Nelle prossime settimane si decide il futuro delle comunicazioni online. Sarà ancora possibile mantenere in rete comunicazioni end-to-end encrypted, ovvero criptate in modo da garantire che nessuno, oltre a chi emette o riceve un messaggio, possa conoscerne il contenuto?

Lo si stabilirà in Europa, durante l’iter legislativo per l’adozione del nuovo regolamento CSAM, sigla che in inglese sta per child sexual abuse material, contenuti pedopornografici. Il regolamento proposto elabora un’architettura molto complessa, che crea delle basi legali per l’uso di sistemi di intelligenza artificiale capaci di individuare fotografie, video, audio e testi nei messaggi privati che potrebbero riferirsi sia a violenze che a tentativi di adescamento di minori.

L’idea proposta dalla Commissione è di lasciare aperta una “porta sul retro” delle nostre comunicazioni online – backdoor è il termine informatico che indica un codice grazie al quale un utente può avere accesso completo a un sito, anche se privo di autorizzazioni – affinchè delle autorità preposte (forze di polizia e altri esperti) possano scandagliare i contenuti di app, siti o piattaforme in cerca di materiali pedopornografici, in coordinamento con un nuovo centro europeo dedicato. Se il mondo della comunicazione fosse ancora analogico, è come se, per evitare che circoli del materiale pedopornografico, il regolamento autorizzasse le forze di polizia ad aprire tutte le lettere private prima o dopo l’invio. Nel gergo degli esperti di informatica, questo setaccio delle comunicazioni interpersonali è definito client-side scanning, scansione dal lato del cliente. In concreto, prevede che la messaggistica di ogni profilo utente, che sia su un’applicazione, un sito o una piattaforma, sia monitorata – prima, durante o dopo l’invio di materiali – alla ricerca di contenuti sospetti o illegali.

I detrattori la chiamano chat control, denunciando i rischi per whistleblower, giornalisti, attivisti, difensori dei diritti umani, dissidenti politici, che utilizzano quotidianamente sistemi di comunicazione crittografata per evitare che governi, forze di polizia e altri attori accedano a comunicazioni sensibili. Alcune organizzazioni di tutela dell’infanzia, tra queste l’italiana Telefono Azzurro, hanno espresso sostegno per la proposta della Commissione.

La proposta del nuovo regolamento europeo contro lo CSAM è stata lanciata dalla Commissaria per gli Affari interni Ylva Johansson. Ad aprile 2022 Johansson ha dichiarato che la lotta alla pedoporrnografia è la sua «priorità numero uno», nonostante il mandato di DG Home, la Direzione generale della Commissione guidata dalla politica svedese, sia incentrato sui temi delle migrazioni e della sicurezza interna dell’Unione e non sul mondo digitale. Eppure sono anni che Johansson ha intrapreso questa battaglia, anche contro il parere del garante per la protezione dei dati personali dell’Unione europea, il polacco Wojciech Wiewiórowski.

Nel 2020, un anno dopo la nomina di Johansson a commissaria, Wiewiórowski l’ha messa in guardia contro il rischio di scivolare verso misure particolarmente invasive della privacy dei cittadini europei con il pretesto della lotta ai contenuti pedopornografici. Approvare il suo pacchetto di riforme, spiega Wiewiórowski a IrpiMedia, significherebbe «passare il Rubicone»: «Cambierebbe in modo fondamentale internet e le comunicazioni digitali così come le conosciamo». Darebbe infatti alla luce un’infrastruttura potenzialmente capace di entrare in ogni conversazione, mettendo fine alla crittografia, il sistema attraverso cui si può rendere una conversazione davvero privata.

