Matthias Pfau, CEO di Tuta, avverte che se l’UE continua su questa strada, rischia di perdere le aziende innovative e orientate alla privacy e la fiducia dei suoi cittadini:

“Una crittografia forte è essenziale per proteggere i diritti umani e l’infrastruttura digitale europea. Qualsiasi tentativo di concedere alle forze dell’ordine un accesso eccezionale introdurrebbe pericolose vulnerabilità. Non esiste una “pallottola d’argento” tecnica, l’accesso ai soli “buoni” non è possibile. Le cosiddette soluzioni come la scansione lato client minano la crittografia e aprono una porta sul retro per tutti, anche per gli attori criminali e la sorveglianza sponsorizzata dallo Stato. Esortiamo i leader dell’UE a non indebolire mai la sicurezza nel definire la Technology Roadmap sulla crittografia”, afferma Matthias Pfau, CEO di Tuta Mail.

La crittografia è fondamentale per la sicurezza di tutti e indebolirla può avere conseguenze devastanti, come hanno dimostrato i recenti attacchi ai provider di telecomunicazioni statunitensi da parte di hacker cinesi. Si è trattato di una delle peggiori violazioni della sicurezza nella storia degli Stati Uniti, possibile solo perché questi sistemi di telecomunicazione obsoleti non utilizzano la crittografia Ende-zu-Ende. In seguito all’hacking di Salt Typhoon, le forze armate svedesi e l’agenzia americana per la sicurezza informatica e delle infrastrutture (CISA) hanno raccomandato Signal, un’alternativa a WhatsApp con crittografia Ende-zu-Ende, per proteggere le comunicazioni sensibili.

Noi di Tuta sosteniamo che le backdoor alla crittografia non devono essere consentite, perché i malintenzionati ne abuseranno.

Punti chiave per opporsi a ProtectEU

• Minaccia ai diritti fondamentali e alla sicurezza: Il piano dell’UE per lo sviluppo di una roadmap tecnologica sulla crittografia include l’idea di consentire alle forze dell’ordine l’accesso ai dati crittografati.

• Tecnicamente impossibile: Gli esperti di crittografia sottolineano che è impossibile fornire tale accesso senza indebolire la crittografia; qualsiasi “accesso eccezionale” introduce vulnerabilità sfruttabili da attori malintenzionati e regimi autoritari.

• Soluzioni sbagliate: Proposte come la scansione lato client non rispettano la privacy, consentono la sorveglianza di massa e aumentano il rischio di violazioni della sicurezza.

• La crittografia deve essere Ende-zu-Ende: Una crittografia forte è fondamentale per salvaguardare i diritti umani e la sicurezza delle infrastrutture digitali in tutta Europa.

Turn ON Privacy in one click.

Get

---

Lettera aperta all’UE del 26 maggio 2025

89 organizzazioni della società civile, aziende ed esperti di sicurezza informatica chiedono alla Commissione europea di sostenere una crittografia forte.

In sintesi, la lettera aperta di ProtectEU vuole assicurarsi che i diritti umani siano rispettati e mantenuti e che l’Unione Europea mantenga il suo riconoscimento mondiale come mercato informatico in cui la protezione dei dati è garantita. Con la nostra lettera aperta, sottolineiamo che:

• La crittografia forte non è un ostacolo alla sicurezza dell’UE, ma un prerequisito per essa, posizionando l’uso diffuso della crittografia Ende-zu-Ende come strumento per promuovere la sicurezza informatica e la resilienza dell’UE nell’attuale contesto geopolitico.

• La crittografia è vantaggiosa per l’UE e per i suoi cittadini; è necessaria per rafforzare la difesa informatica in linea con le attuali strategie di sicurezza dell’Unione europea.

Egregi Henna Virkkunen, Vicepresidente esecutivo per la Sovranità tecnologica, la sicurezza e la democrazia, e Magnus Brunner, Commissario per gli Affari interni e la migrazione

Le sottoscritte organizzazioni della società civile, le aziende e gli esperti di sicurezza informatica, compresi i membri della Global Encryption Coalition, condividono con urgenza le loro preoccupazioni riguardo agli aspetti della Strategia europea di sicurezza interna (Protect EU) recentemente annunciata, a causa del suo potenziale impatto sulla crittografia Ende-zu-Ende.

Il 1° aprile la Commissione europea ha presentato la sua nuova strategia quinquennale, ProtectEU, per affrontare le elevate preoccupazioni in materia di sicurezza dell’Unione europea nel mezzo di un panorama geopolitico in rapida evoluzione. La strategia include l’intenzione della Commissione europea di sviluppare una “Roadmap tecnologica sulla crittografia, per identificare e valutare soluzioni tecnologiche che consentano alle autorità di polizia di accedere ai dati crittografati in modo lecito”.

