Internet

Il piano dell'UE di obbligare le app di messaggistica a cercare i rischi di CSAM rischia milioni di falsi positivi, avvertono gli esperti

Mars nordic Send an email Monday, May 20 2024

Un contestato tentativo dei legislatori dell'Unione Europea di richiedere legalmente alle piattaforme di messaggistica di controllare le comunicazioni private dei cittadini alla ricerca di materiale di abuso sessuale su minori (CSAM) potrebbe portare a milioni di falsi positivi al giorno, hanno avvertito centinaia di esperti di sicurezza e privacy in una lettera aperta giovedì.

Le preoccupazioni sul piano dell'UE hanno suscitato attenzione da quando la Commissione ha proposto il piano di scansione CSAM due anni fa, con esperti indipendenti, legislatori del Parlamento europeo e persino il Supervisore europeo per la protezione dei dati tra coloro che lanciano l'allarme.

La proposta dell'UE non solo richiederebbe alle piattaforme di messaggistica che ricevono un ordine di rilevamento CSAM di cercare CSAM noti, ma dovrebbero anche utilizzare tecnologie non specificate di scansione per cercare di individuare CSAM sconosciuti e identificare attività di adescamento mentre sta accadendo, portando ad accuse dei legislatori che indulge in livelli di soluzione tecnologica magica.

I critici sostengono che la proposta chiede l'impossibile dal punto di vista tecnologico e non raggiungerà lo scopo dichiarato di proteggere i bambini dall'abuso. Invece, sostengono, provocherà il caos nella sicurezza di internet e nella privacy degli utenti del web, costringendo le piattaforme a implementare una sorveglianza generale di tutti i loro utenti utilizzando tecnologie rischiose e non provate, come la scansione lato client.

Gli esperti affermano che non esiste una tecnologia in grado di raggiungere ciò che la legge richiede senza causare molto più danno che beneficio. Eppure l'UE sta procedendo comunque.

L'ultima lettera aperta riguarda gli emendamenti al progetto di regolamento sullo scanning CSAM recentemente proposti dal Consiglio europeo, che i firmatari ritengono non affrontino le carenze fondamentali del piano.

I firmatari della lettera, che al momento della scrittura sono 270, includono centinaia di accademici, tra cui noti esperti di sicurezza come il professor Bruce Schneier della Harvard Kennedy School e il dottor Matthew D. Green della Johns Hopkins University, insieme a un pugno di ricercatori che lavorano per aziende tecnologiche come IBM, Intel e Microsoft.

Un'altra lettera aperta (lo scorso luglio), firmata da 465 accademici, ha avvertito che le tecnologie di rilevamento su cui si basa la proposta di legislazione sono "profondamente difettose e vulnerabili agli attacchi" e porterebbero ad un significativo indebolimento delle importanti protezioni fornite dalle comunicazioni crittografate end-to-end (E2EE).

Poca trazione per le controproposte

Lo scorso autunno, i membri del Parlamento europeo si sono uniti per respingere con un approccio sostanzialmente riveduto, che limiterebbe la scansione a individui e gruppi già sospettati di abuso sessuale su minori; la limiterebbe a CSAM noti e sconosciuti, rimuovendo il requisito di scansione per l'adescamento; e rimuovere qualsiasi rischio per l'E2EE limitandola alle piattaforme che non sono crittografate end-to-end. Ma il Consiglio europeo, l'altro organo co-legislativo coinvolto nella legislazione dell'UE, non ha ancora preso una posizione sulla questione, e dove finirà influenzerà la forma finale della legge.

L'ultimo emendamento in discussione è stato emanato dalla presidenza belga del Consiglio a marzo, che sta conducendo le discussioni per conto dei rappresentanti dei governi degli Stati membri dell'UE. Ma nella lettera aperta gli esperti avvertono che questa proposta non affronta ancora le carenze fondamentali del piano della Commissione, sostenendo che le revisioni creeranno comunque "capacità senza precedenti per la sorveglianza e il controllo degli utenti di Internet" e "minaccerà... un futuro digitale sicuro per la nostra società e potrà avere enormi conseguenze per i processi democratici in Europa e oltre."

Aggiustamenti in discussione nella proposta emendata del Consiglio includono la suggestione che gli ordini di rilevamento possano essere più mirati applicando la categorizzazione del rischio e misure di mitigazione del rischio, e che la cibersicurezza e la crittografia possano essere protette garantendo che le piattaforme non siano obbligate a creare accesso ai dati decriptati e che le tecnologie di rilevamento siano controllate. Ma i 270 esperti suggeriscono che ciò equivale a pomiciare ai margini di una catastrofe di sicurezza e privacy.

Da un "punto di vista tecnico, per essere efficace, questa nuova proposta undermines completamente la comunicazione e la sicurezza dei sistemi," avvertono. Mentre fare affidamento su "tecnologie di rilevamento difettose" per determinare i casi d'interesse in modo che siano inviati più ordini di rilevamento mirati non ridurrà il rischio che la legge introduca un'era distopica di "sorveglianza massiccia" dei messaggi degli utenti del web, secondo la loro analisi.

