Per giustificare la decisione di aver obbligato un volo di linea Ryanair ad atterrare a Minsk - per poi arrestare in tal frangente il giornalista Roman Protasevich insieme alla fidanzata Sofia Sapega - la Bielorussia si è aggrappata alla minaccia di una bomba sull’aereo. E in particolare a una presunta email inviata da militanti di Hamas (il gruppo ha negato qualsiasi coinvolgimento). Ma quando alcuni ricercatori di Dossier Center hanno ottenuto e pubblicato quella che sembrava essere l’email in questione, mandata da un indirizzo del fornitore di mail cifrate Protonmail, la data di invio ha smentito Minsk. Era infatti successiva al momento in cui le autorità bielorusse avevano avvisato l’aereo della possibile bomba.

Protonmail e la Bielorussia

La parte interessante di questo dettaglio tecnico all’interno di una più ampia vicenda geopolitica è che, poco dopo, lo stesso servizio di email crittografate, Protonmail, che si trova in Svizzera, è uscito allo scoperto, decidendo di confermare quelle rivelazioni giornalistiche. Pur non potendo accedere ai contenuti dei messaggi delle sue caselle di posta, l’azienda ha potuto e voluto confermare la data e soprattutto l'ora di invio della mail, successiva alla segnalazione della bomba all’equipaggio Ryanair. “Non abbiamo visto alcuna prova credibile che quanto dichiarato dalla Bielorussia sia vero”, hanno aggiunto, dicendosi pronti a collaborare con le indagini europee (a quel punto le autorità bielorusse hanno dichiarato che le email ricevute sarebbero state due).
“A causa dell’utilizzo di Protonmail da parte di cittadini bielorussi per proteggere la loro privacy, il governo di Lukashenko ha tentato di bloccare l’accesso a Protonmail dall’estate 2020”, ha sottolineato il servizio svizzero in una nota. “Condanniamo queste azioni e anche quelle recenti legate al volo Ryanair”.

La repressione di media e strumenti di comunicazione

È una presa di posizione che ha colpito qualche osservatore, ma che non stupisce. La Bielorussia non ha solo cercato di bloccare Protonmail, ma anche testate giornalistiche indipendenti. Pochi giorni prima del dirottamento del volo Ryanair, il sito bielorusso di notizie Tut.by, che ha coperto le manifestazioni anti-regime esplose lo scorso agosto dopo le accuse di brogli elettorali, è stato bloccato, dopo un raid della polizia nei suoi uffici. A fine maggio è stato invece fermato dalla polizia e poi interrogato il direttore di un altro sito di notizie, Hrodna.life, per aver pubblicato contenuti “estremisti”. E sono almeno 27 i lavoratori dei media attualmente in prigione, condannati o in attesa di processo, secondo l’associazione bielorussa dei giornalisti.
Lo stesso Protasevich era il direttore di due canali sulla app di messaggistica Telegram che veicolavano informazioni sulle proteste antigovernative e che raccoglievano milioni di iscritti. Canali e app che sono rimasti accessibili ai cittadini malgrado la repressione statale e i blocchi di Internet.

Nexta Live, uno dei canali cofondato da Protasevich, e che pubblicava notizie e informazioni in tempo reale sulle proteste, è cresciuto da 300mila iscritti a 2 milioni nei tre giorni successivi alle elezioni di agosto. Le autorità hanno cercato di perseguire gli amministratori dei canali, mentre Telegram cambiava in corsa le sue funzionalità permettendo agli stessi di pubblicare nei gruppi in modo anonimo. “L'amministratore in incognito sarà nascosto nella lista dei membri del gruppo, e suoi messaggi nella chat verranno contrassegnati con il nome del gruppo, in modo simile ai post dei canali”, ha annunciato la app a settembre.
“Fin dall’inizio Telegram è diventata parte integrale delle proteste bielorusse (..) e la stessa app non è timida sul proprio allineamento politico”, ha scritto tempo fa l’Institute for Internet & the Just Society.

Leggi anche >>Il presidente bielorusso Lukashenko fa dirottare un aereo per arrestare un blogger dissidente: “Un atto terroristico di Stato”

Le app pro-privacy e la politica della minimizzazione dei dati

Protonmail e Telegram non sono gli unici esempi di servizi di comunicazione che hanno preso di petto regimi autoritari o chi è accusato di fare affari con gli stessi.
Signal, altra app di messaggistica cifrata, particolarmente rispettata da esperti di cybersicurezza e giornalisti, ha sparato ad alzo zero contro una nota società israeliana, Cellebrite, che vende alle polizie di vari Stati degli strumenti per l’analisi forense e l’estrazione di dati e messaggi dai telefoni (e sospettata, secondo alcune inchieste giornalistiche, di vendere anche a Stati autoritari). Signal è arrivata al punto di dichiarare di aver hackerato uno dei prodotti di questa società, tanto da indurre la stessa a inviare un aggiornamento di sicurezza ai propri clienti allo scopo di mitigare una vulnerabilità, ha riferito la testata Vice.

