Il 14 novembre , i membri della commissione “Libertà civili” del Parlamento europeo hanno votato contro i tentativi da parte dei funzionari degli affari interni dell’UE di avviare la scansione di massa di messaggi privati e crittografati in tutta Europa. Si è trattato di un voto chiaro, con una maggioranza significativa di deputati a sostegno della posizione proposta.
Un accordo politico raggiunto dai sette gruppi politici del Parlamento alla fine di ottobre faceva sì che questo risultato fosse atteso. Tuttavia, si tratta di un traguardo importante e gradito, poiché i parlamentari chiedono che le leggi dell’UE siano basate su prove oggettive, realtà scientifica e rispetto della normativa sui diritti umani.
Questo voto segna importanti miglioramenti rispetto al progetto di legge originale della Commissione (denominato “Chat Control”), che ha suscitato polemiche. Il processo attorno alla legislazione ha dovuto affrontare accuse di conflitti di interessi e micro-targeting pubblicitario illegale e sentenze di “cattiva amministrazione” . La proposta è stata anche ampiamente criticata per non aver soddisfatto i requisiti di proporzionalità dell’UE – con gli avvocati degli Stati membri dell’UE che hanno avanzato una critica senza precedenti secondo cui la proposta probabilmente viola l’essenza del diritto alla privacy.
In particolare, il voto di oggi mostra la forte volontà politica del Parlamento di rimuovere le parti più pericolose di questa legge: la scansione di massa, la minaccia alla sicurezza digitale e l’obbligo di una diffusa verifica dell’età. I parlamentari hanno riconosciuto che, per quanto importante sia lo scopo di una legge, esso deve essere perseguito solo con misure legittime e legittime.
Allo stesso tempo, ci sono parti della loro posizione che ancora ci preoccupano e che dovrebbero essere affrontate se una legge finale dovesse essere accettabile dal punto di vista dei diritti digitali. Insieme ai piani di sorveglianza di massa del Consiglio degli Stati membri e ai tentativi della Commissione di manipolare il processo, rimaniamo scettici riguardo alle possibilità di un buon risultato finale.
Anche gli eurodeputati per le libertà civili hanno votato affinché questa posizione diventi la posizione ufficiale del Parlamento europeo. Il 20 novembre al resto della Camera verrà comunicata l’intenzione di consentire ai negoziatori di andare avanti senza ulteriore voto. Solo a quel punto la posizione votata oggi sarà confermata come mandato del Parlamento europeo per il regolamento CSA.
Scansione di massa (ordini di rilevamento)
La posizione del Parlamento europeo respinge fermamente la premessa secondo cui per ricercare materiale pedopornografico (CSAM) si possono scansionare tutti i messaggi delle persone (articoli 7-11). Invece, i deputati richiedono che sia richiesto un sospetto specifico – un principio simile ai mandati. Si tratta di un cambiamento fondamentale che risolverebbe una delle parti più note della legge. La posizione introduce anche un controllo giudiziario sugli elenchi di hash (articolo 44.3), cosa che accogliamo con favore. Tuttavia, purtroppo non distingue tra hashing di base (che generalmente è considerato più robusto) e hashing percettivo (che è meno affidabile).
Allo stesso tempo, anche la formulazione deve essere migliorata per garantire la certezza del diritto. La posizione del Parlamento conferma giustamente che la scansione deve essere “mirata, specificata e limitata a singoli utenti, [o] a un gruppo specifico di utenti” (articolo 7.1). Ciò significa che devono esserci “ragionevoli motivi di sospetto di un collegamento […] con materiale pedopornografico” (articoli 7.1. e 7.2.(a)). Tuttavia, nonostante i tentativi contenuti nel considerando (21) di interpretare in modo restrittivo il “gruppo specifico di utenti”, temiamo che l’espressione “come abbonati a uno specifico canale di comunicazione” (articolo 7.1.) sia troppo ampia e troppo aperta all’interpretazione. Anche il concetto di “collegamento indiretto” è ambiguo nel contesto dei messaggi privati e dovrebbe essere cancellato o chiarito.
La posizione del Parlamento elimina l’individuazione di sollecitazioni (grooming) dall’ambito degli ordini di individuazione, riconoscendo l’inaffidabilità di tali strumenti. Tuttavia, il fatto che l’adescamento rimanga nell’ambito della valutazione del rischio (articoli 3 e 4) comporta ancora il rischio di incentivare misure eccessivamente restrittive.
Crittografia end-to-end
La posizione del Parlamento europeo afferma che i servizi di messaggistica privata crittografata end-to-end – come WhatsApp, Signal o ProtonMail – non sono soggetti a tecnologie di scansione (articoli 7.1 e 10.3). Si tratta di una protezione forte e chiara per impedire che i servizi di messaggistica crittografati vengano indeboliti in modo tale da danneggiare tutti coloro che fanno affidamento su di essi: una richiesta fondamentale della società civile e dei tecnologi.
Diverse altre disposizioni presenti nel testo, come la protezione orizzontale dei servizi crittografati (articolo 1.3a e considerando 9a), danno un’ulteriore conferma della volontà del Parlamento di proteggere uno degli unici modi a nostra disposizione per mantenere al sicuro le nostre informazioni digitali.
