Fondato nel 1996 da Angelo Maria Perrino
Direttore responsabile Marco Scotti

Home » Mediatech » Chat Control, il controverso regolamento Ue contro la pedopornografia. L’esperto: “Ecco perchè non può funzionare”

Chat Control, il controverso regolamento Ue contro la pedopornografia. L’esperto: “Ecco perchè non può funzionare”

Il Parlamento europeo ha prorogato la deroga al regolamento ePrivacy. Il parere dell’avvocato Giovanni Ziccardi

Chat Control, il controverso regolamento Ue contro la pedopornografia. L’esperto: “Ecco perchè non può funzionare”

Chat Control, l’esperto boccia il regolamento Ue: “Un’arma di sorveglianza di massa travestita da tutela dei minori”

Il 9 luglio il Parlamento europeo ha votato per prorogare fino al 3 aprile 2028 la deroga al regolamento ePrivacy che consente a piattaforme come WhatsApp e Messenger di scandagliare gli scambi di messaggi ed email alla ricerca di materiale pedopornografico. Una decisione che è stata, fin da subito, bersagliata da critiche. Secondo chi si oppone al testo, la misura aprirebbe la strada a una sorveglianza di massa delle comunicazioni private, in contrasto con le tutele costituzionali sulla riservatezza previste nei Paesi membri. Ma è davvero così? Ne abbiamo parlato con Giovanni Ziccardi, avvocato e professore di informatica giuridica.

Leggi anche: Ue, primo via libera al regolamento per contrastare gli abusi sui minori online, l’Italia si astiene: “No ai controlli di massa su chat private”

È mai accettabile, in una democrazia, che le comunicazioni private di milioni di cittadini vengano controllate in modo sistematico per intercettare i comportamenti di una minoranza di criminali? Dove si colloca il limite tra prevenzione e sorveglianza di massa?

In linea di principio, no. In una democrazia costituzionale non dovrebbe essere considerato normale sottoporre le comunicazioni private di un’intera popolazione a un controllo sistematico per individuare i reati commessi da una minoranza. Il limite tra prevenzione e sorveglianza di massa si supera quando il controllo non nasce da un sospetto concreto, non riguarda persone o ambienti determinati e non è autorizzato caso per caso, ma viene applicato preventivamente e indiscriminatamente a tutti. In quel momento non stiamo più cercando elementi relativi a un possibile reato: stiamo esaminando le comunicazioni di tutti nella speranza di trovarne uno. La tutela dei minori è un obiettivo fondamentale e indiscutibile. Ma proprio la gravità di questi reati richiede strumenti investigativi efficaci, precisi e giuridicamente solidi, non un’infrastruttura permanente di controllo generalizzato. Una democrazia si misura anche dalla capacità di combattere i crimini più odiosi senza rinunciare ai propri principi.

Il fatto che la misura nasca come “temporanea” e “in deroga” non è di per sé un campanello d’allarme? Quanti provvedimenti d’emergenza, nella storia recente, sono poi diventati permanenti?

È certamente un campanello d’allarme. Non perché ogni misura temporanea sia illegittima, ma perché una deroga reiterata rischia di perdere progressivamente il proprio carattere eccezionale. Nel diritto, le parole “temporaneo” ed “emergenziale” non sono garanzie sufficienti. Occorrono una scadenza effettiva, una valutazione indipendente dei risultati, dati verificabili sull’efficacia e una dimostrazione periodica della necessità della misura. Se una deroga viene prorogata più volte, senza che siano risolti i problemi originari di proporzionalità e di tutela dei diritti, l’eccezione finisce per trasformarsi in una nuova normalità.

Se oggi si crea un precedente per controllare le chat in nome della lotta alla pedopornografia, cosa impedisce domani di usare lo stesso strumento per altri reati, o peggio per controllare il dissenso politico? È uno scenario realistico o allarmistico?

