Novità Tuta

La crittografia non è negoziabile: lettera aperta all'UE per non compromettere la privacy.

La crittografia protegge tutti noi. Noi di Tuta preferiremmo lasciare l'UE piuttosto che cedere alle richieste di compromettere la crittografia.

The EU vs encryption? It's time that politicians understand that encryption protects us all!

Noi di Tuta ci battiamo per il vostro diritto alla privacy con la crittografia. Ma l'UE sta ancora discutendo politiche e richieste di applicazione della legge che minacciano di rompere la crittografia. Se l'UE continua su questa strada, noi di Tuta abbiamo due possibilità: compromettere la nostra crittografia sicura dal punto di vista quantistico o trasferirci in una regione che valorizza e tutela la privacy digitale. La risposta per noi è semplice. Preferiamo lasciare l'UE piuttosto che rompere la nostra crittografia open source. Abbiamo firmato una lettera aperta e, insieme a più di 50 organizzazioni e aziende, chiediamo all'UE di sostenere una crittografia forte e i diritti alla privacy.

Oggi una coalizione di 55 associazioni professionali, media, organizzazioni per i diritti umani, sindacati e aziende tecnologiche ha pubblicato una lettera congiunta per sollecitare i ministri dell’UE ad adottare un’agenda per la sicurezza digitale che promuova i diritti fondamentali e sostenga un ecosistema digitale sicuro. La lettera esprime preoccupazione per le raccomandazioni del Gruppo di alto livello (HLG) sull’ampliamento dell’accesso ai dati personali da parte delle forze dell’ordine, temendo che queste possano portare a una sorveglianza di massa e minare la privacy.

Matthias Pfau, CEO di Tuta, avverte che se l’UE continua su questa strada, rischia di perdere le aziende innovative e orientate alla privacy e la fiducia dei suoi cittadini:

“Se l’UE continua a percorrere questa strada di indebolimento della crittografia, diventerà impossibile per aziende come Tuta Mail operare all’interno dei suoi confini. Noi di Tuta ci battiamo per il diritto alla privacy di tutti con la crittografia e continueremo a farlo! Se l’UE cerca di fermarci, preferiamo delocalizzare piuttosto che compromettere la nostra crittografia a sicurezza quantistica. L’UE rischia di perdere aziende innovative e orientate alla privacy, e con esse la fiducia dei suoi cittadini”, afferma Matthias Pfau, CEO di Tuta Mail.

L’indebolimento della crittografia rappresenta un grave rischio per la sicurezza digitale, come hanno dimostrato i recenti attacchi informatici ai fornitori di telecomunicazioni statunitensi da parte di aggressori sostenuti dallo Stato cinese. Questa recente violazione della sicurezza negli Stati Uniti evidenzia l’importanza di una crittografia solida. L’UE deve ripensare il suo approccio, perché indebolire la crittografia non è solo una scelta politica, ma una minaccia per la sicurezza di tutti. La crittografia è il fondamento di una comunicazione digitale sicura e affidabile. Compromettere questa base apre la porta ad attori malintenzionati, minacciando la sicurezza di cittadini, aziende e governi.

Mentre i funzionari statunitensi, dopo l’attacco della Cina all’infrastruttura digitale degli Stati Uniti, raccomandano sempre più l’uso di strumenti di comunicazione crittografati Ende-zu-Ende, l’UE si muove nella direzione opposta discutendo politiche che indebolirebbero la crittografia e negherebbero a tutti la privacy digitale. Una crittografia forte è essenziale per proteggersi dalle varie minacce online e l’UE deve dare priorità a una sicurezza e a una privacy solide piuttosto che a politiche che creano vulnerabilità sistemiche.

Le backdoor alla crittografia non sono mai un’opzione, perché i malintenzionati ne abuseranno.

Punti chiave della lettera aperta

  • Rispetto dei diritti fondamentali: La lettera si oppone a misure come il “lawful access by design”, che potrebbero portare a un indebolimento della crittografia e dei sistemi di sicurezza digitale, compromettendo i dati personali e le comunicazioni. Sottolinea la necessità di sostenere il diritto alla privacy e di evitare di compromettere la crittografia, che è fondamentale per salvaguardare la sicurezza e la libertà delle persone.