Oltre il Rubicone del regolamento CSAM, secondo Wiewiórowski, c’è una società dove la sorveglianza di massa non è più contrastabile. A spingere per superare questo limite è un gruppo di interessi composto da aziende ed enti non profit che, nell’ultimo triennio, si sono legati sempre di più alla Commissione europea. Una rete di organizzazioni che vende come risolutive soluzioni tecnologiche che sono quantomeno discutibili e che usa l’argomento del contrasto alla pedopornografia, un obiettivo di primaria importanza, per colpire invece la comunicazione crittografata, che serve solo a proteggere delle informazioni in transito.

La crittografia è una minaccia?

Nei primi nove mesi del 2022, Facebook – il più importante social in termini di segnalazioni – ha individuato all’interno della piattaforma 95 milioni di contenuti potenzialmente legati a nudità, sfruttamento sessuale o abusi di minori, un dato in crescita esponenziale. Fino ad ora, le grosse piattaforme statunitensi – che dominano il mercato globale di internet, salvo poche eccezioni – agivano su base volontaria, decidendo se e come monitorare i contenuti diffusi dai propri utenti, inclusi quelli di cittadini dell’Unione europea.

Una volta identificato il contenuto sospetto, le piattaforme sono in grado di rimuovere il contenuto e di seguito inviano una segnalazione al National Center for Missing & Exploited Children (NCMEC), un’associazione non profit americana fondata dal Congresso nel 1984 e quasi interamente finanziata dal Dipartimento di Stato americano. Il suo scopo – si legge su sito – è assistere le famiglie, aiutare le forze dell’ordine a salvare le vittime degli abusi, svolgere percorsi di formazione per prevenire la diffusione di queste immagini. Nel report 2022 si legge che NCMEC ha ricevuto 31,8 milioni di segnalazioni, quasi tre milioni in più dell’anno precedente. Le segnalazioni possono avvenire sia da utenti, sia dalle piattaforme stesse, che setacciano i contenuti scambiati usando sia sistemi automatizzati di intelligenza artificiale, sia analisti. Meta, a cui dal 2021 fanno capo Facebook, WhatsApp e Instagram, è all’origine dell’85% delle segnalazioni.

Nel 2021, il Carnegie Endowment for International Peace, think tank americano che fino a quell’anno è stato presieduto da William Joseph Burns, successivamente nominato dall’amministrazione di Joe Biden direttore della CIA, ha realizzato il report The Encryption Debate in The European Union. Il documento parla del dibattito europeo sulle conversazioni criptate, innescato in particolare dalla serie di attacchi terroristici che hanno colpito l’Unione europea tra il 2015 e il 2016. Secondo Carnegie «sulla scia di questi attacchi, Europol e le forze dell’ordine nazionali hanno indicato la crittografia come una minaccia chiave e un serio impedimento all’identificazione, investigazione e persecuzione di questo tipo di attività criminali» e da questa esigenza sarebbe nata l’esigenza di contrastare la crittografia. «L’Unione europea – prosegue il report di Carnegie – è diventata il più grande hub geografico di child sexual abuse material (CSAM) nel mondo, con quasi nove indirizzi internet (URL) su dieci ospitati su server europei».

Insieme al cambio di nome, nel 2021 l’amministratore delegato di Meta Mark Zuckerberg aveva promesso agli utenti «comunicazioni sicure»: «L’end-to-end encryption impedisce a chiunque – compresi noi – di vedere cosa gli utenti condividono attraverso i nostri servizi». Una svolta negativa secondo Carnegie: «Tutto questo renderebbe il 70% dei casi di CSAM su Facebook irrintracciabili sia alle forze dell’ordine, sia alla stessa Facebook», è l’allarme del report, che in seguito approfondisce il complesso equilibrio tra crittografia e possibilità d’indagine.

