Negli ultimi anni l’attenzione politica si è ampliata al di fuori dei confini nazionali dei diversi stati. Dall’oramai superata pandemia causata dal COVID-19 e la (ri)nascita dei diversi conflitti nelle diverse parti del mondo hanno ampliato l’informazione pubblica portando sul tavolo le dichiarazioni e decisioni a livello sovranazionale.

L’Unione Europea ha ricevuto molta copertura mediatica negli ultimi anni si pensi all’AI ACT e tutte le discussioni portate sul tema intelligenza artificiale ed il GDPR nell’ambito della protezione dei dati. Al di fuori delle misure designate all’industria digitale è stata molta sentita l’iniziativa ReArm Europe [1] sia tra i favorevoli che tra gli oppositori a tale progetto.

Questo scenario non può che essere considerato estremamente positivo dove le diverse discussioni vengono messe su un piano multigiurisdizionale su decisioni che altresi, se affrontati autonomamente dai singoli stati, risulterebbero complesse e poco aderenti ad un percorso comune.

Questo articolo vuole affrontare principalmente 2 prese di posizione della Commissione Europea (con una digressione iniziale in ambito Italia) andando a discuterne nel merito. L’intero contenuto si attiene (per quanto possibile) al principio di carità senza voler assumere una sorta di malizia nelle istituzioni che verranno citate.

Tutte le situazioni proposte verranno discusse in quanto rischio (e se attuate, minaccia) al diritto della privacy e al (pseudo)anonimato in ambito digitale e di come è stato gestito il contrapeso in relazione alla sicurezza o tutela di determinate categorie.

Ricordiamo che la privacy è considerato un diritto fondamentale nell’articolo 12 della Dichiarazione Universale dei Diritti Umani [2] e articolo 17 Patto Internazionale sui Diritti Civili e Politici (1966)[3] e ci si aspetta che tale diritto venga tutelato da parte di quei paesi (Italia ed Europa inclusi) che fanno della democrazia il loro perno politico.

Ovviamente sta al singolo decidere che valore dare a tale diritto ma quando una istituzione forza in maniera unilaterale misure che mettono a rischio il rispetto di quest’ultimo è come minimo necessario portare l’attenzione sul tema.

AGCOM – L’erotismo non ha identità

L’ AgCom ha rilasciato, nella giornata del 18 Aprile 2025, un comunicato stampa riguardante le linee guide sulla verifica dell’età degli utenti di “piattaforme di video sharing e i siti web” [4] alla quale i fornitori si dovranno adeguare entro 6 mesi dalla pubblicazione della delibera. Attenendoci alle dichiarazioni pubblicate il sistema di verifica dell’età si baserà su 2 passaggi “logicamente distinti” con 3 attori principali : utente, fornitori di servizi e un terzo ente indipendente.

L’utente dovrà identificarsi all’ente terzo che validerà la sua data di nascita (eg:/ definire se utente minorenne o meno) dopodichè per poter iniziare una sessione sul servizio il fornitore dovrà richiedere una convalida da parte del terzo ente.

Non vengono citati nessuno di questi “soggetti terzi indipendenti certificati” ne tantomeno come viene costituito il processo di verifica ma solamente i criteri che verranno presi in considerazione tra i quali:

• Proporzionalità
• Protezione dei dati personali
• Sicurezza Informatica
• Precisione ed Efficacia

Tale processo viene descritto da AGCOM come meccanismo di “doppio-anonimato” ma ci permettiamo di definire tale affermazione come molto fuorviante. Se il terzo ente deve avere la mia identità di base l’anonimato viene meno nonostante il fornitore di servizi non abbia conoscenza diretta se non l’età dell’utente. A voler essere piu’ precisi, il processo di convalida è il contrario di un meccanismo di “doppio-anonimato” che va anzi ad aggiungere artefatti per il tracciamento degli utenti. tale principio deve essere cristallino e spiegato agli utenti (la quale AGCOM si impegna a tutelare) senza mezzi termini.

Ad essere pignoli non è stata neanche data una definizione di cosa si ritenga un rischio o un pericolo per il minore (ci si è limitati all’equazione visione di contenuti pornografici = danno), si potrebbe facilmente argomentare che una modella postando foto in lingerie linkando il suo profilo OnlyFans nella descrizione sia piu’ dannoso per individui minorenni di un video con atti sessuali reperibile su PornHub.

Nonostante la scadenza relativamente breve entro la quale i fornitori di servizi dovranno adeguarsi per poter operare nei confini italiani non è ancora chiaro come dovrà avvenire la identificazione degli utenti (eg:/ SPID, foto carta identità). Questa non chiarezza lascia abbastanza perplessi vista una consultazione pubblica a riguardo iniziata nel 2024 [5] ma si può presuporre che si tratti di una lacuna comunicativa sul comunicato attuale e che dovremo aspettare la pubblicazione della delibera per maggiori informazioni a riguardo.

Come oramai risaputo queste linee guida hanno uno scopo preciso ovvero “garantire una protezione efficace dei minori dai pericoli del web”, non a caso ciò è un’estensione della legge 159 del 13 novembre 2023 (“Decreto Caivano”) a realtà come siti di scommesse e gioco d’azzardo ponendo i fornitori stessi come responsabili della verifica dell’età della loro utenza.