  • Privacy e segreto professionale: La lettera sottolinea che le misure che consentono un accesso illimitato alle forze dell’ordine potrebbero compromettere la riservatezza delle comunicazioni, comprese quelle protette dal segreto professionale, come quelle tra medici e pazienti, giornalisti e fonti, avvocati e clienti. Queste protezioni sono fondamentali per salvaguardare altri diritti fondamentali come la libertà di parola e di espressione.

  • Sicurezza dell’ecosistema digitale: La lettera avverte che la proposta del GAL potrebbe minare il solido quadro di sicurezza digitale dell’UE, come il GDPR, portando a un ecosistema digitale indebolito. La lettera mette in guardia contro l’obbligo per i fornitori di servizi di raccogliere dati non necessari o di consentire l’intercettazione, in quanto ciò degraderebbe i sistemi di sicurezza e creerebbe vulnerabilità. Si teme che l’implementazione di backdoor per le forze dell’ordine possa esporre i sistemi allo sfruttamento da parte di soggetti malintenzionati.

  • Impatto sulle imprese dell’UE: La lettera sottolinea che misure di applicazione rigorose e sanzioni potrebbero danneggiare i piccoli fornitori di servizi sicuri, potenzialmente escludendoli dal mercato. Ciò influirebbe negativamente sulle ambizioni dell’UE in materia di sicurezza informatica e sulla capacità di fornire servizi sicuri.

Leggete la lettera completa per capire come i responsabili politici debbano bilanciare le esigenze di applicazione della legge con la protezione dei diritti fondamentali, senza compromettere la privacy di tutti.

Turn ON Privacy in one click.

Lettera aperta

Lettera congiunta per chiedere che l’agenda dell’UE sulla sicurezza digitale promuova i diritti fondamentali e sostenga un ecosistema digitale sicuro

Gentili Ministri,

le sottoscritte associazioni professionali, organizzazioni dei media e dei diritti umani, sindacati e aziende tecnologiche vi scrivono per sottolineare la necessità di un’agenda dell’UE sulla sicurezza digitale che garantisca la giustizia, la responsabilità e il rispetto dei diritti fondamentali e sostenga lo sviluppo di un ecosistema digitale sicuro.

In questo contesto, vorremmo condividere le nostre preoccupazioni riguardo alle raccomandazioni e alla relazione presentate dal Gruppo di alto livello (HLG) sull’accesso ai dati per un’efficace applicazione della legge. Alla luce dell’obiettivo generale del Gruppo di alto livello di concedere alle autorità di contrasto il massimo accesso possibile ai dati personali, individuiamo importanti rischi di sorveglianza di massa e sostanziali minacce alla sicurezza e alla privacy, se queste raccomandazioni fossero prese come base per le future politiche e legislazioni dell’UE. Vi invitiamo pertanto a prendere in considerazione le seguenti raccomandazioni nel definire le priorità dell’UE in questo settore politico.

Rispettare i diritti fondamentali e garantire la sicurezza e la riservatezza degli spazi digitali

Vorremmo mettere in guardia dal concedere alle forze dell’ordine capacità illimitate che potrebbero portare a una sorveglianza di massa e violare i diritti fondamentali.

In particolare, siamo estremamente preoccupati per il concetto di “accesso legittimo dalla progettazione” sostenuto dal GAL, che mira a integrare l’accesso ai dati da parte delle forze dell’ordine nello sviluppo di tutte le tecnologie. In pratica, ciò richiederebbe l’indebolimento sistematico di tutti i sistemi di sicurezza digitale, compresa, ma non solo, la crittografia. Di conseguenza, minerebbe la sicurezza e la riservatezza dei dati e delle comunicazioni elettroniche, mettendo a rischio la sicurezza di tutti e violando gravemente i diritti fondamentali delle persone. Questo concetto è in contrasto con le raccomandazioni di lunga data delle organizzazioni per i diritti umani, degli esperti di protezione dei dati e di sicurezza informatica, nonché con la giurisprudenza della Corte europea dei diritti dell’uomo (CEDU).

