Riportiamo la “Dichiarazione internazionale” dei governi di USA, Canada, Regno Unito, Australia, Nuova Zelanda, Giappone e India che costituisce il più pericoloso attacco su vasta scala mai condotto contro la crittografia end-to-end.
Il comunicato è stato diffuso la scorsa settimana.
Dichiarazione internazionale: crittografia end-to-end e sicurezza pubblica
Noi sottoscritti supportiamo una crittografia forte, che svolge un ruolo cruciale nella protezione dei dati personali, della privacy, della proprietà intellettuale, dei segreti commerciali e della sicurezza informatica. Serve anche uno scopo vitale negli stati repressivi per proteggere giornalisti, difensori dei diritti umani e altre persone vulnerabili, come affermato nella risoluzione 2017 del Consiglio dei diritti umani delle Nazioni Unite [nota 1] . La crittografia è un’ancora esistenziale di fiducia nel mondo digitale e non supportiamo approcci controproducenti e pericolosi che indebolirebbero o limiterebbero materialmente i sistemi di sicurezza.
Particolari implementazioni della tecnologia di crittografia, tuttavia, pongono sfide significative alla sicurezza pubblica, compresi i membri altamente vulnerabili delle nostre società come i bambini sfruttati sessualmente. Esortiamo l’industria ad affrontare le nostre serie preoccupazioni in cui la crittografia viene applicata in modo tale da precludere completamente qualsiasi accesso legale ai contenuti. Invitiamo le aziende tecnologiche a collaborare con i governi per intraprendere i seguenti passi, incentrati su soluzioni ragionevoli e tecnicamente fattibili:
- incorporare la sicurezza del pubblico nei progetti di sistema, consentendo in tal modo alle aziende di agire efficacemente contro contenuti e attività illegali senza ridurre la sicurezza, facilitando le indagini e il perseguimento dei reati e salvaguardando i
- consentire alle forze dell’ordine l’accesso ai contenuti in un formato leggibile e utilizzabile in cui un’autorizzazione è rilasciata legalmente, è necessaria e proporzionata ed è soggetta a forti garanzie e supervisione
- impegnarsi in consultazioni con i governi e altre parti interessate per facilitare l’accesso legale in un modo che sia sostanziale e influenzi realmente le decisioni di progettazione
Impatto sulla sicurezza pubblica
Le forze dell’ordine hanno la responsabilità di proteggere i cittadini indagando e perseguendo i reati e salvaguardando i più vulnerabili. Anche le aziende tecnologiche hanno responsabilità e mettono in atto termini di servizio per i loro utenti che forniscono loro l’autorità per agire per proteggere il pubblico. La crittografia end-to-end che preclude l’accesso legale al contenuto delle comunicazioni in qualsiasi circostanza ha un impatto diretto su queste responsabilità, creando gravi rischi per la sicurezza pubblica in due modi:
- Minando gravemente la capacità di un’azienda di identificare e rispondere alle violazioni dei propri termini di servizio. Ciò include rispondere ai contenuti e alle attività illegali più gravi sulla sua piattaforma, inclusi sfruttamento e abuso sessuale di minori, crimini violenti, propaganda terroristica e pianificazione di attacchi; e
- Precludendo la capacità delle forze dell’ordine di accedere ai contenuti in circostanze limitate ove necessario e proporzionato per indagare su reati gravi e proteggere la sicurezza nazionale, laddove vi sia un’autorità legale per farlo.
