Il nome ufficiale sarebbe Csar (Child Sexual Abuse Regulation), ma i suoi critici lo hanno ribattezzato più semplicemente “Chat Control”. Il controverso regolamento europeo ha mosso i primi passi nel 2022 ed è arrivato ora a una fase decisiva, in cui i membri dell’Unione Europea dovranno decidere se sostenere o meno la nuova legge.In gioco c’è il futuro dei servizi di comunicazione su internet e, in particolare, del livello di privacy che potranno continuare a garantire. L’impatto della sua approvazione su servizi come Whatsapp, Messenger, Telegram, iMessage e Signal, che fino a oggi garantiscono un sistema di comunicazione orientato alla riservatezza dei dati, potrebbe essere devastante.Una backdoor di stato nelle chatL’obiettivo del regolamento è quello di fissare una serie di obblighi per i fornitori di servizi internet per contribuire al contrasto della diffusione di materiale pedopornografico online. Se per quanto riguarda i gestori dei servizi di hosting e gli internet provider non c’è nulla di particolarmente nuovo, il tasto dolente riguarda i servizi di messaggistica.A questi, infatti, verrebbe imposto di adottare “misure tecnologiche” che permettano di individuare, bloccare e segnalare l’invio di contenuti pedopornografici. Un’attività che, però, si scontra frontalmente con i sistemi di crittografia end-to-end, considerati ormai come uno strumento irrinunciabile per garantire la privacy degli utenti. I sistemi di crittografia delle varie applicazioni come Whatsapp garantiscono infatti che i messaggi siano leggibili sono dai singoli utenti, rendendo impossibile anche per i gestori dei servizi accedere ai contenuti.Non a caso, la proposta di regolamento è stata immediatamente letta come un modo per smantellare questo tipo di piattaforme, nei confronti delle quali molti governi (europei e non) dimostrano da tempo una certa allergia. L’accusa è che, respinti i tentativi di proibire la crittografia end-to-end, quella della lotta alla pedopornografia sia una scusa per indebolirne l’efficacia.Le prime versioni della proposta di regolamento, infatti, prevedevano modifiche tali da pregiudicare l’efficacia dei sistemi di crittazione. Come hanno fatto notare i portavoce delle aziende interessate e tutti gli esperti di sicurezza informatica, la previsione di una backdoor che consenta di aggirare la crittografia è un assist clamoroso per i cyber criminali e per chiunque (regimi autoritari in testa) possa aver interesse a spiare le comunicazioni degli utenti. La logica è semplice: se si apre una porta nella fortezza, la sua sicurezza è inevitabilmente compromessa e non importa quanti sforzi si facciano per sorvegliare l’accesso.La verifica “a monte”Lo stallo nel percorso di approvazione del regolamento Chat Control ha portato a un tentativo di compromesso e a una nuova versione della proposta di regolamento che, almeno in teoria, vorrebbe introdurre sistemi di controllo senza intaccare la riservatezza delle comunicazioni. L’idea, in pratica, è quella di passare la patata bollente nelle mani degli operatori, obbligandoli a introdurre sistemi di verifica dell’età degli utenti e strumenti che consentano di individuare i materiali pericolosi prima che questi siano inviati. In altre parole, il controllo dei contenuti avverrebbe direttamente sul dispositivo prima che venga crittografato.In questo modo, secondo gli estensori della proposta, si escluderebbe un’analisi sui server e il conseguente smantellamento della protezione crittografica. Ma è possibile farlo? Comunque la si veda, i problemi tecnici e di privacy non mancano. Secondo il nuovo testo, il rilevamento dovrebbe riguardare tre tipi di materiali: i contenuti pedopornografici già noti, i contenuti nuovi e i tentativi di adescamento nei confronti di minori. Ognuna di queste attività pone problemi specifici.Caccia a immagini e video con l'AIPer quanto riguarda i contenuti già conosciuti, l’idea è quella che venga predisposto un database che li identifichi attraverso hash, cioè un’operazione crittografica che permette di identificare un’immagine o un video con un codice univoco, più o meno come fanno i software antivirus per identificare i malware. Da un punto di vista tecnico, si tratta di una funzionalità piuttosto semplice da implementare, ma il suo utilizzo apre comunque a qualche preoccupazione sotto il profilo della privacy e dei possibili abusi.Dal momento che il database sarebbe gestito centralmente dai singoli paesi, l’ipotesi che