Avviso sui contenuti: contiene riferimenti all’abuso e allo sfruttamento sessuale dei minori
La rete EDRi sollecita da tempo i legislatori dell’Unione Europea (UE) a garantire che gli sforzi per combattere l’OCSEA (sfruttamento e abuso sessuale di minori online) siano legali, efficaci e tecnicamente fattibili. L’obiettivo di proteggere i bambini online è vitale. Ciò può essere fatto solo se le misure proposte funzionano e sono compatibili con i diritti umani, compresa la privacy e la presunzione di innocenza.
Ecco perché ci siamo opposti alla bozza di regolamento sugli abusi sessuali sui minori (CSA) della Commissione europea, che è stata ampiamente criticata , anche da esperti tecnici , polizia e alcuni gruppi per i diritti dei bambini . Queste critiche si basano sulla proposta di un accesso generalizzato al contenuto delle comunicazioni elettroniche (che equivale a una sorveglianza di massa). Questo tipo di scansione può essere implementato solo minando la crittografia end-to-end (E2EE) e applicando la verifica dell’età, per la quale non esiste una tecnologia conforme ai diritti fondamentali.
L’attuale Presidenza belga del Consiglio ha risposto a queste preoccupazioni, sostenendo di aver proposto un approccio “più proporzionato”, che protegge anche la crittografia. Tuttavia, ciò non si riflette nell’ultimo testo messo sul tavolo.
La rete EDRi esorta i governi dell’UE a riconoscere che questa posizione proposta dal Consiglio non è una soluzione miracolosa e supera le chiare linee rosse che molti Stati membri hanno già espresso . Li invitiamo inoltre a rifiutarsi di accettare un testo che chiaramente non soddisfa i requisiti stabiliti dalla normativa europea sui diritti fondamentali.
La nostra valutazione del nuovo approccio proposto
Nel suo ruolo di facilitatore, la Presidenza belga sta cercando di sbloccare la situazione tra gli Stati membri dell’UE con una nuova proposta del Consiglio. Questo nuovo testo (documento del Consiglio 8019/24) modifica l’intero regolamento CSA, riportando diverse disposizioni preoccupanti dei negoziati degli Stati membri dello scorso anno ( che abbiamo criticato ) e aggiungendo diverse parti nuove – e altrettanto preoccupanti:
1. Il nuovo quadro normativo sui rischi consente ancora di emettere ordini di accertamento in modo molto ampio
Forse ispirandosi all’approccio della legge sull’intelligenza artificiale (AI) dell’UE alla valutazione del rischio ( che è stato pesantemente criticato dai gruppi della società civile ), la presidenza belga propone che i fornitori di servizi online autovalutino il loro livello di rischio e lo segnalino al loro organo di coordinamento competente. Autorità (articoli 3, 5 e 5 bis). Sulla base del contributo dei fornitori, le autorità di coordinamento prendono quindi la decisione finale sulla categorizzazione del rischio (basso, medio, alto) del servizio secondo una metodologia e criteri che non sono stati ancora formalizzati dalla presidenza belga.
Per i servizi della categoria di rischio medio e alto l’autorità di coordinamento può ordinare misure adeguate o aggiuntive di mitigazione del rischio (articolo 5a). Gli ordini di accertamento possono essere emessi solo per i servizi della categoria ad alto rischio. Il testo afferma che il nuovo approccio di categorizzazione del rischio renderà gli ordini di individuazione una “misura di ultima istanza” (considerando 18b), qualcosa che anche i precedenti testi del Consiglio affermavano di fare.
Tuttavia, le condizioni principali per emettere un ordine di individuazione sono invariate rispetto al precedente testo di compromesso, inclusa la vaga ed eccessivamente ampia “prova di un rischio significativo, presente o prevedibile” che il servizio venga utilizzato a scopo di abuso sessuale su minori. Questa prova può anche provenire da test simulati condotti dal Centro UE (articolo 47 bis). Sebbene i criteri precisi per classificare un servizio come ad alto rischio siano ancora sconosciuti, è probabile che vi sia una sostanziale sovrapposizione tra questi criteri e le altre condizioni per emettere un ordine di rilevamento. In poche parole, ciò significa che l’emissione di ordini di accertamento è limitata solo nominalmente dal nuovo approccio di categorizzazione del rischio.