Non parlerei di una conseguenza inevitabile, ma neppure di uno scenario puramente allarmistico. È un rischio istituzionale realistico, che il legislatore deve prendere sul serio. Una volta costruita un’infrastruttura capace di analizzare automaticamente le comunicazioni private, il problema non riguarda più soltanto la finalità per la quale quella tecnologia è stata introdotta. Riguarda anche le finalità alle quali potrà essere estesa in futuro. Oggi il presupposto può essere il contrasto agli abusi sessuali sui minori; domani potrebbero essere invocati il terrorismo, la criminalità organizzata, il traffico di stupefacenti, la sicurezza nazionale o altre emergenze. Il pericolo prende il nome di function creep: uno strumento nato per uno scopo circoscritto viene gradualmente utilizzato per finalità ulteriori. Le garanzie democratiche devono essere progettate tenendo conto non soltanto delle intenzioni dell’attuale legislatore, ma anche degli usi che governi futuri, compresi governi meno rispettosi dello Stato di diritto, potrebbero fare dell’infrastruttura costruita oggi. Non sostengo che l’Unione europea voglia controllare il dissenso politico. Sostengo che una democrazia prudente non dovrebbe creare strumenti tecnici che rendano possibile farlo su vasta scala.

Il diritto alla riservatezza e l’automatismo

Che valore ha, concretamente, il diritto alla riservatezza delle comunicazioni se può essere sospeso ogni volta che si invoca un fine ritenuto abbastanza grave da giustificarlo?

La riservatezza delle comunicazioni non è un diritto assoluto, ma è un diritto fondamentale. Questa distinzione è decisiva. Il fatto che un diritto possa essere limitato non significa che possa essere sospeso ogni volta che viene invocato un obiettivo importante. Le limitazioni devono essere previste dalla legge, necessarie, proporzionate, circoscritte e accompagnate da garanzie effettive. Devono inoltre rispettare il contenuto essenziale del diritto. La riservatezza non protegge soltanto chi ha qualcosa da nascondere. Protegge le relazioni familiari, il segreto professionale degli avvocati e dei medici, le fonti dei giornalisti, le comunicazioni politiche, la ricerca scientifica, la libertà personale e la sicurezza economica. È una condizione concreta della libertà, non un beneficio accessorio.

Il fatto che il controllo venga affidato a un sistema automatico, e non a un giudice o a un’autorità terza con un mandato specifico, non capovolge il principio per cui la sorveglianza dovrebbe essere l’eccezione motivata caso per caso, e non la regola applicata a tutti indistintamente?

Sì, questo è uno dei problemi centrali. Il modello tradizionale dello Stato di diritto parte da un fatto, da un sospetto o da un rischio specifico, prevede una valutazione umana e indipendente, consente una misura delimitata nel tempo e nell’oggetto, rende infine possibile controllare la legittimità dell’intervento. La scansione automatizzata generalizzata capovolge questa sequenza. Prima vengono analizzate le comunicazioni di tutti, poi un algoritmo produce una segnalazione, e soltanto in seguito, eventualmente, interviene un essere umano. Non è più il sospetto a giustificare il controllo: è il controllo indiscriminato a generare il sospetto. Inoltre, un algoritmo non comprende necessariamente il contesto nel quale un’immagine o una conversazione sono state prodotte e condivise. I falsi positivi, soprattutto nell’individuazione di materiale nuovo o di presunti comportamenti di adescamento, non sono un inconveniente marginale: possono esporre persone innocenti a segnalazioni estremamente gravi e trattare comunicazioni intime perfettamente lecite come potenziali prove di un reato.

Le posizioni contrarie

Anche il Garante europeo della protezione dei dati e il Servizio legale del Consiglio Ue hanno sollevato dubbi sulla compatibilità della misura con i diritti fondamentali: quanto pesa, dal punto di vista giuridico e istituzionale, che siano proprio organi interni all’Ue a esprimere queste riserve?