Raccomandiamo pertanto di scartare qualsiasi misura che possa aggirare le protezioni offerte dalla crittografia o indebolirle, in quanto creerebbe minacce alla sicurezza e alla privacy di milioni di persone, delle istituzioni pubbliche e danneggerebbe inevitabilmente il più ampio ecosistema dell’informazione digitale.

Inoltre, vorremmo ricordare che qualsiasi futuro regime armonizzato dell’UE sulla conservazione e l’accesso ai dati deve rispettare i requisiti giuridici di necessità e proporzionalità stabiliti dal diritto dell’UE e dalla giurisprudenza consolidata della Corte di giustizia dell’UE (CGUE) e della Corte europea dei diritti dell’uomo per la protezione dei diritti fondamentali contro la sorveglianza di massa. A questo proposito, la proposta di estendere l’obbligo di conservazione dei dati a quasi tutti i servizi della società dell’informazione, comprendendo l’internet degli oggetti e i servizi basati su internet, è particolarmente preoccupante, in quanto richiederebbe la conservazione indiscriminata e non mirata dei dati personali. Questo monitoraggio ampio e generale genererebbe nella mente delle persone la sensazione che la loro vita privata sia oggetto di una costante sorveglianza e non può essere considerato conforme ai requisiti citati.

Mantenere il diritto alla privacy e all’inviolabilità delle informazioni protette

Sebbene il diritto alla privacy e alla riservatezza delle comunicazioni non sia assoluto, qualsiasi interferenza con i diritti fondamentali deve essere conforme ai principi di legalità, stretta necessità e proporzionalità. La conservazione generale e indiscriminata dei dati personali che consente di creare profili dettagliati dell’individuo e le misure che minano la sicurezza di tutte le comunicazioni private non soddisfano questi principi.

Queste misure generali e indiscriminate riguardano anche le persone le cui comunicazioni sono soggette al segreto professionale, come i medici e i loro pazienti, i giornalisti e le loro fonti, gli avvocati e gli assistenti sociali e i loro clienti. La protezione legale garantita a queste comunicazioni è una conditio sine qua non per l’effettivo esercizio di altri diritti fondamentali, tra cui il diritto a un processo equo e alla difesa, la libertà di espressione e di informazione, comprese le libertà dei media e della stampa, la libertà di pensiero e di religione, la libertà di riunione e di associazione e il diritto all’assistenza sociale e sanitaria.

Temiamo che gli ampi poteri previsti per l’accesso ai dati da parte delle forze dell’ordine interferiscano con la riservatezza delle comunicazioni protette e con i relativi diritti fondamentali. Queste misure rischiano di essere abusate per colpire giornalisti, difensori dei diritti umani, avvocati, attivisti e dissidenti politici. In particolare, l’UE deve garantire l’inviolabilità dei dati e delle altre prove che rientrano nel principio del privilegio professionale legale o del segreto professionale.

Sostenere un ecosistema digitale sicuro, affidabile e diversificato

I produttori di dispositivi e i fornitori di servizi responsabili hanno investito notevoli risorse per migliorare la sicurezza dei loro dispositivi e l’affidabilità dei loro servizi. Queste innovazioni non solo soddisfano le richieste di utenti sempre più attenti alla privacy, ma anche delle autorità di regolamentazione incaricate di far rispettare standard elevati nei settori della sicurezza informatica e della protezione dei dati. L’UE gode di un vantaggio unico grazie a un quadro di protezione dei dati che stabilisce un elevato standard legale per la tutela dei diritti e delle libertà fondamentali delle persone in un mondo in cui la privacy è costantemente attaccata.

Purtroppo, la visione del GAL potrebbe compromettere la capacità degli europei di scegliere strumenti digitali affidabili in futuro. Raccomanda di imporre agli operatori obblighi estesi e talvolta contraddittori. Tra questi, l’obbligo di raccogliere e conservare più dati degli utenti di quelli necessari per fornire i propri servizi, di consentire l’intercettazione in tempo reale e di fornire dati decifrati alle forze dell’ordine, evitando al contempo di compromettere la sicurezza dei propri sistemi. Nonostante l’intenzione del GAL di non minare la sicurezza digitale, in realtà non esiste un modo tecnico per infrangere la promessa della crittografia Ende-zu-Ende senza indebolire la sicurezza dei sistemi di comunicazione. Una backdoor - o qualsiasi altro meccanismo di elusione - destinata alle forze dell’ordine può sempre essere sfruttata da altri attori, come hanno dimostrato numerosi esempi.