In ogni caso, una volta che il servizio, o parti di servizio, sono classificati ad alto rischio dall’Autorità di Coordinamento, possono essere emessi ordini di individuazione contro tutti gli utenti in modo generale e indiscriminato, anche nei confronti di persone senza alcun collegamento, nemmeno uno indiretto, a qualsiasi crimine OCSEA. Pertanto, la nuova proposta fa ben poco per affrontare le principali obiezioni sulla sorveglianza di massa delle comunicazioni private – e sul trascinare persone del tutto innocenti in una rete di sospetti per il peggior tipo di crimine anche se non hanno fatto nulla di male.
In tutto il nuovo testo, la frase “ il servizio o parti o componenti del servizio ” (articoli 5.1 e 7.5-7.7) viene utilizzata per cercare di indicare che può esserci una “mirazione” delle misure. Tuttavia, questo non è un targeting autentico o significativo. Come abbiamo criticato con il testo originale della Commissione, “parti o componenti” non significa necessariamente prendere di mira – potrebbe includere, ad esempio, l’intera funzione di messaggistica di una piattaforma di social media. In particolare, ciò non significa prendere di mira singoli utenti per i quali esiste un ragionevole sospetto preliminare di coinvolgimento in abusi sessuali su minori online.
Inoltre, la formulazione aggiornata del Consiglio consente ancora di sottoporre “ l’ [intero] servizio ” a un ordine di individuazione. L’articolo 7.4.(ca) ora aggiunge alcuni termini relativi ai diritti fondamentali e pretende di introdurre garanzie, ma queste sono superficiali. Allo stesso modo, la nuova formulazione sulla possibile cooperazione del Centro UE con le agenzie dell’UE specializzate in diritti fondamentali e protezione dei dati è meramente volontaria (articolo 53a), quindi non fornisce garanzie di protezione o controllo .
2. La rendicontazione basata su segnalazioni ripetute si basa su incomprensioni statistiche
Un’altra presunta misura mirata proposta dalla Presidenza è che le segnalazioni verrebbero effettuate solo sulla base della ripetuta segnalazione degli utenti. L’articolo 7.10 introduce l’obbligo che il primo rilevamento venga segnalato solo all’interno dell’account dell’utente. L’articolo suggerisce che la notifica al fornitore e i successivi obblighi di segnalazione al Centro UE avvengano solo se vengono rilevati due o più riscontri positivi per materiale noto di abuso sessuale su minori (immagini/video) o tre o più riscontri per materiale sconosciuto e adescamento.
Ciò si basa su un calcolo della probabilità statistica errato e profondamente fuorviante , come vediamo nella nota 2 del documento del Consiglio 7462/23 . Il calcolo presuppone erroneamente che il caricamento di contenuti sia un’attività una tantum, mentre in realtà le persone pubblicheranno continuamente post che verranno scansionati da algoritmi di rilevamento soggetti a errori. Pertanto, la valutazione della Presidenza secondo cui questa nuova soglia di segnalazione renderebbe “mirata” la segnalazione degli utenti alle forze dell’ordine non regge ad un esame matematico.
Inoltre, data l’imprecisione degli strumenti proposti , soprattutto per quanto riguarda la sollecitazione , e il fatto che potenzialmente tutti gli utenti potrebbero ancora essere scansionati , l’alta probabilità che queste misure vengano ritenute illegittime un controllo generale da parte della Corte di Giustizia non è scomparsa.
