Smartphone e tablet obbligati a spiare i loro proprietari: dove si parla di spyware di Stato

Il Regno Unito sta valutando una svolta legislativa radicale nel campo della sicurezza digitale, proponendo modifiche al Children’s Wellbeing and Schools Bill che introdurrebbero l’obbligo di software di sorveglianza integrato su quasi tutti gli smartphone e tablet venduti nel Paese. La misura, se approvata, rappresenterebbe una delle più invasive regolamentazioni della privacy digitale nella storia di una democrazia occidentale.

Obbligo di sorveglianza integrata sui dispositivi mobili

Secondo la bozza delle modifiche legislative, resa pubblica da Reclaim The Net, organizzazione online indipendente che si occupa principalmente di difesa della privacy digitale, libertà di espressione e contrasto alla sorveglianza di massa su Internet, tutti i dispositivi “rilevanti” – definiti come smartphone o tablet con capacità di connessione a Internet o a reti – dovrebbero essere dotati di software tamper-proof in grado di prevenire e rilevare contenuti CSAM (Child Sexual Abuse Material).

Ciò significa che ogni foto, video o livestream gestito dal singolo dispositivo dell’utente, dovrebbe essere analizzato in tempo reale direttamente sul dispositivo stesso, anche in presenza di misure di protezione crittografica. L’operazione, pur presentata come misura a difesa dei minori, comporterebbe un sistema di scansione client-side permanente dei contenuti personali, minando l’efficacia della crittografia end-to-end e introducendo l’agghiacciante concetto di sorveglianza preventiva integrata nell’hardware.

Un confronto con dati reali provenienti da test condotti in altri Paesi, evidenzia i limiti pratici di questi. La maggior parte delle segnalazioni provenienti da client scanning è sempre fuori luogo e non contiene alcun profilo di reato. L’alto tasso di errore implica una massiccia violazione della privacy degli utenti, con foto e video legittimi segnalati alle autorità senza giustificazione legale.

Verifica dell’età e restrizioni sulle VPN

Il disegno di legge britannico introduce anche obblighi stringenti in tema di age assurance. Le modifiche prevedono:

• Blocchi ai servizi VPN per gli utenti minori, con i sistemi obbligati a determinare in modo altamente affidabile se l’utente sia un bambino.
• Obbligo per tutti i servizi regolamentati nel campo dei social media ad applicare misure di verifica dell’età efficaci per impedire l’accesso ai minori di 16 anni.

Questi interventi, combinati alle misure di sorveglianza integrata a livello di dispositivo, trasformerebbero ogni device personale in un terminale posto sotto monitoraggio costante, riducendo la privacy digitale a una “condizione da rispettare” piuttosto che a un diritto fondamentale.

Implicazioni tecnologiche e legali

Se approvata, la legge d’Oltremanica creerebbe un precedente di portata colossale sul piano della sorveglianza implementata in hardware. Diversamente dalle iniziative dell’Unione Europea, come il controverso Chat Control, che prevedono scansioni sui contenuti in transito, il modello britannico sarebbe addirittura ancora più severo. Ogni contenuto, dalle foto ai video, sarebbe analizzato senza il consenso dell’utente.

Reclaim The Net osserva che, una volta istituita una base legale per la scansione on-device, la definizione dei contenuti soggetti a controllo potrebbe essere estesa, includendo materiali diversi da quelli CSAM. La struttura tecnica per la sorveglianza permanente sarebbe già in atto, rendendo futuri abusi estremamente plausibili.

Perché la proposta di sorveglianza di massa nata a Londra è totalmente distante dalla realtà

La proposta britannica è tecnicamente fattibile, ma estremamente complessa e costosa da implementare su larga scala. Se non di fatto quasi impossibile.

Dal punto di vista tecnico, una legge che obbliga tutti i dispositivi a scansionare contenuti personali on-device è estremamente problematica. Nello scenario avanzato, il “poliziotto” sarebbero una combinazione di:

• Produttori di hardware e software: obbligati a implementare e aggiornare il software di sorveglianza su tutti i dispositivi venduti nel Regno Unito.
• Distributori e rivenditori: responsabili di garantire che i dispositivi venduti rispettino la legge.
• Forze dell’ordine britanniche e enti di regolamentazione: incaricati di monitorare la conformità, gestire i dati raccolti e rispondere ai falsi positivi.

Per forza di cose, il controllo reale dipenderebbe dai produttori. Essi dovrebbero sviluppare sistemi anti-manomissione, garantire aggiornamenti costanti e fornire report alle Autorità. All’atto pratico, ciò si tradurrebbe in una responsabilità enorme con altissimo rischio legale e tecnico.

È possibile eludere la legge usando un altro Paese?

In teoria un utente potrebbe tentare di comprare un dispositivo configurato per un altro mercato. Ad esempio smartphone con firmware destinato a Unione Europea o USA, che non include il software anti-CSAM richiesto dal Regno Unito; sfruttare VPN o servizi che mascherano la geolocalizzazione dell’utente, evitando l’applicazione di restrizioni o controlli di età.

Tuttavia, il legislatore potrebbe rispondere imponendo obblighi ai produttori globali: qualsiasi dispositivo venduto fisicamente o online nel Regno Unito dovrebbe avere la funzione di monitoraggio attiva. Ma ciò aumenterebbe enormemente i costi di produzione e gestione della logistica, rendendo l’implementazione “per Paese” complessa e poco scalabile.

È teoricamente possibile che un produttore crei versioni firmware dedicate per il mercato UK, con software anti-CSAM obbligatorio e age verification. Ma ciò introduce problemi commerciali enormi: molti produttori vendono dispositivi globali; avere versioni diverse per singoli Paesi è costoso e logisticamente complicato.

Aggiornamenti e patch di sicurezza diventerebbero complicati: ogni versione nazionale richiederebbe manutenzione separata. L’utente potrebbe comunque flashare firmware stranieri, aggirando i vincoli software e rendendo la legge difficilmente applicabile al 100%.

Ancora una volta il legislatore è lontano dalla realtà e non comprende o fa finta di non capire che questa non è e non può mai essere la soluzione. Le soluzioni efficaci combinano educazione digitale, moderazione mirata sui servizi online, strumenti volontari di segnalazione e supporto alle forze dell’ordine, senza compromettere la crittografia e la privacy degli utenti. Quanto sostenuto da centinaia di esperti rispetto a Chat Control in Europa vale anche per le aberranti novità del Regno Unito.