L’Unione Europea sta portando avanti in modo discreto una serie di proposte di sorveglianza che potrebbero alterare in modo fondamentale il panorama digitale per i suoi 450 milioni di cittadini. Mentre la controversa proposta Chat Control 2.0 ha attirato l’attenzione dei media per il suo focus sulla scansione dei messaggi privati alla ricerca di materiale di abuso sui minori, un’iniziativa più ampia e potenzialmente ancora più significativa chiamata Protect EU sta procedendo attraverso le istituzioni europee con molta meno attenzione pubblica.
Al centro di questi sviluppi c’è un gruppo di esperti segreto che si è auto-battezzato “Going Dark”, un nome che suona quasi deliberatamente minaccioso per un organismo incaricato di ampliare le capacità digitali delle forze dell’ordine. Per i professionisti IT che comprendono le implicazioni tecniche di queste proposte, il quadro che emerge è al tempo stesso affascinante e profondamente preoccupante.
Dall’idea di Chat Control alla Sorveglianza di Massa
Chat Control 2.0, ufficialmente noto come Regolamento sulla Lotta contro l’Abuso Sessuale su Minori, è sempre stato controverso nella comunità tecnologica. La proposta richiede essenzialmente che le piattaforme eseguano la scansione di tutte le comunicazioni private alla ricerca di contenuti sospetti, di fatto compromettendo la crittografia end-to-end per tutti al fine di catturare un numero relativamente ridotto di criminali. Nonostante i ripetuti respingimenti da parte del Parlamento Europeo, continua a riemergere con leggere modifiche.
Ma Chat Control è stato solo l’inizio. I concetti che ha introdotto — scansione di massa, aggiramento della crittografia e rilevamento automatico dei contenuti — sono ora intrecciati in Protect EU, una strategia di sicurezza molto più ampia che abbandona il focus ristretto sulla protezione dei minori a favore di un mandato esteso: facilitare “operazioni investigative per qualsiasi tipo di reato”.
Questa espansione è significativa perché rimuove lo scudo morale fornito dalla protezione dell’infanzia. Se pochi metterebbero in dubbio la necessità di proteggere i bambini, la prospettiva di una sorveglianza di massa per qualunque indagine penale solleva interrogativi diversi su proporzionalità e necessità.
Dentro il Gruppo “Going Dark”
I dettagli tecnici di queste proposte derivano dal lavoro del Gruppo di Alto Livello sull’Accesso ai Dati per un’Efficace Applicazione della Legge della Commissione Europea, istituito nel giugno 2023. Il soprannome “Going Dark” richiama la preoccupazione delle forze dell’ordine secondo cui la crittografia renderebbe invisibili alle indagini le comunicazioni criminali.
Ciò che rende questo gruppo particolarmente degno di nota è il suo approccio alla trasparenza — o meglio, la sua totale assenza. Quando l’eurodeputato tedesco Patrick Breyer ha richiesto informazioni sulla composizione del gruppo, ha ricevuto un documento di due pagine pesantemente censurato che mostrava soltanto i Paesi di provenienza dei partecipanti. Nomi, affiliazioni e aree di competenza erano completamente oscurati. La Commissione ha giustificato questo livello di segretezza classificando il gruppo come “speciale”, esentandolo così dai normali requisiti di trasparenza applicati agli organismi di esperti.
Un grado di opacità così marcato è insolito anche per gli standard UE e ha attirato critiche da parte di organizzazioni come European Digital Rights (EDRi), che hanno sottolineato l’ironia di un gruppo impegnato a ridurre la privacy mentre protegge con tanto zelo l’identità dei propri membri.
Il rapporto del gruppo — 51 pagine e 42 raccomandazioni — rivela l’ampiezza delle sue ambizioni. Il lavoro è stato organizzato in tre aree: accesso ai dati sui dispositivi, accesso ai dati detenuti dai fornitori di servizi e intercettazione in tempo reale dei dati mentre transitano sulle reti. In sostanza, vogliono accesso a tutto, ovunque.
Le Contraddizioni Tecniche
Forse l’aspetto più rivelatore del rapporto “Going Dark” è il modo in cui affronta il problema della crittografia. Il documento afferma che i fornitori di servizi devono fornire i dati in un “formato intelligibile”, comprese le comunicazioni protette da crittografia end-to-end, garantendo al contempo la sicurezza, il rispetto delle norme sulla privacy e “senza alcun compromesso della crittografia”.
Per qualsiasi professionista IT, questo requisito è immediatamente riconoscibile come tecnicamente impossibile. Non si possono fornire dati crittografati in chiaro senza spezzare la crittografia: è questo l’intero scopo della crittografia. Non è una questione di tecnologia ancora immatura o di soluzioni ingegnose; si tratta di un’impossibilità matematica fondamentale.
Eppure il rapporto presenta questa contraddizione senza commentarla, suggerendo o una profonda incomprensione dei principi crittografici tra i membri del gruppo, oppure un tentativo deliberato di presentare un requisito impossibile come se fosse solo difficile. Considerando che il gruppo dovrebbe rappresentare un alto livello di competenza nella tecnologia per le forze dell’ordine, la prima ipotesi è particolarmente inquietante.
Il rapporto discute anche l’imposizione di “aggiornamenti automatici mirati” sui dispositivi dei sospettati per distribuire versioni delle applicazioni in cui la crittografia “smette di funzionare”. Dal punto di vista tecnico, ciò ricorda un attacco alla supply chain: esattamente il tipo di attività malevola contro cui i professionisti della cybersicurezza combattono per tutta la carriera. La proposta chiede, in sostanza, alle aziende software legittime di diventare partecipanti volontari nel compromettere la sicurezza dei propri utenti.