Nessuno vuole (e deve) affermare che visione di materiale pornografico non sia un rischio (ovviamente con il giusto grado di gravità) in particolare per utenti minorenni. Sono diversi gli studi sul tema quali Problematic Pornography Use: Legal and Health Policy Considerations [6] che va ad analizzare come la visione di pornografia online sia terreno fertile per lo sviluppo della PPU (Problematic Pornography Use) e di come non importi quanto materiale venga visionato ma in quale condizione dello sviluppo cerebrale avviene e in che modalità. Lo studio intitolato Pornography Consumption and Cognitive-Affective Distress ha ricercato le diverse distorsioni causate da un uso eccessivo di materiale pornografico portando a diversi problemi relazionali e la creazione di disfunzioni mentali future.

Proprio perchè siamo ben consci del rischio possiamo permetterci di affermare che tale linee guida non sono per nulla efficaci al problema che si vuole risolvere. La facilità di raggiramento a questo tipo di misure è oramai una ovvietà che è però presente e non va ignorata, per considerare “efficace” una misura deve come minimo essere robusta ai diversi strumenti di raggiro. In caso contrario si ottiene solo una soluzione non al passo coi tempi portando ad un nulla di fatto se non spreco di tempo e risorse alle istituzioni pubbliche.

Ma escludendo questa sfumatura dal discorso assumiamo che l’idea di AGCOM riesca nel suo intento, il risultato non sarebbe una percentuale inferiore di minorenni che usufruiscono di materiale a luci rosse ma bensi l’allontanamento di questo tipo di utenti da canali “leciti” che offrono questo tipo di materiale. Piattaforme come PornHub, XVIDEOS, YouPorn e similari sono stati messi immediatamento sotto i riflettori non appena annunciata la verifica dell’età. Ricordiamoci che tali siti hanno dei controlli e codici di condotta nella pubblicazioni di contenuti andando a punire e segnalare potenziali divulgazioni illecite.

Queste piattaforme (con oramai milioni di utenti annuali) cercano di limitare revenge porn o divulgazione non consensuale mantenendo un ambiente sex positive e principalmente ludico per i suoi utenti dove, nonostante l’enorme varietà di contenuti, non sarà mai terreno fertile per contenuti di violenza, abusi o similari.

Esistono realtà molto piu’ pericolose (alla quale bisognerebbe dare la priorità) che non hanno l’interesse ad adeguarsi a qualsivoglia normativa o bypassandole sfruttando piattaforme di per se neutre (vedasi Telegram). Parliamo di canali/gruppi che si possono trovare tranquillamente su Telegram, siti alternativi con meno restrizioni sui contenuti caricati o qualsiasi altro luogo che incentiva lo scambio di materiale tra utenti. Questi ambienti vanno contrastati non solamente con norme e regole ma con vere e proprie operazioni sul campo che devono essere continue e supportate dalle giuste risorse. Andare a forzare l’accesso tramite verifica dell’età nei modi proposti da AGCOM rischiano di far avvvenire uno shift pesante di minori su piattaforme con meno controllo sui contenuti. Inoltre materiale “estremo” o meno può essere facilmente reperibile su Google Images [7], la soluzione sarebbe richiedere verifica dell’età per determinate query su un motore di ricerca? X/Twitter permette tranquillamente foto e video di nudo, anche questa piattaforma deve essere soggetta a tale misura?

In un mondo ideale nessuno vorrebbe che dei minori (in particolare con età

Senza l’ausilio di mezzi termini, dobbiamo accettare che se un minore vuole accedere a contenuti pornografici lo farà a discapito delle barriere imposte. Allo stesso modo bisogna capire che la pornografia offerta come esperienza ludica può essere sicuramente origine di diversi problemi sulla persona ma i danni sono estremamente minori di altri metodi di condivisione di materiale.

Il rischio di avere un aumento di pubblico in ambienti dove il revenge porn è sdoganato, lo scambio di materiale tra diversi utenti incensurato e un controllo assente di questo tipo di contenuti è relativamente maggiore di un uso svogliato sui siti porno tradizionali e questa misura porterà solamente a una maggiore frequentazione di aree molto opache. Non solo non è una misura efficace come pianificato dall’AGCOM ma potrebbe persino peggiorare la situazione avendo meno monitoraggio, e quindi meno controllo, sul fenomeno.

Avendo questa base possiamo proseguire con il prossimo punto ovvero sulla proporzionalità. Fino a che punto possiamo modificare libertà altrui per la tutela di un sottoinsieme di utenti online?

Il solo porre questa domanda può far sembrare una persona come insensibile agli occhi altrui quando in realtà è segno di pragmaticità unito al bilanciamento di costi-benefici. È necessario analizzare il problema in maniera fredda senza scadere in un semplice “ed i bambini?” creando una “plot armor” senza una vera e propria argomentazione.

In primo luogo si può facilmente risalire a diversi tentativi della politica nel portare misure simili anche al di fuori di siti pornografici o di gambling (ne abbiamo discusso in un articolo precedente [8]) mettendo a dura prova il principio di carità con la quale abbiamo iniziato l’articolo. Le motivazioni portate sono tra le piu’ varie ma si ricade sempre nella tutela dei minori o nel contrasto all’abuso dell’anonimato da parte di persone che performano hate speech su diversi canali social.

