Come temevamo, il Parlamento britannico ha approvato la legge sulla sicurezza online senza apportare le modifiche necessarie a tutela della privacy.
La legge sulla sicurezza online, come ora è denominata, include una clausola che conferisce al governo britannico il potere di accedere, raccogliere e leggere le conversazioni private di chiunque, in qualsiasi momento lo desideri. Uno scenario di sorveglianza peggiore è ora possibile nel Regno Unito ed è stato lasciato nel testo legale nonostante il governo britannico stesso abbia ammesso che è “tecnicamente irrealizzabile” rompere la crittografia proteggendo al contempo la privacy.
Avendo ricevuto l’Assenso Reale il 26 ottobre, è troppo tardi per correggere la legislazione. Rimane solo una domanda: il governo userà il suo nuovo potere?
Nelle prossime settimane e mesi, Ofcom, l’ente regolatore incaricato di implementare la legge, redigerà e pubblicherà linee guida di conformità in tre fasi. Ora è il momento per Ofcom di lavorare con l’industria tecnologica a soluzioni che promuovano gli importanti obiettivi della legge senza entrare nel pericoloso territorio della sorveglianza di massa e di un internet senza crittografia.
Tuttavia, questo dibattito non è limitato solo al Regno Unito. I legislatori europei stanno lavorando alla loro proposta, comunemente definita “Controllo Chat”. L’attuale bozza della Commissione Europea è ancora più ampia di quella del Regno Unito, costringendo ancora più servizi a potenzialmente rompere la crittografia. Ma c’è un crescente sostegno per la crittografia nell’UE e incoraggiamo a prendere nota della dichiarazione del governo britannico secondo cui rompere la crittografia preservando la privacy non è tecnicamente possibile.
La legge sulla sicurezza online e i poteri di sorveglianza
Fin dall’inizio, i sostenitori della legge sulla sicurezza online avevano buone intenzioni, spingendo per misure forti per prevenire le peggiori forme di abusi online, inclusi i danni contro i bambini. Sosteniamo completamente questo scopo ma non i mezzi.
La nuova legge potrebbe essere utilizzata per costringere le aziende a monitorare i dati dei loro utenti per materiale illegale. Ma molte aziende, tra cui Proton e l’app di messaggistica Signal, utilizzano la crittografia end-to-end, che è progettata per impedire a chiunque, tranne l’utente, di accedere ai propri dati. Questa tecnologia è un componente fondamentale dell’internet moderno, che consente tutto, dall’online banking al giornalismo investigativo. La crittografia end-to-end per definizione significa che nessuno, nemmeno le aziende che forniscono i servizi in uso, può vedere o accedere ai dati delle persone.
La legge sulla sicurezza online dà a Ofcom il potere di ordinare ai servizi crittografati di utilizzare “tecnologie accreditate” per cercare e rimuovere contenuti illegali. Purtroppo, non esiste attualmente una tecnologia che protegga anche la privacy delle persone attraverso la crittografia. Le aziende dovrebbero quindi rompere la propria crittografia, distruggendo la sicurezza dei propri servizi.
I criminali cercherebbero metodi alternativi per condividere materiali illegali, mentre la stragrande maggioranza dei cittadini rispettosi della legge subirebbe le conseguenze di un internet senza privacy e dati personali vulnerabili agli hacker.
Segnali di buone notizie
A suo merito, il governo britannico ha ammesso che non esiste una tecnologia che permetta alle aziende di analizzare certi messaggi senza rompere tutta la crittografia. Questa ammissione è di vitale importanza e dovrebbe essere tenuta presente da Ofcom durante il processo di implementazione.
Anche Ofcom ha dato segnali incoraggianti. Nel suo schema iniziale non si menziona la crittografia come parte del suo piano di attuazione. Al contrario, Ofcom ha dichiarato(nuova finestra): “Dovremo trovare un equilibrio appropriato, intervenendo per proteggere gli utenti dai danni quando necessario, garantendo al contempo che la regolamentazione tuteli adeguatamente la privacy e la libertà di espressione e promuova l’innovazione.”
Questo è il percorso che incoraggiamo in Proton. Come abbiamo già detto, minare la crittografia metterebbe in pericolo non solo i cittadini britannici ma anche coloro che vivono sotto regimi autoritari che potrebbero copiare il modello britannico. Anche la reputazione di Londra come hub tecnologico europeo è in gioco, poiché l’Online Safety Act invia un messaggio preoccupante alle aziende che considerano di investire nel Regno Unito.
Cosa possiamo ancora fare per proteggere la privacy nel Regno Unito
Proton e altri hanno lavorato intensamente per educare i membri del Parlamento sui rischi dell’Online Safety Act. Siamo pronti a lavorare con Ofcom per promuovere la sicurezza online proteggendo la crittografia end-to-end. In futuro, supporteremo la legislazione volta a rafforzare la crittografia nel Regno Unito – nel frattempo, continueremo a chiedere garanzie dove possibile.
Per quanto riguarda Proton, abbiamo una missione chiara: rendere la privacy accessibile a tutti. Siamo ragionevolmente fiduciosi che l’Online Safety Act non sarà applicato a Proton grazie all’ammissione del governo e all’esenzione per l’email. Sebbene certi elementi dei nostri servizi rientrino nell’ambito della legge, la clausola che richiede la scansione dei contenuti non sarà applicata fino a quando non sarà disponibile una tecnologia ‘fattibile’, se ciò è anche possibile.
Come azienda svizzera, Proton non ha intenzione di compromettere la privacy della nostra comunità e non si adeguerà a nessun tentativo di imporre obblighi di violare la crittografia per gli utenti del Regno Unito. In caso di tentativi di applicazione su larga scala, Proton supporterà azioni legali per bloccare l’implementazione della legge che viola i diritti fondamentali dei cittadini.
È essenziale che Ofcom ascolti gli avvertimenti provenienti dall’intera comunità tecnologica e si impegni a non minare la crittografia con i poteri che gli sono stati concessi. Il futuro di internet dipende da ciò.