(traduzione semi-automatica del post di EDRi)
Avviso sui contenuti: contiene discussioni su abusi sessuali su minori e materiale pedopornografico
I governi degli Stati membri dell’UE stanno pianificando di adottare la loro posizione ufficiale, denominata “approccio generale”, sul regolamento sugli abusi sessuali su minori (CSAR) alla riunione dei ministri della giustizia e degli affari interni del 28 settembre 2023 . Il gruppo di lavoro sulle forze dell’ordine (LEWP) – che ha negoziato questo testo a nome dei loro paesi nell’ultimo anno – terrà la sua ultima riunione prima della pausa estiva il 26 luglio.
Le loro discussioni si baseranno sul testo del Consiglio 11518/23 che propone le ultime modifiche suggerite al progetto di CSAR dalla presidenza spagnola. Qui, con l’ultimo testo del Consiglio, lanciamo l’allarme sui seguenti problemi principali:
- Il compromesso proposto sugli ordini di rilevamento avalla i piani di sorveglianza di massa della Commissione e compromette gravemente la crittografia ;
- Il blocco e il delisting sono stati resi molto più semplici. Ciò significa che è molto meno probabile che la rimozione di materiale pedopornografico da Internet (che gli esperti di protezione dei minori confermano essere la misura più efficace per proteggere i sopravvissuti) venga perseguita dalle autorità ;
- Le autorità non indipendenti avranno ora un ruolo chiave nell’amministrazione delle misure della CSAR, e gli obiettivi di polizia o di pseudo-polizia assumono ora un ruolo molto più ampio (anche se la CSAR non ha alcuna base giuridica per la polizia);
- I tentativi di proteggere i bambini dalla verifica dannosa dell’età sono cosmetici e molte persone potrebbero essere bloccate dalle comunicazioni online;
- Le comunicazioni del governo e di alcune imprese sono escluse dalla legge in una scioccante ammissione che altrimenti le misure proposte violerebbero la riservatezza di tali comunicazioni.
Questi ultimi cambiamenti possono ancora suscitare l’opposizione di una consistente minoranza di Stati membri. Ciò include il governo della Polonia, che è stato profondamente critico nei confronti di questa legge, il governo dell’Austria, che è stato vincolato dal suo parlamento ad approvare una CSAR che minerebbe la crittografia o violerebbe i diritti umani, e almeno altri sette paesi che hanno espresso preoccupazioni.
Molti Stati membri vogliono una scansione generalizzata delle comunicazioni, ignorano i pareri legali
Le discussioni del LEWP sugli ordini di rilevamento (articoli 7-11) sono state intense perché diversi Stati membri si sono opposti alla scansione generale e indiscriminata delle comunicazioni private di tutti, in particolare dei servizi di comunicazione crittografati end-to-end (E2EE). Gli esperti di crittografia ritengono che l’implementazione delle tecnologie di rilevamento sia tecnicamente impossibile senza compromettere in modo critico la progettazione della sicurezza del servizio di comunicazione.
Come discusso in precedenza , il 26 aprile 2023 il Servizio giuridico del Consiglio ha espresso un parere schiacciante che avrebbe dovuto fornire ampio sostegno al gruppo di Stati membri critici.
Il parere avvertiva di “un serio rischio che [il regolamento CSA] compromettesse l’essenza dei diritti alla privacy e alla protezione dei dati”, minerebbe la crittografia e consentirebbe “l’accesso generale e indiscriminato al contenuto delle comunicazioni personali” da parte delle aziende.- Avvocati del Consiglio
Gli ambasciatori si piegano alle pressioni politiche
Nel tentativo di risolvere il disaccordo politico e affrontare le disparate valutazioni legali del dipartimento Affari interni della Commissione in difesa della loro proposta, e la critica dei servizi legali del Consiglio, le discussioni sugli ordini di cattura sono state intensificate a livello di ambasciatori. Alla riunione del COREPER del 31 maggio 2023, la maggioranza degli ambasciatori ha sostenuto l’approccio della Commissione con ordini di individuazione generali e indiscriminati. Hanno convenuto che non dovrebbero essere fatte eccezioni per CSAM e toelettatura sconosciuti, in cui è noto che le tecnologie di rilevamento basate sull’intelligenza artificiale producono un gran numero di falsi positivi o per proteggere le comunicazioni crittografate. Anche le comunicazioni audio dovrebbero rimanere nell’ambito della CSAR.
