezza e la privacy degli utenti. Quegli stessi soggetti che si cerca di tutelare.

Oggi la Commissione Europea ha annunciato un’ulteriore nuova regolamentazione che mira a proteggere i minori dagli abusi.
Anche in questo caso le finalità sono nobili ma le conseguenze degli adempimenti di cui si parla potrebbero rivelarsi estremamente invasivi e pericolosissimi sul piano della tutela della privacy.

Stando a quanto proposto in sede europea, le applicazioni di messaggistica istantanea, comprese WhatsApp, Facebook Messenger, Telegram, Signal e così via, saranno chiamate ad analizzare selettivamente i messaggi privati degli utenti alla ricerca di materiale pedopornografico e di comportamenti equiparabili ad attività di “adescamento” di soggetti minorenni.

Matthew Green, uno dei più noti e stimati docenti di crittografia, ha condannato senza appello la scelta europea definendo il documento presentato come “il più terrificante mai visto finora. Il documento descrive il più sofisticato sistema per la sorveglianza di massa mai creato all’infuori della Cina e dell’ex Unione Sovietica. E non è un’esagerazione“.

Al professor Green fa eco Jan Penfrat (European Digital Rights) che parla di “una terribile legge sulla sorveglianza di massa del tutto inadatta a una democrazia“.

In caso di un ordine ricevuto dalle Autorità europee, aziende come quelle che gestiscono i vari servizi di messaggistica devono attivarsi per effettuare una scansione dei messaggi scambiati tra gli utenti alla ricerca di contenuti sospetti o palesemente pericolosi per i minori. Dovranno quindi essere utilizzati anche strumenti di intelligenza artificiale e di visione artificiale (o computer vision) per analizzare puntualmente il contenuto di immagini e video oltre che dei messaggi di testo.

Per le medesime finalità, ovvero nell’intento di offrire una maggior tutela ai soggetti più deboli, Apple aveva annunciato di voler scansionare il contenuto dei dispositivi iOS, iPadOS e macOS. Dopo la bordata di critiche ricevute, Apple ha deciso di accantonare il progetto – almeno per il momento -.
In quel caso, tuttavia, la scansione sarebbe avvenuta in locale, sul dispositivo dell’utente, e solo per un numero limitato di contenuti. La proposta europea, invece, agisce a un livello molto più profondo coinvolgendo tutti i fornitori dei servizi di comunicazione.

Alcuni Paesi hanno più volte chiesto ai fornitori di soluzioni per la messaggistica di aprire backdoor capaci di disattivare la crittografia end-to-end.
Ciò non è possibile perché verrebbero meno la sicurezza e la privacy di tutti gli utenti: abbiamo visto come funziona la crittografia e perché è importante usarla.

Una regolamentazione come quella sul tavolo delle Istituzioni europee ha quindi il potenziale per prendere a martellate la crittografia end-to-end: se infatti i gestori delle app di messaggistica dovranno scansionare i contenuti degli utenti come potranno farlo se le chiavi crittografiche che proteggono ogni comunicazione vengono generate e conservate sui dispositivi dei singoli utenti e non sono note al fornitore del servizio né derivabili in qualche modo?

“Non c’è modo di realizzare ciò che la proposta dell’UE cerca di imporre“, ha dichiarato alla CNBC Joe Mullin, senior policy analyst di EFF, Electronic Frontier Foundation. “Se diventasse legge la proposta sarebbe un disastro per la privacy degli utenti, non solo nell’Unione Europea ma in tutto il mondo“.

Il tutto senza parlare poi dei “falsi positivi” che una tecnologia di scansione dei contenuti dei messaggi privati potrebbe ingenerare. Già i filtri antispam hanno subìto migliorie nel corso di 20 anni e ancora oggi sono tutt’altro che perfetti (nella posta in arrivo non giungono messaggi legittimi oppure email indesiderate o addirittura pericolose superano tutti i controlli): figurarsi sistemi pensati per analizzare contenuti molto più articolati e complessi di una semplice email.