3. I servizi che rispettano la privacy subiranno un impatto sproporzionato (e saranno incoraggiati a utilizzare la verifica dell’età e a disattivare la crittografia per impostazione predefinita)
Temiamo inoltre che questo nuovo approccio identifichi i servizi sicuri e rispettosi della privacy come i più rischiosi . Il documento di supporto WK 3036/2024 REV 1 approfondisce la metodologia speculativa – e profondamente preoccupante – della Presidenza per la valutazione del rischio. I servizi che potrebbero essere ad alto rischio includono quelli a cui le persone possono aderire in modo anonimo, quelli senza verifica dell’età e quelli che consentono qualsiasi tipo di comunicazione privata. Suggerisce inoltre che i servizi che crittografano le informazioni solo quando un utente accetta potrebbero ridurre il punteggio di rischio, un passo che scoraggerebbe l’uso di E2EE, nonostante sia un protocollo standard per la comunicazione sicura in tutto il mondo.
I criteri proposti per la valutazione del rischio in questo documento includono anche criteri che non sono fattibili – come “se si accede al servizio da un hotspot WiFi pubblico non protetto” – suonando ancora una volta un campanello d’allarme sulla mancanza di competenze tecniche in questo processo di negoziazione.
Sebbene questo documento consideri almeno diverse preoccupazioni che abbiamo sollevato sui rischi della verifica dell’età – come richiedere che tali sistemi siano “a conoscenza zero” e non elaborino dati biometrici – altre questioni sollevate dalla verifica dell’età, come l’esclusione digitale, le violazioni della libertà di espressione e di accesso alle informazioni da parte degli adolescenti e le minacce all’anonimato online non vengono risolte.
4. I servizi crittografati end-to-end possono ancora essere costretti a indebolire o minare la sicurezza
È stato aggiunto un testo inteso a rispondere alle preoccupazioni sulla protezione della crittografia, ma non è sufficiente a garantire la protezione della crittografia . Ad esempio, il considerando 26 ora spiega che “ Per evitare di compromettere la sicurezza informatica, i fornitori dovrebbero identificare, analizzare e valutare i possibili rischi di sicurezza informatica derivanti dall’implementazione delle tecnologie utilizzate per eseguire l’ordine di rilevamento e mettere in atto le necessarie misure di mitigazione per ridurre al minimo tali rischi . “
Articolo 1.5. stabilisce inoltre che “ il presente regolamento non crea alcun obbligo che imponga a un fornitore di servizi di hosting o a un fornitore di servizi di comunicazione interpersonale di decrittografare o creare accesso a dati crittografati end-to-end, o che impedisca la fornitura di servizi end-to-end -end servizi crittografati .”
Tuttavia, questa formulazione non proteggerebbe sufficientemente i fornitori dall’essere costretti a indebolire l’integrità e la sicurezza complessive dei loro servizi crittografati end-to-end. Questo perché la Presidenza ha continuato a usare il linguaggio evasivo proposto per primo dall’unità Affari interni della Commissione. Sebbene “ accesso ” e “ decrittografia [ione]” non siano obbligatori, nulla impedisce ai fornitori di essere costretti a eludere o indebolire la loro crittografia. Leggendo tra le righe, è molto probabile che ciò consenta ancora alle autorità di costringere i fornitori a implementare la scansione lato client (CSS) , il che equivale essenzialmente a mettere la tecnologia di sorveglianza direttamente sui dispositivi di tutti.
È anche irragionevole e giuridicamente problematico imporre ai fornitori l’onere di “ evitare di compromettere la sicurezza informatica ”, dato che esiste un consenso diffuso tra gli esperti sul fatto che qualsiasi strumento per accedere a informazioni crittografate end-to-end minerà la sicurezza informatica. Tuttavia, all’articolo 10.4., i fornitori sono tenuti a seguire una serie di misure per mitigare i rischi di sicurezza informatica; un po’ come dire loro di lavarsi le mani nude con l’acqua, ma che è loro vietato bagnarsi le mani.
L’obbligo per i fornitori di scansionare le comunicazioni private se sottoposte a un ordine di rilevamento ha sempre la precedenza sul requisito meno rigoroso di evitare di compromettere la sicurezza informatica – il che significa ancora una volta che queste “protezioni” per E2EE sono poco più che un’affermazione formale.
