La Gran Bretagna deve aggiornare il suo "libro dei giochi per dittatori"! Il disegno di legge sulla sicurezza online è appena passato - con la possibilità di rompere la crittografia in qualsiasi momento.
Il disegno di legge britannico sulla sicurezza online contiene una clausola che consente ai politici di compromettere la crittografia, ora o in futuro.
Dopo molti anni di dibattiti, il criticatissimo Online Safety Bill sarà approvato nelle prossime settimane, con enormi conseguenze sulle modalità di accesso ai servizi online da parte dei cittadini britannici.
Durante una delle ultime letture alla Camera dei Lord, il governo di Sunak ha fatto marcia indietro, confermando che non intende infrangere la crittografia e che richiederà alle app di messaggistica di scansionare i contenuti illegali solo quando ciò sarà “tecnicamente fattibile”.
Questa dichiarazione è stata salutata come una “vittoria” dai sostenitori della privacy. C’è stato un minuto di speranza che la Gran Bretagna riscrivesse il cosiddetto libro dei giochi dei dittatori. Per esempio, l’esperto di sicurezza Alec Muffett ha twittato:
“QUI, ORA, IN TERMINI DI POLITICA, RICONOSCIAMO UNA COSA: dopo anni - soprattutto dopo le spacconate degli ultimi 6 mesi - il fatto che il governo riconosca l’intrattabilità della scansione lato client è una vittoria ENORME”.
E Meredith Whittaker di Signal ha twittato:
“WOW. Sono commossa, un po’ sbalordita e soprattutto sinceramente grata a coloro che si sono uniti per garantire la luce del sole sulla pericolosa clausola OSB Spy e a coloro che nel governo britannico hanno sintetizzato i fatti e agito di conseguenza”.
”Sapevo che dovevamo lottare. Non sapevo che avremmo win❤️🙏“.
Tuttavia, Meredith aggiunge anche:
“Naturalmente non si tratta di una vittoria totale. Ci sarebbe piaciuto vedere questo nel testo della legge stessa. Ma si tratta comunque di un risultato enorme e, nella misura in cui le linee guida per l’attuazione avranno la forza di plasmare il quadro di attuazione dell’Ofcom, si tratta, ancora una volta, di un risultato molto grande e molto positivo”.
Perché, cosa fondamentale, mentre il governo ha detto che non avrebbe costretto le aziende tecnologiche a violare la crittografia, questa frase non è stata inserita nella legislazione modificata. Quel che è peggio è che i rappresentanti del governo hanno detto che non avrebbero sparato fino a quando non fosse stato “tecnicamente fattibile”.
Stephen Parkinson, sottosegretario di Stato per le Arti e il Patrimonio, ha dichiarato alla Camera dei Lord: Le aziende non saranno tenute a scansionare i messaggi criptati fino a quando non sarà “tecnicamente fattibile e laddove la tecnologia sia stata accreditata come rispondente a standard minimi di accuratezza nell’individuare solo contenuti di abuso e sfruttamento sessuale di minori”, citando direttamente anche la controversa clausola 122 dell’Online Safety Bill:
“Se non esiste una tecnologia appropriata che soddisfi questi requisiti, l’Ofcom non potrà utilizzare la clausola 122 per richiederne l’uso”.
Quale tecnologia può scansionare il CSAM?
Sebbene il governo britannico abbia ammesso che attualmente non esiste una tecnologia per la scansione di materiale pedopornografico che non violi il diritto umano alla privacy, sta comunque studiando tale tecnologia. Quando si discute delle opzioni, il più delle volte i politici parlano di scansione lato client, che è anche oggetto di attenzione da parte dell’UE come il “santo Graal” per le forze dell’ordine.
I servizi che utilizzano la crittografia Ende-zu-Ende garantiscono che solo il mittente e il destinatario possano vedere il contenuto dei messaggi. Per poter decidere se i messaggi contengono materiale CSA, sarebbe necessario scansionare i dati localmente sui dispositivi delle persone in modo che possano essere inviati con la crittografia Ende-zu-Ende. I dati scansionati dovrebbero essere confrontati con un set di dati su un altro server, cosa che di fatto romperebbe la crittografia Ende-zu-Ende e violerebbe la privacy delle persone.
