L’Unione Europea ha recentemente rinviato il voto sull’obbligo di scansione CSAM per i sistemi di messaggistica, ma la proposta non è ancora stata definitivamente scartata.
La controversa proposta di legge sull’obbligo di scansione CSAM obbligherebbe gli utenti dei servizi di messaggistica (come WhatsApp, Telegram, Messenger e altri) a permettere la scansione di foto e link inviati alla ricerca di materiale pedopornografico, pena l’impossibilità di utilizzo di tali piattaforme.
Il sistema CSAM (Child Sexual Abuse Material) si basa su un database di materiale pedopornografico raccolto dalle forze dell’ordine di tutto il mondo durante le operazioni di contrasto agli abusi su minori. Attraverso il confronto dell’hash di questi contenuti con quello dei media scambiati dagli utenti sarebbe in teoria possibile rilevare ulteriore circolazione del materiale.
D’altro canto, nonostante i promotori dichiarino che la proposta sia “tecnologicamente neutrale”, sottoporre ad hash ogni contenuto scambiato significherebbe anche che il provider del servizio di messaggistica dovrebbe tecnicamente aggirare l’attuale crittografia end-to-end, con una evidente compressione dei diritti degli interessati e un importante impatto sulla potenziale sicurezza delle comunicazioni.
La proposta risale al 2022, presentata in concomitanza rispetto ad un’infelice iniziativa analoga del Regno Unito, poi ritirata, che già aveva causato una imponente levata di scudi a tutela della privacy (ne avevamo già parlato qui). Per essere approvata, la legge avrebbe necessitato del consenso di almeno 15 Stati membri, rappresentanti il 65% della popolazione totale dell’Unione; tuttavia, diversi Paesi, tra cui Germania, Austria, Polonia, Olanda e Repubblica Ceca, si erano già detti pronti ad astenersi o a opporsi al piano proprio a causa delle preoccupazioni legate alla privacy e alla sicurezza, portando così ad un rinvio del voto sull’obbligo di scansione CSAM.
I rischi superano le opportunità?
La proposta rappresenta un tradeoff significativo, soprattutto considerando che la scansione riuscirebbe a individuare solo contenuti già segnalati nel database CSAM, e che difficilmente i malintenzionati utilizzerebbero piattaforme note proprio per effettuare tali scansioni, rivolgendosi a sistemi di messaggistica di nicchia, non compliant rispetto alla normativa, o addirittura creati ad hoc, per agire comunque indisturbati. Permangono altresì tutte le criticità già affrontate nel precedente intervento sul tema, in merito a scarsa trasparenza e criticità di sicurezza.
La proposta includerebbe già, inoltre, un’esenzione per “gli account utilizzati dallo Stato per motivi di sicurezza nazionale”. Ciò solleva ulteriori perplessità circa l’eventuale possibilità di utilizzo del sistema per altri fini, diversi rispetto al mero confronto di hash, confermando così le preoccupazioni di coloro che vedono nel sistema una terrificante arma di sorveglianza di massa sotto mentite spoglie.
Seppur di nobile intento, dunque, e ferma la necessità di protezione dei minori online, si tratta di un meccanismo che by design sembra presentare già più rischi che vantaggi.
Il rinvio del voto sull’obbligo di scansione CSAM del 20 giugno non rappresenta tuttavia un definitivo stop alla proposta, benché non sia chiaro se, con la presidenza belga del Consiglio in scadenza il 30 giugno, la nuova leadership manterrà questo tema controverso tra le sue priorità. Continueremo ad interessarci alla vicenda.