In Regno Unito ha concluso l’iter parlamentare e si approssima a diventare legge la proposta di legge Investigatory Powers (Amendment) Bill (IPB), che aggiorna la disciplina originale Investigatory Powers Act, risalente al 2016, che definiva i poteri di investigazione e sorveglianza digitale delle autorità di polizia e degli enti di intelligence inglesi.
Nelle indicazioni del governo Sunak, l’aggiornamento della normativa si è reso necessario per adeguarla ai rapidi cambiamenti tecnologici e all’aumento esponenziale del volume di dati da processare.
Le modifiche alla legge sono il risultato di un processo di revisione avviato ad inizio 2023 e culminato a giugno 2023 in una proposta di revisione firmata da Lord David Anderson, membro della camera dei Lord che in passato si era già occupato di legislazione antiterrorismo, e poi sottoposta a consultazione.
La proposta aveva sollevato forti critiche già a valle dalla presentazione della proposta di revisione.
Tra le nuove autorizzazioni cui la normativa aggiornata dà il via libera, la possibilità di sorvegliare specifici soggetti attraverso il controllo delle loro attività in rete – compresi app, numeri e luoghi dal quale sono avvenuti gli accessi – e la possibilità di raccogliere interi archivi di informazioni personali classificate come “low or no expectation of privacy”, incluse le immagini provenienti da telecamere di sorveglianza o le immagini postate sui Social Network.
Ma il principale bersaglio della critica è l’obbligo in capo alle società che offrono prodotti e servizi digitali considerati rilevanti, anche straniere, di informare preventivamente il governo sulle nuove caratteristiche di sicurezza e di sottostare ad una eventuale richiesta di modifica o disabilitazione di tali caratteristiche. Eventualità che qualcuno, parafrasando il concetto informatico di “security-by-design”, ha definito “surveillance-by-design”.
Tale obbligo potrebbe scattare anche in caso di aggiornamenti di sicurezza, circostanza che rallenterebbe molto la loro distribuzione aumentando i rischi di attacchi informatici a danno del fornitore del servizio.
La Apple è stata una tra le prime aziende ad aver formalmente sollevato preoccupazioni in tal senso al governo inglese.
La legge, inoltre, potrebbe costituire un pericoloso precedente per motivare la richiesta di rendere accessibili anche le comunicazioni criptate End-to-End (E2EE), quali quelle utilizzate nelle chat di Whatsapp.
Il timore non appare infondato: lo scorso 18 aprile i capi delle polizie dell’Unione Europea hanno firmato un appello congiunto affinché venga offerta alle forze di polizia la possibilità di accedere a comunicazioni protette dal sistema E2EE motivandolo con la necessità di monitorare le comunicazioni in rete potenzialmente collegate ad attività illecite.
L’impatto della revisione dell’Investigatory Powers Bill non riguarderà solo i semplici cittadini ma anche i membri del Parlamento inglese, finora protetti da misure di intercettazioni e sorveglianza da una struttura “triple-lock” che richiedeva un triplice livello di autorizzazione con il terzo livello costituito dal Primo Ministro in carica, senza previsioni di possibile delega.
Il precedente del primo ministro Boris Johnson impossibilitato dal Covid a completare questo terzo livello autorizzativo aveva evidenziato una lacuna della normativa 2016, lacuna che è stata poi colmata nell’Investigatory Powers Act 2024 con una formulazione molto ampia che prevede la possibilità di delegare tale autorizzazione a un Secretary of State nominato qualora il Primo Ministro sia “indisponibile” (unavailable).