Pur riconoscendo l’importanza di elevare gli sforzi per la sicurezza nei momenti di maggiore instabilità geopolitica, siamo preoccupati dall’impostazione della roadmap tecnologica. Le agenzie governative di altre parti del mondo incoraggiano attivamente un maggiore utilizzo della crittografia Ende-zu-Ende, non un minore, per proteggere l’integrità del cyberspazio dalle crescenti minacce alla sicurezza. La crittografia forte, compresa la crittografia Ende-zu-Ende, è uno strumento fondamentale di sicurezza informatica che protegge l’Unione Europea da attacchi informatici, minacce ibride, spionaggio e attacchi alle infrastrutture critiche.

La stessa Commissione europea ha riconosciuto la necessità di intensificare gli sforzi e gli investimenti per proteggere l’integrità del cyberspazio, come risulta dalla direttiva riveduta sulla sicurezza delle reti e dell’informazione (NIS2). La direttiva riveduta introduce l’obbligo per le piattaforme e i fornitori di servizi di attuare misure di gestione del rischio di cybersecurity adeguate e proporzionate, compresa la crittografia, per proteggere la riservatezza, l’integrità e la disponibilità dei loro sistemi e servizi. Il Garante europeo della protezione dei dati fa eco a questo messaggio, affermando che “le restrizioni alla crittografia comportano rischi significativi per l’economia e la società in generale”.

Tuttavia, in questo contesto, siamo profondamente preoccupati dal fatto che la Commissione continui a concentrarsi sull’individuazione di modi per indebolire o aggirare la crittografia. Ciò mina i suoi stessi obiettivi di sicurezza nell’ambito della strategia ProtectEU, che sottolinea l’importanza della resilienza e della preparazione di fronte a minacce informatiche sempre più sofisticate. L’indebolimento della crittografia indebolisce le fondamenta stesse delle comunicazioni e dei sistemi sicuri, rendendo individui, aziende e istituzioni pubbliche più vulnerabili agli attacchi.

Gli sforzi passati e in corso nell’Unione Europea per concedere alle forze dell’ordine l’accesso ai dati criptati si sono concentrati principalmente sulla scansione lato client, una tecnologia che aggira la crittografia scansionando i dispositivi dell’utente prima che il meccanismo di crittografia abbia inizio. La scansione non solo viola le promesse della crittografia Ende-zu-Ende, ma crea anche vulnerabilità che potrebbero essere sfruttate da criminali e attori statali ostili. Gli esperti tecnici concordano ampiamente sul fatto che gli strumenti di elusione della crittografia creano nuovi rischi che minacciano la sicurezza nazionale, preoccupazioni recentemente ribadite dalle autorità degli Stati membri in Svezia e nei Paesi Bassi. La Corte europea dei diritti dell’uomo e l’Agenzia dell’Unione europea per i diritti fondamentali hanno sottolineato che i requisiti di legge che “indeboliscono il meccanismo di crittografia per tutti gli utenti” sarebbero sproporzionati ai sensi della Carta dei diritti fondamentali dell’UE.

La roadmap tecnologica annunciata dalla Commissione europea rispecchia gli sforzi compiuti da altri governi per individuare strumenti di elusione della crittografia, come la “Safety Tech Challenge” del Regno Unito, che si è impegnata a finanziare strumenti di prova per prevenire e individuare materiale pedopornografico in ambienti crittografati Ende-zu-Ende. Nel caso degli sforzi del Regno Unito, il revisore terzo indipendente selezionato, REPHRAIN, ha riscontrato che nessuna delle prove di concetto risultanti soddisfaceva il suo quadro di valutazione per i diritti umani, la sicurezza, la responsabilità e altri criteri. Riteniamo che un approccio simile da parte dell’UE produrrebbe gli stessi risultati, sprecando risorse preziose.

Chiediamo alla Commissione europea di:

• Riconoscere che la crittografia forte non è un ostacolo alla sicurezza dell’UE, ma un prerequisito per essa, posizionando l’uso diffuso della crittografia Ende-zu-Ende come strumento per promuovere la sicurezza informatica e la resilienza dell’UE nell’attuale contesto geopolitico.

• Riformulare la Roadmap tecnologica sulla crittografia, evidenziando i vantaggi della crittografia e identificando le aree di maggiore utilizzo per rafforzare la difesa informatica in linea con le strategie di sicurezza esistenti dell’Unione europea.