Ecco allora che l’Unione europea decide da che parte stare con il nuovo regolamento proposto dalla Commissaria Johansson a maggio 2022. La proposta prevede l’obbligo per piattaforme digitali e app di messaggistica usate nell’Ue – da Facebook a Telegram, da Signal a Snapchat e Tik Tok, fino alle cloud e ai siti di gaming online – di identificare e segnalare qualsiasi traccia, o potenziale traccia di materiale riconducibile a abusi contro i minori, cercando sia nei loro database che nei messaggi scambiati tra clienti. Fino ad oggi le società avevano solo la possibilità temporanea di farlo, in scadenza nel 2024. Da scelta volontaria realizzata con strumenti interni, in linea con i propri standard di sicurezza informatica e privacy, il setaccio diventerà invece un’attività obbligatoria da svolgere con un sistema standardizzato e articolato di valutazione dei rischi.

Con il nuovo regolamento, anche l’Unione europea avrebbe un Centro per «prevenire e combattere l’abuso sessuale dei minori» e delle autorità nazionali incaricate di emettere degli «ordini di ricerca», ovvero mandati spiccati dalle magistrature nazionali, nei confronti di società e piattaforme che presentano un rischio significativo di ospitare CSAM.

Gli amici della Silicon Valley

Johansson ha cercato ripetutamente di ridimensionare le preoccupazioni espresse da Wiewiórowski e da decine di organizzazioni e accademici. «I difensori della privacy fanno molto rumore – ha detto nel novembre 2021 – ma qualcuno deve parlare anche per i bambini». Secondo diversi parlamentari europei, la Commissaria ha contribuito a polarizzare il dibattito sostenendo che chi vuole difendere le comunicazioni end-to-end encrypted consideri la privacy più importante dei diritti dei bambini abusati. Un argomento decisamente fuorviante.

L’ex parlamentare olandese Arda Gerkens ha diretto Offlimits, la più antica hotline europea, dal 2015 all’agosto 2023. Sede ad Amsterdam, ai margini del famoso quartiere a luci rosse, Offlimits è un’organizzazione privata non profit che riceve e analizza segnalazioni di abusi contro i minori, collaborando con le forze dell’ordine. Un lavoro simile a quello che in Italia fa il Telefono Azzurro, ma con risorse tecnologiche e sostegno politico e finanziario maggiori. Nel 2022, i suoi analisti hanno processato 144 mila segnalazioni, inoltrando i casi più significativi alla polizia nazionale e a Interpol. Secondo Gerkens, la proposta di Johannson è eccessivamente «influenzata da società private che si presentano insieme a ong, ma di fatto agiscono come tech companies».

Il riferimento è principalmente a Thorn, altra organizzazione non profit, questa volta americana, fondata in California nel 2012 dall’attore Ashton Kutcher e dall’allora moglie Demi Moore. Entrambi hanno poi lasciato: Kutcher si è dimesso a metà settembre 2023 a seguito dello scandalo che ha riguardato l’amico e attore Danny Masterson, condannato a 30 anni di carcere per aver violentato due donne. Kutcher e l’attuale moglie, l’attrice Mila Kunis, dopo la sentenza espressa a maggio da una giuria, avevano inviato a luglio diverse lettere al giudice di Los Angeles incaricato di stabilire l’ammontare della condanna, chiedendo clemenza per il loro amico. Le cosiddette character letters sono inviate frequentemente ai giudici durante la fase processuale del sentencing, conclusa nel caso Masterson a settembre. I contenuti delle lettere, però, una volta diventati pubblici hanno reso necessario un chiarimento da parte delle coppia Kutcher-Kunis, soprattutto visto il loro impegno in enti anti-violenza.

Per approfondire

Nel 2021 Thorn ha registrato un attivo di quasi 60 milioni di dollari e spese che sono cresciute esponenzialmente negli ultimi anni, toccando 19,6 milioni, e un passivo di circa due milioni di dollari. Thorn è guidata dall’amministratrice delegata Julie Cordua, insieme a un board di cui fanno parte l’ex dirigente della sezione cybercrime di Europol (fino al 2022) Fernando Ruiz Pérez e l’ex commissaria europea prima per la concorrenza (2004-2010) poi per l’agenda digitale (2010-2014) Neelie Kroes. Insieme a loro siedono l’ex numero uno del National Center for Missing & Exploited Children (NCMEC), un ambasciatore dell’OMS, un’investitrice di Blackstone Growth ed una dirigente della corporation canadese dell’information technology (IT) TELUS International.

