Per limitare la pedopornografia rischiamo di essere spiati sui nostri cellulari

Affinché l'Unione europea limiti la pedopornografia rischiamo di essere spiati nelle nostra intimità. Milioni di messaggi, mail ed immagini potrebbero diventare oggetto di un'enorme spionaggio collettivo senza che le attività criminali online vengano realmente bloccate. L'avvertimento è stato lanciato da un gruppo di scienziati, tra cui alcuni rinomati nel mondo dell'informatica, che in una lettera hanno chiesto alla Commissione europea di riflettere più attentamente sulla proposta di legge volta a limitare la diffusione di materiale pedopornografico nonché l'adescamento online di minori. Le tecnologie esistenti, mettono in guardia gli esperti, sarebbero "difettose", quindi inefficaci. D'altra parte però, come effetto collaterale, questi "software di spionaggio" renderebbero internet un mondo molto meno sicuro, consentendo sistematiche violazioni della privacy. Secondo gli scienziati insomma, pur essendo nobilissimo l'intento, la "soluzione tecnologica" proposta da Bruxelles per sradicare il problema della pedopornografia comporterebbe molti danni senza realmente risolvere la questione.

Scansione profonda

La Commissione europea ha proposto un regolamento con l'obiettivo dichiarato di fermare la diffusione di materiale pedopornografico su internet e l'adescamento di minori online. Per raggiungere questo scopo la legge consentirebbe alle autorità di obbligare i fornitori di app o altri servizi online a scansionare i messaggi, le immagini, le e-mail, i messaggi vocali e altre attività dei loro utenti. Nel caso di app crittografate end-to-end, si pretenderebbe di effettuare questa scansione direttamente sui dispositivi degli utenti. Parliamo della cosiddetta "scansione lato client" (CSS). Il presupposto della normativa è l'esistenza di tecnologie di scansione efficaci. "Purtroppo, le tecnologie di scansione attualmente esistenti e quelle che si profilano all'orizzonte sono profondamente difettose", contestano invece gli scienziati.

Le critiche

Oltre 300 ingegneri provenienti da 32 Paesi (la raccolta firma è ancora in corso) hanno firmato una lettera aperta chiedendo all'Unione Europea di ripensare le misure ideate per controllare lo scambio digitale di materiale pedopornografico. Tra i firmatari figurano anche Ron Rivest e Martín Hellman, entrambi esperti di crittografia e vincitori dei premi Turing (una sorta di Premio Nobel per l'informatica). Gli ingegneri ammettono il lodevole obiettivo di limitare lo sfruttamento minorile, ma credono che di fatto i nostri cellulari diventeranno dei potenziali dispositivi di spionaggio. Criticano i funzionari di Bruxelles per aver sottovalutato il lato tecnico, che non è stato a sufficienza esplorato nel dibattito pubblico.

Addio privacy

Ad oggi la nostra privacy è garantita quasi esclusivamente dalla crittografia, l'unico metodo risultato efficace nell'invio di comunicazioni nel mondo digitale. Per decriptare i messaggi crittografati non resta che operare direttamente sui cellulari di ciascun utente. Gli strumenti che verrebbero autorizzati con la proposta di legge "funzionerebbero scansionando il contenuto sul dispositivo dell'utente prima che sia stato crittografato o dopo che sia stato decrittografato, per poi riferire ogni volta che viene trovato materiale illecito", precisa la lettera. Gli autori equiparano questo metodo all'installazione di videocamere nelle case per ascoltare ogni conversazione e inviare rapporti quando parliamo di argomenti illegali, come ha dichiarato ad El Paìs Carmela Troncoso, ricercatrice spagnola presso la Scuola politecnica federale di Losanna e una delle promotrici della lettera.. "L'approvazione di questa legge mina il lavoro ponderato e incisivo che i ricercatori europei hanno svolto nel campo della sicurezza informatica e della privacy, compresi i contributi allo sviluppo di standard globali di crittografia", mettono in guardia gli scienziati.

