Lettera aperta che invita gli Stati membri dell'UE a difendere la crittografia

Mentre il trilogo sta per iniziare, gli Stati membri dell'UE devono decidere da che parte stare: privacy o sorveglianza.

Encryption in the EU must be defended to protect the privacy of people and businesses alike.

Anno nuovo, discussione vecchia: Quest'anno l'UE inizierà la discussione a tre sul regolamento sugli abusi sessuali sui minori (CSAR) della Commissione europea, che propone di scansionare tutti i messaggi dei cittadini europei alla ricerca di materiale di abuso. L'anno scorso il Parlamento europeo si era già schierato contro questa scansione lato client - un grande successo per i sostenitori della privacy in Europa. Ora è il momento che gli Stati membri dell'UE si posizionino in questa battaglia tra privacy e sorveglianza. Noi, una coalizione di aziende europee attente alla privacy, chiediamo ai nostri ministri di sostenere il diritto alla privacy dei cittadini e di difendere una crittografia forte.


L’anno scorso siamo stati entusiasti di vedere lo storico accordo del Parlamento europeo contro la sorveglianza del controllo delle chat. Vorremmo applaudire il Parlamento europeo per la decisione di difendere il diritto alla privacy delle persone e di sostenere una crittografia forte in Europa. Nella sua decisione, il Parlamento dell’UE ha seguito il parere di 300 scienziati ed esperti di crittografia e del Servizio di ricerca del Parlamento europeo (EPRS) che hanno criticato pesantemente il controllo delle chat per i suoi vasti poteri di sorveglianza che distruggerebbero il diritto alla privacy online e danneggerebbero la libertà di parola, minando così i nostri valori democratici.

Mentre il mondo sta affrontando tendenze di sorveglianza più che mai - come si può vedere dalla legge sulla sicurezza online nel Regno Unito, dalla legislazione australiana sulla sorveglianza e dalla riforma FISA degli Stati Uniti- l’Unione Europea ha ora l’opportunità unica di diventare il faro della speranza per la libertà di parola e la democrazia.

Con il Regolamento generale sulla protezione dei dati (GDPR), l’UE ha stabilito uno standard molto elevato per la protezione dei dati e della privacy nell’UE. Ora è importante mantenere questo elevato livello di privacy difendendo una crittografia forte, in modo che i cittadini e le imprese dell’UE possano continuare a godere della privacy e della riservatezza online al massimo livello possibile.

Lettera aperta agli Stati membri dell’UE sulla proposta di regolamento CSA

Gentili Ministri dell’Interno, della Giustizia e dell’Economia degli Stati membri dell’UE,

vi scriviamo in qualità di piccole e medie imprese e organizzazioni europee, preoccupate per la proposta di regolamento sugli abusi sessuali sui minori (CSA). Collettivamente, vi chiediamo di garantire che la posizione del vostro Paese su questo dossier si avvicini il più possibile a quella del Parlamento europeo (PE). Siamo tutti d’accordo sul fatto che garantire la sicurezza dei bambini online sia uno dei compiti più importanti delle aziende tecnologiche e per questo motivo riteniamo che il regolamento proposto dalla Commissione europea sia estremamente preoccupante. Se venisse attuato come proposto, avrebbe un impatto negativo sulla privacy e sulla sicurezza online dei bambini, oltre ad avere conseguenze impreviste e drammatiche sul panorama della sicurezza informatica dell’UE, oltre a creare un onere amministrativo inefficace. Il Parlamento europeo ha recentemente adottato la sua posizione sul dossier, riconoscendo che le tecnologie di scansione non sono compatibili con l’obiettivo di avere comunicazioni riservate e sicure. Le modifiche cruciali apportate alla proposta riflettono il parere del Garante europeo della protezione dei dati (GEPD), dei servizi giuridici del Consiglio e di numerosi esperti di crittografia e sicurezza informatica. Riflette inoltre l’opinione di una percentuale compresa tra il 63% e il 69% delle aziende, delle autorità pubbliche, delle ONG e dei cittadini consultati dalla Commissione europea nella sua valutazione d’impatto. In qualità di piccole e medie imprese e organizzazioni tecnologiche, condividiamo le loro preoccupazioni, poiché sappiamo che la ricerca di contenuti specifici - come testi, foto e video - in una comunicazione crittografata Ende-zu-Ende richiederebbe l’implementazione di una backdoor o di una tecnologia simile chiamata “client-side scanning”. Anche se questo meccanismo viene creato con lo scopo di combattere la criminalità online, verrebbe rapidamente utilizzato dagli stessi criminali, mettendo più a rischio i cittadini e le imprese online e creando vulnerabilità per tutti gli utenti.

La protezione dei dati è un forte vantaggio competitivo

In quanto aziende tecnologiche che operano nell’Unione Europea, abbiamo costruito prodotti e servizi in linea con il solido quadro di protezione dei dati dell’UE, che ancora oggi funge da esempio e ispirazione in tutto il mondo. Il GDPR ha permesso la creazione in Europa di aziende tecnologiche etiche e attente alla privacy, che altrimenti non sarebbero mai state in grado di competere con le Big Tech. Ha dato alle aziende europee un forte vantaggio competitivo in questo campo a livello internazionale e ha permesso ai consumatori di trovare finalmente delle alternative ai servizi americani e cinesi. I nostri utenti, sia all’interno dell’UE che al di fuori di essa, hanno imparato a fidarsi del nostro impegno per la salvaguardia dei loro dati e questa fiducia è un fattore chiave della nostra competitività. La curva di apprendimento per l’adattamento al necessario onere amministrativo portato dal GDPR è stata elevata, ma ne è valsa la pena. Tuttavia, il regolamento CSA potrebbe minacciare questo punto di forza unico delle aziende informatiche europee e aggiungerebbe un nuovo onere amministrativo che temiamo possa sovraccaricare sia le nostre aziende che gli organismi preposti all’applicazione della legge. Considerando il volume di comunicazioni e contenuti che transitano attraverso i nostri servizi, anche un tasso di errore insignificante delle tecnologie applicate per la scansione di materiale abusivo porterebbe a milioni di falsi positivi da esaminare manualmente ogni giorno.

