Diritto alla riservatezza e reati pedopornografici digitali: rinvio della votazione sul Regolamento CSAM
di Francesca Gollin
L’Unione Europea ha posticipato il voto sulla controversa proposta di legge che obbligherebbe i servizi di messaggistica come WhatsApp, Messenger e altre, a scansionare foto e link per cercare materiale pedopornografico online (Regolamento CSAM, Child Sexual Abuse Material).
La dimensione online del fenomeno, infatti, rappresenta una sfida ulteriore rispetto alla normativa penalistica già in essere nei vari stati membri, che richiede adeguata attenzione e un’azione specifica da parte dell’UE e dei suoi Stati membri.
La direttiva ePrivacy e la proposta di regolamento CSAM
Nel quadro normativo europeo, la privacy delle comunicazioni online è tutelata dalla direttiva 2002/58/CE (c.d. direttiva ePrivacy).
In particolare, la Direttiva ePrivacy tutela la riservatezza delle comunicazioni effettuate tramite i servizi di comunicazione elettronica (cd. Crittografia end-to-end), vietando espressamente “l’ascolto, la captazione, la memorizzazione e altre forme di intercettazione o di sorveglianza sulle comunicazioni, e dei relativi dati sul traffico (senza il consenso degli utenti)”. Inoltre, durante il transito da un dispositivo ad un altro, i messaggi sono illeggibili e incomprensibili per chiunque non sia il mittente o il destinatario, con conseguente impossibilità per soggetti terzi di intercettare o accedere alle informazioni.
Tale riservatezza dei messaggi online è stata mitigata da una deroga, adottata tramite regolamento dal Consiglio, per consentire ai fornitori di servizi di comunicazione interpersonale di utilizzare tecnologie specifiche necessarie a individuare, segnalare e rimuovere il materiale pedopornografico online dai loro servizi. Nei fatti, ai fornitori di servizi di comunicazione elettronica è stato chiesto di sviluppare dei filtri automatizzati in grado di scansionare messaggi privati e posta elettronica, in deroga al divieto espresso della Direttiva ePrivacy.
*
In tale contesto legislativo, la proposta di regolamento CSAM viene avanzata dalla Commissione Europea nel maggio 2022, al fine di stabilire un quadro giuridico chiaro e armonizzato in materia di prevenzione e contrasto all’abuso sessuale sui minori online. Il Regolamento si propone di “definire norme uniformi per contrastare l’uso improprio dei servizi della società dell’informazione interessati a fini di abuso sessuale su minori online nel mercato interno”.
Tali disposizioni sarebbero dirette ad elaborare una normativa che sostituisca il regime temporaneo di deroga di talune disposizioni della direttiva ePrivacy, al fine di combattere la diffusione di materiale pedopornografico e l’adescamento di minori online.
In questi giorni si attendeva di conoscere l’approvazione da parte del Consiglio del nuovo quadro normativo, dato che la deroga sarà operativa fino al 3 agosto 2024, tuttavia tale consenso non è ancora stato raggiunto tra gli Stati membri. Invero, una scansione generalizzata e indiscriminata del contenuto delle comunicazioni private è da considerarsi, secondo la maggioranza dei deputati, eccessivamente ampia rispetto all’altro diritto fondamentale in gioco, il diritto alla vita privata.
Secondo l’Electronic Frontier Foundation, un’apertura di questo tipo “sarebbe un disastro per la privacy degli utenti, non solo in Europa, ma anche in tutto il mondo”, in quanto la scansione di messaggi e contenuti attualmente protetti dalla crittografia end-to-end, la base fondante della sicurezza delle comunicazioni online, aprirebbe a pericolose interferenze nella sfera privata degli individui, non solo degli adulti ma anche dei minori, il cui diritto alla privacy va tutelato e bilanciato al pari di altri legittimi diritti.
In questo contesto di evoluzione digitale e discussioni sul bilanciamento e le forme di tutela di molteplici diritti in gioco, tutti fondamentali, gli operatori del diritto potrebbero svolgere un ruolo chiave.
La posizione della Corte Europea dei Diritti dell’Uomo
La discussione politica non potrà infatti prescindere dalla posizione recentemente assunta dalla Corte Europea dei diritti dell’uomo, che ha ritenuto che solo il giudice, valutata la sussistenza dei presupposti, possa eventualmente disporre legittime interferenze nella sfera privata.
Di recente, infatti, nella decisione del 13 febbraio 2024, Podchasov c. Russia, la Corte di Strasburgo ha già rilevato come l’indebolimento del meccanismo di crittografia end-to-end renderebbe possibile la sorveglianza generale e indiscriminata delle comunicazioni elettroniche personali, in netto contrasto con il dettato dell’art. 8 della Convenzione, permettendo altresì alle reti criminali di sfruttarla in detrimento della sicurezza degli utenti.
Il caso
In Russia, nel 2017, Telegram venne qualificato come “Internet Communications Organiser” (ICO), con l’obbligo di conservare tutti i dati degli utenti (per un anno e il contenuto delle comunicazioni per sei mesi), trasmettendoli alle autorità statali in determinate circostanze, compresi i dati necessari a decifrare i messaggi crittografati.
In tale contesto, il Servizio federale di sicurezza russo (FSB) aveva richiesto a Telegram di fornire informazioni tecniche, come indirizzi IP e chiavi di crittografia, per decrittare le comunicazioni di alcuni utenti sospettati di attività terroristiche. Telegram si rifiutò di ottemperare a tali richieste, sostenendo che era tecnicamente impossibile farlo senza compromettere la sicurezza di tutti gli utenti, non solo dei sospettati.
In merito, la Corte ha infatti riconosciuto che la decrittazione del meccanismo end-to-end porterebbe a una sorveglianza indiscriminata, violando l’art. 8 della Convenzione e potenzialmente mettendo a rischio la sicurezza degli utenti a causa di possibili abusi da parte di reti criminali.
Conclusioni
I giudici ritengono che sia indispensabile individuare alcune soluzioni alternative alla decrittazione che al contempo non indeboliscano i meccanismi di protezione, tra cui le operazioni sotto copertura, le infiltrazioni in gruppi criminali e l’accesso ai dispositivi di comunicazione tramite, ad esempio, analisi forensi in tempo reale su dispositivi sequestrati.
Per il momento, il Consiglio ha prorogato fino al 3 aprile 2026 la deroga alla Direttiva ePrivacy, auspicando di raggiungere nel frattempo un accordo con i governi UE su un quadro giuridico definitivo per prevenire e combattere gli abusi sessuali online sui minori.
Autrice:
