Backdoor governativa nelle applicazioni di messaggistica istantanea: di cosa si tratta

Online Safety Bill (OBSIn Europa si parla di Chat Control 2.0. Così è soprannominata un’iniziativa di legge che mira a obbligare le applicazioni di messaggistica ad aprire le chat private degli utenti alla ricerca di contenuti sospetti. Di fatto si tratta di un backdoor governativa approvata dal Parlamento britannico con il nome di Online Safety Bill (OBS).

Il legislatore presenta OBS come un prezioso strumento che farà del Regno Unito il Paese più sicuro per svolgere attività online. In realtà, come osserva Electronic Frontier Foundation (EFF), la situazione sembra ben diversa.

Una clausola contenuta nella norma appena approvata autorizza Ofcom, ente britannico che si occupa di regolamentazione delle telecomunicazioni, di notificare un avviso che richiede alle aziende tecnologiche di scansionare i contenuti dei rispettivi utenti, nessuno escluso, alla ricerca di contenuti pedopornografici. Si tratta di una backdoor governativa perché, usando le prescrizioni normative, le Autorità possono obbligare WhatsApp, Telegram, Facebook, Microsoft, Google e le altre aziende che gestiscono sistemi di messaggistica a condividere i contenuti in transito sugli stessi.

La scansione dei messaggi lato client è una backdoor governativa

Non c’è crittografia end-to-end che tenga: se infatti i contenuti che transitano da un dispositivo all’altro sono cifrati in maniera tale che né il gestore della piattaforma né soggetti terzi possano monitorarli, leggerli o modificarli, le app di messaggistica hanno gli strumenti per gestire arbitrariamente i messaggi salvati in locale, sui device personali degli utenti.

Vi ricordate delle accuse a WhatsApp che sostenevano come alcuni messaggi non fossero protetti end-to-end? Ebbene, WhatsApp ha chiarito che quando un utente segnala un contenuto sconveniente che viola i termini di utilizzo della piattaforma, una copia del messaggio stesso viene effettivamente inviata all’azienda in modo che possa analizzarlo e prendere eventualmente provvedimenti. È l’unico caso, a detta di WhatsApp, in cui viene meno la cifratura end-to-end perché il messaggio è recuperato direttamente dal telefono dell’utente.

OBS e Chat Control 2.0 poggiano proprio su questo concetto: come evidenziato da diversi studiosi, la scansione lato client del contenuto dei messaggi equivale a “Bugs in Our Pockets“. Un’attività che mina la privacy e la sicurezza di tutti.

Come osserva EFF, OBS e provvedimenti similari aprono le porte a backdoor di Stato se gli enti pubblici improvvisamente hanno il potere di obbligare i vari servizi di messaggistica ad aggiungere meccanismi di controllo e sistemi di inoltro dei contenuti alle rispettive app.

OBS non interessa solo i britannici ma qualunque altro utente

Inutile dire che una disposizione come quella appena accolta nel Regno Unito non ha effetto soltanto sui cittadini britannici ma, potenzialmente, su qualunque altro utente. Anche al di fuori dei confini del Paese. Se un italiano dialoga con un utente inglese attraverso un software di messaggistica destinatario del provvedimento, i suoi messaggi possono ugualmente essere girati alle Autorità competenti nel Regno Unito.

WhatsApp e “soci” possono certamente adeguarsi a un provvedimento di legge solamente per gli utenti che risiedono nello specifico Paese. Ma è altrettanto vero che le chat possono essere composte da messaggi che arrivano da utenti residenti fuori dai confini di una nazione.

Anche in questo caso, l’app di messaggistica potrebbe filtrare i contenuti che provengono da utenti non britannici. Ad esempio controllando il prefisso internazionale ad oggi richiesto per la registrazione su molte piattaforme di messaggistica istantanea o verificando altre informazioni (indirizzo IP pubblico). Il sistema, tuttavia, appare cervellotico e assolutamente fuori luogo, soprattutto perché va ad impattare negativamente e in maniera molto pesante sulla sfera privata di ogni singolo cittadino.

E se l’uso di Signal, Tor, Tails e altri software è assimilato a un comportamento terroristico, come accaduto in Francia, c’è da aspettarsi di tutto. Anche nel nostro Paese, dove il diritto all’anonimato è sancito dalla Dichiarazione dei diritti in Internet, approvata dal Parlamento nel 2015.

Credit immagine in apertura: iStock.com/oatawa