La censura in rete sta diventando un rischio concreto, anche in Europa.
Secondo un pool di esperti intervistati da TechRadar, se la nuova legge Europea dovesse passare nella sua forma attuale, nemmeno le migliori VPN saranno più in grado di garantire la privacy e l'anonimato online.
Conosciuta come eIDAS 2.0, la famigerata proposta di legge è una revisione della precedente norma sull'identità digitale dell'UE, un processo iniziato nel 2020 e in procinto di essere finalizzato. La legge mira a due cose: cambiare il modo in cui i browser web gestiscono la sicurezza e l'autenticazione dei siti web e lanciare un'app di identificazione (EU ID Wallet) per tutti gli europei. Si tratterebbe a tutti gli effetti di una carta d'identità che servirebbe a identificare i cittadini una volta connessi alla rete.
I produttori di browser indipendenti come Mozilla insieme ai crittografi, alla comunità informatica e ai sostenitori della privacy avvertono che le disposizioni proposte nella legge metteranno in pericolo la sicurezza e la privacy dei cittadini di tutto il mondo. Ai fini di questo articolo, ci concentreremo esclusivamente sulle questioni relative all'autenticazione del browser.
L'articolo 45 incrementa la sorveglianza online
"Siamo tutti scioccati nella comunità della sicurezza. Non credo che il Parlamento europeo sapesse cosa stava facendo", ci ha detto Harry Halpin, CEO e co-fondatore di Nym Technologies. "Si tratta di roba super pericolosa, è incredibile che sia passata una norma così idiota".
Halpin è un informatico molto attivo sul tema della privacy che combatte da anni la censura dopo aver sperimentato in prima persona l'impatto dell'invasiva sorveglianza governativa. Negli ultimi 15 anni è stato inserito in una lista di sorveglianza per il suo passato coinvolgimento con gruppi di attivisti impegnati nella lotta contro il cambiamento climatico. Lo scorso novembre ha lanciato NymVPN per offrire un anonimato online migliore rispetto alle soluzioni esistenti. Ora, tutti i suoi sforzi potrebbero essere resi obsoleti dalle nuove norme UE.
Facciamo però un passo indietro per capire qual è il vero problema. Come accennato in precedenza, la Commissione europea sta cercando di cambiare il modo in cui i browser web gestiscono le autenticazioni dei siti web, in un modo che Halpin ha definito "un approccio folle".
Ma nel concreto, cosa comporterebbe una norma simile?
Probabilmente avrete visto il piccolo lucchetto che si trova sul lato sinistro dell'URL dei siti web nella barra di ricerca del browser (vedi immagine sopra). Ciò indica che il sito web a cui state per accedere è protetto da una connessione HTTPS, ovvero la connessione tra il browser e il server che fornisce il servizio è crittografata.
Facendo clic sul lucchetto, è possibile leggere i dettagli di chi ha rilasciato il cosiddetto certificato radice, approvando la sicurezza della connessione. È questa l'entità che garantisce che il sito web sia esattamente ciò che dichiara di essere.
Ciò che l'eIDAS vuole cambiare, sollevando molte preoccupazioni all'interno del settore, è il modo in cui vengono gestiti questi certificati. Come ha spiegato Carmela Troncoso, ingegnere informatico e docente all'EPFL, la legge darà agli Stati dell'UE il diritto di emettere queste prove di fiducia che i browser web dovranno accettare come veritiere. Ai fornitori di browser sarà inoltre impedito di rimuovere questi certificati (come avviene attualmente) anche nei casi in cui notino attività dannose, a meno che lo Stato membro non lo consenta.
"La legge cambia l'equilibrio di potere spostando questi controlli di sicurezza sugli Stati membri. Riteniamo che questo sia estremamente pericoloso", ci ha detto Troncoso. "È in gioco la sicurezza dell'intero Internet, perché non si tratta della sicurezza di due pagine, ma dell'intero sistema".
Abbreviazione di virtual private network (rete privata virtuale), la VPN è un software per la sicurezza che, oltre a modificare il vostro indirizzo IP per renderlo irriconoscibile, cripta le connessioni Internet. In parole povere, cripta tutti i dati in transito e reindirizza la connessione attraverso uno dei suoi server internazionali. È ampiamente utilizzata per aggirare le restrizioni geografiche online e migliorare la privacy durante la navigazione in rete.
Ciò significa che i governi saranno in grado di intercettare tutto il nostro traffico Internet. "Un regime di sorveglianza peggiore di quello che hanno Cina e Russia", ha detto Halpin. "Non credo che qualcuno sano di mente lo accetterebbe".
E, cosa ancora peggiore, sostiene che nemmeno l'applicazione VPN più sicura sarà in grado di impedirlo.
Questo perché il governo agirà come uomo di mezzo tra la nostra macchina e il sito web, "nel mezzo della nostra connessione", come ha detto Halpin.
"La VPN è a un livello inferiore: difende la connessione di rete, ma poi c'è anche il sito web o l'applicazione che gira sopra la rete", ha detto. "Non importa se sto usando una VPN, perché il governo può intercettare il traffico a livello di browser web. Possono intercettare legalmente tutto il traffico attraverso il browser web, anche se è criptato, e non vogliono che voi o Google lo sappiate".
Allo stesso tempo, però, Halpin ritiene che una VPN possa ancora offrire alcuni vantaggi, in teoria. Ad esempio, si potrebbe falsificare la posizione del proprio indirizzo IP per fingere di non essere in Europa e scaricare un browser più privato e sicuro. "È relativamente assurdo, ma potrebbe accadere", ha detto.
Cosa ci aspetta in futuro?
Sebbene la Commissione europea abbia respinto tali preoccupazioni in materia di sicurezza, al momento in cui scriviamo ha accettato solo un testo provvisorio.
Ecco perché il team del browser norvegese Opera si sente più ottimista. Nonostante sia d'accordo con l'industria in generale sul fatto che nella sua forma attuale la legge non migliorerà la sicurezza del web, il vicepresidente del settore IT e sicurezza Christian Zubel ci ha detto: "Credo davvero che domani potremmo svegliarci e vedere una versione diversa [del testo]".
Tuttavia, gli esperti si aspettano che l'accordo finale venga rivelato entro la fine di marzo, poiché il Parlamento sta spingendo per chiudere tutti i processi legislativi aperti prima delle prossime elezioni europee previste per giugno.
Ciò che è certo è che l'articolo 45 della revisione dell'eIDAS non apre la strada solo a una maggiore sorveglianza. Anche il rischio che la censura online possa aumentare è alto, così come i potenziali attacchi informatici. "Dal punto di vista della sicurezza informatica, l'Europa diventerebbec un posto pericoloso per fare qualsiasi cosa su Internet", ci ha detto Halpin.
Vale la pena notare, tuttavia, che i legislatori sembrano aver ascoltato il grido dell'industria, almeno in parte. Non hanno infatti modificato la disposizione in sé, ma hanno aggiunto una clausola che dovrebbe chiarire le ambiguità e lasciare ai fornitori di browser una maggiore libertà nel garantire la sicurezza del web. Nonostante questo sia un buon inizio, resta da vedere quanto valore avrà alla fine dal punto di vista legale.