Rianimare Politiche Fallite
Un altro aspetto allarmante delle proposte è il tentativo di resuscitare la Direttiva sulla Conservazione dei Dati dell’UE, che obbligava le società di telecomunicazioni a conservare i metadati delle comunicazioni per un periodo da sei mesi a due anni. La Corte di Giustizia dell’Unione Europea ha annullato la direttiva nel 2014, stabilendo che violava i diritti fondamentali alla privacy e alla protezione dei dati.
La risposta del gruppo “Going Dark” a questo stop giuridico è raccomandare, in sostanza, la stessa politica, ma questa volta estesa oltre le telecomunicazioni a tutti i fornitori di servizi digitali. Sembrano ritenere che rinominare ed espandere una politica dichiarata incostituzionale possa renderla accettabile.
Questo approccio riflette un modello più ampio nelle politiche digitali dell’UE: quando una proposta di sorveglianza fallisce, spesso ritorna sotto un’altra forma invece di essere abbandonata. I professionisti IT che seguono queste discussioni da anni riconosceranno questo ciclo di respingimento e reintroduzione.
Reazioni dell’Industria e Realtà Tecniche
La reazione delle aziende tecnologiche orientate alla privacy è stata rapida e inequivocabile. La presidente della Signal Foundation, Meredith Whittaker, ha dichiarato che Signal cesserebbe le operazioni in Europa piuttosto che compromettere i propri standard di crittografia. Non è una minaccia vuota: Signal in passato si è già ritirata da mercati che richiedevano backdoor.
Altri servizi di messaggistica crittografata si trovano di fronte a scelte simili. La realtà tecnica è che non è possibile creare strumenti di comunicazione sicuri e contemporaneamente offrire accesso alle forze dell’ordine. Qualsiasi backdoor, per quanto ben intenzionata o accuratamente progettata, rappresenta una vulnerabilità di sicurezza fondamentale.
La comunità della cybersicurezza ha ampia esperienza delle conseguenze di tali vulnerabilità. Il recente caso di hacker cinesi che avrebbero sfruttato backdoor previste per le autorità statunitensi dimostra come questi meccanismi di accesso diventino inevitabilmente bersagli per attori malevoli. Quando crei un varco per i “buoni”, crei anche un varco per i “cattivi”.
La (Falsa) Soluzione dei Metadati
Rendendosi conto che rompere la crittografia potrebbe rivelarsi difficile sia politicamente che tecnicamente, il gruppo “Going Dark” si è concentrato anche sull’analisi dei metadati potenziata dall’intelligenza artificiale. La teoria è che, anche se il contenuto dei messaggi resta crittografato, l’analisi di pattern comunicativi, tempistiche e relazioni possa fornire informazioni preziose.
Sebbene l’analisi dei metadati sia davvero potente, come ha famosamente osservato il whistleblower della NSA Edward Snowden: “Uccidiamo persone in base ai metadati”, essa rappresenta un diverso tipo di invasione della privacy. I tuoi metadati rivelano con chi parli, quando, con quale frequenza e da dove. Per molti scopi, queste informazioni sono più preziose del contenuto stesso delle comunicazioni.
La proposta di potenziare tale analisi con l’IA fa un passo ulteriore, consentendo potenzialmente la profilazione comportamentale automatizzata di intere popolazioni. Dal punto di vista dell’implementazione tecnica, un sistema simile richiederebbe la memorizzazione e l’analisi dei pattern comunicativi di milioni di persone innocenti per identificare i pochi potenzialmente coinvolti in attività criminali.
Guardando al Futuro
Per i professionisti IT, queste proposte rappresentano una sfida fondamentale ai principi di sicurezza che sostengono la comunicazione digitale moderna. L’UE sta, in sostanza, chiedendo all’industria tecnologica di abbandonare le migliori pratiche di cybersicurezza per consentire l’accesso investigativo alle forze dell’ordine.
Le implicazioni vanno ben oltre l’Europa. Se l’UE — nota per la sua reputazione di tutela della privacy — dovesse implementare un’infrastruttura di sorveglianza di massa, fornirebbe una giustificazione a regimi meno democratici per pretendere capacità simili. La natura globale dei servizi digitali significa che i compromessi fatti per una giurisdizione spesso si ripercuotono sugli utenti di tutto il mondo.
La risposta della comunità tecnica probabilmente plasmerà non solo la politica digitale europea, ma anche gli standard globali di privacy e sicurezza. La domanda è se i responsabili politici ascolteranno gli esperti tecnici che comprendono le implicazioni di ciò che stanno proponendo, o se il desiderio di capacità investigative prevarrà sulle considerazioni di sicurezza.
Il rapporto del gruppo “Going Dark” rivela una incomprensione fondamentale di come funziona la sicurezza digitale e di ciò che è in gioco quando la si compromette. Per i professionisti IT che dedicano la propria carriera a costruire e mantenere sistemi sicuri, queste proposte non rappresentano soltanto un disaccordo politico, ma una minaccia alle fondamenta tecniche stesse della sicurezza digitale.
Fonti: Basato su documenti disponibili pubblicamente della Commissione Europea, organizzazioni della società civile e dichiarazioni dell’industria.
https://home-affairs.ec.europa.eu/policies/internal-security/protecting-children-sexual-abuse_en
https://www.patrick-breyer.de/en/posts/chat-control/
https://edri.org/our-work/high-level-group-going-dark-outcome-a-mission-failure/
https://fra.europa.eu/en/publication/2017/data-retention-across-eu
