Appello di alcuni Stati per l’equilibrio tra privacy e pubblica sicurezza nell’uso della crittografia end-to-end.

By Dario Di Maria Posted in Anticorruzione, Attualità, Ius, Management, Privacy - cybersecurity Tagged , , ,

Riportiamo la traduzione di un appello apparso sul sito del Dipartimento di Giustizia degli USA

Noi, qui sottoscritti ( rappresentanti di Regno Unito, Australia, Nuova Zelanda, India, Giappone), supportiamo una crittografia avanzata, che svolga un ruolo cruciale nella protezione dei dati personali, della privacy, della proprietà intellettuale, dei segreti commerciali e della sicurezza informatica. La crittografia ha anche uno scopo vitale negli stati repressivi per proteggere giornalisti, difensori dei diritti umani e altre persone vulnerabili, come affermato nella risoluzione del 2017 del Consiglio dei diritti umani delle Nazioni Unite [1]. La crittografia è un’ancora esistenziale di fiducia nel mondo digitale e non supportiamo approcci controproducenti e pericolosi che indebolirebbero o limiterebbero materialmente i sistemi di sicurezza.

Particolari implementazioni della tecnologia di crittografia, tuttavia, pongono sfide significative alla sicurezza pubblica, compresi i membri altamente vulnerabili delle nostre società come i bambini sfruttati sessualmente. Esortiamo l’industria ad affrontare le nostre serie preoccupazioni in cui la crittografia viene applicata in un modo che preclude completamente qualsiasi accesso legale ai contenuti. Chiediamo alle aziende tecnologiche di collaborare con i governi per intraprendere i seguenti passi, concentrandosi su soluzioni ragionevoli e tecnicamente fattibili:

– incorporare la sicurezza del pubblico nella progettazione dei sistemi, consentendo così alle aziende di agire contro contenuti e attività illegali in modo efficace senza ridurre la sicurezza e facilitando le indagini e il perseguimento dei reati e salvaguardando i vulnerabili;

– consentire alle forze dell’ordine l’accesso ai contenuti in un formato leggibile e utilizzabile laddove un’autorizzazione è rilasciata legalmente, è necessaria e proporzionata ed è soggetta a rigorose garanzie e supervisione; e

– impegnarsi in consultazione con i governi e altre parti interessate per facilitare l’accesso legale in un modo che sia sostanziale e influenzi realmente le decisioni di progettazione.

Le forze dell’ordine hanno la responsabilità di proteggere i cittadini indagando e perseguendo i crimini e salvaguardando i vulnerabili. Le aziende tecnologiche hanno anche responsabilità e mettono in atto termini di servizio per i loro utenti che forniscono loro l’autorità di agire per proteggere il pubblico. La crittografia end-to-end che preclude l’accesso legale al contenuto delle comunicazioni in qualsiasi circostanza ha un impatto diretto su queste responsabilità, creando gravi rischi per la sicurezza pubblica in due modi:

Minando gravemente la capacità di un’azienda di identificare e rispondere alle violazioni dei propri termini di servizio. Ciò include la risposta ai contenuti e alle attività illegali più gravi sulla sua piattaforma, inclusi sfruttamento e abuso sessuale di minori, crimini violenti, propaganda terroristica e pianificazione degli attacchi; e

Impedendo alle forze dell’ordine di accedere ai contenuti in circostanze limitate, ove necessario e proporzionato, per indagare su crimini gravi e proteggere la sicurezza nazionale, laddove vi sia l’autorità legittima per farlo.