Per riassumere la situazione attuale, la maggioranza degli Stati membri preferisce la consulenza della Commissione rispetto ai propri legali; o il loro appetito politico per la legislazione con la sorveglianza delle comunicazioni private delle persone senza previo sospetto è semplicemente così forte che sono disposti a rischiare che la legislazione venga ribaltata nell’inevitabile sfida legale davanti alla Corte di giustizia dell’Unione europea.
La Commissione è il “lupo solitario” sulla legalità degli ordini di rilevamento generali e indiscriminati (invocando l’argomento legalmente non testato “il contenuto è il crimine” per razionalizzare il motivo per cui ritengono che gli ordini di rilevamento non possano essere presi di mira). La valutazione del Servizio giuridico del Consiglio, tuttavia, è sostanzialmente identica alle precedenti valutazioni del Garante europeo della protezione dei dati (GEPD) e del Comitato europeo per la protezione dei dati (EDPB), nonché alla valutazione d’impatto complementare richiesta dal Comitato per le libertà civili (LIBE) del Parlamento europeo.
In questo contesto, il testo del Consiglio del 16 luglio sugli ordini di rilevamento contiene pochissime modifiche al campo di applicazione della proposta della Commissione. Le chiamate (comunicazioni audio in tempo reale) sono escluse dagli ordini di rilevamento, ma questa è l’unica limitazione imposta; le note vocali sono ancora presenti.
Si cerca di precisare le condizioni per l’emanazione degli ordini di rilevamento, ma la nuova formulazione con “indicazioni oggettive che il servizio è o sarà utilizzato per la diffusione..” consente ancora di fare congetture sull’utilizzo futuro del servizio. Allo stesso modo, continua a consentire l’emissione di ordini sulla base del “[rischio] prevedibile” (articolo 7.4.a.). Ciò garantirebbe quasi che gli ordini di rilevamento vengano utilizzati in modo generale e indiscriminato.
Una regola per i privilegiati, un’altra per tutti gli altri
È stato aggiunto un nuovo considerando (considerando 12 bis) per indicare che le comunicazioni non pubbliche, siano esse governative o commerciali, sono escluse. Tuttavia, la formulazione è vaga e non prevede alcuna esclusione specifica nel testo principale. Ciò significa che è improbabile che questa presunta protezione del “segreto professionale” sia significativa e non proteggerebbe, ad esempio, giornalisti, avvocati o medici che utilizzano servizi come Signal o ProtonMail (che sono servizi disponibili al pubblico).
Secondo una nota a piè di pagina, lo scopo di questo per preservare le informazioni riservate. Questa è effettivamente un’ammissione che le persone nell’UE saranno private della possibilità di comunicare in modo confidenziale dal CSAR: solo il governo e le organizzazioni privilegiate avranno la possibilità di sfuggire a questo.
Protezione della crittografia abbandonata
Mentre una proposta del mese scorso della precedente presidenza svedese per proteggere completamente la crittografia nel CSAR (articolo 1.5.) ci ha dato motivo di speranza, queste speranze sono state infrante nell’ultimo testo spagnolo. Mentre gli svedesi hanno proposto un articolo per proteggere la cifratura, la Spagna ha offerto solo un considerando annacquato (considerando 26). Una critica chiave degli esperti di tecnologia è stata che le tecnologie per la scansione dei messaggi crittografati non sono sicure, protette o in grado di essere implementate su larga scala; la proposta spagnola richiede semplicemente di “tenere conto” della disponibilità delle tecnologie, che non farà nulla per fermare le tecnologie che mineranno l’integrità della crittografia e introdurranno pericolose vulnerabilità dall’uso.
Il nuovo testo richiede inoltre che le misure non debbano “proibire” o “rendere impossibile” l’uso della crittografia end-to-end, che alcuni legislatori hanno visto come una protezione accettabile della crittografia. In realtà, ciò che gli ordini di rilevamento proposti faranno è imporre l’uso di tecnologie come la scansione lato client o le cosiddette “enclavi sicure”, che indeboliranno o eluderanno la crittografia, il che significa che le “protezioni” proposte non impediranno questo risultato.
Nel Regno Unito, dove misure simili per la scansione delle comunicazioni crittografate sono state proposte nella bozza di legge sulla sicurezza online, WhatsApp e Signal hanno dichiarato pubblicamente che non implementeranno la scansione lato client o qualsiasi altra elusione della crittografia. Ciaran Martin, ex amministratore delegato del National Cyber Security Centre del Regno Unito, ha pubblicamente messo in dubbio l’opportunità di adottare una legislazione che molto probabilmente non potrebbe mai essere utilizzata dalle autorità britanniche.
