Potenti Nuovi Poteri Potrebbero Consentire al Regno Unito di Bloccare le Piattaforme dei Grandi Giganti Tecnologici
Nuovi Poteri Potenti Potrebbero Consentire al Regno Unito di Bloccare le Piattaforme dei Giganti della Tecnologia
L’autorità di regolamentazione delle comunicazioni del Regno Unito, Ofcom, afferma di essere pronta a “disrupt” le piattaforme tecnologiche che non rispettano il nuovo e controverso Online Safety Act del Paese, incluso il taglio dei sistemi di pagamento o addirittura il blocco delle stesse nel Regno Unito.
L’atto – una legge estesa che copre una serie di questioni, dalla protezione dei minori dagli abusi alla pubblicità truffaldina e ai contenuti terroristici – è diventato legge nell’ottobre. Oggi, il regolatore ha pubblicato la prima serie di proposte su come l’atto sarà implementato e su cosa dovranno fare le aziende tecnologiche per essere in regola.
Le regolamentazioni proposte costringerebbero le grandi aziende tecnologiche a combattere forme di adescamento dei minori sui loro siti e ad avere team di “fiducia” e sicurezza “adeguati” per limitare la diffusione di contenuti dannosi. Le aziende dovranno inoltre nominare una persona nel Regno Unito che potrà essere tenuta personalmente responsabile delle violazioni.
“La nostra attività di supervisione inizia oggi,” afferma Gill Whitehead, ex dirigente di Google che ora dirige il Gruppo di Sicurezza Online di Ofcom. “Da oggi, supervisioneremo uno a uno le grandi aziende e le aziende che riteniamo abbiano i rischi più elevati per determinati tipi di danni illegali… Le aziende tecnologiche devono impegnarsi e agire concretamente.”
Le proposte di Ofcom forniscono una certa chiarezza su cosa le aziende tecnologiche dovranno fare per evitare sanzioni per violazioni dell’atto, che potrebbero includere multe fino al 10% del loro fatturato globale e accuse penali per gli esecutivi. Ma le proposte non sono probabilmente rassicuranti per le piattaforme di messaggistica e i difensori della privacy online, che sostengono che l’atto costringerà le piattaforme a minare la crittografia end-to-end e creare backdoor nei loro servizi, aprendoli a violazioni della privacy e rischi per la sicurezza.
- Google punta a rendere più facile lo shopping delle vacanze con Chrome
- Hulu e Disney+ si stanno unendo in un’applicazione
- iPad Pro OLED Display La produzione dovrebbe iniziare intorno a feb...
Per difendere l’Online Safety Act, il governo e i suoi sostenitori lo hanno rappresentato come essenziale per proteggere i minori online. La prima serie di proposte di Ofcom, che sarà seguita da ulteriori consultazioni fino al 2024, si concentra molto sulla limitazione dell’accesso dei minori a contenuti inquietanti o pericolosi e sulla prevenzione dell’adescamento da parte di potenziali abusatori.
Secondo le ricerche di Ofcom, tre bambini su cinque tra gli 11 e i 18 anni nel Regno Unito hanno ricevuto approcci indesiderati che li hanno fatti sentire a disagio online, e uno su sei ha ricevuto o è stato invitato a condividere immagini nude o seminude. “Le richieste di amicizia generalizzate” vengono utilizzate dagli adulti che cercano di adescare i minori per abusarne, afferma Whitehead. Secondo le proposte di Ofcom, le aziende dovranno adottare misure per impedire ai minori di essere avvicinati da persone al di fuori delle loro reti immediate, incluso rendere impossibile per gli account a cui non sono collegati inviare loro messaggi diretti. Le loro liste di amici sarebbero nascoste agli altri utenti e non comparirebbero nelle liste delle proprie connessioni.
Per essere in regola, le piattaforme e i siti web dovranno probabilmente migliorare la loro capacità di verificare l’età degli utenti, il che significherà raccogliere più dati sulle persone che accedono ai loro servizi. Wikipedia ha dichiarato che potrebbe essere costretta a bloccare l’accesso agli utenti nel Regno Unito, poiché rispettare l’atto “violerebbe il nostro impegno a raccogliere il minimo dei dati su lettori e contributori”. Le aziende nel Regno Unito sono già soggette a regolamentazioni che richiedono loro, ad esempio, di impedire ai minori di accedere a annunci di prodotti a restrizione d’età, ma finora hanno faticato ad implementare servizi di controllo dell’età che siano accettabili sia per i regolatori che per i clienti, secondo Geraint Lloyd-Taylor, partner dello studio legale Lewis Silkin. “È necessario concentrarsi sulle soluzioni, non solo sull’individuazione dei problemi”, afferma Lloyd-Taylor.
Whitehead afferma che Ofcom fornirà ulteriori dettagli su approcci specifici alla verifica dell’età in un’altra consultazione il prossimo mese.
Una delle clausole più controverse dell’Online Safety Act stabilisce che le aziende che offrono comunicazioni peer-to-peer, come le app di messaggistica come WhatsApp, devono adottare misure per garantire che i loro servizi non vengano utilizzati per trasmettere materiale di abuso sessuale minorile (CSAM). Ciò significa che le aziende devono trovare un modo per analizzare o cercare il contenuto dei messaggi degli utenti, cosa che esperti di sicurezza ed esecutivi del settore tecnologico ritengono impossibile senza compromettere la crittografia end-to-end utilizzata per mantenere la privacy delle piattaforme.