• Sviluppare la Roadmap tecnologica attingendo a un’ampia gamma di prospettive, non solo quelle delle forze dell’ordine, ma anche degli esperti di sicurezza informatica, della società civile, dei sostenitori dei diritti digitali e delle aziende private. Qualsiasi futura roadmap che aspiri a essere credibile ed equilibrata deve considerare la fattibilità di ogni potenziale capacità tecnologica e il suo impatto sociale, tecnico e legale.

Vi preghiamo di indirizzare la vostra risposta a Callum Voge, Direttore degli Affari Governativi e dell’Advocacy della Internet Society(voge@isoc.org), e a Silvia Lorenzo Perez, Direttore del Programma Sicurezza, Sorveglianza e Diritti Umani del Centre for Democracy & Technology - Europe(sperez@cdt.org).

Organizzazioni firmatarie

3 Steps Data

ACT | Associazione App

Iniziativa per i media e le tecnologie dell’informazione in Africa (AfriMITI)

Iniziativa Internet rurale e STEM in Africa (AFRISTEMI)

Alternatif Bilisim

AMS-IX

Osservatorio sul Grande Fratello

Bits of Freedom

Blacknight

Associazione Blockchain

Centro per lo studio dell’odio organizzato (CSOH)

Centro per la democrazia e la tecnologia in Europa

Centro Latinoamericano di Investigazione su Internet

Chaos Computer Club

Associazione Comunitatea Internet

Rete dei consulenti per la sicurezza informatica (CyAN)

Danes je nov dan, Inštitut za druga vprašanja

Datenpunks

Società Digitale

Diritti digitali Irlanda

Società digitale

Državljan D / Cittadino D

eco - Associazione dell’industria di Internet

Electronic Frontier Finland - Effi ry

Fondazione Electronic Frontier

Electronic Frontier Norvegia

Elemento

Cipolla di smeraldo

Epicenter.works

EuroISPA - Associazione europea dei fornitori di servizi Internet

Diritti digitali europei (EDRi)

FiCom ry

Fondazione per la libertà di stampa

Partner globali digitali

Centro Hermes

Comitato per l’architettura di Internet

Internet Australia

Società Internet

Società Internet Brasile

Società Internet Capitolo Catalano (ISOC-CAT)

Società Internet del Mali

Società Internet Nepal Capitolo

Società Internet Portogallo Capitolo

IT-Pol Danimarca

Centro di informazione sulle reti del Giappone

JCA-NET

Associazione dei lettori

Tecnologia LGBT

Fondazione Matrix.org

Mozilla

OpenMedia

Phoenix R&D GmbH

Politiscope

Consiglio per la privacy e l’accesso del Canada

PrivID, Inc

Proton

Fondazione SABOA

SecureCrypt

SkypLabs

Statewatch

Laboratorio SUPERRR

Surfshark

Tech for Good Asia

Tuta Mail

Vircos Tecnologia

Vrijschrift.org

Wikimedia Europa

Xnet. Istituto per la digitalizzazione democratica

X-Lab

Singoli esperti di sicurezza informatica

Jon Callas, Università dell’Indiana

Sofia Celi, Brave

Claudia Diaz, KU Leuven

Donald E. Eastlake 3°, Indipendente

Nicola Fabiano, Studio legale Fabiano

Stephen Farrell, Trinity College di Dublino

Masayuki Hatta, Università Surugadai

Mallory Knodel, Università di New York

Sascha Meinrath, X-Lab

Peter Neumann, Moderatore, Forum ACM sui rischi

Riana Pfefferkorn, Università di Stanford

Jonathan Rudenberg, Grace

Bruce Schneier,

Adam Shostack, autore di Threat Modeling: Designing for Security

Eugene H. Spafford, Università Purdue

Asli Telli, Università di Colonia

Peter Thomassen, deSEC

Kenn White

Matthew Wright, Istituto di tecnologia di Rochester

Philip Zimmermann, Professore associato emerito di Cybersecurity, Università di Tecnologia di Delft

---

Lettera aperta all’UE del 5 maggio 2025

Accademici, tecnologi e altri esperti chiedono un ruolo chiave nella Roadmap tecnologica dell’UE sulla crittografia

Gentile signora Henna Virkkunen, vicepresidente esecutivo per la sovranità tecnologica, la sicurezza e la democrazia,

I sottoscritti sono organizzazioni della società civile, scienziati, ricercatori e altri esperti con competenze in materia di diritti umani e tecnologia. Il 1° aprile la Commissione europea ha pubblicato la sua nuova strategia di sicurezza interna, ProtectEU, che definisce i suoi piani per i prossimi cinque anni con l’obiettivo di coordinare una risposta europea alle minacce alla sicurezza. Garantire sicurezza, protezione e giustizia a tutte le persone e comunità in Europa è una parte importante della missione dell’UE. Richiede un approccio olistico e basato su dati concreti da parte di tutte le istituzioni per affrontare i problemi sociali alla radice e fornire soluzioni strutturali adeguate.