Il regolamento CSA potrebbe erodere la fiducia e la sicurezza online

In un mondo in cui le violazioni dei dati e gli scandali sulla privacy sono sempre più frequenti, la reputazione dell’UE per la rigorosa protezione dei dati è un punto di forza unico per le aziende che operano all’interno dei suoi confini. Ci offre un vantaggio competitivo, assicurando ai nostri clienti che le loro informazioni sono trattate con la massima cura e integrità. Questa fiducia, una volta erosa, è difficile da ricostruire e qualsiasi misura che la comprometta, come la scansione obbligatoria o la verifica obbligatoria dell’età, può potenzialmente danneggiare le imprese grandi e piccole. Inoltre, l’UE ha recentemente adottato il Regolamento 2023/2841, che impone alle istituzioni e agli organismi dell’UE di considerare l’uso della crittografia Ende-zu-Ende tra le misure di gestione del rischio di cybersecurity. Inoltre, sono attualmente in discussione diverse proposte “cyber” dell’UE, come il Cyber Resilience Act e il Cybersecurity Act. Sostenere un approccio opposto per il regolamento CSA non farebbe altro che minare il quadro dell’UE in materia di cybersecurity, creando una nuova serie di misure contraddittorie, incoerenti e inefficienti che le aziende non sarebbero in grado di applicare senza mettere a rischio cittadini e imprese.

La proposta del Parlamento europeo va nella giusta direzione

Pertanto, ci congratuliamo con il Parlamento europeo per la sua posizione risoluta nel difendere il diritto dei cittadini europei alla privacy e alla sicurezza delle comunicazioni. L’impegno del Parlamento europeo nei confronti di questi principi non è solo una testimonianza della sua dedizione ai diritti umani, ma anche un faro di speranza per le aziende come la nostra che danno priorità alla protezione e alla sicurezza dei dati. La posizione del Parlamento include alternative alla scansione che hanno un impatto minimo sulla sicurezza informatica e sulla protezione dei dati e che, secondo gli esperti, sarebbero più efficaci e più efficienti della scansione obbligatoria. Tali cambiamenti di paradigma significherebbero superare la falsa dicotomia tra privacy e sicurezza, e allo stesso tempo far sì che la proposta rispetti il principio di proporzionalità, come richiesto dal Comitato per il controllo normativo. Anche se ai nostri occhi non sono perfette, le modifiche apportate dal Parlamento europeo nella sua posizione sono un buon compromesso per mantenere la sicurezza e la riservatezza digitale e per proteggere meglio i minori online. Riteniamo che queste modifiche rappresentino il giusto equilibrio tra la protezione dei minori e la salvaguardia della privacy e della sicurezza informatica.

In qualità di rappresentanti della vivace comunità delle piccole imprese europee, incoraggiamo gli Stati membri dell’UE a continuare a sostenere i valori della privacy, della sicurezza informatica e della protezione dei dati. Questi principi non solo sono in linea con l’impegno dell’UE nei confronti dei diritti umani, ma sono anche alla base di un ambiente imprenditoriale prospero e competitivo. Difendiamo e rafforziamo questi principi, assicurando che l’UE rimanga un sostenitore della privacy nel mercato globale.

Per questi motivi vi invitiamo a:

  • Assicurare che la posizione del Consiglio sia il più possibile allineata a quella del Parlamento europeo. Ciò consentirà un’adozione più rapida del regolamento, facendo tesoro dell’importante lavoro svolto dal Parlamento europeo.
  • Mantenere l’elevato livello di diritti fondamentali - e in particolare di protezione dei dati - di cui godono i cittadini dell’Unione europea.
  • Astenersi dal costringere aziende come noi a condurre una sorveglianza di massa della corrispondenza privata per conto delle forze dell’ordine.
  • Garantire un elevato livello di sicurezza informatica nell’UE proteggendo la crittografia Ende-zu-Ende e introducendo le necessarie salvaguardie nel testo. In particolare, la scansione lato client e le backdoor non dovrebbero essere obbligatorie.
  • Preservare la riservatezza della corrispondenza.
  • Ridurre al minimo l’onere amministrativo della proposta rendendola più efficace ed efficiente, attraverso alternative alla scansione di massa.

Firmato:

Soluzioni Blacknight

Tempesta cibernetica

Elemento

Gate 15

Mailfence

Mail.de GmbH

Olvid

One Privacy

Parsec

Proton

Seezam

Surfshark

TelemetryDeck

Threema

Tresorit

Tuta

Associazioni di categoria e sostenitori:

ACT | Associazione App

Difendere la democrazia

Crittografia Europa

ISOC-CAT

Consiglio per la privacy e l’accesso del Canada

STUDIO LEGALE FABIANO