Dichiarazione internazionale: crittografia end-to-end e sicurezza pubblica

Particolari implementazioni della tecnologia di crittografia, tuttavia, pongono sfide significative per la sicurezza pubblica. Ad esempio per i membri altamente vulnerabili delle nostre società, come i bambini sfruttati sessualmente. Esortiamo l’industria ad affrontare le nostre serie preoccupazioni laddove la crittografia viene applicata in un modo che preclude del tutto qualsiasi accesso legale ai contenuti. Chiediamo alle aziende tecnologiche di collaborare con i governi per intraprendere passi consapevoli, dove ci sia l’obiettivo del raggiungimento di soluzioni ragionevoli e tecnicamente fattibili, nello specifico:

• Incorporare la sicurezza del pubblico nella progettazione dei sistemi, consentendo così alle aziende di agire contro contenuti e attività illegali in modo efficace senza ridurre la sicurezza e facilitando le indagini e il perseguimento dei reati e salvaguardando i vulnerabili;
• Consentire alle forze dell’ordine l’accesso ai contenuti in un formato leggibile e utilizzabile laddove un’autorizzazione è rilasciata legalmente, è necessaria e proporzionata ed è soggetta a forti garanzie e supervisione; 
• Impegnarsi in consultazione con i governi e altre parti interessate per facilitare l’accesso legale in un modo che sia sostanziale e influenzi realmente le decisioni di progettazione.

IMPATTO SULLA SICUREZZA PUBBLICA

Le forze dell’ordine hanno la responsabilità di proteggere i cittadini indagando e perseguendo i crimini e salvaguardando i vulnerabili. Posto che le aziende tecnologiche hanno la responsabilità di fornire ai loro utenti l’autorità di agire al fine di proteggere il pubblico, la crittografia end-to-end, che preclude l’accesso legale al contenuto delle comunicazioni in qualsiasi circostanza, ha un impatto diretto su queste responsabilità creando gravi rischi per la sicurezza pubblica. Questo avviene in due modi:

1. Minando gravemente la capacità di un’azienda di identificare e rispondere alle violazioni dei propri termini di servizio. Ciò include la risposta ai contenuti e alle attività illegali più gravi sulla sua piattaforma, inclusi lo sfruttamento e l’abuso sessuale di minori, i crimini violenti, la propaganda terroristica e la pianificazione degli attacchi; 
2. Impedendo alle forze dell’ordine di accedere ai contenuti in circostanze limitate ove necessario e proporzionato per indagare su crimini gravi e proteggere la sicurezza nazionale, laddove vi sia l’autorità legittima per farlo.

La preoccupazione per questi rischi è al centro dell’attenzione per quanto riguarda le proposte di applicare la crittografia end-to-end ai principali servizi di messaggistica. L’UNICEF stima che un utente di Internet su tre sia un bambino. La WePROTECT Global Alliance – una coalizione di 98 paesi, 39 delle più grandi aziende del settore tecnologico globale e 41 importanti organizzazioni della società civile – ha stabilito chiaramente la gravità dei rischi in internet per i bambini da servizi crittografati inaccessibili, valutati nel 2019: “I social media e le piattaforme di comunicazione accessibili al pubblico rimangono i metodi più comuni per entrare facilmente in contatto con bambini. Nel 2018, Facebook Messenger è stato responsabile di quasi 12 milioni dei 18,4 milioni di segnalazioni in tutto il mondo di CSAM [materiale di abusi sessuali su minori al Centro nazionale statunitense per i bambini scomparsi e sfruttati (NCMEC)].   Il 3 ottobre 2019 NCMEC ha pubblicato una dichiarazione su questo tema, affermando che: “Se la crittografia end-to-end viene implementata senza una soluzione in atto per salvaguardare i bambini, NCMEC stima che più della metà dei suoi rapporti CyberTipline svanirà. ”  E l’11 dicembre 2019, gli Stati Uniti e l’Unione Europea (UE) hanno rilasciato una dichiarazione congiunta che chiarisce che mentre la crittografia è importante per proteggere la sicurezza informatica e la privacy: “l’uso della crittografia a prova di mandato da parte di terroristi e altri criminali – compresi coloro che si dedicano allo sfruttamento sessuale dei minori online – compromette la capacità delle forze dell’ordine di proteggere le vittime e il pubblico in generale “. 

RISPOSTA

Alla luce di queste minacce, vi è un crescente consenso tra i governi e le istituzioni internazionali sulla necessità di agire: sebbene la crittografia sia vitale e la privacy e la sicurezza informatica debbano essere protette, ciò non dovrebbe avvenire a scapito di precludere completamente le forze dell’ordine e la tecnologia l’industria stessa, dalla capacità di agire contro i contenuti e le attività illegali online.

Nel luglio 2019, i governi di Regno Unito, Stati Uniti, Australia, Nuova Zelanda e Canada hanno emesso un comunicato, concludendo che: “le aziende tecnologiche dovrebbero includere meccanismi nella progettazione dei loro prodotti e servizi crittografati in base ai quali i governi, agendo con l’autorità legale appropriata , può accedere ai dati in un formato leggibile e utilizzabile. Quelle aziende dovrebbero anche incorporare la sicurezza dei loro utenti nei loro progetti di sistema, consentendo loro di agire contro i contenuti illegali “. L’8 ottobre 2019, il Consiglio dell’UE ha adottato le sue conclusioni sulla lotta agli abusi sessuali sui minori, affermando: “Il Consiglio esorta l’industria a garantire l’accesso legale per le forze dell’ordine e altre autorità competenti alle prove digitali, anche se crittografate o ospitate su server IT situati all’estero, senza vietare o indebolire la crittografia e nel pieno rispetto della privacy e delle garanzie di un giusto processo coerenti con la legge applicabile. “

WePROTECT Global Alliance, NCMEC e una coalizione di oltre 100 organizzazioni di protezione dei minori ed esperti di tutto il mondo hanno tutti chiesto un’azione per garantire che le misure per aumentare la privacy, inclusa la crittografia end-to-end, non vadano a scapito di sicurezza dei bambini.

CONCLUSIONE

Ci impegniamo a collaborare con l’industria per sviluppare proposte ragionevoli che consentano alle aziende tecnologiche e ai governi di proteggere il pubblico e la loro privacy, difendere la sicurezza informatica ei diritti umani e supportare l’innovazione tecnologica. Sebbene questa dichiarazione si concentri sulle sfide poste dalla crittografia end-to-end, tale impegno si applica a tutta la gamma di servizi crittografati disponibili, tra cui crittografia dei dispositivi, applicazioni crittografate personalizzate e crittografia su piattaforme integrate. Ribadiamo che la protezione dei dati, il rispetto della privacy e l’importanza della crittografia man mano che i cambiamenti tecnologici e gli standard Internet vengono sviluppati rimangono in prima linea nel quadro giuridico di ogni stato. Tuttavia, sfidiamo l’affermazione secondo cui la sicurezza pubblica non può essere protetta senza compromettere la privacy o la sicurezza informatica.

FIRMATARI

Rt Hon Priti Patel MP, Segretario di Stato del Regno Unito per il Dipartimento dell’Interno

William P. Barr, Procuratore generale degli Stati Uniti

L’on. Peter Dutton MP, ministro australiano degli affari interni

Hon Andrew Little MP, Ministro della Giustizia, Ministro responsabile del GCSB, Ministro responsabile del NZSIS

L’onorevole Bill Blair, Ministro della sicurezza pubblica e della preparazione alle emergenze

India

Giappone