Proton
An illustration of content scanning that could happen under EARN IT.

EARN IT è una legge pericolosa che potrebbe essere utilizzata per rompere la crittografia

Ultimo aggiornamento: 2 febbraio 2022

Il 2 luglio 2020, il Comitato Giudiziario del Senato ha votato per approvare il disegno di legge EARN IT (un acronimo che sta per Eliminating Abusive and Rampant Neglect of Interactive Technologies Act del 2020). In seguito è decaduto, senza mai ricevere un voto sul pavimento del Senato. (L’altro attacco alla crittografia end-to-end di quell’anno, il LAED Act, ha avuto una sorte simile.)

Ora, il Congresso sta nuovamente creando un probabile attacco subdolo alla crittografia. Diversi senatori hanno reintrodottto il disegno di legge EARN IT(nuova finestra) nel Comitato Giudiziario del Senato a gennaio, e il comitato ha successivamente approvato il disegno di legge il 10 febbraio 2022. Il disegno di legge EARN IT è stato anche introdotto alla Camera dei Rappresentanti a febbraio. Se approvato, questo disegno di legge richiederebbe probabilmente alle aziende di social media di monitorare tutti i contenuti condivisi sulle loro piattaforme, inclusi i messaggi privati, apparentemente per prevenire la diffusione di materiale di abuso sessuale sui minori.

Ma il disegno di legge è formulato in modo vago e conferisce un potere straordinario ai singoli stati di creare le proprie regole. I sostenitori della libertà online dicono che la legislazione non è adatta al suo scopo dichiarato e potrebbe invece costringere le aziende Internet a monitorare tutta l’attività dei loro utenti, anche se ciò significa rompere la crittografia.

In altre parole, EARN IT può essere usato come un cavallo di Troia per attaccare la crittografia, o come hanno detto i critici, una “porta sul retro di una porta sul retro”.

Mentre riconosciamo il flagello del materiale di abuso sessuale sui minori online e il ruolo del Big Tech nella sua proliferazione, EARN IT è un tentativo scadente di risolvere il problema. Ci sono molte soluzioni proposte, come rimuovere i video dei bambini dal sistema di raccomandazione di YouTube(nuova finestra), che i pedofili hanno utilizzato per creare archivi di contenuti. EARN IT affronterebbe invece il problema costringendo YouTube a rimuovere quasi tutti i video dei bambini, in quanto YouTube non vorrebbe rischiare l’aumento della responsabilità a cui andrebbe incontro con la nuova legge.

EARN IT affronta solo tangenzialmente il problema del materiale abusivo online. Il suo effetto principale sarebbe probabilmente quello di richiedere alle aziende di monitorare i loro utenti, imporre la censura delle informazioni legali e creare un quadro per rompere la crittografia.

Come funziona EARN IT

Secondo la legge statunitense, le piattaforme tecnologiche generalmente non sono legalmente responsabili per i contenuti pubblicati dai loro utenti sulle piattaforme. Questa premessa legale ha permesso a Facebook e Twitter di diventare centri di smistamento per notizie false, calunnie e contenuti estremisti. È codificato nella Sezione 230 del Communications Decency Act.

La premessa originale di EARN IT è che le aziende online e di social media dovrebbero “guadagnare” le loro protezioni della Sezione 230 seguendo specifiche migliori pratiche, che sarebbero state create da una commissione federale di 19 membri.

Il disegno di legge reintrodottto è praticamente identico a quello che è decaduto nel 2020. Rende ancora le aziende responsabili se sulle loro piattaforme appare materiale di abuso sessuale sui minori, punto e basta. In altre parole, il materiale abusivo non sarebbe protetto dalla Sezione 230.

Il potere della commissione federale è ancora ridotto e la sua lista di migliori pratiche sarà volontaria. E tutti i 50 stati possono ancora scrivere le proprie regole e regolamenti per prevenire il materiale abusivo. Se un’azienda di internet non si conforma a queste leggi, si espone a potenziali accuse penali a livello statale.