«Gruppi come Thorn – sostiene Gerkens – fanno tutto il possibile per spingere questa legislazione, non solo perché credono sia il modo migliore per combattere l’abuso contro i minori, ma anche perché hanno un interesse commerciale a farlo». Thorn, infatti, coproduce in collaborazione con giganti del hi-tech, sistemi di intelligenza artificiale come Safer o Spotlight (quest’ultimo usa il programma di riconoscimento facciale di Amazon, Rekognition, per combattere lo sfruttamento della prostituzione online. Rekognition è lo stesso sistema che è stato sospeso dalla compagnia perché accusato di favorire la profilazione di persone di colore e razzializzate). Ma non si tratta di un’attività filantropica: dal 2018 al 2020, ha venduto per 4,3 milioni di dollari licenze dei suoi software al Dipartimento di Sicurezza interna degli Stati Uniti e a società come Vimeo, Flickr e OpenAI, creatori di ChatGPT e tra i numerosi beneficiari degli investimenti milionari di Kutcher nell’intelligenza artificiale. È tra i leader del mercato in Nord America, dove ha sviluppato prodotti in partnership con Amazon Web Services, Microsoft e altre società che stanno sviluppando sistemi di intelligenza artificiale.

Prima che arrivasse la proposta Johansson, Offlimits aveva ricevuto finanziamenti Ue per progetti di ricerca, ma ora i canali con Bruxelles si sono chiusi. Gerkens spiega di aver contattato più volte la Commissaria Johansson senza successo: «L’ho invitata qui e non è mai venuta», salvo invece visitare «grandi compagnie nordamericane e della Silicon Valley». Ha preferito i partner di sviluppo di Thorn rispetto all’entità europea già esistente.

Le dichiarazioni di Thorn nel registro per la trasparenza dell’Unione europea elencano in effetti una serie di incontri con alti funzionari che tengono le redini dell’agenda digitale di Bruxelles. Non solo Johansson ma anche Margrethe Vestager, a capo dell’antitrust europea, il vicepresidente della Commissione Margaritis Schinas e il commissario per il mercato interno Thierry Breton. Thorn sta insomma contribuendo a creare un nuovo mercato della tecnologia anti-CSAM anche in Europa. Uno sforzo riconosciuto dalla stessa Johansson in una lettera indirizzata alla CEO Julia Cordua, pochi giorni prima di lanciare la sua proposta di legge: «Abbiamo condiviso molti momenti nel viaggio di questa proposta», ha scritto, aggiungendo poi che «ora ho bisogno di voi perché mi aiutiate a rendere questo lancio un successo». L’obiettivo è ottenere l’approvazione del nuovo regolamento CSAM prima delle elezioni che rinnoveranno il Parlamento Europeo nel giugno 2024.

La Commissione Ue, che è tenuta a garantire il massimo accesso alla documentazione che detiene e la trasparenza dei meccanismi decisionali, ha rifiutato di fornire ai giornalisti di questa inchiesta una serie di documenti che dettagliano le proprie relazioni con Thorn. Rifiuti in parte motivati con il fatto che «la diffusione delle informazioni ivi contenute pregiudicherebbe gli interessi commerciali dell’organizzazione», ovvero di Thorn. Solo dopo ripetute richieste e dopo l’intervento dell’Ombudsman Europeo, a inizio settembre la Commissione ha trasmesso una serie di scambi di email tra la Direzione generale per gli Affari interni, presieduta da Johansson, e Thorn. L’Ombudsman continua però a indagare sul motivo del rifiuto di divulgare una serie di altri documenti interni legati alla proposta di regolamento lanciata da Johansson.

