Ideja zvana Chat Control prvi je put iznesena u svibnju 2022., kada je tadašnja europska povjerenica za unutarnje poslove Ylva Johansson predstavila uredbu kojom bi se 'sprječavalo i suzbijalo seksualno zlostavljanje djece na internetu'. Kritičari, među kojima je najglasniji aktivist i bivši europarlamentarac Patrick Breyer, odmah su ustvrdili da je riječ o najdubljem zadiranju u privatnu komunikaciju građana u povijesti Europske unije te su joj nadjenuli ime Chat Control 2.0.

Iako prijedlog polazi od nesporne potrebe da se djeca zaštite od najtežih oblika zloporabe, protivnici upozoravaju da on u praksi znači stalni i obvezni nadzor svih digitalnih razgovora. To uključuje poruke, e-mailove, fotografije i videozapise na aplikacijama i servisima poput WhatsAppa, Messengera, Gmaila ili iClouda. Kontrolu bi, prema nacrtu, provodile same platforme, a sporni sadržaj prosljeđivao bi se privatnim centrima u SAD-u, zatim i nacionalnim policijama.

Trenutačna verzija, tzv. Chat Control 1.0, postoji od 2021. i dopušta dobrovoljno skeniranje nešifriranih poruka na nekim američkim platformama. No nova uredba ide mnogo dalje: obuhvatila bi i end-to-end enkripciju, što znači da bi pružatelji usluga morali ugraditi sigurnosna 'stražnja vrata' (backdoor) u svoje aplikacije ili napustiti europsko tržište, a Signal i WhatsApp već su poručili da bi u tom slučaju jednostavno otišli.

Kontroverzi ne nedostaje ni na pravnom planu. Predviđa se da naloge za nadzor ne bi morali izdavati isključivo sudovi, već i takozvana neovisna upravna tijela, što otvara prostor za nadzor bez sudskog naloga. Uz to, planira se obvezna identifikacija korisnika, čime bi nestala anonimnost na internetu, a mlađi od 16 godina ne bi više mogli koristiti većinu popularnih aplikacija i igara.

Kritičari upozoravaju da bi se takvim rješenjem ugrozila enkripcija, stvorila golema baza osjetljivih podataka izložena zloupotrebama i, u konačnici, izgradila trajna infrastruktura masovnog nadzora. Sama Europska komisija u dokumentu priznaje da prijedlog zadire u pravo na privatnost zajamčeno Europskom konvencijom o ljudskim pravima, ali ga opravdava tezom da 'nijedno pravo nije apsolutno'.

Premda Chat Control 2.0 još nije stupio na snagu, Hrvatska je jedna od 14 članica EU-a koje su do srpnja ove godine podržale sadašnji prijedlog uredbe. Austrija, Nizozemska i Poljska jasno su protiv, Njemačka i niz drugih zemalja kolebaju se, a Europski parlament već je 2023. odbacio najspornije odredbe poput client-side scanninga te rezolucijom naglasio da je enkripcija temelj digitalnog povjerenja. Ipak, Danska, koja trenutačno predsjeda Vijećem EU-a, i dalje snažno gura taj prijedlog, pa bi konačna odluka trebala pasti na sjednici ministara i u završnom glasanju u Parlamentu.

A što o svemu kaže domaći stručni tabor, provjerili smo razgovoru sa Zlatanom Morićem, Leonom Juranićem, Vlahom Hrdalom i Markom Gulanom.

Što je, dakle, chat control?

Riječ je o prijedlogu europske regulative prema kojem bi sve privatne poruke, fotografije i datoteke građana bile automatski skenirane posebnim algoritmima. Ideja je da se na taj način otkrije materijal povezan sa seksualnim zlostavljanjem djece.

'Na prvi pogled to zvuči kao koristan alat za zaštitu najranjivijih, no u praksi bi značilo da nijedna digitalna komunikacija više ne bi bila uistinu privatna. Ako bi takozvani Chat Control 2.0 stupio na snagu, s pravom bismo mogli govoriti o najvećem sustavu masovnog nadzora u povijesti Europe', kaže za tportal Zlatan Morić, pročelnik Sveučilišnog odjela za kibernetičku sigurnost na Algebri.

'Namjera zaštite djece bez sumnje je plemenita i nužna, ali problem je u načinu na koji se predlaže provesti. Masovno skeniranje privatnih razgovora otvara Pandorinu kutiju nadzora nad svim građanima, ne samo nad onima koji su osumnjičeni za kaznena djela. Sustav nosi niz rizika – od narušavanja enkripcije, preko velikog broja lažnih uzbuna, pa sve do mogućnosti da takav backdoor skoriste hakeri ili strane službe. Prednost bi mogla biti brža detekcija dijela ilegalnog sadržaja, no ta korist je vrlo upitna u usporedbi s golemim sigurnosnim i društvenim posljedicama', ističe Morić.