Questo potrebbe risultare in un sistema legale frammentato dove ogni stato ha il proprio insieme di regole, il che probabilmente porterebbe le aziende internet ad adottare il codice dello stato più restrittivo come standard. Basta uno stato che richieda alle aziende internet di analizzare i contenuti prima che siano crittografati per vanificare la crittografia end-to-end. Ed è qui che emerge l’unica grande modifica a EARN IT. Nel 2020, ci sono stati alcuni tentativi poco convinti di affermare che la crittografia sarebbe stata protetta. Questi sono stati per lo più rimossi dalla versione del 2022 del disegno di legge.

Come EARN IT attacca la crittografia e la libertà di espressione

EARN IT trasformerebbe le aziende internet in censori e darebbe agli stati il potere di minare la crittografia end-to-end.

Attaccando la Sezione 230, questo disegno di legge garantisce che una vasta gamma di discorsi legali e liberi sarebbero soppressi. Per evitare responsabilità, molte aziende online cancelleranno qualsiasi cosa che sia anche solo tangenzialmente collegata all’argomento mirato.

Lo sappiamo perché l’abbiamo già visto in passato. Il Fight Online Sex Trafficking Act, a cui questo disegno di legge ora assomiglia, doveva mirare solo alla tratta di esseri umani. Tuttavia, nella pratica, ha portato Craigslist a cancellare la sua intera sezione “Personali”(nuova finestra) e Microsoft a monitorare Skype(nuova finestra) per volgarità e nudità.

Potrebbe anche essere il disegno di legge che rompe la crittografia. Invece di un attacco diretto alla crittografia come l’atto LAED, EARN IT darebbe agli stati americani il potere di annullare la crittografia end-to-end. Gli stati potrebbero richiedere alle aziende internet di analizzare i messaggi prima che siano crittografati o creare nuovi modi per accedere ai messaggi crittografati end-to-end senza toccare la crittografia. La legge di Assistenza e Accesso dell’Australia gioca questo stesso gioco semantico richiedendo alle aziende internet di aiutare le forze dell’ordine a sviluppare malware che possa accedere alle informazioni dopo che sono state decrittate sul tuo dispositivo, lasciando tecnicamente intatta la crittografia.

Come spiega Riana Pfefferkorn nel blog del Center for Internet and Society(nuova finestra), il nuovo EARN IT Act offre una protezione dubbia per la crittografia al massimo. Anche se il disegno di legge afferma che offrire una forte crittografia non è di per sé una base per la responsabilità, non fa nulla per impedire a un pubblico ministero di trovare una causa separata semi-plausibile, come la negligenza, e portare in tribunale un’azienda per la sua crittografia in questo modo. In altre parole, finché una causa civile o penale si basa su un reclamo separato e semi-legittimo e non sulla crittografia di un servizio, può usare la crittografia di quel servizio contro di esso come prova di negligenza.

Il risultato finale più probabile sarebbe quello di scoraggiare la forte crittografia e la crittografia end-to-end in generale. Quando EARN IT è stato proposto originariamente nel 2020, il servizio di messaggistica end-to-end Signal ha dichiarato che probabilmente avrebbero dovuto spostare la loro sede fuori dagli Stati Uniti(nuova finestra) se fosse stato approvato.

Come influirebbe EARN IT su di te?

Se sei un utente Proton, eviterai gli effetti più dannosi di EARN IT se dovesse essere approvato. Siamo un’azienda svizzera e i data center che Proton Mail utilizza sono tutti in Svizzera. Pertanto, non siamo soggetti alle leggi statunitensi. Qualsiasi richiesta da parte delle forze dell’ordine straniere deve essere approvata dalle autorità svizzere.

EARN IT probabilmente porterebbe a una reazione eccessiva da parte delle aziende internet, poiché saranno incentivati a rimuovere contenuti completamente legali degli utenti per evitare anche il minimo accenno di responsabilità. Oppure, come ha detto l’ACLU nel 2020 nella sua lettera(nuova finestra) al Comitato Giudiziario del Senato, “Anche se il discorso coperto dalla legge potrebbe essere limitato senza sollevare preoccupazioni costituzionali, le pratiche di moderazione dei contenuti che le aziende impiegheranno per evitare il rischio di responsabilità spazzeranno via molto più ampiamente rispetto al contenuto illegale.”

