Proton
Stop the Online Safety Bill

Le proposte di corrispondenza hash per l’attuazione dell’Online Safety Act sono pericolose

Il 26 ottobre, il Parlamento del Regno Unito ha approvato l’Online Safety Act, conferendo ad Ofcom, il regolatore delle telecomunicazioni del Regno Unito, ampi poteri per cercare, trovare e sopprimere media e discorsi dannosi scandagliando Internet e, nonostante la vasta condanna dell’industria tecnologica, anche i messaggi crittografati end-to-end (E2EE).

I sostenitori di questa legge l’hanno promossa come una risposta forte per prevenire alcune delle peggiori forme di abuso online, in particolare quelle che prendono di mira e colpiscono i bambini. Tuttavia, il governo ha poi ammesso che attualmente non esiste un modo tecnicamente fattibile per scandire i messaggi o i servizi E2EE senza rompere la loro crittografia, cosa che il governo afferma di non voler fare. Di conseguenza, la responsabilità è passata a Ofcom per decidere un modo responsabile di implementare i suoi nuovi poteri, tenendo conto dei limiti tecnici e morali.

Ofcom ha ora pubblicato una bozza di consultazione su come potrebbe cercare di far rispettare l’Online Safety Act. Ci sono alcuni passi positivi in questo – Ofcom ha dimostrato di non essere intrinsecamente contro la crittografia end-to-end e ha fatto eccezioni per le email e la messaggistica crittografata in una mossa che è certamente una vittoria per la privacy.

Tuttavia, la sua proposta di utilizzare la corrispondenza hash per adempiere alla missione dell’Online Safety Act presenta diversi rischi significativi per la privacy dei cittadini del Regno Unito. Inoltre, la consultazione implica che i servizi di archiviazione e condivisione file potrebbero essere obbligati a implementare la scansione hash, ma dobbiamo ancora vedere i dettagli di come ciò possa essere attuato nella pratica.

Nonostante le affermazioni di Ofcom che questa proposta preserverebbe la privacy, la corrispondenza hash non è una soluzione magica. Se implementata, potrebbe creare un apparato di sorveglianza di massa che potrebbe essere facilmente abusato dalle forze dell’ordine.

Cos’è la corrispondenza hash?

La corrispondenza hash, o la scansione hash, confronta determinati pezzi di contenuto come video, immagini o testo, con un database di contenuti illegali. Viene eseguito trasformando il contenuto in “hash”, un campione del contenuto un po’ come un’impronta digitale. Gli hash dei contenuti memorizzati o condivisi da un utente specifico sono poi confrontati con gli hash di contenuti illegali noti in un database e risultano in una corrispondenza se il software ritiene che gli hash siano identici o abbastanza simili. Alcuni di questi database sono sviluppati da aziende private, altri da ONG o addirittura da agenzie di forze dell’ordine.

La corrispondenza hash è un passo pericoloso verso la sorveglianza di massa

La corrispondenza hash sembra semplice, ma emergono diversi problemi preoccupanti.

  • L’utilizzo della tecnologia di confronto hash è incredibilmente complicato e i sistemi simili già esistenti hanno prodotto numerosi falsi positivi che possono rovinare la vita delle persone(nuova finestra). Questi falsi positivi metterebbero a rischio gli utenti rispettosi della legge e appesantirebbero il sistema, costringendo le aziende o le forze dell’ordine a indagare su media perfettamente innocenti, potenzialmente distogliendo risorse da veri casi di abuso.
  • Mentre Ofcom ha esentato i messaggi crittografati e privati da questa legge, ogni app che scarichi per condividere file o accedere ai social media potrebbe contenere spyware per esaminare i media sul tuo dispositivo e segnalarlo.
  • Non è chiaro se i file crittografati memorizzati sul cloud sarebbero soggetti a scansione hash secondo l’Online Safety Act. Ora che viviamo in un mondo cloud-first, ciò potrebbe dare al governo il mandato di scandire i file di tutti, che spesso includono le informazioni più sensibili delle persone.
  • Infine, nessuna delle proposte attuali discute di come il pubblico in generale possa verificare cosa conterrà il database dei materiali illegali. Potrebbe facilmente diventare uno strumento di censura, simile a come il governo cinese scandisce le immagini delle proteste di Piazza Tienanmen.

Ofcom deve procedere con giudizio

Sollecitiamo Ofcom a considerare con molta attenzione le implicazioni di andare avanti con la corrispondenza hash. Continuiamo a opporci alla Legge sulla Sicurezza Online, ma riconosciamo i meriti dove spettano. Da quando il disegno di legge è diventato legge, la proposta di Ofcom di limitare la scansione ai contenuti condivisi pubblicamente e l’ammissione del governo che attualmente non esiste un modo fattibile per scandire i messaggi crittografati end-to-end senza rompere la crittografia, dimostrano che comprendono le posta in gioco e le limitazioni tecniche.

Detto ciò, qualsiasi proposta di implementare il matching di hash, soprattutto una con così pochi dettagli, espone i cittadini del Regno Unito a una violazione ancora maggiore del loro diritto alla privacy.

È fondamentale che Ofcom ascolti gli avvertimenti della comunità tecnologica. Loteremo per difendere il diritto alla privacy, lavoreremo con i regolatori per assicurarci che comprendano i rischi derivanti dal suo indebolimento e non ci atterremo a nulla che lo faccia. Proteggeremo sempre i diritti della comunità Proton, ovunque essi vivano. Condivideremo le nostre riflessioni sulle proposte nella consultazione di Ofcom non appena avremo maggiori dettagli.

Sebbene sia da riconoscere che stiamo ancora aspettando ulteriori dettagli da Ofcom, speriamo che i legislatori europei prendano nota degli sforzi del Regno Unito per proteggere la crittografia end-to-end e continuino gli sforzi del Parlamento UE per migliorare il Controllo delle Chat. Il Parlamento Europeo si prevede pubblicherà proposte ancora più attente alla privacy rispetto a Ofcom. Speriamo che ciò dia al regolatore del Regno Unito il coraggio di migliorare ulteriormente la Legge sulla Sicurezza Online nei prossimi mesi.

Articoli correlati

The cover image for a Proton Pass blog comparing SAML and OAuth as protocols for business protection
en
SAML and OAuth help your workers access your network securely, but what's the difference? Here's what you need to know.
Proton Lifetime Fundraiser 7th edition
en
Learn how to join our 2024 Lifetime Account Charity Fundraiser, your chance to win our most exclusive plan and fight for a better internet.
The cover image for a Proton Pass blog about zero trust security showing a dial marked 'zero trust' turned all the way to the right
en
Cybersecurity for businesses is harder than ever: find out how zero trust security can prevent data breaches within your business.
How to protect your inbox from an email extractor
en
Learn how an email extractor works, why your email address is valuable, how to protect your inbox, and what to do if your email address is exposed.
How to whitelist an email address and keep important messages in your inbox
en
Find out what email whitelisting is, why it’s useful, how to whitelist email addresses on different platforms, and how Proton Mail can help.
The cover image for Proton blog about cyberthreats businesses will face in 2025, showing a webpage, a mask, and an error message hanging on a fishing hook
en
Thousands of businesses of all sizes were impacted by cybercrime in 2024. Here are the top cybersecurity threats we expect companies to face in 2025—and how Proton Pass can protect your business.