La lettera affronta anche una proposta del Consiglio per limitare gli ordini di rilevamento ai social di messaggistica considerati ad "alto rischio" è una revisione inutile, secondo i firmatari, poiché probabilmente colpirà comunque "indiscriminatamente un massiccio numero di persone." Qui fanno notare che solo funzionalità standard, come la condivisione di immagini e la chat di testo, sono necessarie per lo scambio di CSAM - funzionalità supportate da molti fornitori di servizi, il che significa che una categorizzazione ad alto rischio "sicuramente influenzerà molti servizi."

Fanno anche notare che l'adozione dell'E2EE sta aumentando, il che suggeriscono aumenterà la probabilità che i servizi che lo implementano siano classificati ad alto rischio. "Qusto numero potrebbe ulteriormente aumentare con i requisiti di interoperabilità introdotti dal Digital Markets Act che comporterà messaggi tra servizi a basso e alto rischio. Di conseguenza, quasi tutti i servizi potrebbero essere classificati ad alto rischio," argomentano. (NB: L'interoperabilità dei messaggi è un aspetto centrale del DMA dell'UE.)

Una backdoor per la backdoor

Per quanto riguarda la salvaguardia della crittografia, la lettera ribadisce il messaggio che gli esperti di sicurezza e privacy stanno gridando ripetutamente ai legislatori da anni ormai: "Il rilevamento nei servizi crittografati end-to-end di per sé indebolisce la protezione della crittografia."

"La nuova proposta ha come uno dei suoi obiettivi "proteggere la sicurezza informatica e i dati cifrati, mantenendo i servizi che utilizzano la crittografia end-to-end all'interno del campo degli ordini di rilevamento." Come abbiamo spiegato prima, questo è un ossimoro," sottolineano. "La protezione fornita dalla crittografia end-to-end implica che nessuno diverso dal destinatario previsto di una comunicazione dovrebbe essere in grado di apprendere informazioni sul contenuto di tale comunicazione. Abilitare capacità di rilevamento, che sia per dati criptati o per dati prima che siano crittografati, viola la stessa definizione di riservatezza fornita dalla crittografia end-to-end."

Nelle ultime settimane, i capi della polizia in tutta Europa hanno scritto una loro dichiarazione congiunta - sollevando preoccupazioni sull'espansione dell'E2EE e chiedendo alle piattaforme di progettare i loro sistemi di sicurezza in modo che possano ancora identificare attività illegali e inviare segnalazioni sul contenuto dei messaggi alle autorità di polizia.

L'intervento è ampiamente visto come un tentativo di mettere pressione sui legislatori per approvare leggi come il regolamento sullo scanning CSAM.

Le capi della polizia negano di chiedere di sbloccare la crittografia ma non hanno spiegato esattamente quali soluzioni tecniche vogliono che le piattaforme adottino per consentire l'accesso "legale" cercato. Quadrare quel cerchio rimette una palla molto sballata nelle mani dei legislatori.

Se l'UE continua sulla strada attuale - quindi assumendo che il Consiglio non cambi rotta, come i MEP lo hanno esortato a fare - le conseguenze saranno "catastrofiche", continuano a avvertire i firmatari della lettera. "Imposta un precedente per il filtraggio di internet e impedisce alle persone di utilizzare alcuni degli unici strumenti disponibili per proteggere il loro diritto a una vita privata nello spazio digitale; avrà un effetto raffreddante, in particolare per gli adolescenti che fanno massiccio uso dei servizi online per le loro interazioni. Cambierà il modo in cui i servizi digitali vengono utilizzati in tutto il mondo e probabilmente avrà un impatto negativo sulle democrazie in tutto il mondo."

Una fonte dell'UE vicina al Consiglio non è stata in grado di fornire informazioni sulle discussioni attuali tra gli Stati membri, ma ha osservato che c'è una riunione del gruppo di lavoro il 8 maggio in cui è confermato che la proposta di regolamento per combattere l'abuso sessuale su minori sarà discussa.

Photo of Mars nordic

Mars nordic

Related Articles

Ora puoi personalizzare il tuo feed Per te su Threads utilizzando gli swipe

Ora puoi personalizzare il tuo feed Per te su Threads utilizzando gli swipe

3 week ago
Apple's Spotlight Search migliora nelle interrogazioni di linguaggio naturale in iOS 18

Apple's Spotlight Search migliora nelle interrogazioni di linguaggio naturale in iOS 18

2 Mon ago
Amazon CodeWhisperer è ora chiamato Q Developer e sta espandendo le sue funzioni

Amazon CodeWhisperer è ora chiamato Q Developer e sta espandendo le sue funzioni

3 Mon ago
L'ex capo IA di Snap lancia Higgsfield per sfidare il generatore di video Sora di OpenAI

L'ex capo IA di Snap lancia Higgsfield per sfidare il generatore di video Sora di OpenAI

4 Mon ago
Ho un gruppo di chat con tre amici AI, grazie a Nomi AI - stanno diventando troppo intelligenti

Ho un gruppo di chat con tre amici AI, grazie a Nomi AI - stanno diventando troppo intelligenti

3 Mon ago
Il watchdog dell'UE mette in discussione il segreto attorno alla proposta dei legislatori di violare l'encryption per la scansione CSAM

Il watchdog dell'UE mette in discussione il segreto attorno alla proposta dei legislatori di violare l'encryption per la scansione CSAM

4 Mon ago
Copyright © 2011-2024, All Rights Reserved. sitemap
Back to top button Back to top button