Si torna a parlare di CSAM, privacy e sistemi di messaggistica

Fa discutere una proposta di legge avanzata nel Regno Unito in merito alla possibilità di ispezione preventiva delle fotografie scattate dagli utilizzatori di programmi di messaggistica alla ricerca di CSAM (Child Sexual Abuse Material – Contenuti relativi ad abusi su minori).

Alcuni mesi fa, il colosso Apple aveva ventilato l’ipotesi di confrontare automaticamente ogni immagine caricata sul servizio iCloud con gli hash (una firma elettronica atta ad attestare la corrispondenza eventuale tra due file) relativi a materiale pedopornografico già individuato dalle autorità. In questo modo, a detta dell’azienda, sarebbe stato impossibile utilizzare il servizio per lo scambio di questo tipo di materiale, innescando un alert automatico (e successivamente verificato manualmente) appena il contenuto fosse stato caricato, contribuendo auspicabilmente ad arginare il fenomeno in modo significativo.

Nonostante il fine nobile, il sospetto di molti era che Apple mirasse ad un sistema per mettersi principalmente al sicuro da eventuali contestazioni circa l’utilizzo indebito del proprio servizio. E’ stata altresì prevedibile la levata di scudi a tutela della privacy, soprattutto constatando quanto possa essere nocivo formulare con leggerezza accuse di detenzione o diffusione di materiale riconducibile a pratiche così odiose, tanto che Apple pare essere tornata sui propri passi avendo rimosso ogni accenno a questa possibilità.

Le critiche principali, e fondate, al sistema erano quelle di un funzionamento poco trasparente e di un dataset di immagini di qualità incerta e non disponibile (ovviamente) in forma pubblica, usato come fonte di confronto. Una sorta di black box quindi, che da origini incerte avrebbe potuto indicare come presunto pedofilo praticamente chiunque, con tutte le conseguenze di un eventuale errore, ritenuto oltretutto dagli esperti molto probabile sia in senso positivo sia negativo.

E’ di qualche giorno fa una proposta che potrebbe mirare a effettuare un procedimento simile non sul cloud, ma su ogni dispositivo di ciascun utente prima che questi invii qualsiasi tipo di contenuto multimediale attraverso un programma di messaggistica. I fornitori di tali applicazioni dovrebbero quindi essere, negli intenti della proposta, obbligati ad integrare tale tecnologia di scansione, che scaricherebbe l’elenco degli hash verificati su un database locale provvedendo ad un controllo preventivo prima dell’invio, bloccando sul nascere la diffusione dei contenuti.

Anche tale formulazione, sebbene animata da nobili intenti e al netto degli oneri a carico degli sviluppatori – tutti da verificare, presenta criticità non di poco conto. L’analisi in locale permetterebbe di mantenere l’attuale sistema di cifratura end-to-end dei moderni sistemi di messaggistica, ma risolve solo parzialmente il problema dell’ingerenza di un soggetto terzo nel segnalare il possesso/invio di materiale. Il processo infatti sarebbe semplicemente spostato dal cloud al dispositivo dell’utente eliminando l’accesso diretto al contenuto da parte dell’azienda fornitrice del servizio, ma obbligherebbe in ogni caso l’utente a sottostare ad un algoritmo non trasparente, senza garanzie di sorta circa la sicurezza del confronto, la destinazione e l’utilizzo degli esiti del confronto e la riservatezza dei dati trattati.

Oltre a ciò sarebbe necessario garantire con assoluta sicurezza la pulizia del dataset utilizzato per il confronto, garantirne l’inalterabilità e la verifica, nonché fornire garanzie certe sul funzionamento dell’algoritmo di confronto, sulla sicurezza dei dati analizzati e sul trattamento degli esiti del controllo effettuato.

E’ dunque auspicabile che anche tale soluzione non sia mai messa in pratica, almeno in questa prima formulazione, causando potenzialmente più danni che benefici.

Non solo infatti i limiti tecnologici suggeriscono cautela nell’utilizzo di tali tipi di meccanismi, ma soprattutto permangono le criticità potenzialmente derivanti da un abuso sui dati trattati. Oltretutto non è affatto improbabile che al fianco dei programmi di messaggistica mainstream, adeguati rispetto ad una ipotetica normativa, sorgano cloni dedicati ai malintenzionati, appositamente modificati e privati di tali meccanismi. Tali soluzioni renderebbero inutile tutto l’impianto, con il risultato di sottoporre a scansioni di dubbia utilità e con il rischio di falsi positivi solo i contenuti inoffensivi degli utilizzatori dei più comuni sistemi di messaggistica.