Con la posizione del Consiglio sulla crittografia, l’Unione Europea si trova sulla stessa rotta di collisione con i fornitori di servizi, incluso uno (Signal) su cui attualmente la Commissione Europea fa affidamento per le sue comunicazioni sicure.
Non esiste un modo tecnico per i fornitori di servizi di implementare la scansione delle comunicazioni crittografate che funziona solo nell’UE e non può essere sfruttata (abusata) altrove. Come qualsiasi altro indebolimento della crittografia, la sicurezza di ogni utente nel mondo sarà compromessa.
Gli ordini di blocco per i fornitori di servizi Internet rimangono tecnicamente irrealizzabili
Nell’articolo 16, paragrafo 1, a un fornitore di servizi Internet (ISP) può essere ordinato di bloccare l’accesso a materiale non specificato di abusi sessuali su minori. A differenza della proposta della Commissione, fornire all’ISP un elenco di URL (Uniform Resource Locations) per CSAM noti è del tutto facoltativo. L’articolo 16, paragrafo 5 richiede ancora che gli ordini di blocco siano mirati, ma non è molto chiaro come questa formulazione possa essere conciliata con la disposizione generale di blocco di cui all’articolo 16, paragrafo 1. Poiché quasi tutto il traffico Web è crittografato, non esiste un modo tecnico per implementare il blocco dell’accesso per elementi di contenuto specifici, ad esempio un elenco di URL. L’ISP non può ispezionare l’URL perché è contenuto in pacchetti Internet crittografati tra il browser dell’utente e il server web.
L’impossibilità tecnica di attuare ordini di blocco basati su URL si applica anche alla proposta della Commissione e avrebbe dovuto essere presa in considerazione nella valutazione d’impatto. Tuttavia, il testo del Consiglio aggrava (ancora) i problemi con gli ordini di blocco. Gli ordini di blocco possono essere emessi per materiale pedopornografico ospitato nell’UE e senza tentare di rimuoverlo prima. Viene inoltre soppresso il requisito dell’autorizzazione giudiziaria. Insieme, questi emendamenti potrebbero aumentare l’uso di ordini di blocco e paradossalmente rendere meno efficace la lotta alla proliferazione online di materiale pedopornografico perché il blocco è incentivato rispetto alla rimozione alla fonte.
La stessa critica si applica alla nuova disposizione relativa agli ordini di rimozione dagli articoli 18 bis-18 quater, in cui le autorità competenti possono ordinare agli operatori dei motori di ricerca di rimuovere (“cancellare”) URL specifici in cui è possibile trovare materiale pedopornografico. Poiché l’emissione di ordini di rimozione dall’elenco richiederà alle autorità competenti uno sforzo notevolmente inferiore rispetto alla rimozione dei contenuti, vi è un chiaro rischio che il primo sia preferito al secondo. Ciò è deplorevole, poiché solo la rimozione è efficace per fermare la diffusione di CSAM . La hotline tedesca eco riporta una percentuale di successo del 100% per la rimozione di materiale pedopornografico ospitato in Germania e una percentuale di successo complessiva del 98,5%. Si tratta di un argomento convincente contro gli ampi poteri di blocco e cancellazione dall’elenco concessi alle autorità nel testo del Consiglio .
Gli Stati membri sono generalmente desiderosi di trasferire i poteri esecutivi dall’autorità di coordinamento o dalle autorità giudiziarie alle autorità competenti (come la polizia) in altri settori della CSAR. Oltre agli ordini di blocco, il loro testo consente l’emissione di ordini di rimozione e di delisting da parte delle autorità competenti. Una delle autorità competenti deve essere nominata Autorità di coordinamento, ma non vi sono ulteriori requisiti per l’Autorità di coordinamento.
Si tratta di un cambiamento radicale rispetto alla proposta della Commissione (articolo 26), in cui l’autorità di coordinamento deve essere un’autorità amministrativa indipendente con un ruolo centrale in tutte le questioni di applicazione.
Le disposizioni sulla verifica dell’età mancano di protezioni significative per i dati dei bambini
Abbiamo sollevato preoccupazioni sul fatto che le misure di verifica e valutazione dell’età, che richiedono ai fornitori di prevedere o verificare l’età delle persone per accedere a una piattaforma o a un servizio, comportino gravi rischi per i diritti umani. Ciò include la raccolta di massa e la profilazione dei dati dei bambini, la distruzione dell’anonimato online e l’esclusione di coloro che non dispongono dei documenti di identità corretti, come i giovani privi di documenti.