«Chi beneficerà di questa legislazione?», si chiede retoricamente Gerkens. «Non i bambini». Per l’ex presidente di Offlimits, la lotta contro gli abusi sessuali sui minori deve essere migliorata partendo da un approccio che includa servizi sociali, educazione, un dialogo aperto con i gruppi privati e garantendo anche la privacy dei minori, senza mettere fine alle conversazioni crittografate. Gerkens sottolinea anche come la crittografia protegga gli stessi minori che usano con sempre maggior frequenza app di messaggistica. La posizione di Gerkens è influente nei Paesi Bassi, tanto che le autorità olandesi sono quelle che hanno sollevato più dubbi rispetto alla proposta del nuovo regolamento CSAM, contribuendo – insieme alla rappresentanza tedesca – a rallentare i negoziati all’interno del Consiglio europeo.

Contattata per questa inchiesta, Thorn ha affidato la sua risposta a FGS Global, colosso statunitense delle pubbliche relazioni, che la non profit creata da Kutcher ha messo sotto contratto a Bruxelles: «Thorn non intende commentare le vostre domande», ha scritto la società. Anche la Commissaria Johansson non ha risposto a diverse richieste d’intervista.

Gli interessi di Europol

Previsto dalla proposta di Johansson, il Centro europeo per prevenire e combattere l’abuso sessuale dei minori sarebbe una nuova agenzia legata alla Commissione con la funzione di coordinare altri enti nazionali allo scopo di implementare la legislazione europea sullo CSAM. Inoltre sarebbe incaricato di esaminare e approvare tecnologie di scansione e identificazione di immagini pedopornografiche, acquistandole e offrendole gratuitamente a compagnie medio-piccole. A giudicare dai primi incontri che hanno fatto seguito al lancio della proposta, il Centro non attira solo gli interessi dell’industria, ma anche quello delle forze dell’ordine.

Il Centro, infatti, dovrà creare database di indicatori per identificare i contenuti pedopornografici. Chi stabilisce lo standard, ha anche un vantaggio competitivo sugli altri fornitori di servizi. Ecco perché Thorn ha espresso la «volontà di collaborare strettamente con la Commissione e mettere a disposizione competenze quando utile», si legge nel verbale di un incontro con Monika Maglione, una delle collaboratrici più strette della Commissaria. Era il giugno 2022, un mese dopo la presentazione della proposta di Johansson.

Nel documento si legge anche che Thorn era interessata a capire come si sarebbero risolti «i rallentamenti nel processo che va dalla valutazione del rischio agli ordini di ricerca», ovvero ai mandati delle magistrature nazionali, in coordinamento con il Centro europeo immaginato dalla legislazione, nei confronti di piattaforme e app considerate a rischio e dunque obbligate a scansionare tutti i contenuti dei propri utenti. Perseguire un crimine informatico in un Paese, infatti, è prerogativa delle magistrature nazionali. Gli ordini di ricerca (detection orders in inglese) sono cruciali per definire quante persone potranno essere monitorate e per quanto tempo.

Mettiamo, ad esempio, che il Centro abbia giudicato a rischio un sito di gaming online in cui gli utenti possono utilizzare chat private, anche con profili non identificabili. Su indicazione del Centro, i procuratori di Paesi in cui hanno sede il sito o i server emetteranno un ordine di ricerca attraverso il quale metteranno sotto sorveglianza tutti gli utenti per un periodo definito che si può estendere. Secondo diverse fonti europee, quest’impostazione, che rende bersagli di un ordine di ricerca tutti gli utenti di una app o di un sito, invece di un numero più ristretto di sospettati, non si deve solo alla Commissione Ue, ma anche ad alcuni europarlamentari con ruoli chiave, come lo spagnolo del Partito popolare europeo Javier Zarzalejos, che guida i negoziati nel Parlamento. Zarzalejos, contattato, non ha voluto commentare.

