Per Alberto Pelliccione, numero uno di un'azienda di cybersecurity che sviluppa una piattaforma per identificare e tracciare operazioni di spionaggio e attacchi informatici, ChatControl "apre le porte a quello che rischia di diventare un ciclo pericoloso per il cittadino, con aziende private che si occupano di identificare, scrutinare e segnalare alle autorità, a loro discrezione, contenuti che possono rappresentare attività di abuso sui minori"
“Una sorveglianza sproporzionata” rispetto all’obiettivo, a cui è stato dato via libera “senza avere una completa comprensione degli usi e degli abusi che possono derivare da un accesso capillare alle comunicazioni digitali”. Nonostante l’esperienza mostri che “non esistono casi di utilizzo di sorveglianza di massa con esito positivo nel prevenire fenomeni di abuso. Al contrario invece tutti i programmi di sorveglianza di massa sono stati utilizzati per abusare dei diritti dei cittadini”. Alberto Pelliccione è il numero uno di ReaQta, azienda di cybersecurity che sviluppa una piattaforma in Intelligenza artificiale utilizzata da grandi aziende e governi per identificare e tracciare operazioni di spionaggio ed attacchi informatici di alto profilo. In passato ha lavorato nel settore governativo su operazioni di intelligence, lawful interception ed anti-terrorismo in ambito cyber. Il suo giudizio sul nuovo regolamento Ue ChatControl, che apre la strada alla alla sorveglianza su email e chat da parte di sistemi di intelligenza artificiale con il fine dichiarato di combattere gli abusi sui minori online, è netto: sarà poco efficace nel raggiungere l’obiettivo e determina enormi rischi.
Qual è il suo giudizio sul regolamento Ue ChatControl?
ChatControl apre le porte a quello che rischia di diventare un ciclo pericoloso per il cittadino, dove aziende private si occupano di identificare, scrutinare e segnalare alle autorità, a loro discrezione, contenuti che possono rappresentare attività di abuso. L’impressione è che ChatControl sia stato approvato senza avere una completa comprensione degli usi e degli abusi possibili che possono derivare da un regolamento così ampio che consente un accesso capillare alle comunicazioni digitali.
I gestori privati dei servizi di comunicazione elettronica diventano con ChatControl una sorta di polizia giudiziaria, con mandato pubblico di sorvegliare tutti gli utenti per contrastare gli abusi sui minori. C’è il rischio che entrino in gioco i loro interessi privati, magari in ottica di profilazione degli utenti?
I gestori di servizi e piattaforme hanno vari interessi, da un lato c’è il desiderio di ridurre quanto possibile il fenomeno degli abusi, dall’altro c’è anche la spinta a proteggere il proprio brand. Nessuna azienda vuole essere associata ad attività di questo genere. Ma una volta concesso l’accesso al dato – come le conversazioni ed immagini scambiate tra gli utenti – cosa avviene dopo non è dato sapersi. La profilazione è solo uno degli scenari possibili e non va dimenticato che di tutti i contenuti ispezionati, la quasi totalità sarà completamente legittima, seppure di carattere estremamente privato, e nulla avrà a che vedere con abusi e pur tuttavia saranno finiti sotto lo scrutinio di un numero imprecisato di soggetti.
I detrattori di ChatControl insistono sul problema dei falsi positivi, col rischio che persino psicologi o avvocati che tutelano casi di abuso sui minori possano finire col trovarsi in qualche database come pedofili solo perché hanno acquisito prove dalle vittime. E’ un pericolo reale?
Certamente lo è, ci sono già stati numerosi falsi positivi prima di ChatControl e quando si attiva un programma di sorveglianza di massa è legittimo pensare che ce ne saranno in quantità importanti. Come faranno i sistemi, e le persone dietro a questi sistemi, a decidere quando c’è un abuso? Come si farà a discriminare le attività di abuso da quelle di supporto ad una vittima? Sono domande a cui ChatControl non risponde ed in compenso autorizza una sorveglianza sproporzionata. Il rischio è che un falso positivo faccia finire un innocente in un database dal quale uscire potrebbe costare tempo, denaro e ripercussioni di ogni genere. Gli scenari possibili sono tanti, forse troppi per giustificare un intervento di sorveglianza cosi pesante.