La preoccupazione per questi rischi è stata messa in evidenza dalle proposte di applicare la crittografia end-to-end ai principali servizi di messaggistica. L’UNICEF stima che un utente Internet su tre sia un bambino. La WePROTECT Global Alliance – una coalizione di 98 paesi, 39 delle più grandi aziende del settore tecnologico globale e 41 importanti organizzazioni della società civile – ha stabilito chiaramente la gravità dei rischi posti ai bambini online da servizi crittografati inaccessibili nella sua Global Threat 2019 Valutazione:
I social media e le piattaforme di comunicazione accessibili al pubblico rimangono i metodi più comuni per incontrare e curare i bambini online. Nel 2018, Facebook Messenger è stato responsabile di quasi 12 milioni dei 18,4 milioni di segnalazioni in tutto il mondo di CSAM [materiale di abusi sessuali su minori al Centro nazionale statunitense per i bambini scomparsi e sfruttati (NCMEC)]. Questi rapporti rischiano di scomparire se la crittografia end-to-end viene implementata per impostazione predefinita, poiché gli strumenti attuali utilizzati per rilevare CSAM [materiale pedopornografico] non funzionano in ambienti crittografati end-to-end. [nota 2]
Il 3 ottobre 2019 l’NCMEC ha pubblicato una dichiarazione su questo tema, affermando che: “Se la crittografia end-to-end viene implementata senza una soluzione in atto per salvaguardare i bambini, l’NCMEC stima che più della metà dei suoi rapporti CyberTipline svanirà”. [nota 3]
E l’11 dicembre 2019, gli Stati Uniti e l’Unione Europea (UE) hanno rilasciato una dichiarazione congiunta che chiariva che mentre la crittografia è importante per proteggere la sicurezza informatica e la privacy: “l’uso della crittografia a prova di mandato da parte di terroristi e altri criminali, compresi quelli che impegnarsi nello sfruttamento sessuale dei minori online – compromette la capacità delle forze dell’ordine di proteggere le vittime e il pubblico in generale”. [nota 4]
Risposta
Alla luce di queste minacce, c’è un crescente consenso tra i governi e le istituzioni internazionali sulla necessità di agire: mentre la crittografia è vitale e la privacy e la sicurezza informatica devono essere protette, ciò non dovrebbe andare a scapito dell’esclusione totale delle forze dell’ordine e della tecnologia l’industria stessa, dal poter agire contro i più gravi contenuti e attività illegali online.
Nel luglio 2019, i governi del Regno Unito, degli Stati Uniti, dell’Australia, della Nuova Zelanda e del Canada hanno emesso un comunicato, concludendo che: “le aziende tecnologiche dovrebbero includere meccanismi nella progettazione dei loro prodotti e servizi crittografati in base ai quali i governi, agendo con l’autorità legale appropriata , può accedere ai dati in formato leggibile e utilizzabile. Queste aziende dovrebbero anche integrare la sicurezza dei loro utenti nei loro progetti di sistema, consentendo loro di agire contro i contenuti illegali”. [nota 5]
L’8 ottobre 2019, il Consiglio dell’UE ha adottato le sue conclusioni sulla lotta agli abusi sessuali sui minori, affermando: “Il Consiglio esorta l’industria a garantire l’accesso legale per le forze dell’ordine e altre autorità competenti alle prove digitali, anche se crittografate o ospitate su server informatici situati all’estero, senza vietare o indebolire la crittografia e nel pieno rispetto della privacy e delle garanzie di un processo equo conformi alla legge applicabile. [nota 6]
WePROTECT Global Alliance, NCMEC e una coalizione di oltre 100 organizzazioni ed esperti per la protezione dell’infanzia provenienti da tutto il mondo hanno chiesto un’azione per garantire che le misure per aumentare la privacy, inclusa la crittografia end-to-end, non vadano a scapito di sicurezza dei bambini [nota 7] .
Conclusione
Ci impegniamo a lavorare con l’industria per sviluppare proposte ragionevoli che consentano alle aziende tecnologiche e ai governi di proteggere il pubblico e la loro privacy, difendere la sicurezza informatica e i diritti umani e supportare l’innovazione tecnologica. Sebbene questa dichiarazione si concentri sulle sfide poste dalla crittografia end-to-end, tale impegno si applica a tutta la gamma di servizi crittografati disponibili, inclusa la crittografia dei dispositivi, le applicazioni crittografate personalizzate e la crittografia su piattaforme integrate.