Poiché la scansione e il rispetto del diritto alla privacy sono sostanzialmente impossibili, Apple ha abbandonato il progetto di sviluppare la scansione lato client per iCloud, affermando di non essere in grado di far funzionare il processo di scansione senza violare la privacy degli utenti.
In definitiva, oggi non esiste una tecnologia praticabile per la scansione di materiale di abuso su dati criptati.
Vittoria per la privacy?
Eppure gli attivisti per la privacy rivendicano una vittoria. Ad esempio, Wired ha scritto:
“La Gran Bretagna ammette la sconfitta nella controversa lotta alla crittografia: Il governo britannico ha ammesso che la tecnologia necessaria per scansionare in modo sicuro i messaggi criptati inviati su Signal e WhatsApp non esiste, indebolendo la sua controversa legge sulla sicurezza online”.
In parte si tratta di una vittoria, perché - almeno per ora - la cosiddetta “clausola spia” del disegno di legge britannico sulla sicurezza online, che avrebbe imposto alle app di messaggistica di rompere la crittografia Ende-zu-Ende per poter scansionare il materiale di abuso, non sarà più applicata.
Alla fine, dopo mesi di convincimento da parte di esperti di sicurezza e privacy, il governo ha ammesso che la tecnologia per scansionare in modo sicuro i messaggi criptati alla ricerca di segni di materiale pedopornografico (CSAM) senza compromettere la privacy degli utenti, non esiste ancora.
Tuttavia, altri esperti di privacy non sono così ottimisti. Matthew Hodgson, amministratore delegato e cofondatore di Element, un’applicazione di messaggistica decentralizzata con sede nel Regno Unito, ha dichiarato che:
Non si tratta di un cambiamento, ma di un’operazione di ripiego”.
”È importante solo ciò che è scritto nella legge. La scansione è fondamentalmente incompatibile con le app di messaggistica crittografate Ende-zu-Ende. La scansione aggira la crittografia per effettuare la scansione, esponendo i messaggi agli aggressori. Quindi tutto ciò che significa ‘finché non è tecnicamente fattibile’ è aprire la porta alla scansione in futuro piuttosto che alla scansione oggi”.
Un portavoce dell’organizzazione di campagne Index on Censorship ha dichiarato:
“Il disegno di legge sulla sicurezza online, nella sua attuale stesura, è ancora una minaccia per la crittografia e come tale mette a rischio tutti, dai giornalisti che lavorano con gli informatori ai comuni cittadini che parlano in privato. Abbiamo bisogno di emendamenti urgenti per proteggere il nostro diritto alla libertà di parola online”.
Un altro esperto, Martin Albrecht, professore di cybersecurity al King’s College di Londra e critico della clausola 122 del disegno di legge sulla sicurezza online, ha dichiarato di non vedere alcun modo in cui una tecnologia di scansione dei messaggi possa essere “fattibile”. Come potrebbe una tale tecnologia essere in grado di scansionare accuratamente solo il materiale di abuso, proteggendo al contempo la privacy delle persone?
Albrecht ha dichiarato al Guardian:
“Sono sollevato nel vedere che il governo accetta il consenso scientifico sul fatto che non esiste la tecnologia per scansionare i messaggi criptati senza violare la privacy degli utenti”. Tuttavia, non è chiaro quale test il governo intenda applicare per decidere se la tecnologia sia fattibile in futuro”.
Poiché il governo non ha modificato la formulazione del disegno di legge, l’opzione di costringere le aziende a eseguire la scansione in un secondo momento esiste ancora. L’autorità di regolamentazione dei media Ofcom ha ancora il potere di dichiarare qualsiasi tecnologia abbastanza buona per il compito di scansionare i contenuti di abuso rispettando il diritto alla privacy delle persone - se la tecnologia può effettivamente raggiungere questo obiettivo o meno non ha importanza.
