Siamo stati anni a discutere di intercettazioni non giustificate, a denunciare gli abusi, i telefoni spiati, le conversazioni pubblicate senza motivo e abbiamo combattuto per un principio semplice: nessuno può ascoltare nessuno senza un mandato del giudice (almeno in uno Stato di diritto, e almeno in teoria). Ora l’Europa sembra volerci portare esattamente nella direzione opposta: una forma di intercettazione automatica preventiva che riguarda tutti, sempre, in nome della sicurezza. Si voterà il prossimo 14 ottobre.
In linea di massima è una buona idea: proteggere i minori, impedire la diffusione di materiale pedopornografico. È così che si presenta la proposta europea nota come Chat Control, una legge che permetterebbe la scansione automatica dei messaggi privati su piattaforme come WhatsApp, Telegram o Signal. Nessuno leggerà davvero le conversazioni (dicono) sarà solo un algoritmo a segnalare i contenuti sospetti (mmm).
Comunqu sia molti, tanti, troppi vedono dietro la parola “protezione” un principio molto più inquietante: la “sorveglianza preventiva”, che suona malissimo. Ogni messaggio, ogni foto, ogni conversazione verrebbe scansionata in tempo reale, cioè prima della crittografia, il che equivale a dire che non esiste più nulla di veramente privato. A proposito, ve lo ricordate il film di Spielberg Minority Report? Il sistema per prevenire i crimini veniva corrotto, manipolato, e finiva malissimo. Nel racconto originale di Philip Dick finiva pure peggio.
Per carità: gli argomenti a favore esistono: la pedofilia online è un fenomeno reale e nessuno può sostenere che le piattaforme debbano restare zone franche. Inoltre le autorità europee temono che la cifratura end-to-end, pur legittima, stia rendendo impossibile indagare su abusi veri, e la cooperazione tra Stati per identificare i colpevoli avrebbe almeno un senso pratico. Ok, il punto è il metodo, perché il fine che giustifica i mezzi qui sta su un piano troppo inclinato: la presunzione di colpa generalizzata, l’idea che per proteggere qualcuno si debbano controllare tutti.
Oltretutto gli esperti di sicurezza (da Signal alla EFF) lo hanno definito “un malware istituzionale”. Vale a dire che l’UE finirebbe per installare un software di controllo dentro la vita privata dei cittadini. Anche se non fosse gestito da esseri umani, sarebbe comunque un occhio permanente dentro le conversazioni, con margini di errore enormi, dettaglio mica da poco.
La tecnologia non distingue il contesto, né il consenso: un algoritmo non capisce l’ironia, non sa cos’è l’arte e non conosce il confine tra un errore e un crimine. Finiremo con una moltiplicazione di falsi positivi, segnalazioni assurde, vite rovinate da un sospetto automatico, processi alle intenzioni che manco c’erano.Un sistema congegnato così rischia di produrre più vittime che colpevoli.
Se vi state chiedendo «ma non serve almeno a fermarli?», la risposta secca è: no. Almeno non come la propaganda dei sostenitori suggerisce. Chi vuole commettere reati ha già gli strumenti per eludere la scansione automatica (steganografia per occultare immagini dentro file innocui, ricompressioni e piccole trasformazioni che rompono gli hash e i fingerprint usati dai rilevatori, pacchetti zip cifrati inviati tramite link esterni, app dedicate o server fuori giurisdizione che aggirano le regole europee), tecniche tutte ben documentate e alla portata di esperti e no. Le operazioni di polizia (EncroChat, Ghost e simili) dimostrano che ogni tanto si riesce a colpire qualche servizio e però il risultato è sempre lo stesso: un’operazione costosa, spettacolare e temporanea, mentre la capacità di malintenzionati di adattarsi e creare contromisure resta intatta. In linguaggio semplice: si costruisce una macchina enorme di sorveglianza che cattura i distratti e lascia scappare i determinati. Tant’è che nessuna delle grandi piattaforme di messaggistica accetta questa prospettiva.
Apple ha già provato qualcosa di simile con il suo progetto di scansione CSAM nel 2021, subito cancellato dopo la rivolta degli utenti: troppo rischioso, troppo vicino alla sorveglianza di massa. Adesso Apple difende la crittografia end-to-end e, come ha già fatto con l’Online Safety Bill britannico, minaccia di ritirare funzioni o servizi pur di non aprire backdoor. WhatsApp, per voce del suo responsabile Will Cathcart, ha dichiarato che “se l’UE ci obbligherà a rompere la crittografia, WhatsApp non potrà operare qui”. Signal è ancora più netto: se il Chat Control passa, lascerà l’Europa.
Telegram, più anarchico e fuori giurisdizione, difficilmente si adeguerà: i suoi server sono distribuiti, e il suo fondatore Durov ha già rifiutato in passato di fornire chiavi di decrittazione a governi molto più autoritari di Bruxelles. Insomma, sui media se ne parla poco, eppure parliamo di strumenti di comunicazione che usiamo tutti e tutti i giorni, direi ogni minuto.
Nel succitato Minority Report il sistema crollava quando scopriva che la vera minaccia era se stesso, qui si rischia lo stesso epilogo, senza Tom Cruise, e con molta più burocrazia. Meditate, gente, meditate. Tanto il cervello, per ora, resta ancora crittografato.