Proton
Stop the Online Safety Bill

Le proposte di corrispondenza hash per l’attuazione dell’Online Safety Act sono pericolose

Il 26 ottobre, il Parlamento del Regno Unito ha approvato l’Online Safety Act, conferendo ad Ofcom, il regolatore delle telecomunicazioni del Regno Unito, ampi poteri per cercare, trovare e sopprimere media e discorsi dannosi scandagliando Internet e, nonostante la vasta condanna dell’industria tecnologica, anche i messaggi crittografati end-to-end (E2EE).

I sostenitori di questa legge l’hanno promossa come una risposta forte per prevenire alcune delle peggiori forme di abuso online, in particolare quelle che prendono di mira e colpiscono i bambini. Tuttavia, il governo ha poi ammesso che attualmente non esiste un modo tecnicamente fattibile per scandire i messaggi o i servizi E2EE senza rompere la loro crittografia, cosa che il governo afferma di non voler fare. Di conseguenza, la responsabilità è passata a Ofcom per decidere un modo responsabile di implementare i suoi nuovi poteri, tenendo conto dei limiti tecnici e morali.

Ofcom ha ora pubblicato una bozza di consultazione su come potrebbe cercare di far rispettare l’Online Safety Act. Ci sono alcuni passi positivi in questo – Ofcom ha dimostrato di non essere intrinsecamente contro la crittografia end-to-end e ha fatto eccezioni per le email e la messaggistica crittografata in una mossa che è certamente una vittoria per la privacy.

Tuttavia, la sua proposta di utilizzare la corrispondenza hash per adempiere alla missione dell’Online Safety Act presenta diversi rischi significativi per la privacy dei cittadini del Regno Unito. Inoltre, la consultazione implica che i servizi di archiviazione e condivisione file potrebbero essere obbligati a implementare la scansione hash, ma dobbiamo ancora vedere i dettagli di come ciò possa essere attuato nella pratica.

Nonostante le affermazioni di Ofcom che questa proposta preserverebbe la privacy, la corrispondenza hash non è una soluzione magica. Se implementata, potrebbe creare un apparato di sorveglianza di massa che potrebbe essere facilmente abusato dalle forze dell’ordine.

Cos’è la corrispondenza hash?

La corrispondenza hash, o la scansione hash, confronta determinati pezzi di contenuto come video, immagini o testo, con un database di contenuti illegali. Viene eseguito trasformando il contenuto in “hash”, un campione del contenuto un po’ come un’impronta digitale. Gli hash dei contenuti memorizzati o condivisi da un utente specifico sono poi confrontati con gli hash di contenuti illegali noti in un database e risultano in una corrispondenza se il software ritiene che gli hash siano identici o abbastanza simili. Alcuni di questi database sono sviluppati da aziende private, altri da ONG o addirittura da agenzie di forze dell’ordine.

La corrispondenza hash è un passo pericoloso verso la sorveglianza di massa

La corrispondenza hash sembra semplice, ma emergono diversi problemi preoccupanti.

  • L’utilizzo della tecnologia di confronto hash è incredibilmente complicato e i sistemi simili già esistenti hanno prodotto numerosi falsi positivi che possono rovinare la vita delle persone(nuova finestra). Questi falsi positivi metterebbero a rischio gli utenti rispettosi della legge e appesantirebbero il sistema, costringendo le aziende o le forze dell’ordine a indagare su media perfettamente innocenti, potenzialmente distogliendo risorse da veri casi di abuso.
  • Mentre Ofcom ha esentato i messaggi crittografati e privati da questa legge, ogni app che scarichi per condividere file o accedere ai social media potrebbe contenere spyware per esaminare i media sul tuo dispositivo e segnalarlo.
  • Non è chiaro se i file crittografati memorizzati sul cloud sarebbero soggetti a scansione hash secondo l’Online Safety Act. Ora che viviamo in un mondo cloud-first, ciò potrebbe dare al governo il mandato di scandire i file di tutti, che spesso includono le informazioni più sensibili delle persone.
  • Infine, nessuna delle proposte attuali discute di come il pubblico in generale possa verificare cosa conterrà il database dei materiali illegali. Potrebbe facilmente diventare uno strumento di censura, simile a come il governo cinese scandisce le immagini delle proteste di Piazza Tienanmen.

Ofcom deve procedere con giudizio

Sollecitiamo Ofcom a considerare con molta attenzione le implicazioni di andare avanti con la corrispondenza hash. Continuiamo a opporci alla Legge sulla Sicurezza Online, ma riconosciamo i meriti dove spettano. Da quando il disegno di legge è diventato legge, la proposta di Ofcom di limitare la scansione ai contenuti condivisi pubblicamente e l’ammissione del governo che attualmente non esiste un modo fattibile per scandire i messaggi crittografati end-to-end senza rompere la crittografia, dimostrano che comprendono le posta in gioco e le limitazioni tecniche.

Detto ciò, qualsiasi proposta di implementare il matching di hash, soprattutto una con così pochi dettagli, espone i cittadini del Regno Unito a una violazione ancora maggiore del loro diritto alla privacy.

È fondamentale che Ofcom ascolti gli avvertimenti della comunità tecnologica. Loteremo per difendere il diritto alla privacy, lavoreremo con i regolatori per assicurarci che comprendano i rischi derivanti dal suo indebolimento e non ci atterremo a nulla che lo faccia. Proteggeremo sempre i diritti della comunità Proton, ovunque essi vivano. Condivideremo le nostre riflessioni sulle proposte nella consultazione di Ofcom non appena avremo maggiori dettagli.

Sebbene sia da riconoscere che stiamo ancora aspettando ulteriori dettagli da Ofcom, speriamo che i legislatori europei prendano nota degli sforzi del Regno Unito per proteggere la crittografia end-to-end e continuino gli sforzi del Parlamento UE per migliorare il Controllo delle Chat. Il Parlamento Europeo si prevede pubblicherà proposte ancora più attente alla privacy rispetto a Ofcom. Speriamo che ciò dia al regolatore del Regno Unito il coraggio di migliorare ulteriormente la Legge sulla Sicurezza Online nei prossimi mesi.

Articoli correlati

A phone screen with a speech bubble with a phone number in it
en
Your email address and passwords aren't the only information hackers can use to scam you. Here's what someone can do with your phone number — and how to protect it.
A web application screen with an unlock icon in the bottom right corner
en
Your best defense against a data breach could be improving your web application security: Find out how Proton Pass can help.
Investigative journalist Vegas Tenold explains the gear he uses to protect his privacy and stay safe.
en
  • News sulla privacy
Follow investigative journalist Vegas Tenold as he explains his gear and how it keeps him safe from surveillance as he works in the field.
Coinbase, the largest Bitcoin exchange in the US, suffered a data breach
en
  • News sulla privacy
  • Proton Wallet
Coinbase employees sold sensitive personal information to attackers, including government IDs and BTC transaction history. Proton Wallet is built to avoid these risks.
Whistleblower's whistle. Journalists must use secure channels to communicate with whistleblowers.
en
Whistleblowers risk everything to expose the truth. This guide helps journalists keep their sources safe using secure tools like Proton Mail, Signal, and SecureDrop.
An image showing a phone screen with a child icon and three icons with '17+' '8-12' and '3-5' to indicate age ratings
en
  • Guide sulla privacy
Parents can help their children develop healthy screen habits by learning about dark design patterns — Proton investigates how