martedì 10 marzo 2020

Nessuna backdoor sui diritti umani: perché la crittografia non deve scendere a compromessi





di Wendy McElroy


Nell'aprile 2019 il Regno Unito ha pubblicato l'Online Harms White Paper per annunciare la sua campagna per frenare i cosiddetti "hate speech" sui social media come Facebook e TikTok. Il periodo di consultazione pubblica è terminato e una risposta completa è attesa nella primavera del 2020. Seguirà rapidamente la legislazione per criminalizzare la libertà di parola.



La morte della libertà di parola

"Il Regno Unito è diventato la prima nazione occidentale ad andare avanti con la censura di Internet su larga scala [...]. Boris Johnson ha svelato le regole che puniranno le società con multe e persino la reclusione se non riusciranno a proteggere gli utenti da contenuti pericolosi e illegali. Mascherate da protezione per i bambini e persone vulnerabili contro pedofili e cyberbullismo, le proposte costituiranno un onere enorme per le piccole imprese. Alla fine renderanno impossibile produrre e condividere contenuti per coloro che non sono allineati al politically correct." - Mark Angelides

Il contenuto della legge non è ancora noto, ma il suo obiettivo è chiaro: le società su Internet che al loro interno hanno contenuti generati dagli utenti dovranno applicare regole anti-danno per evitare multe, reclusione o il blocco dei loro siti. Priti Patel ha spiegato: "Spetta alle aziende tecnologiche bilanciare le questioni relative alla privacy e ai progressi tecnologici con la protezione dei minori".

L'obiettivo principale dell'attacco sono i messaggi crittografati end-to-end (E2EE) che possono essere letti solo da un mittente e da un destinatario, utilizzando chiavi crittografiche uniche come decodificatori. Le terze parti non possono accedere al contenuto. E2EE è lo strumento di privacy più efficace che è sia facile da usare sia disponibile per tutti, spesso gratuitamente. Per ottemperare alla legge del Regno Unito le aziende dovranno evitare la crittografia o installare "backdoor", portali che consentano a qualcuno di accedere ad un sistema in modo inosservato.

L'avvertimento di Angelides agli Stati Uniti è tempestivo, perché il Congresso sta prendendo in considerazione una misura simile: EARN It Act. La giustificazione della legge è proteggere i bambini e contrastare i malvagi. Dopo tutto, chi altri ha bisogno della crittografia? Secondo le Nazioni Unite, tutti.



La crittografia è un diritto umano

Nel 2015 le Nazioni Unite hanno pubblicato un documento sulla crittografia e l'anonimato nel contesto dei diritti umani. In esso si sottolineava come la crittografia sia un elemento chiave per il diritto alla privacy. A sua volta, la privacy consente la libertà di parola attraverso la quale le persone possono esplorare "aspetti fondamentali della loro identità", tra cui la religione e la sessualità. L'autore del documento, David Kaye, ha esortato cautela nell'utilizzare backdoor vista la "capacità senza precedenti" di autorità, aziende, criminali e malintenzionati di attaccare le persone vogliono condividere informazioni in modo sicuro. Kaye ha riconosciuto la presunta necessità delle forze dell'ordine di leggere i messaggi crittografati, ma "caso per caso" anziché un approccio generale.

Questa è una posizione di lunga data per le Nazioni Unite. Nel 2016 Zeid Ra'ad Al Hussein, Alto Commissario delle Nazioni Unite per i diritti umani, ha pubblicato un documento intitolato "Il caso Apple-FBI potrebbe avere gravi conseguenze globali per i diritti umani". Zeid ha scritto:
Gli strumenti di crittografia sono ampiamente utilizzati in tutto il mondo, compresi i difensori dei diritti umani, la società civile, i giornalisti, gli informatori e i dissidenti politici che subiscono persecuzioni e molestie [...]. La crittografia e l'anonimato sono necessari, in quanto fattori che favoriscono la libertà di espressione e di opinione e il diritto alla privacy. Non è né fantasioso né esagerato dire che, senza strumenti di crittografia, tante vite potrebbero essere messe in pericolo. Nel peggiore dei casi la capacità di uno stato di irrompere nei telefoni dei suoi cittadini può portare alla persecuzione di individui che stavano esercitando i loro diritti umani.

Amnesty International è d'accordo. Un articolo del 2016, "Crittografia: una questione di diritti umani", diceva: "Costringere le aziende a fornire backdoor costituisce una significativa interferenza con i diritti degli utenti alla privacy e alla libertà di espressione. Dato che tali misure incidono indiscriminatamente sulla privacy online di tutti gli utenti, compromettendo la sicurezza delle loro comunicazioni elettroniche e dei loro dati privati, Amnesty International ritiene che siano intrinsecamente sproporzionate e quindi inammissibili ai sensi del diritto internazionale e dei diritti umani".

Perché, quindi, gli stati si stanno affrettando a decifrare la crittografia aperta? Perché l'informazione è potere. È un prerequisito per richiedere denaro e imporre il controllo sociale. Per decenni la sorveglianza ha funzionato nell'ombra, ma ora il vento sta cambiando e richiede apertamente l'accesso ai pensieri e alle vite delle persone. Chi altri se non i malvagi direbbero "no"?



EARN It Act

Il procuratore generale degli Stati Uniti, William Barr, vorrebbe che le forze dell'ordine possano accedere alle comunicazioni crittografate attraverso una backdoor. Barr desidererebbe questo accesso anche quando non vi è alcun rischio di sicurezza informatica o presunti reati e presto potrebbe ottenere ciò che vuole.

