La Commissione Europea e la presidenza spagnola del Consiglio dell’UE hanno ultimato il lavoro a livello tecnico su eIDAS 2.0, il nuovo regolamento europeo che ha l’obiettivo di disciplinare i sistemi di identificazione elettronica per enti pubblici e privati all’interno dell’Unione Europea. Nel primo trimestre del 2024 è previsto il voto del Parlamento in seduta plenaria.
Anche se l’approvazione ufficiale, dunque, non è ancora avvenuta, da parte del mondo accademico si sollevano già numerose preoccupazioni inerenti alla privacy dei cittadini. In particolare, il testo del regolamento ha portato 500 esperti di sicurezza informatica a scrivere una lettera alle istituzioni. Secondo questi professionisti, eIDAS 2.0 costituirebbe una minaccia per la sicurezza del web.
La miccia che ha innescato il sentimento di allarme è la proposta della Commissione di rendere obbligatorio per i browser il certificato qualificato di autenticazione del sito web. Tale certificato è emesso da prestatori di servizi fiduciari qualificati, sotto stretta vigilanza da parte delle autorità degli Stati membri, analogamente a tutti gli altri servizi fiduciari qualificati. La Commissione ha affermato che tali certificati “forniscono una garanzia indipendente dell’autenticità di un sito web certificandone la proprietà. In tal modo migliorano la sicurezza e la trasparenza di internet”.
Però, proprio per via dell’obbligo di adozione, il gruppo di esperti scrive: “Questi cambiamenti espandono radicalmente la capacità dei governi dell’UE di sorvegliare i loro cittadini assicurando che le chiavi crittografiche sotto il controllo del governo possano essere utilizzate per intercettare il traffico web crittografato in tutta l’UE. Qualsiasi stato membro dell’UE ha la possibilità di designare chiavi crittografiche per la distribuzione nei browser web e ai browser è vietato revocare la fiducia in queste chiavi senza il permesso del governo”.
L’obbligo consente al governo di qualsiasi Stato membro dell’UE di rilasciare certificati di intercettazione e sorveglianza del sito web che possono essere utilizzati contro ogni cittadino europeo. Non vi è alcun controllo o equilibrio indipendente sulle decisioni prese dagli Stati membri in merito alle chiavi che autorizzano.
Sostegno alla causa è giunto anche da diversi gruppi della società civile, tra cui Internet Society, European Digital Rights (EDRi), EFF, Epicenter.works e molti altri.
SF
