Proton

La legge RESTRICT, che permetterebbe al governo degli Stati Uniti di vietare TikTok dal mercato statunitense, sta attualmente procedendo attraverso il Congresso e ha il sostegno della Casa Bianca. Abbiamo analizzato la legislazione nelle ultime settimane e oggi condividiamo la nostra analisi.

Qual è il problema con TikTok?

TikTok ha ripetutamente violato la fiducia del pubblico, compromesso la privacy dei suoi utenti e rappresenta un potenziale punto di accesso per il governo cinese per spiare utenti in tutto il mondo. Le aziende cinesi sono obbligate dalla Legge sulla Sicurezza Nazionale del 2017(nuova finestra) della Cina a fornire al governo cinese qualsiasi dato richiesto. Anche ByteDance, la società madre di TikTok, deve avere comitati del Partito Comunista Cinese all’interno dell’organizzazione. Data l’intensa raccolta di dati di TikTok, che potenzialmente include le informazioni biometriche degli utenti(nuova finestra) e tutti i tasti premuti nel suo browser in-app, molti politici temono che TikTok possa trasferire informazioni sensibili sui cittadini statunitensi al governo cinese.

TikTok ha ripetutamente negato di consegnare dati al Partito Comunista Cinese, ma non solo è inevitabile, è scritto nella legge cinese. TikTok ha anche fatto affermazioni precedenti che si sono poi rivelate false, inclusa quella di costruire un sistema che impedisce agli impiegati cinesi di accedere alle informazioni dei cittadini statunitensi(nuova finestra) (ancora possibile(nuova finestra)) e negando che l’app potesse essere utilizzata per tracciare individui(nuova finestra) (TikTok è stata poi scoperta a tracciare due giornalisti(nuova finestra)).

Data la raccolta aggressiva di dati di TikTok e la preoccupante mancanza di trasparenza, le nazioni hanno legittimi motivi di sicurezza nazionale e privacy per vietare TikTok. E mentre TikTok è l’app più famosa, numerose altre app cinesi hanno sollevato preoccupazioni simili. Esperti di sicurezza hanno scoperto che la popolare app cinese Pinduoduo contiene malware(nuova finestra) e che molte delle app VPN cinesi gratuite(nuova finestra) raccolgono ancora più dati di TikTok.

La legge RESTRICT è la soluzione giusta?

Tuttavia, l’Atto RESTRICT(nuova finestra), nella sua forma attuale, presenta numerosi limiti che ne fanno una legge poco ottimale. In particolare, i poteri che concede al ramo esecutivo del governo degli Stati Uniti sono troppo ampi e mancano di adeguate verifiche ed equilibri, il che potrebbe avere conseguenze indesiderate per la libertà su internet a lungo termine.

Le legittime minacce alla privacy e alla sicurezza poste da TikTok, Pinduoduo e altre app cinesi non giustificano il dare al governo degli Stati Uniti un controllo totale su ciò che i cittadini statunitensi possono accedere su internet.

Perché l’attuale legge RESTRICT è problematica

La legge RESTRICT concederebbe al Segretario al Commercio degli Stati Uniti ampi poteri per “identificare, dissuadere, interrompere, prevenire, proibire, indagare o mitigare in altro modo… qualsiasi rischio derivante da qualsiasi transazione coperta da qualsiasi persona, o rispetto a qualsiasi proprietà” che il Segretario determina come “un rischio eccessivo o inaccettabile” per la sicurezza nazionale, inclusi l’interferenza elettorale, il sabotaggio della tecnologia delle comunicazioni, le infrastrutture critiche e gli effetti catastrofici sull’economia digitale. Inoltre, impone severe penalità per il potenziale aggiramento delle restrizioni (fino a 20 anni di carcere nel testo attuale). Questa combinazione di fattori pone quattro problemi.