L'EARN It Act istituirebbe una "commissione nazionale per la prevenzione dello sfruttamento minorile online" guidata da Barr, che ha l'autorità di scavalcarla e diventare l'unico punto di riferimento. Oltre alla "prevenzione dello sfruttamento minorile", la legge prevede un mandato vago "per altri scopi". Questo significa avere carta bianca, con la sola menzione dell'eliminazione della disinformazione in tempo di elezioni. Il repubblicano Lindsey Graham e il democratico Richard Blumenthal stanno spingendo la misura in Senato. Un accordo bipartisan a quanto pare...

Il disegno di legge non menziona la crittografia, ma richiede che le società tecnologiche aiutino le forze dell'ordine ad identificare, riferire, rimuovere, o conservare prove sullo sfruttamento minorile... e "per altri scopi". L'E2EE rende impossibile fornire tale assistenza, quindi l'EARN It Act lo vieterebbe di fatto in servizi come WhatsApp; manderebbe all'aria  piani di Facebook per crittografare le sue app di messaggistica; aziende come Apple sarebbero in pericolo legale se si rifiutassero di inserire backdoor nei loro software e dispositivi.



Stabilire un precedente legale pericoloso

Il pericolo legale è il meccanismo di attuazione della legge. Una società tecnologica non conforme perderebbe l'immunità della Sezione 230 nei tribunali civili e penali, venendo accusata di conseguenza di sfruttamento minorile e di reati non ancora specificati. Electronic Frontier Foundation (EFF) ha spiegato il significato della Sezione 230 presente nel Communications Decency Act; "La legge più importante che protegge la libertà di parola online". La protezione si basa sulla distinzione tra una piattaforma ed un editore. La Sezione 230 afferma: "Nessun fornitore o utente di un servizio informatico interattivo [piattaforma] deve essere trattato come l'editore di qualsiasi informazione fornita da un altro fornitore di contenuti informativi."

Una piattaforma fornisce servizi, strumenti e prodotti con cui gli utenti creano i propri contenuti; non ha responsabilità legale per quanto riguarda i contenuti così come una compagnia telefonica non ha responsabilità per le conversazioni che vi circolano. Al contrario, un editore modifica o controlla il contenuto, il che lo rende legalmente responsabile.

EFF continua: "La Sezione 230 applica il principio del buon senso, poiché se si dice qualcosa di illegale online, il responsabile deve essere chi lo dice non il sito Web o la piattaforma su cui viene detto (con alcune importanti eccezioni) [...]. Senza di essa i social media come li conosciamo oggi non esisterebbero [...]. E non protegge nemmeno le piattaforme tecnologiche: se avete mai inoltrato un'email, ringraziate la Sezione 230 che potete farlo senza incappare in rischi legali."

L'EARN It Act non solo elimina l'immunità per le società non conformi, ma indebolisce anche lo standard con cui possono essere citate in giudizio. È ora necessario che un querelante dimostri che una società sapeva che si stesse verificando un reato per intentarle causa; con l'EARN It Act basterebbe che un querelante dimostri che la società abbia agito "incautamente". In un discorso alla conferenza internazionale sulla sicurezza informatica del 2019, AG Barr ha definito l'E2EE "intrinsecamente irresponsabile": "I costi della crittografia irresponsabile, che blocca l'accesso legittimo delle forze dell'ordine, vengono misurati in un numero crescente di vittime e reati che avrebbero potuto essere evitati se alle forze dell'ordine fosse stato concesso alle prove crittografate". Per Barr la semplice presenza dell'E2EE senza backdoor costituisce sconsideratezza.

Gli obiettivi dell'EARN It Act sono i giganti di Internet, i quali hanno suscitato una rabbia bipartisan. In una recente audizione della commissione giudiziaria del Senato intitolata "Crittografia ed accesso lecito: valutazione dei benefici e dei rischi per la sicurezza pubblica e la privacy", Apple e Facebook sono stati attaccati per aver utilizzato la crittografia a prova di mandato che ha impedito alle autorità di indagare su "terrorismo, criminalità organizzata e sfruttamento sessuale dei minori". Tuttavia i giganti di Internet potrebbero non essere le sole vittime dell'EARN It Act.

EFF ha spiegato: "Indebolire la Sezione 230 danneggerà più le nuove startup che Facebook e Google. L'Allow States and Victims to Fight Online Sex Trafficking Act del 2018 (FOSTA), l'unica grande modifica alla Sezione 230 da quando è entrato in vigore nel 1996, è stato approvato da quasi tutte le principali società di Internet. Una conseguenza del FOSTA è stata la chiusura di una serie di servizi di incontri online, una nicchia che Facebook ha deciso di riempire poche settimane dopo l'approvazione della legge". La necessità legale di selezionare o filtrare i contenuti ha messo le aziende più piccole in una posizione di svantaggio competitivo rispetto a realtà del calibro di Google.



Conclusione

Sfortunatamente l'antipatia contro le grandi aziende di Internet potrebbe spingere l'approvazione dell'EARN It Act. Inoltre il Congresso vuole senza dubbio avere un maggior controllo sui social media prima delle elezioni del 2020. L'EARN It Act arriverà sulla scia delle grida "Salvate i nostri bambini!" Ma il suo impatto sarà quello di soffocare la libertà di parola, di ostacolare le piccole imprese e di rendere tutti gli utenti più vulnerabili ai criminali, compresi gli agenti dello stato.


[*] traduzione di Francesco Simoncelli: https://www.francescosimoncelli.com/


Nessun commento:

Posta un commento