La Online Safety Bill(nuova finestra) è attualmente in discussione nel parlamento del Regno Unito e si prevede che diventi legge questo autunno. Questa ampia legislazione obbligherebbe ogni “servizio da utente a utente” (come TikTok, Facebook e Twitter) o motore di ricerca disponibile online nel Regno Unito a proteggere tutti i suoi utenti da contenuti illegali e i bambini da contenuti potenzialmente dannosi.
Questa è una delle battaglie più urgenti per il futuro di internet. Trovare modi per rimuovere rapidamente contenuti odiosi, dannosi e illegali rende internet più sicuro per tutti. Siamo felici di vedere che i legislatori stanno prendendo seriamente questo problema, e rimane una priorità assoluta per Proton. Tuttavia, non è chiaro se la Online Safety Bill affronterà efficacemente il problema.
Sembra più probabile che nel tentativo di affrontare tutti i tipi di contenuti dannosi su tutte le piattaforme online, il disegno di legge sia ricorso a generalità interpretabili che potrebbero minare la privacy e la sicurezza personale.
Crediamo che se i legislatori del Regno Unito sono seriamente intenzionati a rendere “il Regno Unito il luogo più sicuro al mondo per essere online difendendo al contempo la libera espressione”, debbano rivedere significativamente la Online Safety Bill. Devono chiarire quali servizi e contenuti sono coperti dalla legge, eliminare il potenziale per conseguenze involontariamente dannose e adottare misure per garantire che questa legge non comprometta la crittografia end-to-end.
Per risolvere un problema, devi definirlo
Potresti chiederti perché stiamo commentando una proposta di legge che sembra prendere di mira le aziende di social media quando offriamo servizi di email crittografata, calendar, archiviazione cloud e VPN. Sentiamo il dovere di parlare a causa dell’influenza che questo disegno di legge avrà, non solo nel Regno Unito ma su internet in tutto il mondo. Mentre i servizi di posta elettronica sono esclusi dal testo attuale, i servizi di archiviazione cloud online, come Proton Drive, non lo sono. Inoltre, la Online Safety Bill potrebbe aprire la strada a future leggi che prenderebbero di mira più servizi e spingerebbero per misure ancora più ampie.
A questo stadio, il disegno di legge è così ampio che non è del tutto chiaro chi sarebbe soggetto ad esso. Sebbene miri principalmente alle aziende di social media, il disegno di legge definisce “contenuto” qualsiasi cosa che venga “comunicata pubblicamente o privatamente”. In pratica, poiché le aziende tecnologiche (come Proton) offrono spesso account singoli che comprendono diversi servizi, è probabile che servizi che non dovrebbero essere soggetti alla legge (come l’email) ne diventino involontariamente soggetti per estensione.
Questo significa sostanzialmente che quasi ogni servizio online che ha utenti nel Regno Unito potrebbe essere interessato. Significa anche che i messaggi che invii a tua madre potrebbero essere trattati allo stesso modo di qualcosa che posti sui social media per tutti da vedere, avvicinandosi pericolosamente alla violazione del diritto esplicito alla vita privata dei cittadini del Regno Unito.
Un altro punto di confusione è che il disegno di legge richiederà ai servizi online, come Facebook, di far rispettare i propri termini di servizio o affrontare sanzioni governative, inclusa la responsabilità penale e il carcere per gli esecutivi (Articolo 65). In sostanza, il governo del Regno Unito sta esternalizzando il suo dovere di definire i contenuti dannosi alle aziende private, incoraggiando l’autocensura. Tuttavia, il governo del Regno Unito ha il diritto di decidere se un’azienda non sta applicando i termini nel modo che desidera e può imporre punizioni severe.
Questo garantisce quasi che le aziende si correggeranno eccessivamente e rimuoveranno discorsi perfettamente legali e altrimenti protetti dalle loro piattaforme piuttosto che rischiare di essere responsabili.
Questo è esattamente ciò che è successo quando gli Stati Uniti hanno promulgato le leggi FOSTA-SESTA, apparentemente per prevenire la tratta di esseri umani. Tuttavia, il mandato poco chiaro della legge ha causato censura su larga scala(nuova finestra) intorno a qualsiasi cosa che potesse essere utilizzata per “promuovere o facilitare la prostituzione”. Ad esempio, Craigslist ha chiuso la sua sezione annunci personali(nuova finestra), Reddit ha chiuso numerosi subreddit(nuova finestra) e siti web più piccoli hanno semplicemente chiuso. Così come è attualmente scritta, la Online Safety Bill avrebbe un effetto altrettanto raggelante sulla libertà di parola.