Con la crittografia end-to-end, solo il mittente e il destinatario di un messaggio possono visualizzarne il contenuto, anche l’operatore della piattaforma non può decriptarlo. Per soddisfare i requisiti dell’atto, le piattaforme dovrebbero essere in grado di leggere i messaggi degli utenti, molto probabilmente utilizzando la cosiddetta scansione lato client, ossia visualizzando il messaggio a livello del dispositivo – qualcosa che gli attivisti per la privacy hanno paragonato all’installazione di spyware sul telefono dell’utente. Ciò, sostengono, crea un varco di accesso che potrebbe essere sfruttato dai servizi di sicurezza o dai criminali informatici.
“Supponiamo che il governo britannico sia completamente virtuoso. E supponiamo che utilizzeranno questa tecnologia solo per il suo scopo previsto. Non importa perché … non puoi impedire ad altri attori di utilizzarla se ti hackerano”, afferma Harry Halpin, CEO e fondatore dell’azienda di tecnologia della privacy NYM. “Ciò significa che non solo il governo britannico leggerà i tuoi messaggi e avrà accesso al tuo dispositivo, ma anche i governi stranieri e i cybercriminali”.
Meta’s WhatsApp messaging service, così come la piattaforma crittografata Signal, ha minacciato di lasciare il Regno Unito a causa delle proposte.
Le regole proposte da Ofcom affermano che le piattaforme pubbliche, quelle non crittografate, dovrebbero utilizzare “hash matching” per identificare il materiale abusivo sui minori. Tale tecnologia, già utilizzata da Google e da altri, confronta le immagini con un database preesistente di immagini illegali utilizzando hash crittografici, essenzialmente codici di identità crittografati. I sostenitori di questa tecnologia, tra cui le ONG per la protezione dell’infanzia, sostengono che ciò preserva la privacy degli utenti in quanto non significa guardare attivamente le loro immagini, ma semplicemente confrontare gli hash. I critici sostengono che non sia necessariamente efficace, poiché è relativamente facile ingannare il sistema. “Basta cambiare un solo pixel e l’hash cambia completamente”, ha detto Alan Woodward, professore di sicurezza informatica presso l’Università di Surrey, a ENBLE nel settembre precedente all’entrata in vigore della legge.
È improbabile che la stessa tecnologia possa essere utilizzata nelle comunicazioni private crittografate end-to-end senza compromettere tali protezioni.
Nel 2021, Apple ha dichiarato di essere in fase di sviluppo di uno strumento per la rilevazione di materiale abusivo sui minori “che preserva la privacy” per iCloud, basato su hash matching. Nel dicembre dello scorso anno, ha abbandonato l’iniziativa, affermando in seguito che la scansione dei dati privati di iCloud degli utenti creerebbe rischi per la sicurezza e “inietterebbe il potenziale per una pendenza scivolosa di conseguenze non intenzionali. La scansione di un tipo di contenuto, ad esempio, apre le porte alla sorveglianza di massa e potrebbe creare la volontà di cercare in altri sistemi di messaggistica crittografati tra i diversi tipi di contenuti”.
Andy Yen, fondatore e CEO di Proton, che offre servizi di posta elettronica sicura e navigazione, tra gli altri, afferma che le discussioni sull’uso dell’hash matching sono un passo positivo “rispetto a quando è iniziata l’Online Safety [Act]”.
“Anche se abbiamo ancora bisogno di chiarezza sui requisiti esatti per l’utilizzo dell’hash matching, questa è una vittoria per la privacy”, afferma Yen. Ma, aggiunge, “l’hash matching non è la panacea per la protezione della privacy che alcuni potrebbero pretendere, e siamo preoccupati per gli impatti potenziali sui servizi di condivisione e archiviazione di file. L’hash matching sarebbe un compromesso che comporta altri rischi”.
Secondo Whitehead, la regola dell’hash matching si applicherebbe solo ai servizi pubblici, non alle app di messaggistica private. Ma “per quei servizi (crittografati), stiamo dicendo: ‘I tuoi obblighi di sicurezza rimangono validi'”, afferma. Queste piattaforme dovranno implementare o sviluppare una tecnologia “accreditata” per limitare la diffusione del materiale abusivo sui minori, e si terranno ulteriori consultazioni l’anno prossimo.
“I servizi crittografati rappresentano un rischio maggiore di condivisione di materiale abusivo sui minori sulle loro piattaforme, e per i servizi che scelgono di eseguire i loro servizi di messaggistica e di condivisione di file in modalità crittografata, devono comunque adempiere ai doveri di sicurezza”, dice, ponendo un’enfasi significativa sulla parola “scelgono”.
Le regole proposte oggi affermano inoltre che le piattaforme tecnologiche dovranno avere percorsi chiari per gli utenti per segnalare contenuti dannosi o bloccare o segnalare account problematici. Le aziende che utilizzano algoritmi per raccomandare contenuti ai propri utenti dovranno condurre test di sicurezza. E dovranno avere squadre di moderazione dei contenuti e delle ricerche “ben attrezzate e addestrate” per gestire ciò che accade sulle loro piattaforme.
La legge si applica a qualsiasi azienda che abbia utenti nel Regno Unito, anche se non ha sede nel Paese. Whitehead ritiene che le dimensioni del mercato britannico comportino un’elevata incentivazione al rispetto delle regole da parte delle aziende. Quelle che non lo fanno potrebbero affrontare gravi conseguenze.
“Abbiamo forti poteri di applicazione in queste situazioni. Abbiamo il potere di infliggere multe fino al 10% del fatturato globale, abbiamo il potere di perseguire i dirigenti di alto livello, e abbiamo il potere di interrompere i servizi”, afferma Whitehead. Bloccare le piattaforme non è la prima opzione, aggiunge – l’autorità di regolamentazione preferirebbe “mettersi in contatto con i servizi e lavorare con loro per garantire la conformità”, ma è un’opzione. “Abbiamo questi poteri”, dice.