Da questo punto di vista, siamo preoccupati che il quadro previsto per l’accesso ai dati da parte delle autorità di contrasto rischi di compromettere l’esercizio dei diritti fondamentali e la nostra sicurezza informatica collettiva. In particolare, la “preparazione di una tabella di marcia tecnologica sulla crittografia, per individuare e valutare le soluzioni tecnologiche che consentirebbero alle autorità di contrasto di accedere ai dati crittografati in modo lecito” solleva diversi interrogativi.

Dai tentativi passati e recenti a livello europeo, sappiamo che le “soluzioni tecnologiche” non solo sono inefficaci, ma provocano conseguenze dannose, anche per coloro che hanno più bisogno di protezione. Esiste un ampio consenso scientifico sull’impossibilità tecnica di dare alle forze dell’ordine un accesso eccezionale alle comunicazioni crittografate Ende-zu-Ende senza creare vulnerabilità che attori malintenzionati e governi repressivi possano sfruttare. Gli esperti hanno scoperto che anche le tecnologie più recenti, come la scansione lato client, presentate come sicure e rispettose della privacy, sono in realtà invasive della privacy, consentono la sorveglianza di massa e aumentano i rischi di violazione della sicurezza. La crittografia è uno strumento di vitale importanza per i diritti e le libertà delle persone, nonché per lo sviluppo di comunità, società civile, amministrazioni pubbliche e industria vivaci e sicure. Di fronte a un panorama di minacce complesso e alla crescente digitalizzazione di ogni aspetto della nostra vita, la crittografia non è un lusso, ma una conditio sine qua non per la nostra capacità di navigare in sicurezza online.

Piuttosto che investire più risorse e tempo in sistemi che causano danni comprovati, crediamo fermamente che tutte le parti interessate debbano lavorare insieme per trovare soluzioni a lungo termine (sia tecniche che non tecniche) a questioni sociali complesse, basate su prove scientifiche e rispettose di tutti i diritti fondamentali.

Poiché la Commissione europea ha espresso l’intenzione di “salvaguardare la sicurezza informatica e i diritti fondamentali” durante lo svolgimento di questo lavoro esplorativo, vorremmo sostenere la Commissione nel raggiungimento di questo obiettivo e pertanto chiediamo gentilmente quanto segue:

• Un incontro tra Lei e i rappresentanti dei firmatari di questa lettera per discutere ulteriormente la nostra posizione e i nostri contributi;
• posti al tavolo della Technology Roadmap per accademici, tecnologi indipendenti, avvocati specializzati in tecnologia e diritti umani e attori della società civile specializzati in questi temi, per garantire una partecipazione significativa.

Riteniamo inoltre di essere ben posizionati per fornire informazioni tecniche a voi, al vostro gabinetto e ai vostri servizi, e saremmo lieti di metterci a disposizione per questo scopo.

Cordiali saluti, organizzazioni della società civile specializzate in tecnologia e/o diritti digitali:

• Access Now (UE/Internazionale)

• ACT | Associazione App

• ANSOL - Associação Nacional para o Software Livre (Portogallo)

• Asociația pentru Tehnologie și Internet (ApTI) (Romania)

• Rete delle ONG del Bangladesh per la radio e la comunicazione (BNNRC)

• Big Brother Watch (Regno Unito)

• Bits of Freedom (Paesi Bassi)

• Chaos Computer Club (Germania)

• Comitato per la protezione dei giornalisti (CPJ) (Belgio)

• Società informatica di Cipro (CCS)

• D64 - Centro per il progresso digitale (Germania)

• Danes je nov dan, Inštitut za druga vprašanja (DJND) (Slovenia)

• Dataföreningen i Sverige (Svezia)

• Dataföreningen Väst (Associazione svedese dei computer dell’ovest)

• Defend Democracy (Paesi Bassi/Belgio)

• Deutscher Anwaltverein (DAV) (Germania)

• Diritti digitali Irlanda

• Digitale Gesellschaft e.V. (Germania)