Pesa molto. Questi pareri non equivalgono automaticamente a una sentenza e non determinano da soli l’illegittimità del regolamento, ma non possono essere trattati come semplici opinioni politiche. Quelle che si occupano di protezione dei dati sono istituzioni specializzate, chiamate precisamente a valutare l’impatto delle politiche europee sulla protezione dei dati e sui diritti fondamentali. Nel loro parere hanno riconosciuto senza esitazioni la gravità degli abusi sessuali sui minori, ma hanno contemporaneamente sollevato serie preoccupazioni sulla proporzionalità delle interferenze con la vita privata, la protezione dei dati e la libertà di espressione. Anche le valutazioni del Servizio giuridico del Consiglio, pur avendo natura consultiva, sono istituzionalmente rilevanti perché segnalano ai legislatori il rischio che determinate disposizioni non superino il controllo della Corte di giustizia. Quando gli organi tecnici interni all’Unione segnalano un possibile contrasto con la Carta dei diritti fondamentali, il legislatore non dovrebbe limitarsi a prenderne atto. Dovrebbe modificare sostanzialmente la disciplina, dimostrare la necessità delle misure e costruire garanzie verificabili. Ignorare tali rilievi significherebbe anche esporre la futura normativa a un serio rischio di contenzioso e di annullamento.

In generale, la fine giustifica sempre il mezzo quando il mezzo intacca un diritto fondamentale come la riservatezza delle comunicazioni? O ci sono soglie che nessun obiettivo, per quanto nobile, dovrebbe permettere di superare?

In uno Stato di diritto il fine non giustifica mai automaticamente il mezzo. Il costituzionalismo nasce precisamente per impedire che il potere pubblico possa utilizzare qualunque strumento richiamandosi alla bontà del proprio obiettivo. Esistono soglie che non dovrebbero essere superate: la sorveglianza indiscriminata dell’intera popolazione, la compromissione strutturale della sicurezza delle comunicazioni, l’assenza di controllo indipendente, l’automatizzazione di decisioni gravemente lesive e la raccolta preventiva di informazioni su persone prive di qualsiasi collegamento con un reato. Questo non significa affermare che la riservatezza debba prevalere sempre e comunque. Significa che ogni limitazione deve superare un esame rigoroso di legalità, necessità e proporzionalità. Occorre dimostrare non soltanto che il fine sia legittimo, ma anche che il mezzo sia realmente efficace, che non esistano alternative meno invasive e che i benefici attesi siano superiori ai rischi prodotti. La protezione dei minori e la tutela della riservatezza non devono essere presentate come valori incompatibili. I minori stessi hanno diritto alla privacy, alla sicurezza delle proprie comunicazioni e alla protezione dei propri dati.

La crittografia

Dal punto di vista tecnico, è davvero possibile scansionare i contenuti di una chat cifrata end-to-end senza di fatto smantellare la crittografia stessa? Che differenza c’è tra “aggirare” la cifratura e “romperla”?

Una cifratura end-to-end autentica garantisce che il contenuto sia leggibile soltanto sui dispositivi del mittente e del destinatario. Il gestore del servizio non dispone delle chiavi necessarie per leggerlo durante il transito. Per esaminare quel contenuto vi sono, schematicamente, due possibilità. La prima è rompere o indebolire direttamente la cifratura, introducendo chiavi aggiuntive, accessi eccezionali o altre forme di recupero del contenuto. La seconda è aggirarla, analizzando il messaggio sul dispositivo prima che venga cifrato o dopo che è stato decifrato: è il cosiddetto client-side scanning. Dal punto di vista strettamente crittografico, nel secondo caso l’algoritmo di cifratura può rimanere intatto. Ma dal punto di vista della sicurezza complessiva e della promessa fatta all’utente, la differenza è molto meno rassicurante. Il messaggio viene comunque sottoposto a un controllo da parte di un sistema esterno prima di entrare nel canale cifrato. La cifratura protegge la trasmissione, ma non protegge più il contenuto dall’analisi imposta sul terminale. Per questo preferisco dire che il client-side scanning non rompe necessariamente la matematica della crittografia, ma ne aggira la garanzia fondamentale di confidenzialità. Inoltre, introduce nel dispositivo una capacità di sorveglianza che può essere vulnerabile, modificata o estesa (per cui la scansione obbligatoria sul dispositivo crea uno strumento suscettibile di abuso per la sorveglianza e la censura).