Potere esecutivo troppo ampio

Primo, il Segretario al Commercio non dovrebbe avere l’autorità di designare gli avversari stranieri. La parte della legge relativa alle “transazioni coperte” si riferisce a qualsiasi servizio online soggetto alle leggi di un governo straniero che gli Stati Uniti considerano un avversario. La definizione di avversari stranieri include Cina, Cuba, Iran, Corea del Nord e Venezuela, ma il disegno di legge concede al Segretario al Commercio l’autorità di designare ulteriori governi e regimi come avversari. Questa ampia autorità dovrebbe essere rimossa in quanto potrebbe facilmente essere abusata.

Penalità ambigue per l’uso di VPN

Secondo, il disegno di legge non dovrebbe avere alcuna ambiguità su se le penalità penali o civili potrebbero essere applicate a individui che utilizzano una VPN per accedere a app vietate. Il linguaggio attuale del disegno di legge è vago e potrebbe potenzialmente essere interpretato nel senso che qualcuno che utilizza una VPN per aggirare le restrizioni per accedere a un’applicazione classificata come minaccia alla sicurezza nazionale potrebbe essere soggetto a penalità. Quando abbiamo contattato il senatore Warner, promotore di questo disegno di legge, è stato in grado di fornire il seguente chiarimento su questo argomento:

“Questo disegno di legge non prevederebbe sanzioni penali o civili contro nessuno solo per l’uso di una VPN per accedere a un’app bandita. Questo disegno di legge è rivolto esclusivamente alle aziende, non agli utenti. Sono un convinto sostenitore della protezione del Primo Emendamento — che i tribunali federali hanno costantemente confermato — per gli americani di inviare e ricevere informazioni. L’Atto RESTRICT non modifica queste protezioni fondamentali.”

Sebbene la dichiarazione del senatore Warner chiarisca che gli individui non sono il bersaglio di questo disegno di legge, tale ambiguità dovrebbe comunque essere rimossa dal testo legislativo.

Mancanza di trasparenza e revisione giudiziaria

Terzo, il disegno di legge dovrebbe includere meccanismi di trasparenza e responsabilità per prevenire abusi governativi. Il Freedom of Information Act dà agli americani il diritto di richiedere documenti del governo federale per permettere alle persone di vedere come gli ufficiali prendono decisioni. Tuttavia, la Sezione 15(f)(nuova finestra) dell’Atto RESTRICT esclude qualsiasi comunicazione relativa a transazioni coperte da questo diritto legale.

Applicazione poco chiara

Quarto, il disegno di legge è ambiguo su come sarebbe applicato un divieto su TikTok. Richiederebbe ai fornitori di servizi internet (ISP) di bloccare semplicemente l’accesso agli indirizzi IP di TikTok? Quali obblighi verrebbero imposti agli ISP se TikTok dovesse attuare contromisure contro i blocchi degli indirizzi IP? Gli ISP sarebbero tenuti a creare un firewall più sofisticato simile al Grande Firewall(nuova finestra) della Cina? Questo sarebbe un colpo massiccio alla libertà e apertura di internet.

Come l’Atto RESTRICT dovrebbe essere modificato

Negli Stati Uniti c’è un ampio consenso bipartisan sul fatto che app cinesi malevoli come TikTok dovrebbero essere bandite, ma riteniamo che il Congresso dovrebbe impegnarsi a passare una buona legislazione. I legislatori dovrebbero apportare due serie di modifiche al nucleo dell’Atto RESTRICT per aiutarlo a trovare il giusto equilibrio tra la protezione da applicazioni cinesi malevole e la difesa della libertà online.

Limitare l’ambito dell’Atto RESTRICT

Invece di concedere al Segretario al Commercio l’autorità di designare ulteriori avversari, l’ambito dovrebbe essere limitato all’elenco attualmente previsto dal Congresso, ovvero Cina, Cuba, Iran, Corea del Nord e Venezuela. Qualsiasi futura espansione di questo elenco dovrebbe richiedere l’approvazione del Congresso tramite l’adozione di una legislazione emendata.

