La controversa legge sulla sicurezza online del Regno Unito è ora legge
La discutibile legge sulla sicurezza online del Regno Unito è stata finalmente approvata
Jeremy Wright è stato il primo dei cinque ministri britannici incaricati di portare avanti la legislazione storica del governo britannico sulla regolamentazione di Internet, il DDL sulla sicurezza online. Il governo britannico attuale ama definire le sue iniziative come “inarrivabili nel mondo”, ma per un breve periodo nel 2019 potrebbe aver avuto ragione. Quella volta, tre primi ministri fa, il disegno di legge – o almeno il libro bianco che ne avrebbe costituito la base – ha delineato un approccio che riconosceva che le piattaforme di social media erano già di fatto arbitri di ciò che costituiva un discorso accettabile in gran parte di Internet, ma che questa era una responsabilità che non volevano necessariamente e che non sempre erano in grado di svolgere. Le aziende tecnologiche sono state criticate per ciò che hanno trascurato, ma anche, dagli sostenitori della libertà di espressione, per ciò che hanno rimosso. “C’è stato una sorta di emergente consapevolezza che l’autoregolamentazione non avrebbe potuto durare ancora molto”, afferma Wright. “E quindi, i governi dovevano essere coinvolti.”
Il disegno di legge si proponeva di definire un modo per gestire i contenuti “legalmente ma dannosi” – materiale che non era esplicitamente contrario alla legge ma che, individualmente o aggregatamente, rappresentava un rischio, come la disinformazione sulla salute, i post che promuovevano il suicidio o disturbi alimentari o la disinformazione politica con il potenziale di minare la democrazia o creare panico. Il disegno di legge ha avuto i suoi critici – in particolare, coloro che temevano che desse troppo potere alle Big Tech. Ma è stato ampiamente lodato come un tentativo ponderato di affrontare un problema che si stava sviluppando e evolvendo più velocemente della politica e della società. Dei suoi 17 anni in parlamento, Wright dice: “Non sono sicuro di aver mai visto qualcosa come una potenziale legislazione che abbia avuto un consenso politico così ampio.”
Dopo essere passato, alla fine, attraverso le due camere del Parlamento britannico, il disegno di legge ha ricevuto l’assenso reale oggi. Non è più inarrivabile – il competing Digital Services Act dell’Unione Europea è entrato in vigore ad agosto. E il Online Safety Act diventa legge come un provvedimento più ampio e controverso rispetto a quello che Wright ha propugnato. I più di 200 articoli dell’atto coprono un ampio spettro di contenuti illegali che le piattaforme saranno tenute ad affrontare e conferiscono alle piattaforme un “dovere di cura” su ciò che i loro utenti – in particolare i bambini – vedono online. Alcuni dei principi più sfumati sulle lesioni causate dai contenuti legalmente ma dannosi sono stati ridimensionati e si è aggiunta l’obbligo fortemente divisivo per le piattaforme di messaggistica di scansionare i messaggi degli utenti per il materiale illegale, come l’abuso sessuale minorile, che le aziende tecnologiche e i difensori della privacy dicono essere un attacco ingiustificato alla crittografia.
Le aziende, dalle Big Tech alle piattaforme più piccole e alle app di messaggistica, dovranno conformarsi a una lunga lista di nuovi requisiti, a cominciare dalla verifica dell’età per i loro utenti. (Wikipedia, l’ottavo sito web più visitato nel Regno Unito, ha detto che non sarà in grado di rispettare la regola perché viola i principi della Wikimedia Foundation sulla raccolta di dati sui propri utenti). Le piattaforme dovranno impedire ai giovani utenti di vedere contenuti inappropriati per la loro età, come pornografia, cyberbullismo e molestie; dovranno rilasciare valutazioni dei rischi sui pericoli potenziali per i bambini nei loro servizi e offrire ai genitori percorsi facili per segnalare preoccupazioni. L’invio di minacce di violenza, compreso lo stupro, online sarà ora illegale, così come assistere o incoraggiare l’autolesionismo online o trasmettere pornografia deepfake, e le aziende dovranno agire rapidamente per rimuoverli dalle loro piattaforme, insieme agli annunci truffa.
