Il 26 ottobre, il Parlamento del Regno Unito ha approvato l’Online Safety Act, conferendo ad Ofcom, il regolatore delle telecomunicazioni del Regno Unito, ampi poteri per cercare, trovare e sopprimere media e discorsi dannosi scandagliando Internet e, nonostante la vasta condanna dell’industria tecnologica, anche i messaggi crittografati end-to-end (E2EE).

I sostenitori di questa legge l’hanno promossa come una risposta forte per prevenire alcune delle peggiori forme di abuso online, in particolare quelle che prendono di mira e colpiscono i bambini. Tuttavia, il governo ha poi ammesso che attualmente non esiste un modo tecnicamente fattibile per scandire i messaggi o i servizi E2EE senza rompere la loro crittografia, cosa che il governo afferma di non voler fare. Di conseguenza, la responsabilità è passata a Ofcom per decidere un modo responsabile di implementare i suoi nuovi poteri, tenendo conto dei limiti tecnici e morali.

Ofcom ha ora pubblicato una bozza di consultazione su come potrebbe cercare di far rispettare l’Online Safety Act. Ci sono alcuni passi positivi in questo – Ofcom ha dimostrato di non essere intrinsecamente contro la crittografia end-to-end e ha fatto eccezioni per le email e la messaggistica crittografata in una mossa che è certamente una vittoria per la privacy.

Tuttavia, la sua proposta di utilizzare la corrispondenza hash per adempiere alla missione dell’Online Safety Act presenta diversi rischi significativi per la privacy dei cittadini del Regno Unito. Inoltre, la consultazione implica che i servizi di archiviazione e condivisione file potrebbero essere obbligati a implementare la scansione hash, ma dobbiamo ancora vedere i dettagli di come ciò possa essere attuato nella pratica.

Nonostante le affermazioni di Ofcom che questa proposta preserverebbe la privacy, la corrispondenza hash non è una soluzione magica. Se implementata, potrebbe creare un apparato di sorveglianza di massa che potrebbe essere facilmente abusato dalle forze dell’ordine.

Cos’è la corrispondenza hash?

La corrispondenza hash, o la scansione hash, confronta determinati pezzi di contenuto come video, immagini o testo, con un database di contenuti illegali. Viene eseguito trasformando il contenuto in “hash”, un campione del contenuto un po’ come un’impronta digitale. Gli hash dei contenuti memorizzati o condivisi da un utente specifico sono poi confrontati con gli hash di contenuti illegali noti in un database e risultano in una corrispondenza se il software ritiene che gli hash siano identici o abbastanza simili. Alcuni di questi database sono sviluppati da aziende private, altri da ONG o addirittura da agenzie di forze dell’ordine.

La corrispondenza hash è un passo pericoloso verso la sorveglianza di massa

La corrispondenza hash sembra semplice, ma emergono diversi problemi preoccupanti.

  • L’utilizzo della tecnologia di confronto hash è incredibilmente complicato e i sistemi simili già esistenti hanno prodotto numerosi falsi positivi che possono rovinare la vita delle persone(nuova finestra). Questi falsi positivi metterebbero a rischio gli utenti rispettosi della legge e appesantirebbero il sistema, costringendo le aziende o le forze dell’ordine a indagare su media perfettamente innocenti, potenzialmente distogliendo risorse da veri casi di abuso.
  • Mentre Ofcom ha esentato i messaggi crittografati e privati da questa legge, ogni app che scarichi per condividere file o accedere ai social media potrebbe contenere spyware per esaminare i media sul tuo dispositivo e segnalarlo.
  • Non è chiaro se i file crittografati memorizzati sul cloud sarebbero soggetti a scansione hash secondo l’Online Safety Act. Ora che viviamo in un mondo cloud-first, ciò potrebbe dare al governo il mandato di scandire i file di tutti, che spesso includono le informazioni più sensibili delle persone.
  • Infine, nessuna delle proposte attuali discute di come il pubblico in generale possa verificare cosa conterrà il database dei materiali illegali. Potrebbe facilmente diventare uno strumento di censura, simile a come il governo cinese scandisce le immagini delle proteste di Piazza Tienanmen.

Ofcom deve procedere con giudizio

Sollecitiamo Ofcom a considerare con molta attenzione le implicazioni di andare avanti con la corrispondenza hash. Continuiamo a opporci alla Legge sulla Sicurezza Online, ma riconosciamo i meriti dove spettano. Da quando il disegno di legge è diventato legge, la proposta di Ofcom di limitare la scansione ai contenuti condivisi pubblicamente e l’ammissione del governo che attualmente non esiste un modo fattibile per scandire i messaggi crittografati end-to-end senza rompere la crittografia, dimostrano che comprendono le posta in gioco e le limitazioni tecniche.

Detto ciò, qualsiasi proposta di implementare il matching di hash, soprattutto una con così pochi dettagli, espone i cittadini del Regno Unito a una violazione ancora maggiore del loro diritto alla privacy.

È fondamentale che Ofcom ascolti gli avvertimenti della comunità tecnologica. Loteremo per difendere il diritto alla privacy, lavoreremo con i regolatori per assicurarci che comprendano i rischi derivanti dal suo indebolimento e non ci atterremo a nulla che lo faccia. Proteggeremo sempre i diritti della comunità Proton, ovunque essi vivano. Condivideremo le nostre riflessioni sulle proposte nella consultazione di Ofcom non appena avremo maggiori dettagli.

Sebbene sia da riconoscere che stiamo ancora aspettando ulteriori dettagli da Ofcom, speriamo che i legislatori europei prendano nota degli sforzi del Regno Unito per proteggere la crittografia end-to-end e continuino gli sforzi del Parlamento UE per migliorare il Controllo delle Chat. Il Parlamento Europeo si prevede pubblicherà proposte ancora più attente alla privacy rispetto a Ofcom. Speriamo che ciò dia al regolatore del Regno Unito il coraggio di migliorare ulteriormente la Legge sulla Sicurezza Online nei prossimi mesi.