Qualsivoglia stato proponga questo tipo di regolamentazione crea un precedente che minaccia il libero uso di internet ampliando la possibilità di schedare e monitorare anche alle istituzioni governative rendendole di fatto parte all’interno del threat model di chi decide di valorizzare il proprio diritto alla privacy e/o anonimato. Uno stato Europeo dovrebbe tutelare tale diritto e non esserne nemico. Togliere anche solo parte di questo diritto non risolverà il problema dell’hate speech o del razzismo ma diminuirà l’accesso libero a determinati individui di interagire con parte della rete.

Tornando alla pornografia il discorso non si discosta di molto e non dobbiamo trovare una situazione nella quale qualcuno non vuole far sapere ad un ente terzo la sua frequentazione piu o meno assidua di siti per adulti, se un individuo vuole visitare determinati siti senza farlo sapere a qualche ente o persona questa sua volontà deve essere rispettata.

Per essere il piu’ schietti possibile il rispetto di questa volontà non può essere di fatto denigrata per negligenza da parte di chi dovrebbe davvero tutelare i minori. Non dimentichiamoci che la responsabilità diretta nel tutelare i minorenni a contenuti non adatti a loro (eg:/ pornografia e gioco d’azzardo) è del loro genitore/tutore. Se davvero il problema sta nella frequentazione continua di tali contenuti da parte di minorenni dobbiamo chiederci come sia possibile un’utilizzo incontrollato dell’internet.

Togliendo persone con un’età avanzata (>60 anni) oramai chiunque è a conoscenza della facilità nel reperire qualsivoglia video o immagine con un semplice motore di ricerca. Ma allo stesso tempo è anche oramai vero che tutti i dispositivi possono essere facilmente configurati per implementare misure di parental control che possono prevenire la visione di determinati contenuti (o al piu’ notificare il genitore contenuti inappropiati visionati sul dispositivo del figlio).

Alla luce dell’ovvio, perchè sembra un’oltraggio dare la giusta responsabilità a chi responsabile non lo è? In aggiunta, perchè mai la non adeguata preparazione (o totale/parziale disinteresse) da parte dei tutori dovrebbe risolversi con una misura come quella proposta da AGCOM?

Non c’è nessuna proporzionalità in questo. Uno stato non dovrebbe aderire alle responsabilità di un tutore andando a limitare libertà di tutti indiscriminatamente, specialmente se si tratta di privacy/anonimato in ambito internet. Il semplice fatto che sia necessario un documento di identità per poter accedere a qualsivoglia risorsa online è una limitazione (per chi non lo ha, non vuole cederlo o li viene rimossa la possibilità i accedere secondo le regole imposte da AGCOM) e come tale va ponderata con estrema attenzione e, sopratutto, adeguatamente giustificata prima di attuarla.

Come gia detto ad inizio sezione, si è consci dei rischi sull’utilizzo della pornografia dei minorenni e proprio alla luce di questo si richiede che vengano trovate soluzioni veramente efficaci andando a studiare il problema in maniera analitica sul perchè e sul come tali contenuti sono cosi liberamente accessibili ai piu’ giovani. Proprio per questo si dovrebbe chiedere di responsabilizzare i genitori in maniera adeguata e in caso di spiegarli come attuare in maniera pratica la tutela che viene richiesta per questo tipo di utenti.

È una soluzione “efficace” al 100%? Assolutamente no. È meglio delle misure che vanno a limitare diritti altrui? Lasciamo al lettore la risposta.

Lascia molto perplessi il tipo di comunicazione su questo tipo di regolamentazioni. Vengono vendute come la soluzione finale per la risoluzione di problemi che possono essere risolti in maniera (al piu’) sommaria con il solo appoggio della creazione di leggi. In parallelo si sta cercando di (ri)sdoganare l’argomentazione “se non hai nulla da nascondere non dovresti preoccuparti” (già adeguatamente analizzata in un articolo precedente [9]).

Tornando sul tecnico ci sono diversi aspetti della comunicazione AGCOM che dovrebbero come minimo essere chiariti se (proprio) si vuole attuare un meccanismo di age verification come quello proposto.

1. Non sono stati spiegati i processi e/o criteri per definire un ente terzo “certificato” e quindi valido per la verifica dell’età. Bisogna che vengano spiegati ai consumatori diversi aspetti quali la durata della retenzione dei dati (ed esattamente quali).
2. Il meccanismo “doppio-anonimato” è spiegato in maniera accettabile ma non è ben chiaro se un’istituzione o organo governativo può in qualunque maniera accertare se un determinato individuo ha ceduto la sua identità ad un “terzo ente certificato”.
3. Come verrà giudicata sufficente la sicurezza informatica di un “terzo ente certificato”? Sono previsti degli assesment (se si quali) da parte di enti nazionali (eg:/ ACN, AGCOM) o basterà la certificazione da aziende private? Inoltre tale requisito verrà controllato ad inervalli regolari o solamente prima di ricevere la “certificazione”. Data la natura dei dati si ritiene consono una spiegazione approfondita sul tema.
4. Perchè non è stato considerato un sistema di Age Verification direttamente sul device e come una misura che prevede di cedere la propria identità digitale a terzi sia stata considerata piu’ valida rispetto alle alternative.
5. Per verificare la pluralità di opinioni all’interno del processo di decisione, iniziato oramai nel 2024, ci si auspica di sapere quali sono stati i 13 soggetti che hanno partecipato alla consultazione pubblica.