In una dichiarazione, il Segretario per la Tecnologia del Regno Unito Michelle Donelan ha detto: “La legge protegge la libertà di espressione, dà potere agli adulti e garantirà che le piattaforme rimuovano i contenuti illegali. Al centro di questa legge, tuttavia, c’è la protezione dei bambini. Vorrei ringraziare i sostenitori, i parlamentari, i sopravvissuti agli abusi e le organizzazioni benefiche che hanno lavorato instancabilmente non solo per far approvare questa legge, ma anche per assicurarsi che il Regno Unito diventi il posto più sicuro al mondo in cui stare online.”
- Perché leggere libri quando puoi usare chatbot per parlare con loro...
- I lavoratori degli Apple Store temono che il gigante della tecnolog...
- I tiktokker stanno organizzando Israele vs Palestina in diretta per...
L’applicazione della legge sarà affidata al regolatore delle telecomunicazioni del Regno Unito, Ofcom, che ha detto a giugno che avrebbe iniziato le consultazioni con l’industria dopo l’assenso reale. È improbabile che l’applicazione inizi immediatamente, ma la legge si applicherà a tutte le piattaforme con un numero significativo di utenti nel Regno Unito. Le aziende che non rispettano le nuove regole rischiano multe fino a 18 milioni di sterline (21,9 milioni di dollari) o il 10% del loro fatturato annuale, a seconda di quale cifra sia più alta.
In gran parte, la controversia intorno all’atto riguarda ciò che non contiene più che ciò che contiene. Il lungo processo legislativo dell’atto significa che la sua formulazione si è sovrapposta alla pandemia di Covid-19, offrendo ai legislatori una visione in tempo reale dell’impatto sociale della disinformazione e delle informazioni errate. La diffusione di messaggi anti-vaccini e contrari ai blocchi è diventata un ostacolo alle iniziative di salute pubblica. Dopo la fine della peggiore fase della pandemia, queste stesse falsità hanno alimentato altre teorie del complotto che continuano a disturbare la società. Il libro bianco originale che ha costituito la base del progetto di legge conteneva proposte per obbligare le piattaforme a contrastare questo tipo di contenuto, che singolarmente potrebbe non essere illegale ma che, in massa, crea pericoli. Questo non è presente nella legislazione finale, anche se l’atto prevede un nuovo reato di “false comunicazioni”, che punisce penalmente il causare intenzionalmente un danno comunicando qualcosa che il mittente sa essere falso.
“Uno degli aspetti più importanti era affrontare i danni che si verificano su larga scala. E poiché si concentra così tanto su singoli contenuti, questa questione non è stata affrontata”, afferma Ellen Judson, responsabile del centro di ricerca digitale del think tank Demos. L’atto include rigorose regole che obbligano le piattaforme a rimuovere prontamente qualsiasi post illegale, come contenuti terroristici o materiale di abuso sessuale minorile, ma non riguarda le campagne di disinformazione basate su un goccia a goccia di contenuti fuorvianti, non capendo che “quando ciò diventa virale e si diffonde, allora il danno può verificarsi in modo cumulativo”.
Wright afferma che l’esclusione della disinformazione e delle informazioni errate dal progetto di legge è in parte dovuta alla confusione sulle competenze dei diversi dipartimenti. Al Dipartimento per la Cultura, i Media e lo Sport “è stato detto che l’Ufficio del Gabinetto si sarebbe occupato di tutto ciò. ‘Non preoccuparti, verrà fatto altrove in qualcosa chiamata agenda per la Difendere la Democrazia'”, dice. “E poi penso che, successivamente, non lo sia stato realmente. Quindi penso… che ci sia ancora una lacuna.”
In base all’atto, ci si aspetta che le grandi piattaforme controllino contenuti potenzialmente dannosi, ma non illegali, applicando i loro stessi standard in modo più coerente di quanto facciano attualmente. Ciò è stato criticato dai difensori della libertà di espressione, che ritengono che tali aziende private abbiano il controllo su ciò che è accettabile nel discorso online, ma gli esperti sulla disinformazione sostengono che ciò significhi che le Big Tech saranno meno responsabili nella diffusione di falsità. Tuttavia, gli esperti legali affermano che il rispetto della legge richiederà alle piattaforme di essere più trasparenti e proattive. “Dovranno mettere in atto tutti questi processi su come verranno prese le loro decisioni, altrimenti rischiano di essere considerate una piattaforma che controlla ogni tipo di libertà di espressione”, afferma Emma Wright, responsabile tecnologica dello studio legale Harbottle & Lewis. Questo probabilmente rappresenterà un’onere significativo. “È il nuovo GDPR”, dice.
