Domenica è giunta la notizia dell’arresto del fondatore di Telegram, Pavel Durov. Le accuse, non ancora formalizzate, sono durissime: frode, traffico di droga, cyberbullismo, criminalità organizzata e promozione del terrorismo sulla piattaforma. In sostanza, le autorità francesi ritengono che “l’assenza di moderazione e di cooperazione con le forze dell’ordine” da parte di Telegram avrebbero “contribuito” al dilagare di tali attività.
Le reazioni
Come era facilmente prevedibile, la notizia ha causato numerose reazioni di opposto orientamento. Vi è chi si è schierato in favore dell’arresto di Durov, ritenendo sostanzialmente corretto considerarlo responsabile penalmente dell’uso criminale della sua piattaforma o comunque di non avere collaborato adeguatamente con le pubbliche autorità. D’altronde, è molto radicata la convinzione che occorra condurre una battaglia senza quartiere contro le fake news e l’uso disinvolto delle piattaforme social.
Ovviamente c’è una tesi opposta che ritiene che spesso questa battaglia senza quartiere abbia come vero obiettivo quello di censurare/stigmatizzare le opinioni avverse, soprattutto se lontane da quelle del c.d. mainstream. I fautori di questo orientamento hanno dunque visto in questo arresto un salto di qualità nella compressione degli spazi di libertà di espressione nei social media.
Come spesso accade nelle vicende umane, ogni tesi raccoglie un frammento di verità. Difatti, esiste il tema della garanzia della veridicità delle notizie, le quali oggi possono essere create artificialmente anche con ausilio di foto e video realistici. Esiste anche, e forse soprattutto, il tema della garanzia degli spazi di libertà di espressione nelle piattaforme digitali e della loro tutela avverso atti di soggetti privati idonei a ridurre gli spazi di libertà costituzionalmente tutelate.
In questa sede, ovviamente non è possibile approfondire tutti gli aspetti dei problemi evocati. Possiamo limitarci a tratteggiare i profili che la vicenda di Durov sembrano maggiormente evidenziare.
Cos’è Telegram
In via preliminare, occorre specificare che Telegram è un servizio di messaggistica istantanea basato su cloud. Le caratteristiche principali di Telegram sono la possibilità di:
– scambiare messaggi di testo tra due utenti o tra gruppi;
– effettuare chiamate vocali e videochiamate cifrate punto-punto;
– eliminare messaggi inviati e ricevuti senza limiti di tempo e senza lasciare traccia per entrambi i membri di una chat
– scambiare messaggi vocali, videomessaggi, fotografie, video, sticker e file di qualsiasi tipo fino a 2 GB;
– trasmettere in diretta, attraverso i canali, audio/video e testo.
È inoltre possibile programmare l’orario di invio di un messaggio; impostare un timer per l’autodistruzione dei messaggi che permette l’eliminazione automatica del messaggio una volta visualizzato dal destinatario, così come cancellare messaggi anche per il destinatario, e modificarne il testo dopo l’invio.
I client ufficiali di Telegram sono software libero. Il codice sorgente del lato server invece non è stato reso pubblico. Ciò significa che è possibile mantenere la segretezza delle conversazioni effettuate sul cloud.
I messaggi inviati sono salvati sul cloud di Telegram e non in locale sul dispositivo, questo garantisce una maggiore sicurezza poiché il backup che viene automaticamente creato sulla piattaforma viene criptato e salvato sul cloud di Telegram anch’esso criptato senza dover essere caricato su altri Cloud.
Si tratta quindi di una piattaforma social che consente di avere un elevato grado di riservatezza nelle comunicazioni.
E, come dicevamo, forse la questione più problematica della vicenda Durov, di cui l’aspetto giudiziario potrebbe solo essere un conseguente corollario, potrebbe essere quella di verificare la possibilità nell’ordinamento comunitario della sussistenza di una piattaforma social che garantisca la massima riservatezza alle comunicazioni dei propri utenti anche, o forse soprattutto, nei confronti delle pubbliche autorità.
Ed è di tutta evidenza come la risposta al quesito abbia conseguenze concrete sullo spazio effettivo della libertà di manifestazione del pensiero, laddove spesso è proprio la condizione di massima riservatezza che consente la sua manifestazione più autentica, profonda e intima. Basti pensare, ad esempio, alla manifestazione di un pensiero critico di un dissidente politico in un regime o alla espressione di sentimenti in una relazione affettiva, pubblica o segreta.
Gli obblighi del DSA
Per valutare la possibilità menzionata sopra, occorre esaminare succintamente il regolamento comunitario noto come Digital Services Act (DSA), il quale ha imposto trasparenza sulla profilazione e il funzionamento delle piattaforme online, con obbligo per i fornitori di collaborare con le autorità e sottoporsi ad audit indipendenti e ha introdotto nuove norme in materia di trasparenza, obblighi informativi e accountability (responsabilità).
Gli obblighi del regolamento sono proporzionati al tipo di servizio offerto e al numero di fruitori. Per questo, le piattaforme intermediarie di servizi vengono suddivise in quattro categorie:
- intermediary services;
- hosting (es.cloud);
- online platform (es. social media)
- very large platform.