Prima di lasciare questa sezione “calda” ci teniamo a precisare che nessuno vuole condannare i genitori/tutori di minori che sono entrati in contatto con materiale pornografico online, tutt’altro. Avere tale ruolo in un mondo digitalizzato ha le sue sfide che non vanno sottovalutate ma allo stesso tempo non vanno delegate ad altri soggetti. Purtroppo ricadere nei soliti luogi comuni senza avere un approccio proattivo che tenda almeno a mitigare o rendere difficile specifici comportamenti (sia subiti che attuati) su internet (eg:/ visione di materiale pornografico, hate speech, bullismo) risulta essere la maniera piu’ facile ma non piu’ efficace. È comprensibile come parte dell’utenza online trovi plausibile una misura simile ma chiediamo a questi ultimi di informarsi quali ripercussioni tali misure possano avere ad un livello piu’ ampio.

Non avendo una preparazione adeguata, siamo aperti ad ospitare (in qualsiasi forma) esperti nel settore che possano proporre diverse misure del problema e soprattutto di darli la giusta magnitudo senza destare un panico ingiustificato e che non limitino diritti fondamentali sulla quale si basa il sistema sociale della quale facciamo parte.

ProtectEU – Non esistono backdoor buone, non esistono backdoor cattive

Dopo questo breve zoom sul bel paese possiamo spostarci a livello macro, cosa succede in Unione Europea? Come detto in precedenza si è spesso parlato di GDPR ed AI Act cercando di regolamentare diverse realtà in ambito digitale a protezione dei cittadini di questa enorme comunità (e mercato economico). Come detto nell’introduzione, buona parte dell’attenzione dei cittadini appartenenti ai 27 membri dell’EU è stato il progetto ReArm Europe (o Readiness 2030), un progetto che mira ad aumentare la spesa militare dell’unione motivata principalmente dal conflitto Russo-Ucraino che compie oramai piu’ di 3 anni.

Al di fuori delle minacce esterne l”EU sta sviluppando diverse misure per la protezione interna da diverse realtà criminali di rilevanza secondo l’EU.
fonte European Commission
Dopo diverse istanze e discussioni parlamentari, la commissione europea ha annunciato una road-map ad hoc per aumentare la protezione, mitigazione e contrasto di minacce interne su diversi livelli. tale progetto è stato denominato “ProtectEU – the European Internal Security Strategy” [10] con la sua prima apparizione pubblica tramite un documento pubblicato il 1 Aprile 2025.

Dopo aver letto il documento, le FAQ allegate [11] e le dichiarazioni di Henna Virkkunen (Executive Vice-President for Tech Sovereignty, Security and Democracy) sul tema [12] abbiamo diverse perplessità da mostrare al nostro pubblico riguardo alla crittografia e accesso da parte delle forze dell’ordine ad informazioni cifrate.

Iniziamo con il cosa ha destato perplessità nello specifico. All’interno del documento (fonte 10) abbiamo diverse affermazioni sugli obbiettivi a riguardo tra cui:

1. […] The Commission will present in the first half of 2025 a roadmap setting out the legal and practical measures it proposes to take to ensure lawful and effective access to data. In the follow-up to this Roadmap, the Commission will prioritise an assessment of the impact of data retention rules at EU level and the preparation of a Technology Roadmap on encryption, to identify and assess technological solutions that would enable law enforcement authorities to access encrypted data in a lawful manner, safeguarding cybersecurity and fundamental rights.
2. present a Technology Roadmap on encryption to identify and assess technological solutions to enable lawful access to data by law enforcement authorities in 2026.
3. Around 85% of criminal investigations now rely on law enforcement authorities’ ability to access digital information.

Il messaggio è abbastanza chiaro, l’EU vuole attuare de-facto una backdoor alle diverse tecnologie che offrono canali crittografici ai loro utenti con una promessa di mantenere integra la sicurezza dei cittadini. Per iniziare partiamo dal punto 3 della lista soprastante riguardo a quel 85% citato anche dalla stessa Henna Virkkunen. Non è stato ben chiarito come si è arrivato a tale percentuale ma la fonte citata nel documento riporta ad un ulteriore documento (2019) intitolato “Recommendation for a COUNCIL DECISION authorising the opening of negotiations in view of an agreement between the European Union and the United States of America on cross-border access to electronic evidence for judicial cooperation in criminal matters” [13] dove viene semplicemente presentato il dato ma con un ulteriore dettaglio.

More than half of all criminal investigations today require access to cross-border electronic evidence. Electronic evidence is needed in around 85% of criminal investigations, and in two-thirds of these investigations there is a need to obtain evidence from online service providers based in another jurisdiction.

