EU Going Dark

Dalla proposta di legge “chat control” al decreto Caivano stiamo assistendo ad una stretta normativa sulle attività online, sia a livello nazionale che europeo. Non si tratta di casi isolati, ma possono essere ricondotti ad una tendenza più generale. Uno dei punti in cui forse questa tendenza si mostra nella sua forma più chiara e dettagliata sono una serie di linee guida emanate recentemente da un gruppo di consulenti anonimi alle dipendenze del Consiglio Europeo, gruppo informalmente noto con il nome di “Going Dark”.

La maggio parte dei documenti citati nel resto dell’articolo posso essere trovati a questo indirizzo, pagina web ufficiale del suddetto gruppo.

Standing Committee on Internal Security

Il “Comitato permanente per la cooperazione operativa in materia di sicurezza interna”, detto COSI, è un organo alle dipendenze del Consiglio Europeo formato da membri dei ministeri nazionali. Come da nome si occupa di facilitare, promuovere e rafforzare la cooperazione e la collaborazione tra paesi europei per quanto riguarda sicurezza interna, operazioni di polizia e protezione dei confini. Non ha potere né esecutivo né legislativo, ma riporta regolarmente al Consiglio, il quale si occupa di informare il Parlamento Europeo e i parlamenti nazionali.

Un meeting informale

Il 30 marzo 2023 il COSI si ritrova in un meeting informale, i cui risultati vengono pubblicati il 13 aprile seguente in un documento intitolato “Scoping paper for the High-Level Expert Group on access to data for effective law enforcement”.

Le loro riflessioni partono dall’osservazione che oggi ogni investigazione ha una componente digitale, e che purtroppo tecnologie e strumenti, anche quelli necessari per garantire diritti fondamentali come privacy, libertà di parola e di associazione, possono essere abusati per scopi criminali. Lo svilupparsi incontrollato di queste tecnologie rende sempre più difficile un’applicazione efficacie delle leggi, diventando una seria minaccia ai fondamenti stessi di una società democratica. Intere porzioni di società rischiano di “andare nell’ombra” creando degli spazi online di completa impunità, dove l’anonimato dei criminali viene garantito alle spese delle loro potenziali vittime.

Per poter affrontare queste problematiche viene quindi deciso di convocare una piattaforma di confronto tra stakeholders, polizia, esperti e società civile, che possa proporre raccomandazioni per i legislatori cercando di integrare il punto di vista delle forze dell’ordine in tutte le politiche rilevanti. Tutto questo in pieno accordo coi più alti livelli di data protection e giustizia, secondo il paradigma di “security by design”, ovvero combinare privacy con la possibilità di accesso ai dati.

High Level Expert Group

Sempre nel documento di convocazione del gruppo possiamo osservare l’impostazione generale.

Si parte dagli interrogativi:

  • Qual’è la situazione attuale
  • Quali problematiche occorre affrontare
  • Che soluzioni possono essere proposte

Vengono divisi tre gruppo di lavoro relativi ad altrettante tematiche:

  • Accesso ai dati sui dispositivi dell’utente
  • Accesso ai dati sui sistemi dei fornitori
  • Accesso in tempo reale ai dati in transito

E gli aspetti affrontati vengono raggruppati in:

  • Aspetti legislativi
  • Aspetti tecnologici
  • Cooperazione pubblico-privato
  • Cooperazione tra stati

Osservando la pagina del gruppo sopra linkata possiamo notare due dettagli importanti.

Il primo e più sottile la mail in calce alla pagina: EC-HLG-GOING-DARK@ec.europa.eu, da cui si può dedurre come il nome “Going Dark” venga adottato dal gruppo stesso e non sia solo una voce di corridoio dei palazzi europei o qualcosa che gli è stato assegnato dagli oppositori, come invece il caso delle proposte di legge “chat control”.

Il secondo riguarda il nome ufficiale del gruppo, che non è più un “high level expert group”, un gruppo di esperti di alto livello, ma un “high level group”, abbreviato HGL, dove il fatto la natura di esperti dei suoi membri viene completamente lasciata cadere. Il motivo di questa elisione lo possiamo intuire guardando la scaletta degli incontri.

Gli incontri dell’HGL si sono svolti dal giugno 2023 a novembre 2024, in particolare 5 plenari e 3 per ogni gruppo di lavoro, tutti questi a porte chiuse. Il contributo della società civile, ovvero degli esperti che avrebbero dovuto avere un ruolo centrale nel documento di convocazione, è stato limitato ad un singolo incontro aperto al pubblico tenuto nel febbraio 2024. Interessante notare come tutti gli incontri precedenti alla metà del 2024 abbiano pubblicato un “background document”, mentre quelli successivi solo un’agenda con la scaletta temporale.

Partecipanti

I membri dell’HLG e i partecipanti agli incontri sono anonimi, però nelle agende degli incontri si possono leggere le scalette con diversi talk di presentazione su vari argomenti, e da questi possiamo farci delle idee su chi li abbia frequentati.