Ribadiamo che la protezione dei dati, il rispetto della privacy e l’importanza della crittografia man mano che la tecnologia cambia e gli standard Internet globali vengono sviluppati rimangono in prima linea nel quadro giuridico di ciascuno stato. Tuttavia, sfidiamo l’affermazione che la sicurezza pubblica non può essere protetta senza compromettere la privacy o la sicurezza informatica. Crediamo fermamente che siano possibili approcci che proteggono ciascuno di questi importanti valori e ci sforziamo di lavorare con l’industria per collaborare su soluzioni reciprocamente accettabili.
firmatari
Rt Hon Priti Patel MP, Segretario di Stato del Regno Unito per il Dipartimento dell’Interno
William P. Barr, procuratore generale degli Stati Uniti
L’onorevole Peter Dutton MP, ministro australiano degli affari interni
On. Andrew Little MP, Ministro della Giustizia, Ministro responsabile del GCSB, Ministro responsabile dell’NZSIS
L’Onorevole Bill Blair, Ministro della Pubblica Sicurezza e della Preparazione alle Emergenze
India
Giappone
11 ottobre 2020
- ONU: Il diritto alla privacy nell’era digitale ↩
- WePROTECT Global Alliance: Global Threat Assessment 2019 ↩
- Dichiarazione di NCMEC sulla crittografia end-to-end ↩
- Consiglio europeo: Consiglio dell’Unione europea – Dichiarazione congiunta UE-USA ↩
- Ministeriale dei cinque paesi: incontro congiunto di FCM e Quintetto di procuratori generali ↩
- Consiglio dell’Unione europea: conclusioni del Consiglio sulla lotta agli abusi sessuali sui minori ↩
- Il Global Threat Assessment 2019 , la dichiarazione dell’NCMEC sulla crittografia end-to-end e la lettera dell’NSPCC a Mark Zuckerberg ↩
Riportiamo la “Dichiarazione internazionale” dei governi di USA, Canada, Regno Unito, Australia, Nuova Zelanda, Giappone e India che costituisce il più pericoloso attacco su vasta scala mai condotto contro la crittografia end-to-end.
Il comunicato è stato diffuso la scorsa settimana.
Dichiarazione internazionale: crittografia end-to-end e sicurezza pubblica
Noi sottoscritti supportiamo una crittografia forte, che svolge un ruolo cruciale nella protezione dei dati personali, della privacy, della proprietà intellettuale, dei segreti commerciali e della sicurezza informatica. Serve anche uno scopo vitale negli stati repressivi per proteggere giornalisti, difensori dei diritti umani e altre persone vulnerabili, come affermato nella risoluzione 2017 del Consiglio dei diritti umani delle Nazioni Unite [nota 1] . La crittografia è un’ancora esistenziale di fiducia nel mondo digitale e non supportiamo approcci controproducenti e pericolosi che indebolirebbero o limiterebbero materialmente i sistemi di sicurezza.
Particolari implementazioni della tecnologia di crittografia, tuttavia, pongono sfide significative alla sicurezza pubblica, compresi i membri altamente vulnerabili delle nostre società come i bambini sfruttati sessualmente. Esortiamo l’industria ad affrontare le nostre serie preoccupazioni in cui la crittografia viene applicata in modo tale da precludere completamente qualsiasi accesso legale ai contenuti. Invitiamo le aziende tecnologiche a collaborare con i governi per intraprendere i seguenti passi, incentrati su soluzioni ragionevoli e tecnicamente fattibili:
Impatto sulla sicurezza pubblica
Le forze dell’ordine hanno la responsabilità di proteggere i cittadini indagando e perseguendo i reati e salvaguardando i più vulnerabili. Anche le aziende tecnologiche hanno responsabilità e mettono in atto termini di servizio per i loro utenti che forniscono loro l’autorità per agire per proteggere il pubblico. La crittografia end-to-end che preclude l’accesso legale al contenuto delle comunicazioni in qualsiasi circostanza ha un impatto diretto su queste responsabilità, creando gravi rischi per la sicurezza pubblica in due modi:
La preoccupazione per questi rischi è stata messa in evidenza dalle proposte di applicare la crittografia end-to-end ai principali servizi di messaggistica. L’UNICEF stima che un utente Internet su tre sia un bambino. La WePROTECT Global Alliance – una coalizione di 98 paesi, 39 delle più grandi aziende del settore tecnologico globale e 41 importanti organizzazioni della società civile – ha stabilito chiaramente la gravità dei rischi posti ai bambini online da servizi crittografati inaccessibili nella sua Global Threat 2019 Valutazione:
Il 3 ottobre 2019 l’NCMEC ha pubblicato una dichiarazione su questo tema, affermando che: “Se la crittografia end-to-end viene implementata senza una soluzione in atto per salvaguardare i bambini, l’NCMEC stima che più della metà dei suoi rapporti CyberTipline svanirà”. [nota 3]
E l’11 dicembre 2019, gli Stati Uniti e l’Unione Europea (UE) hanno rilasciato una dichiarazione congiunta che chiariva che mentre la crittografia è importante per proteggere la sicurezza informatica e la privacy: “l’uso della crittografia a prova di mandato da parte di terroristi e altri criminali, compresi quelli che impegnarsi nello sfruttamento sessuale dei minori online – compromette la capacità delle forze dell’ordine di proteggere le vittime e il pubblico in generale”. [nota 4]
Risposta
Alla luce di queste minacce, c’è un crescente consenso tra i governi e le istituzioni internazionali sulla necessità di agire: mentre la crittografia è vitale e la privacy e la sicurezza informatica devono essere protette, ciò non dovrebbe andare a scapito dell’esclusione totale delle forze dell’ordine e della tecnologia l’industria stessa, dal poter agire contro i più gravi contenuti e attività illegali online.
