Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Il presente contributo approfondisce le criticità tecniche e costituzionali della proposta di Regolamento COM/2022/209 CSAR(Child Sexual Abuse Regulation).
Questo studio fa seguito all’inquadramento generale già delineato e si concentra sul conflitto tra l’integrità dei sistemi di comunicazione e le nuove esigenze di prevenzione criminale.
Il contrasto tra la cifratura E2EE – sistema di comunicazione dove solo le persone che comunicano possono leggere i messaggi- e le necessità investigative rappresenta oggi la sfida più complessa per chi si occupa di Diritto penale dell’informatica. Ci troviamo di fronte allo scontro tra due diritti fondamentali. La crittografia non è solo uno strumento per la privacy ma costituisce l’infrastruttura stessa della fiducia digitale poiché garantisce che nessun intermediario possa accedere ai messaggi. La proposta di Regolamento COM/2022/209 entra in collisione con questa architettura di sicurezza. Il legislatore si trova davanti a un bivio tra la protezione dell’integrità delle comunicazioni e la creazione di varchi d’accesso per finalità di indagine. Questi varchi rischiano di trasformarsi in vulnerabilità strutturali sfruttabili da qualsiasi attore malevolo o attaccante esterno.
L’esame del client-side scanning come metodo per superare la cifratura rivela un meccanismo che elude il segreto della corrispondenza operando direttamente sul dispositivo dell’utente prima dell’invio o dopo la ricezione dei dati. Dal punto di vista penale questo approccio trasforma lo smartphone in una sorta di agente sotto copertura dormiente che si attiva tramite input algoritmico per analizzare ogni stringa di testo o immagine. Tale tecnologia non colpisce solo i singoli sospettati ma instaura un regime di perquisizione informatica preventiva e generalizzata. Questo modello si concilia con difficoltà con i principi di legalità che devono proteggere ogni atto invasivo della libertà personale e della segretezza nelle società democratiche.
La decisione della Corte europea dei diritti dell’uomo nel caso Podchasov rappresenta oggi un pilastro fondamentale per valutare la legittimità della proposta CSAR. Nel febbraio 2024 la Corte ha stabilito che imporre ai fornitori l’obbligo di decrittazione o la creazione di backdoor costituisce una violazione sproporzionata dei diritti fondamentali. Questo precedente ha una portata enorme per il cosiddetto Chat Control poiché riconosce nella crittografia forte un presupposto necessario per l’esercizio delle libertà civili. Il monito evidenzia come l’indebolimento dei protocolli di sicurezza per scopi di polizia finisca per esporre l’intera popolazione a rischi di sorveglianza indiscriminata molto più gravi dei benefici attesi.
Il monitoraggio preventivo tramite algoritmi solleva dubbi di compatibilità con l’articolo 15 della nostra Costituzione che difficilmente potranno essere ignorati. La Carta garantisce la libertà e la segretezza della corrispondenza ammettendo limitazioni soltanto per atto motivato dell’autorità giudiziaria e nei casi previsti dalla legge. L’automatismo del client-side scanning agisce senza un sospetto individualizzato e senza una valutazione umana preventiva sulla pertinenza dell’indagine. Questo configura una forma di intercettazione massiva e occulta. Chi osserva l’evoluzione del processo penale riconosce in questa proposta un ribaltamento del principio di presunzione di innocenza perché ogni cittadino viene sottoposto a scansione automatica per dimostrare l’assenza di condotte illecite.
L’impiego dell’intelligenza artificiale introduce, inoltre, un elemento di incertezza tecnica che si traduce in un problema giuridico intollerabile. Se l’hashing per il materiale già noto offre garanzie di precisione molto alte, l’uso di algoritmi predittivi per l’analisi testuale delle conversazioni alla ricerca di pattern comportamentali è intrinsecamente impreciso. La gestione di migliaia di falsi positivi comporterebbe un sovraccarico per le forze di polizia e l’esposizione indebita della vita privata di cittadini innocenti al vaglio degli inquirenti. La mancanza di una soglia legale di tolleranza per l’errore algoritmico rende la misura sproporzionata rispetto all’obiettivo violando i test di necessità richiesti dalla giustizia europea.
La scivolosità del crinale tra prevenzione e controllo sociale preoccupa profondamente chi osserva le derive della sorveglianza automatizzata. Una volta implementata l’architettura tecnica per la scansione dei messaggi nulla vieterebbe in futuro di estendere il meccanismo ad altre categorie di reato o al monitoraggio delle opinioni online. Questa espansione funzionale rappresenta un rischio sistemico per le democrazie occidentali perché normalizza l’idea che la comunicazione privata sia un contenuto sempre accessibile dallo Stato tramite intermediari tecnologici. La rete rischierebbe di trasformarsi da spazio di libertà in un sistema di controllo permanente e onnipresente.
La lotta a crimini odiosi come la pedopornografia non può essere utilizzata come giustificazione per scardinare le garanzie costituzionali. L’esperienza professionale nel settore penale informatico suggerisce che l’efficacia delle indagini si ottiene attraverso il potenziamento delle risorse investigative umane piuttosto che con l’installazione di filtri algoritmici universali. La sfida del legislatore europeo sarà quella di emendare la proposta CSAR per renderla conforme alla giurisprudenza delle corti superiori. Bisogna evitare che la tutela dell’infanzia diventi il motivo del tramonto definitivo della riservatezza delle comunicazioni in Europa.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Innovazione
Cybercrime
Vulnerabilità
Innovazione
Cyber Italia