• Državljan D / Citizen D (Slovenia)

• Fondazione Electronic Frontier (EFF)

• Centro di informazione sulla privacy elettronica (EPIC) (USA)

• Diritti digitali europei (EDRi)

• Homo Digitalis (Grecia)

• Initiative für Netzfreiheit. (Netzfreiheit / IfNf) (Austria)

• Internet Society (Stati Uniti/Internazionale)

• Capitolo ISOC India Hyderabad

• Capitolo ISOC India Hyderabad (ISOC Hyderabad)

• IT-Pol (Danimarca)

• JCA-NET (Giappone)

• Fondazione Panoptykon (Polonia)

• Politiscope (Croazia)

• Privacy First (Paesi Bassi)

• Privacy International

• Fondazione SHARE (Serbia)

• Società slovena INFORMATIKA (SSI)

• Statewatch (Regno Unito)

• Associazione per la tecnologia dell’informazione e delle comunicazioni della Romania (ATIC)

• Centro per la democrazia e la tecnologia in Europa (CDT Europe)

• Xnet, Istituto per la digitalizzazione democratica (Spagna)

Singoli firmatari specializzati in tecnologia e/o diritti digitali:

• Assist. Prof. Giovanni Apruzzese, Università del Liechtenstein

• Assist. Prof. Lili Nemec Zlatolas, Università di Maribor

• Prof. associato Dr. Carsten Baum, Università tecnica di Danimarca

• Aureli Gómez i Vidal, ingegnere dei servizi critici di internet

• Professore emerito Douwe Korff, Università Metropolitana di Londra

• Dr. Dan Bogdanov, Accademia estone delle scienze

• Dr. David Galadi-Enriquez, Università di Cordova

• Dott. Eyal Ronen, Università di Tel Aviv

• Dr. Jordi Cortit, Clarivate

• Dr. Juanjo Llórente Albert, Università Popolare di Valencia

• Dott.ssa María Iglesias Caballero, Istituto Nazionale di Sanità Carlos III

• Dr. Stephen Farrell, Trinity College di Dublino

• Ing. Jorge Pinto, Tecnologo indipendente

• Filippos Frantzolas Msc, Società ellenica di informatica professionale (HePIS)

• Henrique California Mendes, ingegnere della sicurezza delle applicazioni

• Matthias Pfau, cofondatore di Tuta.com ed esperto di crittografia

• Prof.ssa Anja Lehmann, Istituto Hasso-Plattner, Università di Potsdam

• Prof. Aurélien Francillon, EURECOM

• Prof. Bart Preneel, Università di Lovanio

• Prof. Carmela Troncoso, MPI-SP e EPFL

• Prof. Diego F. Aranha, Università di Aarhus

• Prof. Dr. Daniel Loebenberger, Sprecher Fachbereich Sicherheit der Gesellschaft für Informatik e.V.

• Prof. dr. Jaap-Henk Hoepman, Università Radboud / Università di Karlstad

• Prof. Dr. René Mayrhofer, Università Johannes Kepler di Linz

• Prof. Dr. Simone Fischer-Hübner, Università di Karlstad e Chalmers University of Technology

• Prof. Dr. Tanja Lange, Università di Tecnologia di Eindhoven

• Prof. Ian Goldberg, Università di Waterloo

• Prof. Keith Martin, Royal Holloway, Università di Londra

• Prof. Kenneth G. Paterson, ETH di Zurigo

• Prof. Kimmo Halunen, Università di Oulu

• Prof. Levente Buttyán, Università di Tecnologia ed Economia di Budapest (Capo del Laboratorio di Crittografia e Sicurezza dei Sistemi))

• Prof. Manuel Barbosa, Universidade do Porto (FCUP)

• Prof. Marko Hölbl, Università di Maribor

• Prof. Martin Albrecht, King’s College di Londra

• Prof. Panos Papadimitratos, Istituto Reale di Tecnologia KTH

• Prof. Simona Levi, Direttrice del post-laurea in Tecnopolitica e Diritti nell’Era Digitale presso l’Università di Barcellona

• Prof. Srdjan Čapkun, ETH di Zurigo

• Prof. Stefano Calzavara, Università Ca’ Foscari Venezia

• Prof. Vaclav Matyas, Università Masaryk

• Prof. Vasile Balatac, Università Nazionale di Studi Politici e Pubblica Amministrazione - SNSPA

• Simone Aonzo, PhD, EURECOM

• Univ. Prof. Dr. Matteo Maffei, TU Wien

• Yigit Aydinalp, Università di Sheffield