Il 19 luglio 2022, due mesi dopo la presentazione della proposta, Monica Pariat, la funzionaria a capo della Direzione Generale affari interni e migrazione, ha visitato Europol, l’agenzia di polizia dell’Ue. Nel report dell’incontro si legge che «riguardo al centro europeo sugli abusi sui minori, i partecipanti sono d’accordo sull’importanza e la rilevanza della proposta», a patto che Europol abbia a disposizione «risorse sufficienti» (il budget annuale di Europol nel 2022 è stato di 193, 41 milioni di euro, con un incremento di oltre 20 milioni sull’anno precedente). Nel prosieguo del resoconto si legge che «omissis ha detto che ci sono altre aree di reati che potrebbero beneficiare dalla ricerca (detection, ndr) e potrebbero essere inclusi» nella proposta di regolamento, sottolineando ulteriormente quanto sia importante per Europol poter utilizzare «strumenti di intelligenza artificiale per le indagini». Europol, secondo il funzionario di cui è omesso il nome, non dovrebbe però perdere il suo primato. «Tutti i dati sono utili – si legge nel verbale dove si ricostruisce il suo intervento – e dovrebbero essere trasmessi alle forze dell’ordine; non ci dovrebbe essere un’attività di filtro del Centro, anche l’immagine più innocente potrebbe essere utile per le forze dell’ordine a un certo punto».

Alla richiesta, la funzionaria Pariat ha replicato dicendo di capire le necessità economiche e sottolinea il fatto che Europol «sarebbe nella governance del Centro». Rispetto alle richieste di omissis, il funzionario di Europol il cui nome è oscurato nel documento, Pariat ha spiegato di comprenderle, «ma ha evidenziato la necessità di essere realistici in termini di cosa ci si può aspettare, date le molte sensibilità sulla proposta e la necessità di comunicare in modo unitario e coerente sul tema».

Europol ha risposto a IrpiMedia che «la nostra posizione come Agenzia europea di cooperazione di polizia è che dobbiamo ricevere informazioni importanti per proteggere l’Ue e i suoi cittadini dal crimine grave e organizzato, incluso l’abuso sessuale su minori». L’Innovation Hub, ovvero il dipartimento di ricerca e sviluppo dell’Agenzia, ha già iniziato a sviluppare sistemi d’intelligenza artificiale per riconoscere CSAM. Nel luglio 2023, un documento dell’Ufficio per i diritti fondamentali di Europol esprimeva preoccupazioni sulle «implicazioni per i diritti fondamentali» del progetto, derivanti da «risultati distorti, falsi positivi o falsi negativi». L’ufficio dava comunque il via libera.

Gli appetiti dei privati – profit e non profit – sui sistemi di detection delle immagini, l’approccio “lasco” agli ordini di ricerca e le richieste aggiuntive di Europol in termini di possibilità d’indagine sono alcune delle rappresentazioni concrete del Rubicone da non varcare citato dal Garante europeo Wojciech Wiewiórowski: costringere ogni app, sito o piattaforma a mantenere una “porta sul retro” espone chiunque al rischio di essere spiato all’interno di una piazza virtuale, sia da agenti, sia da criminali. Mentre la Commissaria Johansson e la rete di lobby con cui ha stretto rapporti nell’ultimo biennio spingono per chiudere l’iter legislativo al più presto, con la fine dell’estate i negoziati sembrano bloccati.

I punti della discordia, sia nel Consiglio europeo che all’interno della Commissione del Parlamento Ue che guida i negoziati, sono l’inclusione dei sistemi che usano crittografia end-to-end, e l’estensione degli ordini di ricerca non solo a CSAM già catalogati in banche dati, ma anche a nuovo materiale e tentativi di adescamento. Riconoscere gli ultimi comporta, secondo gli esperti, l’uso di tecnologie di scansione particolarmente intrusive, con un forte indice di fallibilità.