Se l’obiettivo è combattere la diffusione di materiale pedopornografico, esistono alternative tecniche o normative meno invasive per la privacy che raggiungerebbero risultati comparabili?

Esistono certamente strategie meno invasive, anche se nessuna soluzione isolata è sufficiente. La risposta dovrebbe essere composta da più misure coordinate. Occorre investire maggiormente nelle indagini mirate sulle persone e sulle reti già emerse, infiltrare gli ambienti criminali, seguire i flussi finanziari, rafforzare la cooperazione internazionale, migliorare le capacità forensi delle autorità, accelerare la rimozione dei materiali già identificati, impedire che le stesse immagini vengano continuamente ricaricate su servizi pubblici o di archiviazione, potenziare i meccanismi di segnalazione da parte delle vittime e intervenire sui servizi e sugli spazi concretamente classificati ad alto rischio. È inoltre possibile agire attraverso impostazioni protettive predefinite per i minori, limitazioni dei contatti da parte di adulti sconosciuti, strumenti di blocco e segnalazione facilmente accessibili, educazione digitale, supporto alle famiglie e tecnologie di sicurezza controllate dall’utente. Per il materiale già noto, sistemi di confronto basati su “impronte digitali” (hash) possono essere impiegati nei contesti nei quali il fornitore abbia legittimamente accesso ai contenuti, senza trasformare ogni comunicazione privata cifrata in un oggetto di ispezione. Resta invece molto più problematico affidare a sistemi probabilistici l’individuazione di materiale “nuovo” o di conversazioni di presunto adescamento. Il criterio dovrebbe essere semplice: concentrare le risorse sui soggetti, sulle infrastrutture e sui contesti a rischio, e non trattare l’intera popolazione come una realtà preventivamente sospetta.

Guardando all’equilibrio complessivo tra benefici attesi e rischi sistemici, lei ritiene che il regolamento, così come concepito, sia proporzionato rispetto all’obiettivo dichiarato?

Nelle forme che consentano, o comportino, l’analisi generalizzata delle comunicazioni private, la mia valutazione è negativa: non ritengo che la misura sia proporzionata. L’obiettivo è di massima importanza, ma la proporzionalità non dipende soltanto dalla nobiltà del fine: dipende dall’efficacia dimostrata dello strumento, dalla precisione delle tecnologie impiegate, dall’esistenza di alternative meno invasive, dalla limitazione dei destinatari e dalla qualità delle garanzie. Qui i rischi non sono ipotetici o secondari. Comprendono l’analisi preventiva delle comunicazioni di milioni di persone innocenti, la possibile compromissione della sicurezza dei dispositivi, i falsi positivi, l’esposizione di contenuti intimi, l’erosione del segreto professionale e la creazione di un’infrastruttura tecnicamente riutilizzabile per altri scopi. La mia contrarietà, quindi, non nasce da una sottovalutazione degli abusi sessuali sui minori. Nasce dalla convinzione opposta: reati tanto gravi meritano politiche investigative serie, selettive, finanziate adeguatamente e sottoposte al controllo dell’autorità giudiziaria. La sicurezza non si costruisce rendendo strutturalmente meno sicure e meno riservate le comunicazioni di tutti. La domanda decisiva non è se dobbiamo proteggere i minori. Naturalmente dobbiamo farlo. La domanda è se, per proteggerli, sia necessario costruire un sistema capace di osservare preventivamente le comunicazioni private dell’intera società. A questa domanda, allo stato attuale delle garanzie giuridiche e delle tecnologie disponibili, la mia risposta è, chiaramente, no.

LEGGI LE NEWS DI MEDIATECH