Threema, altra app di messaggistica cifrata che non richiede né un numero di telefono né una email, nata in Svizzera e diffusa soprattutto fra utenti tedeschi, austriaci e svizzeri, ha da poco ottenuto una vittoria legale. La Corte suprema federale elvetica ha confermato una precedente sentenza secondo la quale la società non può essere equiparata a una compagnia di telecomunicazioni, con la conseguenza di non essere obbligata a conservare una serie di dati sugli utenti. “Il tentativo delle autorità di espandere la loro sfera di influenza per ottenere accesso ad ancora più dati degli utenti è finalmente fallito”, ha dichiarato Roman Flepp, a capo della divisione vendite e marketing della app.

Una linea - quella della minimizzazione dei dati degli utenti - fieramente sostenuta anche dalla stessa Signal. Che a fine aprile, sul suo blog, scriveva di aver ricevuto un’ingiunzione da un tribunale americano che richiedeva una serie di informazioni “che ricadono in questa categoria inesistente, tra cui indirizzi degli utenti, la loro corrispondenza, il nome associato all’account”. Ma Signal non poteva fornire alcun dato, non avendolo. “È impossibile fornire dati che non hai”, ha scritto sul suo blog. A parte la data di creazione di un account e la data di quando si è connesso al servizio l’ultima volta.

Le crescenti richieste degli Stati

Malgrado questo gruppetto di società o organizzazioni pro-privacy (Signal, in particolare, è una fondazione non profit) che sembrano avere, per ragioni di business o di principio, posizioni molto nette nella difesa del diritto alla libertà di espressione e alla riservatezza, la realtà è che in questo momento gran parte delle piattaforme digitali, specie quelle più grandi, sono messe alle strette dagli Stati. Anche con richieste che limitano fortemente questi diritti.

A partire da gennaio, con il crescere delle proteste antigovernative e delle manifestazioni a favore dell’oppositore politico Alexey Navalny, la Russia ha intensificato le pressioni su Google, Twitter e Facebook. Non solo il governo ha ordinato alle piattaforme di conservare tutti i dati su utenti russi nel paese entro il primo luglio, ma ha aumentato le richieste di rimozione di contenuti giudicati illegali. E se le aziende non eseguono, rischiano delle multe oppure che venga rallentato l’accesso ai loro servizi. Anche TikTok è stata multata per non aver tolto dei post che, per il governo, incoraggiavano i giovani a partecipare a manifestazioni ritenute illegali.
Nel mentre in Nigeria il governo ha appena annunciato di voler sospendere le operazioni di Twitter nel paese (presumibilmente con dei blocchi a livello di telco e Isp, Internet service provider) perché il social ha cancellato dei tweet del presidente Buhari che minacciavano di violenza alcuni gruppi.

L'India, Twitter e WhatsApp

Ma lo scontro più duro in questo momento sta avvenendo in India, grande democrazia e soprattutto enorme mercato. A febbraio il governo ha annunciato nuove regole per piattaforme digitali e servizi di messaggistica [Information Technology (Guidelines for Intermediaries and Digital Media Ethics Code) Rules)], in vigore da fine maggio. Prevedono che le piattaforme abbiano delle persone di contatto sul territorio, e residenti in India, di fatto legalmente responsabili. Che forniscano meccanismi di verifica degli account, ad esempio attraverso il numero di telefono. Che siano pronte a eliminare contenuti ritenuti dannosi o pericolosi da uno specifico organismo governativo. Se le piattaforme non ottemperano a quanto prescritto rischiano di perdere la protezione legale per i contenuti che ospitano.

Queste regole sono arrivate subito dopo un braccio di ferro fra governo e Twitter, quando il social, non senza incertezze iniziali, aveva infine opposto resistenza a censurare una serie di account e tweet legati alle proteste contadine. Braccio di ferro recentemente culminato in una visita della polizia di Delhi agli uffici dell’azienda. In questo caso, Twitter aveva etichettato come “media manipolati” alcuni tweet di politici di primo piano del partito nazionalista BJP (al governo), dopo che anche dei fact-checker li avevano giudicati fuorvianti. Ma al governo la mossa non è piaciuta, e in risposta ha inviato dei poliziotti alle sedi locali per consegnare un avviso di indagine sulla faccenda. Lo scorso mese, l’India aveva anche chiesto a Facebook, Instagram e Twitter di eliminare contenuti che criticavano la gestione della pandemia da parte del primo ministro Narendra Modi. 