Se uno stato accoglie l’invito di questa legge e approva regolamenti contro la crittografia end-to-end, metterà molte aziende americane, come WhatsApp o Signal, in una situazione difficile. Combatteranno numerosi e costosi casi giudiziari, romperanno la loro crittografia o lasceranno gli Stati Uniti?

Non possiamo permettere al Congresso di approvare EARN IT

EARN IT mina una delle basi legali per la libertà di espressione su internet e mette a rischio la crittografia che protegge la sicurezza online in nome della prevenzione della diffusione di materiale abusivo. Tuttavia, la pubblicazione di materiale sessuale abusivo sui minori è già un reato federale, il che significa che è già esente dalla Sezione 230. Ci sono molti altri modi efficaci per prevenire la diffusione di questo tipo di materiale.

Inoltre, se questo disegno di legge non avesse l’intenzione di colpire la crittografia, i legislatori avrebbero potuto includere protezioni molto più forti ed esplicite per la crittografia.

In breve, EARN IT è vago, inutile e improbabile che risolva il problema che sostiene di affrontare. Invece, espanderebbe la sorveglianza governativa e la censura e probabilmente costringerebbe le aziende a creare porte d’accesso segrete nella loro crittografia o a eliminare completamente la loro crittografia.

Cosa puoi fare

EARN IT è attualmente al voto nella Commissione Giudiziaria del Senato. Puoi monitorarne il progresso qui(nuova finestra).

Incoraggiamo vivamente tutti gli americani a scrivere ai loro rappresentanti in Congresso e dirgli di votare contro EARN IT. Questa è la tua occasione per ricordare al Congresso quanto tu tenga alla tua sicurezza e libertà di parola. Il Centro Azione(nuova finestra) della Electronic Frontier Foundation ti aiuterà a metterti in contatto con i tuoi rappresentanti.

Puoi anche proteggere i tuoi messaggi personali iscrivendoti per un account di posta elettronica sicura gratuito con Proton Mail. Questo account ti darà anche accesso alla versione gratuita di Proton VPN(nuova finestra), che puoi utilizzare per crittografare la tua navigazione online.

EARN IT minaccia il diritto di tutti a un internet che protegge la privacy e la libertà delle persone. Aiutaci a fermarlo.

Puoi ottenere un account di posta elettronica sicura gratuito da Proton Mail qui.

Offriamo anche un servizio di VPN gratuito(nuova finestra) per proteggere la tua privacy.

Proton Mail e Proton VPN sono finanziati dai contributi della comunità. Se vuoi sostenere i nostri sforzi di sviluppo, puoi passare a un piano a pagamento. Grazie per il tuo supporto.

Articoli correlati

The cover image for a Proton Pass blog comparing SAML and OAuth as protocols for business protection
en
SAML and OAuth help your workers access your network securely, but what's the difference? Here's what you need to know.
Proton Lifetime Fundraiser 7th edition
en
Learn how to join our 2024 Lifetime Account Charity Fundraiser, your chance to win our most exclusive plan and fight for a better internet.
The cover image for a Proton Pass blog about zero trust security showing a dial marked 'zero trust' turned all the way to the right
en
Cybersecurity for businesses is harder than ever: find out how zero trust security can prevent data breaches within your business.
How to protect your inbox from an email extractor
en
Learn how an email extractor works, why your email address is valuable, how to protect your inbox, and what to do if your email address is exposed.
How to whitelist an email address and keep important messages in your inbox
en
Find out what email whitelisting is, why it’s useful, how to whitelist email addresses on different platforms, and how Proton Mail can help.
The cover image for Proton blog about cyberthreats businesses will face in 2025, showing a webpage, a mask, and an error message hanging on a fishing hook
en
Thousands of businesses of all sizes were impacted by cybercrime in 2024. Here are the top cybersecurity threats we expect companies to face in 2025—and how Proton Pass can protect your business.