Facendo breve ricerche si può trovare un “Working Document” datato 2018 sempre riguardo le evidenze digitali, il dato si basa sulle richieste di accesso a stati non EU, questo rende l’affermazione “[…] 85% delle investigazioni richiede accesso alle evidenze digitali” molto fuorviante e poco “onesto” da parte di una istituzione come la commisione europea. Piu’ nel dettaglio riguarda specificamente richieste di tipo giudiziaro (“judicial”) dove il 25% sono effettivamente richieste negate ed il 45% di una mancanza di conferma in maniera tempestiva.

Non si tratta di semplice pignoleria ma di una richiesta di offrire le informazioni in maniera corretta al fine di evitare di “forzare” i dati per giustificare qualsivoglia misura. Nello stesso documento si evince l’85% delle investigazoni che necessitano (in maniera rilevante) accesso a evidenze digitali ma solamente di investigazioni cross-border (fuori dai confini) dove nel 65% dei casi è necessario di una richiesta ad accesso ai dati.

È quindi inspiegabile delle dichiarazioni di Henna Virkkunen e chi ha redatto le FAQ riguardo ProtectEU.

Inoltre tali numeri sono inflazionati da 3 stati dell’EU che formano il 75% delle richieste totali : UK, Francia e Germania. In aggiunta il 70% delle richieste totali sono state inviate a Google e Meta (all’epoca Facebook).

Nel documento citato si possono trovare le diverse tabelle per ogni stato in maniera tale da potersi fare un’idea dei numeri “crudi”, l’unica pecca è che non sono diversificate le richieste all’interno ed all’esterno dei confini EU o degli stati singoli. Inoltre bisognerebbe approfondire come sono state svolte le richieste e/o se erano presenti adeguate prove a motivare l’accesso ai dati ma anche assumendo tali richieste siano 100% motivate le affermazioni rimangono fuorvianti.

Al di là delle dichiarazioni e delle diverse percentuali mostrate cerchiam di ragionare sul fulcro del discorso: accesso da parte delle forze dell’ordine a dati cifrati. Che esse siano comunicazioni, backup di dati o metadati (molto sottovalutati, non tutti hanno chiaro il concetto del “We kill based on metadata” [14]) l’EU sta programmando di dare accesso in chiaro tenendo conto degli aspetti legislativi e di sicurezza.

La base delle diverse argomentazioni contro tale misura si basano fondamentalmene su 2 precisi aspetti :

• Backdoored encryption is NOT Encryption = La base della crittografia è mantenere l’accesso delle informazioni solamente a 1 o piu’ parti by design. Se un terzo attore ha la capacità di poter rompere la segretezza delle informazioni volutamente protette non si sta piu’ parlando di crittografia.
• Una backdoor è semplicemente una backdoor = In qualunque maniera venga presentata la aggiunta di una backdoor non cambia la natura dello strumento : accesso libero senza la necessità di informare il proprietario dei dati. Non si tratta solamente dell’oramai inflazionato “uno strumento viene definito dal suo uso” ma di una aggiunta di un canale che mette a rischio la sicurezza degli utenti. A quanto pare abbiamo ancora molto da imparare dal breach dei sistemi CALEA degli US da parte di APT cinesi [15]. Per proteggersi dalle minacce bisogna comprendere che creare delle finestre di accesso come queste aumenta il rischio e non il contrario.

L’EU deve assolutamente confrontarsi con la community della sicurezza informatica in Europa per poter comprendere fino in fondo perchè tale misura non è una buona idea. La crittografia non è negoziabile, 39 organizzazioni e 43 esperti hanno pubblicato una lettera aperta alla Commissione Europea a riguardo [16] e ci auguriamo che venga ascoltati adeguatamente se davvero si vuole valutare la sicurezza dei cittadini.

Assumendo il principio di carità anche in questo caso, i governi cambiano e con loro anche l’utilizzo dei diversi strumenti presenti in precedenza. Come la Russia è cambiata[17], come l’USA sta cambiando [18][19] anche l’Europa può cambiare e non possiamo permettere che in tali scenari un qualsasi governo o corpo politico abbia la possibilità di rompere la crittografia dei cittadini. Dobbiamo porre molta attenzione alle cattive intenzioni ma ancora di piu’ a chi a tali misure presentate con le migliori intenzioni.

Ovviamente la domanda (lecita) piu’ comune sarà : quale è l’alternativa per contrastare chi effetua crimini con il supporto della crittografia?

Per rispondere, nei limiti delle nostre conoscenze, è importante sottolineare come non esistano silver bullets (no, neanche una backdoor governativa può fermare diversi abusi perpetuati online), ciò richiede implicitamente sforzi combinati tra diverse specializzazioni ed un potenziamento delle forze dell’ordine sotto diversi aspetti (fortunatamente, ProtectEU prevede il potenziamento dell’Europol).

• Studio e monitoraggio dei metadati = Con le giuste capacità e raccolta di questo tipo di informazioni è possibile tracciare l’origine di diversi abusi senza la necessità di rompere la crittografia.
• E2E User Reporting = Sono diversi gli studi che esplorano diversi strumenti che possono essere utili nel reportare utenti fraudolenti in ambienti End2End Encrypted. Tra questi il paper CDT intitolato “Approaches to Content Moderation in End-to-End Encrypted Systems” [20] offre diverse possibilità pratiche a riguardo. Ciò che è necessario è (1) creare uno schema legislativo adatto per far si che i provider e le forze dell’ordine riescano ad investigare partendo dai report degli utenti e (2) trovare misure per incentivare gli utenti a reportare quando necessario.
• Fully Homomorphic Encryption [21][22] = Questo tipo di crittografia permette di eseguire analisi di dati criptati senza la necessità di avere accesso al plaintext. Una tecnologia a tratti sorprendente ma che non ha ricevuto la giusta attenzione dai policy maker. Bisogna supportare la ricerca a riguardo e spingere i diversi service provider e forze dell’ordine ad adottare questo tipo di crittografia.