Leggi anche >>India: le proteste degli agricoltori, la chiusura di Internet e la richiesta del governo di bloccare diversi account Twitter: “Si sta uccidendo la democrazia”

La cifratura end-to-end nel mirino

Ma in gioco non c’è solo la rimozione di contenuti pubblicati sui social. Infatti, fra le richieste avanzate dalle nuove regole, ce n’è una in particolare che ha allarmato i servizi di messaggistica cifrata: ovvero che debbano identificare il primo autore di un’informazione o messaggio diffuso attraverso il loro servizio, se richiesto da un tribunale o da un ordine del governo. Ma tale meccanismo di tracciabilità è incompatibile con la cifratura end-to-end, ovvero quel tipo di cifratura in cui solo mittente e destinatario possono leggere i messaggi, implementata da Whatsapp, Signal, Telegram, e altre app e servizi. La tracciabilità richiederebbe infatti di rompere la cifratura. “Il minuto in cui costruisci un sistema che può andare indietro nel tempo e smascherare alcuni utenti che hanno inviato un certo contenuto, hai costruito un sistema che può smascherare chiunque invii qualsiasi contenuto”, ha commentato a Wired Usa il crittografo Matthew Green.
Questo spiega perché il 26 maggio Whatsapp abbia preso una iniziativa inedita, decidendo di fare causa al governo indiano su queste regole, che secondo l’app di messaggistica sarebbero incostituzionali in quanto violerebbero il diritto alla privacy dei cittadini. 

Un'escalation globale

Siamo di fronte a una escalation, scriveva Bloomberg in un articolo di qualche giorno fa, riferendosi a Russia e Bielorussia, ma anche ad altri Stati. E aggiungeva: non possiamo permettere ad autocrati di riplasmare Internet dopo la Covid. Eppure, il problema è che, come abbiamo visto in India, anche le democrazie stanno intervenendo in modo sostanziale e con conseguenze che potrebbero pesare su libertà di espressione e diritto alla privacy. La censura è la nuova crisi dei social network, e i governi stanno adottando sempre di più delle misure draconiane per impedire l’espressione di dissenso dei cittadini, ha scritto il giornalista Casey Newton, che nella sua newsletter Platformer analizza il rapporto fra politica e piattaforme. “Mentre è da tempo la norma in Paesi come la Cina o la Russia, il movimento più recentemente si è diffuso anche a governi democratici”, ha aggiunto.

La Gran Bretagna e la cifratura

La Gran Bretagna, ad esempio, sta cercando di ostacolare il progetto di Facebook di implementare la cifratura end-to-end anche in Messenger e Instagram (oltre a Whatsapp, dove, come detto, è già presente). Sul piatto c’è una proposta di legge, l’Online Safety Bill, secondo la quale le piattaforme devono dimostrare di agire in modo concreto per contrastare la diffusione di contenuti dannosi. E questo ha già destato preoccupazioni fra chi teme che possa trasformarsi in un eccesso di censura da parte dei social media, tralasciando il contenzioso su cosa debba essere definito “dannoso”. Ma in queste iniziative di contrasto ai contenuti dannosi rischia di essere inclusa anche la crittografia end-to-end. Per altro, c’è anche uno scenario alternativo e probabilmente peggiore: che il ministero dell’Interno possa emettere un ordine con cui obbligare Facebook ad assistere con una richiesta di intercettazione. In gergo, un Technical Capability Notice (TCN) che nel caso specifico assomiglierebbe a una ingiunzione con cui impedire all’azienda di applicare la cifratura end-to-end. In un simile scenario, nota Wired UK, Facebook non potrebbe neanche farlo sapere.

Le proposte dell'Unione europea

Per quanto riguarda l’Unione europea ci sono due passaggi delicati. Il primo è una proposta di regolamento per una deroga ad alcune protezioni della riservatezza delle comunicazioni previste dalla direttiva ePrivacy. La deroga servirebbe a contrastare più efficacemente gli abusi sessuali su minori. “La proposta potrebbe obbligare servizi di email e messaggistica a scansionare tutti i contenuti in cerca di possibili materiali illegali”, commenta a Valigia Blu Patrick Breyer, parlamentare europeo membro del Partito Pirata tedesco e relatore della Commissione per le libertà civili, la giustizia e gli affari interni. “Ma questi meccanismi producono molti errori, includono anche materiali legali. La Commissione non ha ancora deciso se i servizi di comunicazione cifrati end-to-end debbano essere inclusi. Se lo fossero, app come Whatsapp dovrebbero implementare delle backdoor, delle vie di accesso, nei loro client per scansionare i contenuti prima che vengano inviati. Questo sistema creerebbe di fatto una backdoor che potrebbe essere usata anche per altro o che potrebbe creare rischi per la sicurezza”.

