Nei giorni scorsi si è avuta notizia del fallimento del cosiddetto “compromesso danese”, con cui la Danimarca, presidente di turno della UE, ha provato a modificare la proposta di “Regolamento del Parlamento Europeo e del Consiglio che stabilisce norme per prevenire e contrastare l’abuso sessuale sui minori” (CSAR - Child Sexual Abuse Regulation) e l’adescamento (grooming) online.

La proposta di Regolamento

Lo CSAR era stato presentato l’11 maggio 2022 (regolamento 2022/0155/COD) dalla parlamentare svedese socialdemocratica Ylva Johansson, all’epoca Commissario europeo per gli affari interni.

L’iniziativa europea, più nota come “Chat Control”, nella sua forma iniziale poneva a carico dei fornitori di servizi digitali (app di messaggistica come WhatsApp o posta elettronica Gmail), vari obblighi tra cui:

• segnalazione dei contenuti sospetti alle autorità competenti o all’istituendo “Centro Europeo per la lotta contro gli abusi sui minori”, un polo centrale di competenze e coordinamento per il contrasto agli abusi sessuali su minori, sia online che offline;

• utilizzo di algoritmi e Intelligenza Artificiale per individuare e segnalare automaticamente contenuti sospetti di abuso sessuale su minori;

• controllo automatico di messaggi, immagini e video inviati dagli utenti, anche nelle chat private e cifrate.

I rilievi degli oppositori

È proprio quest’ultimo aspetto ad avere destato i maggiori rilievi da parte degli oppositori alla proposta – varie associazioni e stati membri, in primis la Germania – perché comportava la verifica preventiva e generalizzato di ogni messaggio o allegato audio, foto o video, trasmesso attraverso piattaforme digitali.

Anche se l’intento dichiarato dai promotori del Regolamento è quello di contrastare la diffusione di immagini pedopornografiche ed i tentativi di grooming, la scansione dei messaggi prima che siano crittografati (scansione “lato client”), si traduce in una sorveglianza preventiva e indiscriminata, che viola la riservatezza di tutte le comunicazioni, compromettendo il sistema di crittografia end-to-end (E2EE).

Si tratta del metodo, utilizzato comunemente nelle app di messaggistica, email e altri servizi online, che protegge i dati crittografandoli sul dispositivo del mittente e decrittografandoli solo sul dispositivo del destinatario. Questo sistema, di regola, impedisce a terzi, inclusi i fornitori di servizi, di leggere o accedere ai messaggi, garantendo che il contenuto sia visto solo dalle persone coinvolte nella conversazione.

Il sistema E2EE è tendenzialmente sicuro, pur potendo essere violato, specie nelle chat di gruppo, poiché è la gestione del gruppo a non essere protetta, per cui chi ha il controllo del server che gestisce l’app può facilmente aggiungere al gruppo un “utente spia”, accendendo così a tutti i messaggi e allegati di quella chat.

Prima che i dati siano crittografati, può effettuarsi la scansione “lato client”, con cui tutte le informazioni possono essere contrassegnate con delle “impronte digitali” (hash) e poi trasmesse. Questo rende possibile, ad esempio, il confronto dell’hash di una foto o di un video destinato alla trasmissione con un file di archivio contenente gli hash del “materiale CSAM” (Child Sexual Abuse Material).

Gli oppositori al Regolamento hanno anche richiamato i principi di carattere generale espressi dalla CEDU nel giudizio Podchasov v Russia del 13.02.2024 (application no. 33696/19) che ha stabilito all’unanimità che l’obbligo contemplato da una legge russa imposto agli “organizzatori di comunicazioni internet” di fornire alle autorità statali la capacità di decrittare le comunicazioni criptate end-to-end costituisce un’interferenza sproporzionata con il diritto alla vita privata e alle comunicazioni dell’articolo 8 della Convenzione Europea dei Diritti dell’Uomo.

Il tentativo di mediazione

La Danimarca ha cercato di far avanzare una versione edulcorata della “Chat Control”.