Ovviamente le proposte di cui sopra (che non sono le uniche ne tantomeno le migliori) richiedono risorse e training da parte di tutti gli attori coinvolti e si potrebbe contro argomentare che una backdoor “legale” sia piu’ ecnomica e “facile” da usare. A questo non c’è una soluzione e l’unica cosa che si può controbattere è che la sicurezza, la privacy e la libertà hanno un costo che deve essere preso a carico (senza scorciatoie) dalle istituzioni che devono tutelare tutti e 3 questi aspetti della società.

Per chi avesse sufficente conoscenza delle scelte in ambito EU sul tema crittografia si ricorderà sicuramente la proposta di legge etichettata come “Chat Control”[23] che dava non solo accesso a comunicazioni cifrate ma permetteva la scansione di queste. La motivazione principale portata sul tavolo della commissione era la protezione dei minori online aumentando la capacità di individuare materiale pedopornografico. Molte realtà responsabili per la tutela della privacy hanno espresso la loro forte opposizione alla proposta [24][25] (a onor del vero anche un numero non indifferente di parlamentari EU hanno fatto lo stesso [26]), alla fine la proposta non ha ricevuto la maggioranza risultando in un nulla di fatto.

Questa specifica parte di ProtectEU è sostanzialmente la stessa proposta ma con un vestito diverso portando l’attenzione sul crimine piuttosto che su prevenzione di divulgazione di materiale CSAM. Tale comportamento mette a dura prova il principio di carità con la quale abbiamo introdotto l’articolo, le contro-argomentazioni a Chat Control non differiscono di molto su quelle di ProtectEU ed è quindi difficile capire come mai un’istituzione di alto livello possa ricadere nello stesso errore due volte.

La Commissione Europea sta continuando a tentare di ottenere accesso a dati crittografati nonostante le diverse discussione avute sul tema, in futuro non ci sarà da stupirsi di un ennesimo tentativo nel rompere la crittografia all’interno del territorio EU.

EU CryptoBan – Le sfide si devono affrontare, non nascondere

Rimaniamo sempre in ambito EU ma questa volta lasciamo la crittografia E2E da parte e facciamo entrare nella discussione le critpovalute, in particolare quelle fortemente orientate all’anonimato come ZCash e, il piu’ conosciuto, Monero. Tale decisione ha origine dal regolamento 2024/1624 [26].

L’EU ha deciso che dal 1 Luglio 2027 [27] verrà redatto un regolamento Anti-Riciclaggio in ambito Europeo (Anti-Money Laundering Regulation) dove tra i punti focali abbiamo :

1. Richiesta di processi (full) KYC per ogni singolo utente presente su una piattaforma crypto e per transazioni superiori a €1000.
2. Creazione di una nuova autorità AMLA (Anti-Money Laundering Authority) responsabile per il mantenimento e rispetto di tale regolamento (già 40 servizi crypto sono stati riconosciuti dall’UE che dovranno adattarsi a tale regolamento).
3. Ban di tutte le criptovalute che offrono anonimato alle transazioni degli utenti che dovranno essere delistate da tutti i provider.

A discapito degli altri punti, in questa sede ci focalizzeremo sul punto (3). Ovviamente il problema che si vuole cercare di affrontare è quello dei mercati illeciti (eg:/ droga, estorsione, vendita di illeciti) che si appoggiano a tali criptovalute per nascondere le transazioni e mettere in difficoltà eventuali indagini. Non solo l’acquisto di queste crypto verrà disincentivato ma anche mixers ed altri tool di anonimato che rientrano nella DeFi (Decentralized Finance).

Importante sottolineare che la custodia privata delle valute come Monero non verrà resa illegale ma viene creato un paradosso. Per poter eseguire transazioni sopra spiegate viene reso necessario mostrare la propria identità rendendo inutile l’utilizzo di tale criptovaluta. In breve alla base della regolamentazione è di rendere il piu’ tracciabile possibile ogni singola transazione blockchain all’interno dei confini EU.

Chiediamo venia al lettore se non entreremo nelle specifiche tecniche che permettono di mitigare la tracciabilità delle transazioni Monero, Dash o ZCash. Per mantenere il focus dell’articolo chiediamo, a chi non abbia abbastanza conoscenza a riguardo, di focalizzarsi sul fatto in se.

Uno dei paper piu’ visionari in ambito sicurezza informatica è stato redatto da Adam Young e Moti Yung chiamato “Cryptovirology – Extortion-Based Security Threats and Countermeasures” [28] (1996) la quale proponeva diverse analisi su come la crittografia potesse creare danni oltre che anonimato e/o privacy. In questo paper abbiamo diverse previsioni come l’estorsione tramite crittografia (ransomware) e l’utilizzo di criptovalute per poter monetizzare.