Il monitoraggio delle nostre attività online è già ad un livello molto più avanzato rispetto alla consapevolezza della popolazione a riguardo?
Varie piattaforme di uso comune, tra cui Gmail e Facebook per menzionarne due, effettuano già una serie di controlli per identificare questo genere di contenuti. La polizia federale svizzera ha riportato che l’86% dei “machine generated” report sono falsi positivi, un numero che solleva interrogativi importanti quando i numeri in ballo saliranno di 100 o più volte. Quanto autorizzato da ChatControl viene già fatto – in parte – da vari colossi ed ora questo potere viene semplicemente esteso a tutti i fornitori di servizi.
La messaggistica crittografata – pensiamo a Whatsapp o Signal – pare esclusa al momento dal regolamento ChatControl ma si parla di un testo di follow up che uscirà a breve. Come sarà possibile tecnicamente intercettare i contenuti crittografati?
Al momento queste applicazioni sono escluse ma molto probabilmente rientreranno all’interno di ChatControl 2.0. La cifratura end-to-end adottata da Whatsapp e Signal dovrebbe essere immune a tentativi di intrusione, anche se esistono vie traverse per renderlo possibile. WhatsApp consente la creazione di gruppi di utenti e la comunicazione nei gruppi è cifrata. Una possibile via sarebbe quella di rilasciare al pubblico una versione “ChatControl compliant” del proprio client con la capacità di trasformare ogni chat in un mini-gruppo tra due interlocutori ed un terzo ascoltatore invisibile. Stesso discorso per Signal anche se in questo caso la natura open source del progetto renderebbe l’intervento esterno più visibile, mentre WhatsApp, in teoria, potrebbe rilasciare l’aggiornamento in maniera silente.
ChatControl prelude ad un nuovo modo di leggere il rapporto tra tutela della privacy e esigenza di sorveglianza di massa a fini preventivi?
Quando la tutela della privacy viene affidata ad aziende private che diventano osservatori, archiviatori e giudici, è difficile vedere un regolamento del genere come un nuovo modello di tutela della privacy, al contrario sembra invece un modo di autorizzare la violazione della privacy su larga scala. Fino ad oggi non esistono casi di utilizzo di sorveglianza di massa che hanno avuto esito positivo nel prevenire fenomeni di abuso, al contrario invece sappiamo che tutti i programmi di sorveglianza di massa sono stati utilizzati per abusare di quelli che erano i diritti dei cittadini. La storia recente ci insegna due fatti importanti: non siamo bravi a gestire, proteggere ed utilizzare enormi volumi di dati sensibili e la sorveglianza mirata funziona molto meglio di quella di massa ma con potenziale di abuso molto più limitato.
Quanto saremo liberi di poter mantenere le attuali condizioni di privacy dei nostri servizi di comunicazione digitale, dopo l’entrata in vigore di ChatControl?
Lo saremo fintanto che continueremo ad utilizzare applicazioni capaci di cifratura end-to-end, ma dopo l’avvento di ChatControl 2.0 chi avrà il desiderio di discutere intimamente col proprio partner in un contesto esclusivo ed in assenza di terzi osservatori dovrà probabilmente fare i conti con una nuova realtà. Ma in gioco c’è molto di più e andrebbe aperto un dibattito su quanto sia davvero necessario scrutare nel dettaglio la vita di ognuno di noi al fine di prevenire un abuso, ma senza alcuna garanzia su dove finiranno quei dati, chi li guarderà, per quanto tempo saranno archiviati. Chi ci garantisce che domani quelle conversazioni intime non verranno utilizzate come arma di ricatto o utilizzate esse stesse per abusare dei soggetti? In un’epoca dove i furti di dati sono all’ordine del giorno, come sarà possibile garantire la riservatezza di queste conversazioni quando saranno sparpagliate su decine di gestori ed in balia di attacchi di ogni tipo? Vale davvero la pena attivare una sorveglianza su così ampia scala quando sappiamo che interventi mirati sono invece molto più efficaci?