Prescrivere misure efficaci ma mirate

Per evitare eccessi nell’applicazione e conseguenti conseguenze indesiderate, l’Atto RESTRICT dovrebbe definire specificamente quali azioni di applicazione sarebbero richieste. Riteniamo che ci siano azioni specifiche che l’Atto RESTRICT può imporre che diminuiranno i rischi posti dalle app cinesi senza compromettere il futuro di internet libero e aperto. Anche senza ricorrere a poteri di censura troppo ampi, rendere difficile e costoso per le app malevole raggiungere il mercato statunitense è già possibile. Esempi di restrizioni che il governo degli Stati Uniti potrebbe imporre alle app bandite includono:

  • Proibire agli App Store che servono clienti statunitensi di presentarle
  • Impedire agli inserzionisti statunitensi di fare affari con esse
  • Impedire ai processori di pagamento statunitensi di gestire pagamenti con esse
  • Impedire ai fornitori di servizi cloud statunitensi di ospitarle
  • Impedire ai siti di social media statunitensi di collegarsi a esse
  • Vietare alle istituzioni finanziarie statunitensi di servirle

Queste azioni significherebbero che TikTok sarebbe probabilmente ancora disponibile negli Stati Uniti per chiunque sia determinato a trovarlo. Tuttavia, ByteDance (proprietario di TikTok) non sarebbe in grado di generare entrate dal mercato statunitense e, di conseguenza, non avrebbe incentivi a servire il mercato degli Stati Uniti. Il divieto da parte degli App Store che servono i clienti statunitensi renderebbe anche difficile (se non impossibile) per tutti tranne i consumatori statunitensi più determinati ottenere l’app (e questi clienti sarebbero comunque in grado di ottenere l’app, secondo l’attuale formulazione del RESTRICT Act).

Ciò realizzerebbe l’intento legislativo con molto meno rischio di conseguenze impreviste per la libertà su internet.

Considerazioni finali

Data la ripetuta violazione della privacy da parte di TikTok, le capacità dannose di Pinduoduo e i loro stretti legami con il governo cinese, comprendiamo la necessità di una risposta più rapida. Crediamo semplicemente che qualsiasi risposta debba essere misurata, proporzionale, applicabile a minacce future e tenere conto delle minacce uniche poste da app e servizi provenienti dalla Cina. Il RESTRICT Act, così come è attualmente scritto, non supera questa prova.

Se sei un elettore statunitense, ti invitiamo a far sentire la tua voce. Contatta il tuo senatore e sollecitalo a trovare un modo responsabile per mitigare l’influenza di TikTok e modificare il RESTRICT Act.

La missione di Proton è costruire un internet migliore dove la privacy è la regola. Mantieni il controllo dei tuoi dati e naviga in sicurezza online con Proton Mail, Proton VPN e Proton Drive.

Articoli correlati

The cover image for a Proton Pass blog comparing SAML and OAuth as protocols for business protection
en
SAML and OAuth help your workers access your network securely, but what's the difference? Here's what you need to know.
Proton Lifetime Fundraiser 7th edition
en
Learn how to join our 2024 Lifetime Account Charity Fundraiser, your chance to win our most exclusive plan and fight for a better internet.
The cover image for a Proton Pass blog about zero trust security showing a dial marked 'zero trust' turned all the way to the right
en
Cybersecurity for businesses is harder than ever: find out how zero trust security can prevent data breaches within your business.
How to protect your inbox from an email extractor
en
Learn how an email extractor works, why your email address is valuable, how to protect your inbox, and what to do if your email address is exposed.
How to whitelist an email address and keep important messages in your inbox
en
Find out what email whitelisting is, why it’s useful, how to whitelist email addresses on different platforms, and how Proton Mail can help.
The cover image for Proton blog about cyberthreats businesses will face in 2025, showing a webpage, a mask, and an error message hanging on a fishing hook
en
Thousands of businesses of all sizes were impacted by cybercrime in 2024. Here are the top cybersecurity threats we expect companies to face in 2025—and how Proton Pass can protect your business.