Il concetto di Young e Yung è divenuto una realtà tangibile, ad oggi il mondo ransomware e quello dei dark-markets sono dei veri e propri fenomeni caratterizzati da una forte persistenza motivata dalle ingenti somme che circolano al loro interno. La parola “persistenza” deve essere il pivot del discorso, il mondo criminale nasce sotto determinati requisiti piu’ o meno incentivanti ma allo stesso modo agisce con lungimiranza e preparazione.

Visto che sono stati citati diverse volte sia il mondo ransomware che quello dei dark-markets come fattori rilevanti alla necessità di queste regolamentazioni (sia da politici che dalla opinione pubblica), possiamo portare la nostra attenzione qui prima di muoverci sull’impatto che questo tipo di regolamentazione potrà avere sugli utenti.

Le criptovalute sono un’opzione di pagamento non la causa dei diversi crimini in questione ed anche solo immaginare che “tagliare” (parte di) queste opzioni risolva il problema è sintomo di un modo di pensare pericolosamente naive e semplicistico. Nel caso del mondo ransomware un approccio pro-attivo alla sicurezza informatico (sia livello macro che locale) è la vera soluzione. In ambito dark markets un potenziamento delle forze dell’ordine, un ampliamento delle collaborazioni tra i divers stati, training continuo e uno sviluppo di diversi strumenti di tracciamento è la chiave per poter contrastare tale fenomeno.

Vogliamo contrastare tali crimini? Focalizziamoci sulle cause e non offriamo alle minacce la possibilità di rendere realtà l’ipotesi delle “dark stablecoins” [29] dove si avrà meno raggio d’azione potenziando le capacità di tali attori. Ancora una volta le buone intenzioni possono portare a conseguenze irriversibili e auto-sabotanti.

Lo studio “Cryptocurrencies and drugs: Analysis of cryptocurrency use on darknet markets in the EU and neighbouring countries” (2023) [30] portato avanti da EUDA (European union Drugs Agency) ha mostrato come, tra le nazioni coinvolte, il ban delle criptovalute non ha risolto in nessuna maniera le attività dei dark markets.

Eight of the 54 countries (~15 %) in the sample have outright bans on cryptocurrencies, yet
engagement with DNM continues in these locations, particularly among those in the EU’s
Southern Neighbourhood.

Metodi di pagamento alternativi esistono già e vengono usate in questi ambienti per il riciclaggio di denaro sia per i gruppi RaaS che per il mondo dei dark markets. Inoltre risulta estremente difficile eseguire un vero e proprio ban su qualsivoglia crypto disponibile, gli exchanger peer2peer esistono e continuano ad essere usati rendendo difficile l’implementazione di processi KYC. In breve, anche se fosse la giusta strada, è troppo tardi per bannare anche parte di questa tecnologia.

Le alternative nasceranno sicuramente (eg:/ exchanger illeciti, voucher, gift cards, acquisto di asset controllati dalle minacce, cash via posta) ed avremo nuovi sintomi la quale renderà piu’ difficile le operzioni di contrasto e dove sicuramente dei ban non saranno cosi’ semplici da attuare (in maniera democratica). Nuovamente vendere queste soluzioni come l’argento per sconfingere Dracula è molto pericoloso, bisogna focalizzarsi sulle cause non sui sintomi.

La privacy e l’anonimato passano anche per le finanze e gli acquisti che un individuo vuole eseguire online, tale processo può essere eseguito in diversi modi non solo con le criptovalute. Mullvad [31] stesso consiglia ai suoi clienti di pagare in contanti per via postale rimanendo anonimi il piu’ possibile, se si vuole dare tracciabilità al 100% per mitigare le finanze illecite allora dovremmo vietare il contante?

La DeFi ha il suo valore nel mondo privacy/anonimato e come tale non va vietata a priori, il founder di Ethereum ha ammesso di aver utilizzato il mixer Tornado Cash [32] per fare donazioni all’Ucraina. Tale esempio è focale su come, anche se si è localizzati in uno stato favorevole, il diritto alla privacy deve essere preservato senza discriminazioni.

Wanting to donate to Ukraine is a great example of a valid need for financial privacy: even if the government where you live is in full support, you might not want Russian government to have full details of your actions.
— Jeff Coleman | Jeff.eth (@technocrypto) August 9, 2022

L’impatto che tale decisione avrà su questo tipo di utenti potrà rilevarsi irreversibile, nuovamente l’UE mostra ottusità nel contrasto del crimine. Questa incapacità di trovare soluzioni nuove e di evitare manovre semplici per fenomeni complessi è un grave segnale della direzione presa dalla commissione e di chi la rappresenta. Bisogna ristabilire un ambiente dove ogni decisione deve essere (1) soppesata in maniera adeguata, (2) presentata in maniera corretta e (3) basata con studio ed occhio empirico lasciando da parte asserzioni forvianti.