Abbiamo più che comprensibilmente una grande partecipazione della Commissione Europea e varie polizie locali, molto presenti quelle belghe, e vari organi di polizia europea come Europol, Eurojust o organi anti terrorismo, molti esecutivi, in particolare belga e ungherese, di italiani abbiamo solo un Vice Questore della Polizia di Stato che presenta un talk sull’ammissibilità delle prove in un gruppo di lavoro sull’accesso in tempo reale ai dati.

Di big tech vediamo solo Microsoft, che compare due volte, ed Apple, una sola volta, nel gruppo di lavoro sull’accesso ai dati a riposo, gli altri se presenti non si sono esposti nel fare presentazioni.

Due telecom, una svedese, Telia, e una belga, Proximus, che partecipano al gruppo di lavoro sull’accesso ai dati a riposo, e la “European Telecommunications Network Operators’ Association”. Un ente statale lussemburghese per la definizione di standard metrici, ILNAS.

Dall’accademia l’unico partecipante, che compare ben due volte, è un’università cattolica belga, la KU Leuven.

42 punti

Il 15 novembre 2024 viene rilasciato un documento conclusivo contenete le linee guida prodotte dal gruppo. Si tratta di 42 punti divisi in tre sezioni:

  • Capacity building measures
  • Cooperation with Industry and Standardization
  • Legislative measures

A seconda che siano raccomandazioni rivolte alle forze di polizia stesse, alle aziende o ai legislatori, ma i temi toccati sono parzialmente sovrapposti, proviamo a discuterli nel dettaglio.

Abbiamo un filone che affronta gli aspetti tecnici, legali e logistici dello spostamento di grandi dataset, come il coordinamento inter-statale tra le forze di polizia, standardizzazione dei formati di dati e la possibilità di filtrare solo quelli relativi ad una certa indagine.

In parallelo vediamo la necessità che questi dati vengano resi disponibili dai vari fornitori di servizi, anche in tempo reale e all’occorrenza decrittandoli quando necessario. Ma questi dati devo essere anche conservati, in modo da poter essere utilizzati anche per indagini future, il tema della cosiddetta “data retention”. Ogni fornitore dovrebbe conservare dati sufficienti quantomeno affinché i suoi utenti possano essere identificati. È necessario quindi avere una legislazione che possa vincolare in modo efficacie i fornitori a collaborare, facendo una dovuta distinzione ta fornitori semplicemente non collaborativi e quelli propriamente criminali. Inoltre non ha senso che per indagare un cittadino di un certo paese per un crimine commesso in quello stesso paese si debba passare per strumenti di cooperazione internazionale solo per poter accedere ai dati conservati su un servizio localizzato altrove.

Molti di questi problemi possono essere risolti a monte se si adotta un approccio “lawful access by design” per quanto riguarda tutte le tecnologie rilevanti. Ovvero includere già in fase di progettazione di ogni tecnologia o servizio la possibilità che all’occorrenza possa fornire tutti i dati necessari alle forze dell’ordine.

Tutto questo nel pieno rispetto dei diritti fondamentali e del principio di proporzionalità e salvaguardie legali consone ad uno stato di diritto.

Obiezioni

Molte di queste conclusioni erano già visibili nei vari background documents rilasciati prima di febbraio 2024, se non nelle premesse stesse del documento di convocazione. A seguito della consultazione pubblica sono state raccolte dai rappresentati della società civile una serie di obiezioni, prontamente affrontate nel background document del meeting plenario immediatamente successivo, l’ultimo rilasciato.

I primi due temi toccati dalle critiche sono:

  1. La questione delle attuali discrepanze tra leggi nazionali, che rendono difficile se non impossibile la messa in pratica delle linee guida suggerite, ma questo era uno dei punti di partenza, e il gruppo la affronta esplicitamente suggerendo una serie di direzioni per affrontarla
  2. Il problema dei costi dell’infrastruttura per la conservazione dei dati, ma è un problema che si può risolvere facilmente proponendo degli accordi di divisione dei costi, in particolare tra fornitori e utenti

Restano altri 3 tematiche principali, la cui soluzione non è altrettanto scontata

  1. La prima riguarda le regole di proporzionalità tra i crimini perseguiti e l’invasività delle tecniche di indagine e il rischio per le salvaguardie legali garantite a certe figure professionali, come giornalisti o avvocati
  2. La seconda è un problema tecnico riguardo la possibilità di decrittare dati, gli esperti del settore sono praticamente unanimi nel sostenere che garantire canali di accesso ai dati in chiaro “over-the-top”, ovvero prima che la cifratura venga effettuata, o permettere una decrittazione selettiva, comprometta irrimediabilmente la sicurezza dei servizi stessi, introducendo falle che potranno essere sfruttate da attori ostili
  3. La terza è una domanda centrale: è davvero necessario tutto questo? Esistono prove empiriche che confermano la necessità di una maggiore visibilità sui dati?

Alla prima obiezione viene risposto che è necessario rafforzare le salvaguardie legali, per garantire che l’accesso sia sempre proporzionato e nel rispetto dei diritti. Alla seconda con la necessità di una comprensione comune della terminologia riguardo l’accesso ai dati (“Facilitation of a common understanding of terminology in the context of law enforcement access to data”). Infine per terza è necessario un’analisi esaustiva delle pratiche di law enforcement, in modo da poter ottenere le prove empiriche necessarie a giustificare questo intero processo.