5. Si farebbe affidamento sulla Commissione per decidere e aggiornare unilateralmente i criteri di rischio
Un’altra novità della nuova proposta del Consiglio è che alla Commissione europea vengono conferiti poteri significativi per ampliare e interpretare le norme sui rischi – e poiché ciò avverrebbe come atto delegato , non vi sarebbe alcun contributo a tali norme da parte del Consiglio o del Parlamento.
Per tutte queste ragioni, esortiamo il Consiglio dell’UE a opporsi a questo ultimo tentativo di ciò che, in definitiva, equivale ancora a Chat Control.
Questo blog è dedicato al nostro stimato collega, il professor Ross Anderson, una voce audace e importante nel nostro lavoro collettivo sul regolamento CSA dell’UE e parte di EDRi sin dalla nostra nascita nel 2002 . Coautore dell’articolo fondamentale sui CSS, “Bugs in our pocket” , Ross era fermamente impegnato nella protezione della crittografia e nella lotta alle minacce alla sicurezza digitale in tutto il mondo. Ha utilizzato la sua vasta esperienza e competenza tecnica per lottare instancabilmente per difendere la privacy e lo stato di diritto nell’era digitale. Ci mancherà profondamente.
Riportiamo la traduzione del post pubblicato oggi sul sito di EDRi
Avviso sui contenuti: contiene riferimenti all’abuso e allo sfruttamento sessuale dei minori
La rete EDRi sollecita da tempo i legislatori dell’Unione Europea (UE) a garantire che gli sforzi per combattere l’OCSEA (sfruttamento e abuso sessuale di minori online) siano legali, efficaci e tecnicamente fattibili. L’obiettivo di proteggere i bambini online è vitale. Ciò può essere fatto solo se le misure proposte funzionano e sono compatibili con i diritti umani, compresa la privacy e la presunzione di innocenza.
Ecco perché ci siamo opposti alla bozza di regolamento sugli abusi sessuali sui minori (CSA) della Commissione europea, che è stata ampiamente criticata , anche da esperti tecnici , polizia e alcuni gruppi per i diritti dei bambini . Queste critiche si basano sulla proposta di un accesso generalizzato al contenuto delle comunicazioni elettroniche (che equivale a una sorveglianza di massa). Questo tipo di scansione può essere implementato solo minando la crittografia end-to-end (E2EE) e applicando la verifica dell’età, per la quale non esiste una tecnologia conforme ai diritti fondamentali.
Gli avvocati che lavorano per conto degli Stati membri dell’UE hanno avvertito che la proposta originale di regolamento CSA violerebbe l’ essenza del diritto alla privacy – un consiglio che ha avuto molta influenza sulla posizione del Parlamento europeo e sul pensiero del Consiglio fino ad oggi.
L’attuale Presidenza belga del Consiglio ha risposto a queste preoccupazioni, sostenendo di aver proposto un approccio “più proporzionato”, che protegge anche la crittografia. Tuttavia, ciò non si riflette nell’ultimo testo messo sul tavolo.
La rete EDRi esorta i governi dell’UE a riconoscere che questa posizione proposta dal Consiglio non è una soluzione miracolosa e supera le chiare linee rosse che molti Stati membri hanno già espresso . Li invitiamo inoltre a rifiutarsi di accettare un testo che chiaramente non soddisfa i requisiti stabiliti dalla normativa europea sui diritti fondamentali.