un sistema del genere possa essere utilizzato per individuare chi condivide contenuti “sgraditi” al governo di turno, per esempio, è tutt’altro che remota. Le cose cambiano ulteriormente per quanto riguarda i contenuti “nuovi”. In questo caso l’unica soluzione sarebbe quella di una verifica tramite algoritmi di AI e, come prevedibile, i problemi diventano numerosi.Prima di tutto perché l’analisi basata su intelligenza artificiale, almeno per il momento, avviene principalmente su cloud. Le immagini, quindi, dovrebbero essere inviate (in chiaro) su un server, essere analizzate dall’algoritmo per avere il nulla osta e poi crittografate e inviate al contatto. Insomma: addio a privacy e sicurezza. L’ipotesi di un’elaborazione direttamente sul dispositivo, anche se tecnicamente possibile, richiederebbe invece requisiti hardware e software che non tutti i device hanno. Infine, c’è il tema dell’affidabilità dell’AI. Quanti errori ci si può aspettare e quale impatto può avere un “falso positivo” nella sfera personale di un cittadino europeo vittima di un errore o dell’ennesima allucinazione dell’algoritmo?Il problema dell'adescamentoAncora più intricata la questione legata al cosiddetto grooming, cioè all’adescamento dei minori tramite piattaforme di messaggistica. Qui ci sono le maggiori perplessità. Il regolamento non lo specifica ma, più che di immagini o video, si tratterebbe di analizzare i singoli messaggi di testo. Se così fosse, partendo dal presupposto che si voglia affidare il controllo all’AI, i problemi di cui sopra tornano tutti e addirittura amplificati. Prima di tutto perché l’analisi dei testi su cloud rende perfettamente inutile l’uso della crittografia end-to-end. Una copia di tutti i messaggi, infatti, dovrebbe finire su qualche server con garanzie di sicurezza decisamente inferiori.Per quanto riguarda il rischio di falsi positivi, poi, l’asticella si alza all’inverosimile con ulteriori impatti per la privacy. Nel regolamento, per esempio, si sollecita un “intervento umano” nei casi in cui possano verificarsi falsi positivi e, in particolare, nei casi di sospetto adescamento. Questo significa che un impiegato di una qualsiasi big tech sarebbe autorizzato a leggere le conversazioni degli utenti per controllare se sono dei pedofili, con tutte le ricadute del caso a livello di privacy.Il rilevamento dei tentativi di adescamento, inoltre, dovrebbe essere applicato (art. 7 comma 7) “solo alle comunicazioni interpersonali quando uno degli utenti è un utente minore”. Questo significa che tutte le piattaforme devono introdurre un sistema di verifica dell’età in grado di individuare gli utenti minorenni. Si tratta di una delle iniziative promosse dalla Commissione Europea, e che sta già creando parecchi grattacapi a tutte le autorità competenti a livello nazionale.Adesione volontaria, ma solo di facciataLa lettera del regolamento fissa, come primo obiettivo, “l’obbligo a carico dei prestatori dei servizi della società dell'informazione interessati di ridurre al minimo il rischio che i loro servizi siano usati impropriamente a fini di abuso sessuale su minori online” e, in apparenza, lascia un certo margine di discrezionalità agli operatori del settore. Solo in apparenza, però. Come si legge nella proposta di regolamento, infatti, le autorità nazionali possono imporre l’adozione di strumenti di “rilevamento” sulla base delle caratteristiche della piattaforma. I criteri elencati lasciano pochi dubbi: vi rientrano per lo meno tutte le piattaforme di messaggistica online.Anche la libertà di scegliere gli strumenti tecnologici da adottare ha dei grossi limiti. Se le “autorità nazionali” non li ritengono adeguati, possono chiedere di migliorare gli strumenti e, in caso di inadempienza, erogare sanzioni che possono arrivare fino al 6 % del reddito o fatturato globale annuo. Insomma: quella che si prefigura è al massimo un’estenuante contrattazione in cui, prima o poi, la spunterà in ogni caso il governo.Ora la partita si giocherà tra i due fronti contrapposti all’interno dell’Unione, con paesi che si sono schierati decisamente a favore del provvedimento (come la Danimarca, attualmente presidente del Consiglio Europeo) e chi vi si oppone o mantiene posizioni più caute. Il voto in merito è pianificato per il prossimo 14 ottobre. Se la bozza del regolamento dovesse essere approvata, verrà avviata un negoziato con il Parlamento Europeo (decisamente più critico) per arrivare a un testo condiviso.