Esiste tuttavia una potenziale lacuna (probabilmente involontaria) nella posizione del Parlamento sulla crittografia end-to-end, che dovrà essere affrontata nei futuri negoziati. Infatti, mentre i “servizi di comunicazione interpersonale” crittografati (messaggi privati) sono protetti, non esiste una protezione esplicita per altri tipi di servizi crittografati (“servizi di hosting”).
Sarebbe quindi importante modificare l’articolo 1.3a. per garantire che ai fornitori di hosting, come quelli di backup su cloud personale, non possa essere richiesto di eludere la sicurezza e la riservatezza dei loro servizi con metodi progettati per accedere a informazioni crittografate e che l’Articolo 7.1. viene modificato in modo da non limitarsi alle comunicazioni interpersonali.
Verifica dell’età e altre misure di mitigazione del rischio
La posizione del Parlamento europeo è contrastante per quanto riguarda la verifica dell’età e altre misure di mitigazione del rischio. EDRi è stata chiara sul fatto che la verifica obbligatoria dell’età a livello europeo sarebbe molto rischiosa – e siamo lieti di vedere che queste preoccupazioni siano state prese in considerazione. La posizione del Parlamento europeo protegge l’anonimato delle persone online rimuovendo la verifica obbligatoria dell’età per i servizi di messaggistica privata e gli app store e aggiunge una serie di forti garanzie per il suo utilizzo facoltativo (articolo 4.3.a.(a)-(k)). Si tratta di un insieme di misure positive e importanti.
D’altro canto, siamo delusi dal fatto che la posizione del Parlamento renda obbligatoria la verifica dell’età per le piattaforme porno (articolo 4a) – un passo che non è coerente con l’intento generale della legge. Inoltre, la natura cumulativa delle misure di mitigazione del rischio per i servizi rivolti direttamente ai bambini nella posizione del Parlamento (articolo 4.1.(aa)) richiede ulteriore attenzione.
Questo perché non è prevista alcuna eccezione per i casi in cui le misure potrebbero non essere adatte per un particolare servizio e potrebbero invece rischiare che le piattaforme o i servizi decidano di escludere i giovani dai loro servizi per evitare tali requisiti.
Raccomandiamo che non vi sia una verifica obbligatoria dell’età per le piattaforme pornografiche e che le misure di mitigazione del rischio obblighino i fornitori a ottenere un risultato specifico, piuttosto che creare requisiti di progettazione del servizio eccessivamente dettagliati (e talvolta fuorvianti). Avvertiamo inoltre che il quadro generale del regolamento CSA non dovrebbe incentivare l’uso di strumenti di verifica dell’età.
Scansione volontaria
La posizione del Parlamento europeo non prevede un regime di scansione volontaria e permanente, nonostante alcuni deputati richiedano tale aggiunta. Questo è un punto giuridico importante: se i colegislatori concordano sul fatto che le misure di scansione mirate costituiscono una limitazione necessaria e proporzionata ai diritti umani fondamentali delle persone, allora non possono lasciare tali misure alla discrezione dei soggetti privati. La posizione del Parlamento estende tuttavia di nove mesi la “deroga provvisoria” attualmente in vigore (articolo 88, paragrafo 2).
Formazione Europol e web crawling
Sebbene l’orientamento generale della posizione del Parlamento sia positivo, sono state introdotte o mantenute alcune nuove misure che sono preoccupanti, in particolare il web crawling e l’accesso a Europol.
Articoli 43.4a. E 49.1. consentire al Centro dell’UE di effettuare una scansione web proattiva. Sebbene sia positivo che ciò sia limitato ai contenuti accessibili al pubblico, è opportuno chiarire che ciò dovrebbe applicarsi solo alla ricerca di materiale noto (la parte (b) attualmente lo consente anche per nuovo materiale) e che la ricerca di cui al punto (ba) ) dovrebbe avvenire caso per caso (non “proattivo”/scansione di massa). Altrimenti si corre il rischio di una scansione di massa delle comunicazioni rivolte al pubblico utilizzando strumenti noti per essere inaffidabili su larga scala .
Viene mantenuto l’ampio accesso di Europol alle banche dati e ai sistemi (ad esempio, articolo 52.3) – e il considerando 65 consente a Europol di inviare tutte le segnalazioni “infondate” (cioè innocenti) senza una ragionevole giustificazione per farlo. Una nuova disposizione molto preoccupante è aggiunta anche all’articolo 45.2. per consentire a Europol di utilizzare queste segnalazioni “infondate” a fini di formazione. Anche se l’articolo afferma che tutto ciò deve essere reso anonimo, in primo luogo è difficile capire come si possa ottenere tale anonimizzazione. In secondo luogo, anonime o meno, le comunicazioni legittime e legali delle persone non dovrebbero essere utilizzate per addestrare algoritmi senza il loro esplicito consenso. Questa è una disposizione profondamente depotenziante.
Interessi degli enti commerciali
Nella posizione del Parlamento non si fa abbastanza per garantire che il comitato tecnologico del Centro UE sia realmente indipendente e libero dagli interessi di entità che sviluppano o forniscono tecnologie di scansione. Data la presunta eccessiva vicinanza della “start up no-profit” Thorn alla Commissione europea nella preparazione di questa legge , è fondamentale che a tali interessi non sia consentito supervisionare o decidere sulla scelta della tecnologia, né che questa legge darà loro il monopolio di mercato sulle tecnologie di scansione. È necessario garantire l’indipendenza del comitato tecnologico del Centro UE e introdurre misure per contrastare gli interessi commerciali o il dominio.