La nostra valutazione del nuovo approccio proposto
Nel suo ruolo di facilitatore, la Presidenza belga sta cercando di sbloccare la situazione tra gli Stati membri dell’UE con una nuova proposta del Consiglio. Questo nuovo testo (documento del Consiglio 8019/24) modifica l’intero regolamento CSA, riportando diverse disposizioni preoccupanti dei negoziati degli Stati membri dello scorso anno ( che abbiamo criticato ) e aggiungendo diverse parti nuove – e altrettanto preoccupanti:
1. Il nuovo quadro normativo sui rischi consente ancora di emettere ordini di accertamento in modo molto ampio
Forse ispirandosi all’approccio della legge sull’intelligenza artificiale (AI) dell’UE alla valutazione del rischio ( che è stato pesantemente criticato dai gruppi della società civile ), la presidenza belga propone che i fornitori di servizi online autovalutino il loro livello di rischio e lo segnalino al loro organo di coordinamento competente. Autorità (articoli 3, 5 e 5 bis). Sulla base del contributo dei fornitori, le autorità di coordinamento prendono quindi la decisione finale sulla categorizzazione del rischio (basso, medio, alto) del servizio secondo una metodologia e criteri che non sono stati ancora formalizzati dalla presidenza belga.
Per i servizi della categoria di rischio medio e alto l’autorità di coordinamento può ordinare misure adeguate o aggiuntive di mitigazione del rischio (articolo 5a). Gli ordini di accertamento possono essere emessi solo per i servizi della categoria ad alto rischio. Il testo afferma che il nuovo approccio di categorizzazione del rischio renderà gli ordini di individuazione una “misura di ultima istanza” (considerando 18b), qualcosa che anche i precedenti testi del Consiglio affermavano di fare.
Tuttavia, le condizioni principali per emettere un ordine di individuazione sono invariate rispetto al precedente testo di compromesso, inclusa la vaga ed eccessivamente ampia “prova di un rischio significativo, presente o prevedibile” che il servizio venga utilizzato a scopo di abuso sessuale su minori. Questa prova può anche provenire da test simulati condotti dal Centro UE (articolo 47 bis). Sebbene i criteri precisi per classificare un servizio come ad alto rischio siano ancora sconosciuti, è probabile che vi sia una sostanziale sovrapposizione tra questi criteri e le altre condizioni per emettere un ordine di rilevamento. In poche parole, ciò significa che l’emissione di ordini di accertamento è limitata solo nominalmente dal nuovo approccio di categorizzazione del rischio.
In ogni caso, una volta che il servizio, o parti di servizio, sono classificati ad alto rischio dall’Autorità di Coordinamento, possono essere emessi ordini di individuazione contro tutti gli utenti in modo generale e indiscriminato, anche nei confronti di persone senza alcun collegamento, nemmeno uno indiretto, a qualsiasi crimine OCSEA. Pertanto, la nuova proposta fa ben poco per affrontare le principali obiezioni sulla sorveglianza di massa delle comunicazioni private – e sul trascinare persone del tutto innocenti in una rete di sospetti per il peggior tipo di crimine anche se non hanno fatto nulla di male.
In tutto il nuovo testo, la frase “ il servizio o parti o componenti del servizio ” (articoli 5.1 e 7.5-7.7) viene utilizzata per cercare di indicare che può esserci una “mirazione” delle misure. Tuttavia, questo non è un targeting autentico o significativo. Come abbiamo criticato con il testo originale della Commissione, “parti o componenti” non significa necessariamente prendere di mira – potrebbe includere, ad esempio, l’intera funzione di messaggistica di una piattaforma di social media. In particolare, ciò non significa prendere di mira singoli utenti per i quali esiste un ragionevole sospetto preliminare di coinvolgimento in abusi sessuali su minori online.
Inoltre, la formulazione aggiornata del Consiglio consente ancora di sottoporre “ l’ [intero] servizio ” a un ordine di individuazione. L’articolo 7.4.(ca) ora aggiunge alcuni termini relativi ai diritti fondamentali e pretende di introdurre garanzie, ma queste sono superficiali. Allo stesso modo, la nuova formulazione sulla possibile cooperazione del Centro UE con le agenzie dell’UE specializzate in diritti fondamentali e protezione dei dati è meramente volontaria (articolo 53a), quindi non fornisce garanzie di protezione o controllo .