Ogni categoria comporta obblighi specifici. Gli obblighi principali, comuni a tutte le tipologie, sono:
- indicare in modo chiaro le condizioni di servizio e i relativi requisiti;
- fornire informazioni esplicite sulla moderazione dei contenuti e sull’uso degli algoritmi per i sistemi di raccomandazione dei contenuti, che potranno comunque essere contestati dagli utenti;
- adottare trasparenza nei sistemi di suggerimento e nelle pubblicità online rivolte agli utenti;
- non utilizzare pubblicità mirata rivolta ai bambini o basata su dati sensibili degli utenti;
- non utilizzare pratiche ingannevoli volte a manipolare le scelte degli utenti, compresi i dark pattern;
- collaborare con le autorità nazionali se richiesto;
- denunciare i reati;
- creare un meccanismo di reclamo e ricorso e risoluzione extragiudiziale delle controversie;
- adottare misure contro le segnalazioni e le repliche abusive;
- controllare le credenziali di fornitori terzi, secondo il principio del “conosci il tuo cliente commerciale” (KYBC), anche attraverso controlli a campione.
Le piattaforme online e i motori di ricerca di grandi dimensioni, a partire da 45 milioni di utenti al mese, presentano rischi più elevati, quindi devono rispettare obblighi più rigorosi. Tra questi:
- obblighi in materia di gestione dei rischi, di risposta alle crisi e di prevenzione di abuso dei propri sistemi;
- condivisione dei propri dati chiave e dei propri algoritmi con le autorità e con i ricercatori autorizzati per comprendere l’evoluzione dei rischi online;
- collaborazione nelle risposte alle emergenze;
- codici di condotta specifici;
- prevenzione dei rischi sistemici come la diffusione di contenuti illegali o con effetto negativo su diritti fondamentali, processi elettorali, violenza di genere, salute mentale;
- obbligo di sottoporsi ad audit indipendenti, cioè alla verifica della correttezza dei dati di bilancio e delle procedure adottate;
- abilitazione degli utenti al blocco delle “raccomandazioni” basate sulla profilazione.
Il rischio censura
Sembra evidente che l’insieme di questi obblighi possa comportare dei rischi per gli operatori digitali che si pongano la finalità di assicurare la massima riservatezza alle comunicazioni dei propri utenti (“Telegram”) o di assicurare la più ampia libertà di espressione (“X”), poiché potranno subire la contestazione di avere violato uno o più obblighi previsti dal DSA.
In altri termini, pare possibile che il penetrante complesso di obblighi posti dal DSA possa comportare un indiretto effetto censorio sia nei confronti degli operatori digitali, i quali rischiano pesanti sanzioni economiche e ora scopriamo anche il pericolo di essere sottoposti a indagini penali, sia nei confronti degli utenti, i quali rischiano di essere profilati come soggetti pericolosi e/o inaffidabili.
In definitiva, il primato regolatorio vantato dall’Ue in materia digitale potrebbe risultare un elemento regressivo di alcune libertà fondamentali, come quella di espressione tramite le piattaforme digitali e quella di segretezza nelle comunicazioni digitali.
Il caso FBI-Apple
D’altronde, sembra opportuno ricordare che qualche anno fa accadde qualcosa di analogo anche negli Stati Uniti. Facciamo, ovviamente, riferimento ad una disputa tra la Apple, il Federal Bureau of Investigation (FBI) e il Dipartimento di Giustizia (DOJ), generata dalla richiesta di sblocco di un Iphone 5C utilizzato da uno dei killer della strage di San Bernardino in California del dicembre 2015, dove rimasero uccise 14 persone e ferite gravemente 22.
Il telefono dell’attentatore era stato recuperato intatto, ma risultava bloccato da un codice di blocco a 4 cifre e impostato per il blocco dei dati dopo 10 tentativi falliti nell’inserimento del codice di blocco, opzione presente nei dispositivi iPhone. La Apple adducendo diverse motivazioni, tecniche e giuridiche, ha rifiutato la disponibilità nella creazione di un software che avrebbe consentito di bypassare i sistemi di sicurezza dei loro dispositivi, nodo cardine delle politiche commerciali dell’azienda.
Come noto, la questione era stata rimessa all’autorità giudiziaria, ma prima del verdetto l’FBI ha ritirato la richiesta, dichiarando di avere risolto.
Quindi, malgrado la richiesta promossa dalle autorità investigative in relazione ad un brutale crimine, la società americana ha rifiutato di creare un software che avrebbe avuto l’effetto di consentire alla pubblica autorità di accedere ai dati di ogni terminale, perché, tra l’altro, ciò avrebbe significato la fine del suo incredibile successo commerciale o comunque una sua grave menomazione.
In Europa mancano anticorpi
In conclusione, si può ritenere che in ogni latitudine emerga sempre la tentazione degli apparati statali di sicurezza di avere accesso a ogni possibile fonte di dati utili alla prevenzione e repressione del crimine. Il problema è che non in ogni latitudine sussistono validi anticorpi alla fisiologica deriva securitaria delle forze di sicurezza e polizia.
Il nostro timore è che oggi in Europa questa capacità è fortemente scemata con riferimento al fenomeno digitale, forse perché è un’area geografica che subisce questo processo di profonda innovazione e forse anche perché le piattaforme digitali hanno sconvolto le consolidate gerarchie informative, consentendo a posizioni “eretiche” comunque di diffondersi ed affermarsi politicamente.
D’altronde, la storia europea non è solo una storia di progresso civile, politico ed economico, ma è anche storia di conculcamento delle libertà, soprattutto (ma non solo) durante le diverse esperienze totalitarie che ha ideato e realizzato.