Infine, il GAL delinea anche un quadro di applicazione preoccupante, che prevede sanzioni severe per scoraggiare e punire il mancato rispetto degli obblighi dell’UE e degli ordini di applicazione della legge (sanzioni amministrative, divieto commerciale, reclusione). In questo modo si rischia di allontanare dal mercato dell’UE gli operatori affidabili che offrono servizi sicuri o di farli fallire se sono piccoli o senza scopo di lucro, oppure di impedire loro di sviluppare soluzioni sicure se sono stabiliti nell’UE. Inutile dire che ciò sarebbe altamente dannoso per le iniziative e le ambizioni dell’UE in materia di sicurezza informatica.

Siamo consapevoli che le misure investigative a disposizione delle forze dell’ordine devono essere adeguate all’era digitale ed efficaci nell’affrontare le sfide uniche create dai servizi online transfrontalieri. Tuttavia, l’efficienza non deve essere raggiunta a spese dell’indebolimento dei diritti fondamentali, delle tutele legali e dell’economia europea. Siamo convinti che questi obiettivi di interesse generale possano essere raggiunti con misure meno invasive rispetto alla sorveglianza di massa e all’indebolimento sistemico delle garanzie di sicurezza essenziali.

Vi ringraziamo in anticipo per la vostra considerazione e restiamo a vostra disposizione per qualsiasi domanda.

Cordiali saluti,

Accesso Ora

ARTICOLO 19, Internazionale

Associazione dei giornalisti europei, Belgio (AEJ Belgio)

Bits of Freedom, Paesi Bassi

Bolo Bhi, Pakistan

Centro per la democrazia e la tecnologia in Europa (CDT Europe)

Chaos Computer Club (CCC), Germania

Unione per le libertà civili in Europa (Liberties)

Comitato per la protezione dei giornalisti (CPJ)

Community Media Forum Europe (CMFE)

Consiglio degli Ordini degli Avvocati d’Europa (CCBE)

Cryptee, Estonia

D3 - Defesa dos DIreitos Digitais, Portogallo

Danes je nov dan, Slovenia

Datenpunks, Germania

Deutsche Vereinigung für Datenschutz e.V. (DVD), Germania

Deutscher Anwaltverein (Ordine degli avvocati tedesco)

Diritti digitali, Irlanda

Digitale Gesellschaft, Germania

Digitale Gesellschaft, Svizzera

eco - Verband der Internetwirtschaft e.V.

Fondazione Electronic Frontier (EFF), internazionale

Centro di informazione sulla privacy elettronica (EPIC), Stati Uniti d’America

Elemento

Epicenter.works - per i diritti digitali, Austria

Eurocadres

EuroISPA - Associazione europea dei fornitori di servizi Internet

Unione europea di radiodiffusione (UER)

Diritti digitali europei (EDRi)

Federazione europea dei giornalisti (EFJ)

Associazione europea dei media periodici (EMMA)

Associazione europea degli editori di giornali (ENPA)

Consiglio europeo degli editori (EPC)

Forum globale per lo sviluppo dei media (GFMD)

Iniziativa della rete globale (GNI)

Iniziativa Heartland

IFEX

Iniziativa per la libertà di rete, Austria

IT-Pol, Danimarca

La Quadratura della Rete, Francia

Ligue des droits humains, Belgio

Mailfence, Belgio

Associazione maltese per il diritto della tecnologia dell’informazione (MITLA)

News Media Europe (NME)

Nextcloud GmbH, Germania

Fondazione Panoptykon, Polonia

Politiscope, Croazia

Privacy International

Proton, Svizzera

Fondazione SHARE, Serbia

Organizzazione dei media dell’Europa sudorientale (SEEMO)

Statewatch, Internazionale

Istituto globale Tech

Tuta Mail, Germania

Fondazione Wikimedia