2. La rendicontazione basata su segnalazioni ripetute si basa su incomprensioni statistiche
Un’altra presunta misura mirata proposta dalla Presidenza è che le segnalazioni verrebbero effettuate solo sulla base della ripetuta segnalazione degli utenti. L’articolo 7.10 introduce l’obbligo che il primo rilevamento venga segnalato solo all’interno dell’account dell’utente. L’articolo suggerisce che la notifica al fornitore e i successivi obblighi di segnalazione al Centro UE avvengano solo se vengono rilevati due o più riscontri positivi per materiale noto di abuso sessuale su minori (immagini/video) o tre o più riscontri per materiale sconosciuto e adescamento.
Ciò si basa su un calcolo della probabilità statistica errato e profondamente fuorviante , come vediamo nella nota 2 del documento del Consiglio 7462/23 . Il calcolo presuppone erroneamente che il caricamento di contenuti sia un’attività una tantum, mentre in realtà le persone pubblicheranno continuamente post che verranno scansionati da algoritmi di rilevamento soggetti a errori. Pertanto, la valutazione della Presidenza secondo cui questa nuova soglia di segnalazione renderebbe “mirata” la segnalazione degli utenti alle forze dell’ordine non regge ad un esame matematico.
Inoltre, data l’imprecisione degli strumenti proposti , soprattutto per quanto riguarda la sollecitazione , e il fatto che potenzialmente tutti gli utenti potrebbero ancora essere scansionati , l’alta probabilità che queste misure vengano ritenute illegittime un controllo generale da parte della Corte di Giustizia non è scomparsa.
3. I servizi che rispettano la privacy subiranno un impatto sproporzionato (e saranno incoraggiati a utilizzare la verifica dell’età e a disattivare la crittografia per impostazione predefinita)
Temiamo inoltre che questo nuovo approccio identifichi i servizi sicuri e rispettosi della privacy come i più rischiosi . Il documento di supporto WK 3036/2024 REV 1 approfondisce la metodologia speculativa – e profondamente preoccupante – della Presidenza per la valutazione del rischio. I servizi che potrebbero essere ad alto rischio includono quelli a cui le persone possono aderire in modo anonimo, quelli senza verifica dell’età e quelli che consentono qualsiasi tipo di comunicazione privata. Suggerisce inoltre che i servizi che crittografano le informazioni solo quando un utente accetta potrebbero ridurre il punteggio di rischio, un passo che scoraggerebbe l’uso di E2EE, nonostante sia un protocollo standard per la comunicazione sicura in tutto il mondo.
I criteri proposti per la valutazione del rischio in questo documento includono anche criteri che non sono fattibili – come “se si accede al servizio da un hotspot WiFi pubblico non protetto” – suonando ancora una volta un campanello d’allarme sulla mancanza di competenze tecniche in questo processo di negoziazione.
Sebbene questo documento consideri almeno diverse preoccupazioni che abbiamo sollevato sui rischi della verifica dell’età – come richiedere che tali sistemi siano “a conoscenza zero” e non elaborino dati biometrici – altre questioni sollevate dalla verifica dell’età, come l’esclusione digitale, le violazioni della libertà di espressione e di accesso alle informazioni da parte degli adolescenti e le minacce all’anonimato online non vengono risolte.
4. I servizi crittografati end-to-end possono ancora essere costretti a indebolire o minare la sicurezza
È stato aggiunto un testo inteso a rispondere alle preoccupazioni sulla protezione della crittografia, ma non è sufficiente a garantire la protezione della crittografia . Ad esempio, il considerando 26 ora spiega che “ Per evitare di compromettere la sicurezza informatica, i fornitori dovrebbero identificare, analizzare e valutare i possibili rischi di sicurezza informatica derivanti dall’implementazione delle tecnologie utilizzate per eseguire l’ordine di rilevamento e mettere in atto le necessarie misure di mitigazione per ridurre al minimo tali rischi . “
Articolo 1.5. stabilisce inoltre che “ il presente regolamento non crea alcun obbligo che imponga a un fornitore di servizi di hosting o a un fornitore di servizi di comunicazione interpersonale di decrittografare o creare accesso a dati crittografati end-to-end, o che impedisca la fornitura di servizi end-to-end -end servizi crittografati .”