In un tentativo di concessione per mitigare questi rischi, la sensibilità dei dati personali dei minori e la necessità di prevenire la discriminazione (ad esempio, nei confronti di coloro che non hanno documenti legali) sono menzionate come preoccupazioni fondamentali nel testo del Consiglio (considerando 16 bis). Ma fintanto che la verifica dell’età e l’accertamento dell’età rimangono obbligatori nel testo del Consiglio (cosa che fanno, agli articoli 4.3 e 6.1.), è difficile vedere come si possa soddisfare il requisito del solo trattamento necessario e della non discriminazione.
Altri problemi
Altrove, il nuovo testo introduce altre disposizioni preoccupanti. Alle autorità di coordinamento sono conferiti poteri vaghi per infliggere sanzioni pecuniarie ai fornitori, senza chiarire a sufficienza cosa costituirebbe un comportamento punibile (articolo 5, lettera a). Un precedente tentativo da parte della Svezia di vietare il monitoraggio generale (illegale) è stato inoltre soppresso (articolo 1.4a.). Vengono inoltre introdotte misure che consentono vari tipi di indagini di polizia o di pseudo-polizia accelerata (considerando 29 ter, articoli 36 e 38) e un maggiore accesso a Europol (articolo 46), nonostante il fatto che la CSAR non debba essere una legge di polizia e non abbia una base giuridica adeguata per le attività di polizia.
La controversa deroga provvisoria , attualmente in vigore, è prorogata di 54 mesi (articolo 88) per creare un periodo transitorio. Ciò si accompagna a un periodo di attuazione prolungato della CSAR. La data di applicazione è prorogata a 24 mesi dall’entrata in vigore e per i provvedimenti di accertamento di cui agli articoli 7-11 è previsto un ulteriore rinvio di altri due anni. Dopo una potenziale grande battaglia pubblica per la sua adozione, il CSAR potrebbe essere quasi dimenticato nella mente del pubblico prima che le conseguenze negative, in particolare la sorveglianza di massa associata agli ordini di rilevamento, abbiano effetto.
Il Consiglio ha quasi ignorato i diritti fondamentali
Questo testo quasi definitivo del Consiglio lascia completamente irrisolti i tre maggiori problemi del regolamento CSA (verifica dell’età che porta all’esclusione sociale, rendendo impossibile l’anonimato online e trattamento rischioso dei dati dei minori; monitoraggio generale/sorveglianza di massa delle comunicazioni pubbliche e private e compromissione della crittografia).
Lascia un testo legislativo che non può essere attuato in modo sicuro dai fornitori, che manca di prove della sua efficacia, che si basa su tecnologie che non esistono e che ha un’alta probabilità di essere annullato dalla Corte di giustizia per aver violato il nucleo più essenziale di tutti i nostri diritti alla privacy e alla protezione dei dati.
Risorse e cosa puoi fare
Fare un po ‘di rumore!
La posizione del Consiglio non diventerà ufficiale prima del 28 settembre 2023. Siamo ancora in tempo per ricordare ai nostri governi che devono proteggere i nostri diritti alla privacy, alla protezione dei dati, alla libertà di espressione e alla presunzione di innocenza. Ad esempio, potresti:
- Contatta i tuoi rappresentanti eletti nazionali (MP) per informarli di questa pericolosa proposta di legge
- Contatta i ministri nazionali degli affari interni, della giustizia e del digitale per dire loro che ti opponi a queste misure
- Attira l’attenzione del pubblico su ciò che sta accadendo e sul perché è importante
- Unisciti alla campagna Stop Scanning Me
La posizione di EDRi sul Regolamento CSA
- “Un Internet sicuro per tutti”: breve opuscolo EDRi sul regolamento CSA : https://edri.org/wp-content/uploads/2023/05/CSAR-summary-booklet.pdf
- “Un Internet sicuro per tutti: sostenere comunicazioni private e sicure” : posizione completa EDRi sul regolamento CSA: https://edri.org/wp-content/uploads/2022/10/EDRi-Position-Paper-CSAR.pdf
Campagna Stop Scanning Me
Campagna della società civile Stop Scanning Me : https://stopscanningme.eu/en/
Ulteriori informazioni sulla posizione del Consiglio
” Nonostante gli avvertimenti degli avvocati, i governi dell’UE spingono per la sorveglianza di massa delle nostre vite private digitali” (4 luglio 2023): https://edri.org/our-work/despite-warning-from-lawyers-eu-governments-push-for-mass-surveillance-of-our-digital-private-lives/
> Link all’articolo originale <
I commenti sono disabilitati, ma se vuoi segnalare un errore o aggiungere un contributo, puoi scriverci su Twitter o su Mastodon