La clausola più divisiva tra le oltre 300 pagine dell’Online Safety Act è la Sezione 122, che è stata ampiamente interpretata come un obbligo per le aziende di controllare i messaggi degli utenti per assicurarsi che non trasmettano materiale illegale. Ciò sarebbe estremamente difficile, forse addirittura impossibile, da realizzare senza violare la crittografia end-to-end su piattaforme come WhatsApp e Signal. La crittografia end-to-end significa che il mittente e il destinatario di un messaggio possono vedere il suo contenuto, ma il proprietario della piattaforma su cui viene inviato non può. L’unico modo per essere in conformità con la legge, dicono gli esperti, sarebbe quello di inserire un software di scansione del lato del client sui dispositivi degli utenti per esaminare i messaggi prima che vengano inviati, cosa che renderebbe la crittografia in gran parte inutile. Il governo ha dichiarato durante lo sviluppo del progetto di legge che le aziende potrebbero trovare una soluzione tecnica per scansionare i messaggi senza compromettere la crittografia; le aziende e gli esperti hanno ribattuto che tale tecnologia non esiste o potrebbe non esistere mai.
“Ciò dà a Ofcom, come regolatore, la possibilità di obbligare persone come noi a installare monitoraggi di contenuti di terze parti [nei nostri prodotti] che scansionino unilateralmente tutto ciò che passa attraverso le app”, ha dichiarato Matthew Hodgson, CEO dell’azienda di messaggistica crittografata Element, a ENBLE prima dell’approvazione del progetto di legge. “Ciò compromette la crittografia e fornisce un meccanismo attraverso il quale i malintenzionati di ogni tipo potrebbero compromettere il sistema di scansione al fine di rubare i dati in circolazione”.
Aziende i cui prodotti dipendono dalla crittografia end-to-end hanno minacciato di lasciare il paese, incluso Signal. Meta ha detto che potrebbe ritirare WhatsApp dal Regno Unito se il progetto di legge fosse passato. Quel momento critico è passato, entrambi i servizi sono ancora disponibili, anche se dopo una rettifica dell’ultimo minuto da parte del governo che ha dichiarato che non avrebbe obbligato le piattaforme ad adottare una tecnologia inesistente per scansionare i messaggi degli utenti, che è stata vista da alcuni come una ritirata.
Tuttavia, la clausola rimane nella legge, il che preoccupa gli attivisti per la privacy e la libertà di parola, che la vedono come parte di uno spettro di minacce contro la crittografia. Se il Online Safety Act implica che le aziende devono rimuovere la crittografia o aggirarla tramite la scansione lato client, “ciò potenzialmente apre [i dati] a essere raccolti nel più ampio apparato di sorveglianza”, secondo Nik Williams, responsabile delle politiche e delle campagne presso il gruppo di campagna Index on Censorship.
Il Online Safety Act presenta preoccupanti sovrapposizioni con un’altra legge, l’Investigatory Powers Act, che consente al governo di obbligare le piattaforme a rimuovere la crittografia. Williams sostiene che la sovrapposizione tra le due leggi crei “un ingresso di sorveglianza tra OSB e IPA nel senso che questo può dare ai servizi di sicurezza, come MI5, MI6 e GCHQ, accesso a dati ai quali prima non potevano accedere… Direi che è probabilmente una espansione senza precedenti dei poteri di sorveglianza.”
La mattina dopo che il disegno di legge sulla sicurezza online è stato approvato dalla Camera dei Lord, il Ministero dell’Interno del Regno Unito ha lanciato una nuova campagna contro la messaggistica criptata, prendendo di mira specificamente Facebook Messenger.
L’ex ministro Jeremy Wright afferma che la questione della crittografia “non è francamente risolta. Penso che il governo abbia evitato di fornire un punto di vista concluso su cosa significhi per la crittografia.” Tuttavia, dice che la risposta difficilmente sarà così assoluta come la dipingono i detrattori della legge. La crittografia non sarà vietata, afferma, ma le piattaforme dovranno spiegare come le loro politiche al riguardo bilanciano la sicurezza con il diritto alla privacy dei loro utenti. “Se puoi soddisfare questi doveri [di sicurezza] usando crittografia o con la crittografia come parte del servizio, va bene”, afferma. Se non lo puoi fare, “hai un problema… non può essere vero, certo, che una piattaforma ha il diritto di dire: ‘Beh, io uso la crittografia, quindi è una carta per uscire indenni dai doveri di sicurezza’.”