Il secondo passaggio cruciale è il nuovo Digital Services Act (DSA), ovvero la nuova proposta di regolamento in materia di servizi digitali e responsabilità delle piattaforme, che modifica la direttiva e-Commerce, con nuove disposizioni su trasparenza e accountability per la moderazione dei contenuti.
“Il DSA non ha a che fare direttamente con la cifratura ma richiede che le piattaforme debbano mitigare i rischi sistemici. Questa definizione potrebbe portare a un attacco indiretto alla cifratura”, commenta ancora Breyer. “Inoltre la Commissione incoraggia l’uso di filtri automatici, ma questo è un rischio per la libertà di espressione perché quello che è illegale in un contesto, potrebbe essere legale in un altro (pensiamo alla foto di un attacco terroristico, che può essere interpretata come propaganda se condivisa da terroristi o diritto di cronaca se condivisa da media). I filtri non differenziano e il risultato è che eccedono nella censura”. 

Breyer ha presentato degli emendamenti al Digital Services Act per garantire una maggiore protezione dei diritti fondamentali nell’era digitale. Questi includono: la possibilità di usare servizi digitali in modo anonimo; la limitazione del tracking, cioè della raccolta di dati sulle attività online degli utenti; la salvaguardia della cifratura sicura (le autorità non dovrebbero poter limitare la cifratura end-to-end, in quanto essenziale alla sicurezza online). Inoltre il parlamentare chiede che sia solo l‘autorità giudiziaria a poter decidere sulla legalità dei contenuti; che non siano richiesti filtri preventivi; che materiali pubblicati legalmente in un paese europeo non siano cancellati solo perché in violazione delle leggi di un altro paese Ue (una richiesta che vuole evitare che leggi illiberali di certi Stati - Breyer fa l’esempio di Polonia e Ungheria - cancellino contenuti pubblicati altrove).

Automazione e censura collaterale

Come scrive Jillian York, direttrice per la libertà di espressione della Electronic Frontier Foundation, nel suo recentissimo libro Silicon Values. The Future of Free Speech under Surveillance Capitalism, tecnologie di intelligenza artificiale (machine learning) sono sempre più usate per applicare le policy delle piattaforme e quindi per decidere quali espressioni siano accettabili, assistendo o rimpiazzando i moderatori umani. Questo spostamento verso la quasi piena automazione, abbinato a un intenso controllo e a crescenti pressioni statali per eliminare contenuti ritenuti dannosi, hanno reso ancora più difficile una moderazione accurata, col risultato di incrementare la “censura collaterale”.

Tra le vittime recenti di questo processo ci sono stati molti utenti palestinesi o filo-palestinesi che hanno visti rimossi i propri post da Facebook, Instagram o Twitter, semplicemente perché magari usavano un certo hashtag o delle parole associate in automatico a “organizzazioni violente o pericolose” (un caso riportato dal Washington Post e da Slate è il nome della moschea Al-Aqsa).

Trasparenza e diritti umani come guida

“Credo che qualsiasi regolamentazione delle piattaforme debba essere in linea con il quadro normativo internazionale sui diritti umani, e questo vale soprattutto per qualsiasi restrizione dell’espressione”, commenta a Valigia Blu la stessa Jillian York. “Da parte dei governi, oltre a ciò, mi aspetterei soprattutto una richiesta di maggiore trasparenza alle piattaforme. Questo lo abbiamo visto nel Digital Services Act, e nei principi di Santa Clara sulla trasparenza e accountability in relazione alla moderazione dei contenuti”.

Leggi anche >>Per una regolamentazione delle piattaforme digitali

Questi ultimi sono alcune raccomandazioni di base evidenziate da organizzazioni ed esperti di diritti digitali per fare in modo che la moderazione di contenuti sia giusta, senza pregiudizi, proporzionale e rispettosa dei diritti degli utenti. Questi principi prevedono che le piattaforme debbano fornire innanzitutto i dati dettagliati sulle rimozioni di contenuti; debbano informare gli utenti sulla ragione precisa della rimozione, e se la segnalazione iniziale sia di tipo automatico, derivante da altri utenti, frutto di un procedimento legale o di una richiesta governativa; e infine debbano garantire la possibilità di un appello, gestito da una persona diversa rispetto alla prima decisione.

“Dall’India all’Australia fino alla Palestina, ogni giorno ci arrivano nuove storie di indignazione in merito alla rimozione di contenuti”, ha scritto ancora Casey Newton. “In alcuni casi, queste rimozioni sono state fatte su richiesta del governo. In altri, le policy delle piattaforme giocano a sfavore delle minoranze, rendendo più difficile vedere i loro post. Ma quale che sia la causa, le lamentele per la censura stanno solo diventando più forti - e il modo in cui le piattaforme risponderanno avrà enormi implicazioni nel mondo”.
Ma anche il modo in cui le democrazie daranno l’esempio.

Foto anteprima via wiredforlego sotto licenza CC BY-NC 2.0