Tuttavia, questa formulazione non proteggerebbe sufficientemente i fornitori dall’essere costretti a indebolire l’integrità e la sicurezza complessive dei loro servizi crittografati end-to-end. Questo perché la Presidenza ha continuato a usare il linguaggio evasivo proposto per primo dall’unità Affari interni della Commissione. Sebbene “ accesso ” e “ decrittografia [ione]” non siano obbligatori, nulla impedisce ai fornitori di essere costretti a eludere o indebolire la loro crittografia. Leggendo tra le righe, è molto probabile che ciò consenta ancora alle autorità di costringere i fornitori a implementare la scansione lato client (CSS) , il che equivale essenzialmente a mettere la tecnologia di sorveglianza direttamente sui dispositivi di tutti.
È anche irragionevole e giuridicamente problematico imporre ai fornitori l’onere di “ evitare di compromettere la sicurezza informatica ”, dato che esiste un consenso diffuso tra gli esperti sul fatto che qualsiasi strumento per accedere a informazioni crittografate end-to-end minerà la sicurezza informatica. Tuttavia, all’articolo 10.4., i fornitori sono tenuti a seguire una serie di misure per mitigare i rischi di sicurezza informatica; un po’ come dire loro di lavarsi le mani nude con l’acqua, ma che è loro vietato bagnarsi le mani.
L’obbligo per i fornitori di scansionare le comunicazioni private se sottoposte a un ordine di rilevamento ha sempre la precedenza sul requisito meno rigoroso di evitare di compromettere la sicurezza informatica – il che significa ancora una volta che queste “protezioni” per E2EE sono poco più che un’affermazione formale.
5. Si farebbe affidamento sulla Commissione per decidere e aggiornare unilateralmente i criteri di rischio
Un’altra novità della nuova proposta del Consiglio è che alla Commissione europea vengono conferiti poteri significativi per ampliare e interpretare le norme sui rischi – e poiché ciò avverrebbe come atto delegato , non vi sarebbe alcun contributo a tali norme da parte del Consiglio o del Parlamento.
Date le accuse di violazioni dell’integrità politica e di micro-targeting illegale di pubblicità online che utilizzano caratteristiche vietate che hanno infastidito la direzione della Commissione responsabile di questa legge, la DG HOME – insieme al loro rifiuto di collaborare con gruppi per i diritti digitali o di ascoltare esperti di sicurezza informatica – abbiamo serie preoccupazioni circa la possibilità di conferire loro il potere di prendere tali decisioni unilaterali. Inoltre, la presunta non imparzialità e la vicinanza della DG HOME agli sviluppatori di tecnologie di scansione , come Ashton Kutcher tramite Thorn, mette ulteriormente in dubbio l’idoneità di un simile approccio.
Per tutte queste ragioni, esortiamo il Consiglio dell’UE a opporsi a questo ultimo tentativo di ciò che, in definitiva, equivale ancora a Chat Control.
Questo blog è dedicato al nostro stimato collega, il professor Ross Anderson, una voce audace e importante nel nostro lavoro collettivo sul regolamento CSA dell’UE e parte di EDRi sin dalla nostra nascita nel 2002 . Coautore dell’articolo fondamentale sui CSS, “Bugs in our pocket” , Ross era fermamente impegnato nella protezione della crittografia e nella lotta alle minacce alla sicurezza digitale in tutto il mondo. Ha utilizzato la sua vasta esperienza e competenza tecnica per lottare instancabilmente per difendere la privacy e lo stato di diritto nell’era digitale. Ci mancherà profondamente.
Contributo di : Ella Jakubowska , Responsabile delle politiche, EDRi e Jesper Lund , Presidente di IT-Pol, membro dell’EDRi
I contenuti del sito EDRi sono condivisi con la licenza CC-BY 4.0 e pertanto anche questa traduzione è soggetta alla stessa licenza
@[email protected]