La preoccupazione per questi rischi è stata messa al centro dell’attenzione dalle proposte di applicare la crittografia end-to-end ai principali servizi di messaggistica. L’UNICEF stima che un utente di Internet su tre sia un bambino. La WePROTECT Global Alliance – una coalizione di 98 paesi, 39 delle più grandi aziende del settore tecnologico globale e 41 importanti organizzazioni della società civile – ha stabilito chiaramente la gravità dei rischi posti ai bambini online da servizi crittografati inaccessibili nella sua minaccia globale del 2019 Valutazione: “I social media e le piattaforme di comunicazione accessibili al pubblico rimangono i metodi più comuni per incontrare e curare i bambini online. Nel 2018, Facebook Messenger è stato responsabile di quasi 12 milioni dei 18,4 milioni di segnalazioni in tutto il mondo di CSAM [materiale di abusi sessuali su minori al Centro nazionale statunitense per i bambini scomparsi e sfruttati (NCMEC)]. Questi rapporti rischiano di scomparire se la crittografia end-to-end è implementata per impostazione predefinita, poiché gli strumenti attuali utilizzati per rilevare CSAM [materiale pedopornografico] non funzionano in ambienti crittografati end-to-end. “[2] Il 3 ottobre 2019 NCMEC ha pubblicato una dichiarazione su questo tema, affermando che: “Se la crittografia end-to-end viene implementata senza una soluzione in atto per salvaguardare i bambini, NCMEC stima che più della metà dei suoi rapporti CyberTipline svaniranno”. [3] E l’11 dicembre 2019, gli Stati Uniti e l’Unione Europea (UE) hanno rilasciato una dichiarazione congiunta che chiarisce che mentre la crittografia è importante per proteggere la sicurezza informatica e la privacy: “l’uso della crittografia a prova di mandato da parte di terroristi e altri criminali, compresi coloro che si occupano di minori online sfruttamento sessuale: compromette la capacità delle forze dell’ordine di proteggere le vittime e il pubblico in generale. “[4]

Alla luce di queste minacce, vi è un crescente consenso tra i governi e le istituzioni internazionali sulla necessità di agire: sebbene la crittografia sia vitale e la privacy e la sicurezza informatica debbano essere protette, ciò non dovrebbe avvenire a scapito di precludere del tutto le forze dell’ordine e la tecnologia l’industria stessa, dalla capacità di agire contro i contenuti e le attività illegali più gravi online.

Nel luglio 2019, i governi di Regno Unito, Stati Uniti, Australia, Nuova Zelanda e Canada hanno emesso un comunicato, concludendo che: “le aziende tecnologiche dovrebbero includere meccanismi nella progettazione dei loro prodotti e servizi crittografati in base ai quali i governi, agendo con l’autorità legale appropriata , può accedere ai dati in un formato leggibile e utilizzabile. Tali aziende dovrebbero anche incorporare la sicurezza dei loro utenti nei loro progetti di sistema, consentendo loro di agire contro i contenuti illegali. “[5] L’8 ottobre 2019, il Consiglio dell’UE ha adottato le sue conclusioni sulla lotta agli abusi sessuali sui minori, affermando:” Il Consiglio esorta l’industria a garantire l’accesso legale per le forze dell’ordine e altre autorità competenti alle prove digitali, anche se crittografate o ospitate su server IT situati all’estero, senza vietare o indebolire la crittografia e nel pieno rispetto della privacy e delle garanzie del giusto processo coerenti con la legge applicabile . “[6]

Conclusioni

Ci impegniamo a collaborare con l’industria per sviluppare proposte ragionevoli che consentano alle aziende tecnologiche e ai governi di proteggere il pubblico e la loro privacy, difendere la sicurezza informatica ei diritti umani e supportare l’innovazione tecnologica. Sebbene questa dichiarazione si concentri sulle sfide poste dalla crittografia end-to-end, tale impegno si applica a tutta la gamma di servizi crittografati disponibili, tra cui crittografia dei dispositivi, applicazioni crittografate personalizzate e crittografia su piattaforme integrate. Ribadiamo che la protezione dei dati, il rispetto della privacy e l’importanza della crittografia man mano che i cambiamenti tecnologici e gli standard Internet vengono sviluppati rimangono in prima linea nel quadro giuridico di ogni stato. Tuttavia, sfidiamo l’affermazione secondo cui la sicurezza pubblica non può essere protetta senza compromettere la privacy o la sicurezza informatica. Crediamo fermamente che siano possibili approcci che proteggono ciascuno di questi importanti valori e ci sforziamo di lavorare con l’industria per collaborare su soluzioni reciprocamente accettabili

Comments are closed.