Nel luglio 2019, i governi del Regno Unito, degli Stati Uniti, dell’Australia, della Nuova Zelanda e del Canada hanno emesso un comunicato, concludendo che: “le aziende tecnologiche dovrebbero includere meccanismi nella progettazione dei loro prodotti e servizi crittografati in base ai quali i governi, agendo con l’autorità legale appropriata , può accedere ai dati in formato leggibile e utilizzabile. Queste aziende dovrebbero anche integrare la sicurezza dei loro utenti nei loro progetti di sistema, consentendo loro di agire contro i contenuti illegali”. [nota 5]
L’8 ottobre 2019, il Consiglio dell’UE ha adottato le sue conclusioni sulla lotta agli abusi sessuali sui minori, affermando: “Il Consiglio esorta l’industria a garantire l’accesso legale per le forze dell’ordine e altre autorità competenti alle prove digitali, anche se crittografate o ospitate su server informatici situati all’estero, senza vietare o indebolire la crittografia e nel pieno rispetto della privacy e delle garanzie di un processo equo conformi alla legge applicabile. [nota 6]
WePROTECT Global Alliance, NCMEC e una coalizione di oltre 100 organizzazioni ed esperti per la protezione dell’infanzia provenienti da tutto il mondo hanno chiesto un’azione per garantire che le misure per aumentare la privacy, inclusa la crittografia end-to-end, non vadano a scapito di sicurezza dei bambini [nota 7] .
Conclusione
Ci impegniamo a lavorare con l’industria per sviluppare proposte ragionevoli che consentano alle aziende tecnologiche e ai governi di proteggere il pubblico e la loro privacy, difendere la sicurezza informatica e i diritti umani e supportare l’innovazione tecnologica. Sebbene questa dichiarazione si concentri sulle sfide poste dalla crittografia end-to-end, tale impegno si applica a tutta la gamma di servizi crittografati disponibili, inclusa la crittografia dei dispositivi, le applicazioni crittografate personalizzate e la crittografia su piattaforme integrate.
Ribadiamo che la protezione dei dati, il rispetto della privacy e l’importanza della crittografia man mano che la tecnologia cambia e gli standard Internet globali vengono sviluppati rimangono in prima linea nel quadro giuridico di ciascuno stato. Tuttavia, sfidiamo l’affermazione che la sicurezza pubblica non può essere protetta senza compromettere la privacy o la sicurezza informatica. Crediamo fermamente che siano possibili approcci che proteggono ciascuno di questi importanti valori e ci sforziamo di lavorare con l’industria per collaborare su soluzioni reciprocamente accettabili.
firmatari
Rt Hon Priti Patel MP, Segretario di Stato del Regno Unito per il Dipartimento dell’Interno
William P. Barr, procuratore generale degli Stati Uniti
L’onorevole Peter Dutton MP, ministro australiano degli affari interni
On. Andrew Little MP, Ministro della Giustizia, Ministro responsabile del GCSB, Ministro responsabile dell’NZSIS
L’Onorevole Bill Blair, Ministro della Pubblica Sicurezza e della Preparazione alle Emergenze
India
Giappone
11 ottobre 2020