Impronte ingannevoli

Per quanto riguarda gli strumenti di rilevamento di immagini pedopornografiche, gli ingegneri rilevano una serie di difetti tecnici. La tecnologia esistente funziona assegnando a ciascuna immagine di pedofilia conosciuta un numero molto lungo (hash), che coincide ad un'impronta digitale utilizzata per identificare velocemente i dati iniziali. Quando si verifica una corrispondenza su un dispositivo, scatta un avviso per le autorità. Questo metodo risulta però pieno di falle: basta ad esempio variare leggermente un'immagine criminale in modo che l'hash venga modificato senza essere rilevato. "È praticamente sempre possibile apportare piccole modifiche a un'immagine che si traducono in un'ampia variazione del valore di hash che consente di eludere il rilevamento", si legge nella lettera. In questo caso si produrrebbe un falso negativo.

C'è poi il caso in cui si produca un'immagine legittima, ma che potrebbe essere erroneamente letta come materiale illegale, semplicemente perché possiede lo stesso hash di un'immagine presente nel database. In questo caso avremmo un falso positivo. Infine è possibile creare immagini legali con hash criminali in maniera tale da inondare le forze dell'ordine di lavoro e far loro perdere tempo, deviandoli magari da indagini vere. I tecnici in sostanza reputano questi software inefficaci col rischio di lasciar comunque circolare delle immagini illegali, bloccandone invece altre perfettamente lecite. Inoltre potrebbero essere segnalate delle immagini private e di natura intima e del tutto legali, inviate tra adulti consenzienti. Le autorità finirebbero per vedere milioni di immagini erotiche private senza alcuna giustificazione.

Guardiani privati

Altro punto critico riguarda i soggetti che dovrebbero svolgere tali controlli. Incaricati di trovare il materiale criminale sarebbero i fornitori di servizi (quindi ad esempio i creatori di applicazioni), cioè dei soggetti di natura privata. "Le norme proposte costringeranno i fornitori a rilevare, segnalare ed eliminare materiale pedopornografico nei loro servizi", ha affermato il relatore della proposta, l'eurodeputato popolare spagnolo Javier Zarzalejos. Spetterebbe quinid ad aziende private il compito di valutare e mitigare il rischio di uso improprio dei loro servizi, commisurando le misure adottate a questo rischio. Secondo gli autori della lettera queste richieste sono irrealizzabili. "Non è fattibile o sostenibile richiedere alle aziende private di utilizzare le tecnologie in modi che sappiamo già non essere sicuri o addirittura non esserlo affatto", scrivono gli ingegneri. A riprova si cita il caso di Apple che aveva già abbandonato un'iniziativa simile nei suoi dispositivi nel 2022 per questo motivo.

Controllo esteso

Internet è diventato il luogo ideale per gli autori di abusi sui minori per comunicare tra loro, condividere materiali e contattare i bambini. I predatori scattano foto e girano video degli abusi commessi nella vita reale e li condividono attraverso canali online. Li sfruttano anche per ricattare i minori o costringerli ad atti sessuali inappropriati e illegali. Secondo i dati raccolti dall'esecutivo europeo, nel 2021 sono stati segnalati 85 milioni di immagini e video di questo tipo da società operative sul web. Un fenomeno da combattere, ma bisogna capire come. "Data la natura orribile dell'abuso sessuale sui minori, è comprensibile, e anzi allettante, sperare che esista un intervento tecnologico in grado di sradicarlo. Tuttavia, considerando la questione in modo olistico, non possiamo sfuggire alla conclusione che l'attuale proposta non è un intervento di questo tipo", mettono in evidenza gli scienziati. Infine l'ultimo rischio. Installando questo software sui cellulari, le autorità potrebbero sfruttarlo anche per altre finalità di controllo. "Prevediamo che ci sarà una pressione sostanziale sui politici per ampliarne la portata. Prima per rilevare il reclutamento di terroristi, poi altre attività criminali e poi discorsi dissidenti", avverte la lettera, prevedendo la criminalizzazione di qualunque voce si opponga al potere. Con la scusa di combattere la pornografia infantile, i governi delle democrazie occidentali si allineerebbero agli standard di spionaggio di governi autoritari e dittatoriali.