La legge sulla sicurezza online romperà la crittografia?
Ascoltando attentamente i politici e le loro dichiarazioni sul disegno di legge sulla sicurezza online, il piano attuale è di non rompere la crittografia, ma questo potrebbe essere solo un servizio a parole.
Il Ministro per la tecnologia e l’economia digitale, Paul Scully, ha dichiarato:
“La nostra posizione su questo tema non è cambiata ed è sbagliato suggerire il contrario. La nostra posizione sulla lotta agli abusi sessuali sui minori online rimane ferma e siamo sempre stati chiari sul fatto che il disegno di legge adotta un approccio misurato e basato su prove”.
Questo significa che: Il governo britannico vuole ancora analizzare ogni messaggio e ogni testo inviato, indipendentemente dal fatto che sia criptato Ende-zu-Ende o meno.
Se il disegno di legge sulla sicurezza online verrà approvato nella sua forma attuale, l’Ofcom sarà in grado di “ordinare alle aziende di utilizzare, o di fare del proprio meglio per sviluppare o procurarsi, una tecnologia per identificare e rimuovere i contenuti illegali di abusi sessuali su minori - cosa che sappiamo essere possibile”, ha dichiarato Scully.
Alla fine, tutto ciò che abbiamo è una promessa. Il governo britannico ha dichiarato che non obbligherà le app di messaggistica a utilizzare una tecnologia non provata per la scansione di materiale pedopornografico, o CSAM, ma i poteri per farlo sono ancora nel disegno di legge. Il governo può cambiare idea in qualsiasi momento.
Le pressioni delle aziende tecnologiche
Il nuovo tono del governo britannico è dovuto alle forti pressioni delle aziende tecnologiche. Ad esempio, WhatsApp e Signal hanno minacciato di lasciare il Regno Unito in caso di approvazione del disegno di legge sulla sicurezza online, poiché non intendono indebolire o interrompere la loro crittografia Ende-zu-Ende per conformarsi alla legislazione britannica.
Noi di Tutanota non accetteremo la legge sulla sicurezza online.
Noi di Tutanota abbiamo adottato un approccio diverso, dichiarando che non lasceremo il Regno Unito, ma che il Regno Unito dovrà bloccare l’accesso a Tutanota, proprio come la Russia e l’Iran.
Ci concentriamo sulla sicurezza e sulla privacy dei nostri utenti, ora e in futuro. Invece di pensare a come rompere o aggirare la crittografia, la rendiamo più forte investendo già nella crittografia sicura post-quantistica.
In quanto esperti di tecnologia, comprendiamo la necessità di una crittografia Ende-zu-Ende e, in quanto combattenti per la libertà, preferiamo lottare in tribunale contro la legge sulla sicurezza online, piuttosto che intervenire sulla nostra crittografia integrata che protegge i dati di milioni di utenti in tutto il mondo. Non abbiamo ceduto alla Cina o all’Iran che già bloccano l’accesso a Tutanota e non lo faremo per il Regno Unito.
La nostra passione è combattere per il vostro diritto alla privacy.
Sintesi del disegno di legge sulla sicurezza online
Cos’è il disegno di legge sulla sicurezza online?
L’Online Safety Bill mira a rendere il Regno Unito lo spazio più sicuro online. Il disegno di legge obbliga le piattaforme a rimuovere i contenuti illegali, come il materiale pedopornografico, e a rimuovere i contenuti vietati in base alle loro stesse condizioni.
Il disegno di legge contiene una serie di nuove leggi con l’obiettivo di proteggere bambini e adulti online. Le aziende di social media dovrebbero assumersi maggiori responsabilità sui contenuti pubblicati sui loro siti e rimuovere più rapidamente i contenuti illegali.
La prima bozza del disegno di legge sulla sicurezza online è stata pubblicata nel maggio 2021 ed è molto probabile che la forma attuale del disegno di legge venga approvata nell’autunno 2023.