Un divieto della crittografia end-to-end che non dice il suo nome
L’articolo 110 del Disegno di Legge sulla Sicurezza Online consentirebbe al governo del Regno Unito di richiedere a qualsiasi “servizio di comunicazione tra utenti” l’utilizzo di “tecnologie accreditate” per identificare e rimuovere materiale di abuso sessuale infantile (CSAM) o contenuti terroristici “sia che vengano comunicati pubblicamente o privatamente tramite il servizio”.
In parole povere, l’articolo 110 darebbe al governo del Regno Unito ampi poteri che gli consentirebbero di richiedere a qualsiasi servizio online disponibile nel Regno Unito di monitorare tutto il contenuto generato dagli utenti sulla sua piattaforma, inclusi i messaggi privati degli utenti.
Questo rappresenta un problema per i servizi crittografati end-to-end, che non possono accedere al contenuto dei loro utenti.
Sebbene i legislatori del Regno Unito abbiano dichiarato di non voler vietare la crittografia end-to-end, gli unici modi in cui un servizio crittografato end-to-end potrebbe conformarsi al disegno di legge sarebbero:
- Rimuovere la propria crittografia end-to-end
- Indebolire la propria crittografia end-to-end
- Installare la scansione lato client
- Cessare di fornire servizi nel Regno Unito
Ciò porterebbe a una palese ricreazione dei sistemi di sorveglianza di massa che Edward Snowden ha esposto nel 2013. Non solo ciò violerebbe il diritto alla privacy dei cittadini del Regno Unito, ma c’è poca o nessuna prova che la sorveglianza di massa sia efficace(nuova finestra) nel ridurre il crimine o il terrorismo. La scansione lato client è già in atto su alcune piattaforme come Google, e i suoi falsi positivi hanno avuto disastrose conseguenze nella vita reale(nuova finestra). Inoltre, questa sorveglianza avrebbe anche un effetto inibitorio sulla libertà di espressione e renderebbe più difficile per giornalisti e whistleblower denunciare illeciti.
Indebolire la crittografia end-to-end ridurrebbe la sicurezza online di tutti, inclusi i bambini che questo disegno di legge intende proteggere(nuova finestra). Senza una crittografia forte, i dati sensibili di milioni di persone sarebbero a rischio.
Il Disegno di Legge sulla Sicurezza Online deve essere rivisto per affrontare i contenuti illegali
Condividiamo l’obiettivo di assicurare che le persone siano al sicuro online. Ci stiamo impegnando al massimo per garantire che i contenuti illegali non abbiano spazio sui nostri servizi e abbiamo partecipato negli anni a eventi di Tech Against Terrorism per condividere le migliori pratiche. Il nostro team Anti-abuso costituisce circa il 10% del nostro personale e sta costantemente investigando nuovi e innovativi modi di combattere i contenuti abusivi proteggendo al contempo la privacy dei nostri utenti.
Ma questa legge lascia troppo spazio all’interpretazione. Gli sostenitori del Disegno di Legge sulla Sicurezza Online hanno nobili intenzioni — tutti vogliamo fermare la diffusione di CSAM e contenuti terroristici — e siamo felici di vedere i policymaker finalmente entrare nel dibattito su come migliorare la sicurezza online. Ma il loro approccio è sbagliato e pericoloso.
Il disegno di legge mette a rischio il nostro diritto alla privacy, il nostro diritto alla libertà di parola e il funzionamento economico di internet, facendo poco per proteggere le persone online. Infatti, indebolire la crittografia metterebbe le persone a maggior rischio.
Chiediamo al governo del Regno Unito di rivedere il Disegno di Legge sulla Sicurezza Online per proteggere meglio il diritto alla privacy, il diritto alla libertà di parola e la crittografia su cui internet si basa per funzionare. Vorremmo anche sottolineare che qualsiasi programma di lotta al CSAM dovrebbe anche coinvolgere maggiori finanziamenti per i servizi di protezione dell’infanzia, la consulenza e le forze dell’ordine,
Se la legge verrà approvata, faremo tutto ciò che è in nostro potere per conformarci proteggendo i nostri utenti. Abbiamo fondato Proton affinché tutti possano esercitare il loro diritto umano fondamentale di proteggere la propria privacy online. Finché potremo garantire la privacy della comunità Proton nel Regno Unito, continueremo a operare lì.
AGGIORNAMENTO 6 marzo 2023: Rimosso un riferimento al Disegno di Legge sulla Sicurezza Online applicabile a “grandi” aziende. In realtà, si applicherebbe a aziende di tutte le dimensioni, imponendo un grande onere tecnico a molte imprese medie e piccole.