Considerazioni Finali – Investimenti, sensibilità ed empatia

I bassi investimenti in R&D dell’EU rispetto al resto del mondo [33][34][35] (portate da diverse cause che non copriremo in questa sede) hanno reso l’ambiente interno ai confini non adatto alle sfide moderne (non solo in ambito sicurezza ma anche economico e militare). La necessità di investire in ricerca, potenziare le forze dell’ordine e selezionare approcci efficacci si fa sentire piu’ che mai e sta portando a scelte politiche rischiose della quale potremo pagarne il prezzo in un futuro non troppo lontano.

Al di fuori di ciò si vuole sottolineare al come tali propost vengono presentate facendo leva su argomenti sensibili (tutela dei minori, utilizzo criminali di diverse tecnologie, tutela degli utenti online da diversi abusi) sfruttando la cosidetta weaponized empathy [36]. Questo approccio è una sfida (tra le tante) per gli ambienti democratici e non ha la giusta importanza nell’opinione pubblica. Tramite l’utilizzo dell’emapatia/emozioni/sensibilità si può convincere un pubblico di cose [37] false o portarli a supportare decisioni non adatte ai problemi posti.

L’opinione pubblica è certamente divisa quando si tratta di proposte sull’inserimento di identità digitali per social media o internet in generale, il che è lecito. Ciò che sorprene è la mancanza di argomentazioni pragmatiche sui pro e contro su chi vorrebbe tale proposta venga attivata. No, dire che se non hai nulla da nascondere non è una argomentazione. Affermare che la scelta di AGCOM tuteli i minori nemmeno. E neanche asserire che valute come Monero vengano usate solamente da criminali e che per questo debbano essere vietate.

Chiunque è responsabile di scegliere se mantenere la propria privacy online (e a che intensità) ma nessuno deve poter permettersi di limitare tale libertà. Se la sensibilità vale per una sponda deve essere giustificata anche dall’altra allo stesso modo.

Si parla spesso di introdurre una qualche forma di educazione sentimentale all’interno delle scuole col fine di evitare esperienze spiacevoli che si sono riscontrate all’interno di diverse comunità. Al di là di come la si pensi sul tema sarebbe interessante presentare tale proposta anche come misura (anche) per poter “rafforzare” le persone e renderle piu’ resilienti quando esposte a diversi segnali (tra cui weaponized empathy)? Quando tali proposte vengono annunciate è presente un clima basato per la maggior parte sulla emotività e su affermazioni di senso comune (“i minori vanno tutelati online”) senza dimostrazioni sulla efficacia cosi tanto richiesta.

Lavorare su questo aspetto sarà d’aiuto non solo in questi casi ma anche per fenomeni come la disinformazione o truffe che fanno leva sulla sensibilita’ altrui. Online le minacce ci sono e se si decide di accederci è necessario farlo con la giusta preparazione e conoscenza.

La sicurezza si ottiene anche grazie alla resilienza. Per ottenere resilienza bisogna uscire da zone di comfort ed entrare in contatto con la realtà dei fatti senza edulcorarla e questo richiede di rivalutare alcune posizioni che prima si consideravano “sacre”.

L'articolo L’Anonimato Digitale In Pericolo! Cosa Sta Decidendo l’Unione Europea? proviene da il blog della sicurezza informatica.

Google ha rilasciato aggiornamenti mensili per Android che risolvono 46 vulnerabilità. Uno di questi problemi è già stato sfruttato dagli aggressori e comporta l’esecuzione di codice arbitrario nella libreria FreeType.

Alla vulnerabilità sotto attacco è stato assegnato l’identificatore CVE-2025-27363 (punteggio CVSS 8.1) e rappresenta un problema nel componente di sistema che potrebbe causare l’esecuzione di codice locale senza richiedere privilegi aggiuntivi. Per sfruttare il bug non è richiesta alcuna interazione da parte dell’utente.

La causa principale del problema CVE-2025-27363 risiede nella libreria di rendering dei font open source FreeType e il bug è stato segnalato per la prima volta a marzo 2025. All’epoca, gli esperti spiegarono che la vulnerabilità era pericolosa per tutte le versioni di FreeType fino alla 2.13 ed era già stata sfruttata in attacchi.

“È stato riscontrato un problema di scrittura fuori limite nelle versioni di FreeType precedenti alla 2.13.0 quando si tentava di analizzare le strutture dei sottoglifi dei font associati ai file TrueType GX e dei font variabili”, hanno scritto i ricercatori. — Il codice vulnerabile assegna un valore short con segno a un valore long senza segno e poi aggiunge un valore statico, che provoca un overflow e l’allocazione di un buffer troppo piccolo nell’heap. Il codice scrive quindi fino a sei numeri interi lunghi con segno, estendendosi oltre i limiti di questo buffer. Ciò potrebbe portare all’esecuzione di codice arbitrario.”

Come riporta ora Google, la vulnerabilità potrebbe effettivamente essere soggetta a “sfruttamento limitato e mirato”. L’azienda non ha ancora diffuso dettagli su questi attacchi.

Altre vulnerabilità risolte da Google questo mese includono problemi in Framework, System, Google Play e nel kernel Android, nonché bug di sicurezza nei componenti proprietari di MediaTek, Qualcomm, Arm e Imagination Technologies. La maggior parte di essi sono correlati all’escalation dei privilegi.

L'articolo Aggiornamenti Android: corretta una grave falla già sfruttata, ecco cosa rischi proviene da il blog della sicurezza informatica.