Tumači da se granica između zaštite djece i gubitka prava na privatnost nalazi upravo u načelu razmjernosti, kao i da bi borba protiv kriminala mora biti ciljana, uz jasne pravne okvire i sudski nadzor, a ne temeljem masovnog nadzora svih građana. 'Ako bi se uvela i obvezna identifikacija korisnika, to bi značilo kraj anonimnosti na internetu u Uniji. Ne bi to pogodilo samo privatne građane, već i novinare, aktiviste, zviždače i sve one kojima je anonimnost štit od represije', kaže naš sugovornik.

Morić upozorava da postoji još jedan ozbiljan problem - zloupotreba algoritama. 'Uvođenjem takve tehnologije jednom zauvijek se briše linija između legitimne borbe protiv kriminala i potencijalnog političkog nadzora. Upravo zato mislim da je Chat Control 2.0 u ovom obliku puno opasniji za društvo nego što je koristan', zaključuje.

'Presedan u povijesti Europe'

Da je ovakvo nešto presedan u povijesti Europe i dosad neviđeno u njoj, smatra Leon Juranić, renomirani hrvatski stručnjak za kibernetičku sigurnost i naš najpoznatiji 'bijeli haker'.

'Ne bi bilo prvi put da vlade ili interesne skupine guraju nešto pod određenim imenom kako bi prikrile pravu agendu. Netko je lijepo spomenuo da je ova regulativa u biti senzibilno i varljivo upakirana pod nazivom 'zaštita djece', jer tko bi normalan bio protiv zaštite djece i dječjih prava, pa se naizgled teže postaviti i zakonski i moralno argumentirati protiv ove regulative. Ako ovo prođe, definitivno će otvoriti neslućene mogućnosti za nadzor građana', ističe Juranić.

Pritom kao primjer navodi Edwarda Snowdena, zviždača koji je radio za američku tajnu službu NSA (National Security Agency) te je u prošlom desetljeću javno obznanio na koje se sve načine digitalnim putem (ilegalno) nadziru građani SAD-a, disidenti, novinari, strane, čak i prijateljske vlade i visoki dužnosnici raznih država. 'Bojim se da ako ova regulativa prođe, nešto slično, samo u ovom slučaju zapakirano pod zaštitu dječjih prava, dogodit će se i u Europi, legalizirano i na daleko većoj skali', kaže naš sugovornik.

Premda detalji nisu objavljeni, odnosno nejasno je kako bi to točno trebalo funkcionirati – ako prođe na glasanju 12. rujna – Juranić pretpostavlja da će se koristiti AI tehnologija jer omogućava brzu analizu i sažimanje određenih osjetljivih ili obavještajnih informacija iz većeg skupa podataka, kao što je npr. dopisivanje preko aplikacija. Ističe pritom da privatnost na internetu ne postoji.

'Ako ste na neki način kao pojedinac interesantni nekom većem igraču kao što je jača tajna služba, vladina agencija, vlade, korporacije, uvijek postoji način da se dokopaju vaših najviše čuvanih te najosjetljivijih informacija i podataka. Nije čak ni tajna to da tajne službe, agencije, vlade i korporacije koriste sigurnosne ranjivosti za koje ne postoje zakrpe, tzv. Zero Day (0day) ranjivosti, kako bi provaljivale u vaša računala, pametne telefone, čak i pametne bojlere, tostere i termostate itd. radi nadzora.

Postoje brokeri tih vrlo vrijednih programa, koji se nazivaju exploitovi za Zero Day ranjivosti, a za njih ne postoje zakrpe te služe za provaljivanje u sve vrste pametnih uređaja, odnosno uređaja spojenih na internet. Tako se, naprimjer, prije nekoliko tjedana pojavila strana tvrtka koja plaća hakerima do 20.000.000 dolara - da, dvadeset milijuna dolara - za tzv. Zero Click ranjivosti, tj. provaljivanje u vaše pametne telefone. Kome oni dalje preprodaju te informacije, može se samo nagađati. Na crnom tržištu su cijene 0day exploitova još veće. Na kraju krajeva, ljudi i svojevoljno na društvenim mrežama javno objavljuju osjetljive podatke, pa je to već postalo novo normalno', kaže naš sugovornik.

O masovnom pohranjivanju

Juranić podsjeća i na komercijalizirani nadzor korisničkog ponašanja na društvenim mrežama, poput slučaja Cambridge Analytice, gdje su algoritmi na temelju svega desetak do petnaest lajkova na Facebooku uspijevali profilirati korisnike. U tom kontekstu upozorava da bi se nova regulativa, gurana pod krinkom 'zaštite djece', naslonila na ono što najviše 'žulja' sve one koji žele nadzirati enkripciju.

Poentira da potencijalni regulirani nadzor enkriptirane komunikacije otvara dugoročan rizik; čak i ako se sadržaj poruka danas ne može pročitati zbog šifriranja, moguće je njihovo masovno pohranjivanje te naknadno dešifriranje kada tehnologija (npr. kvantna računala) to omogući.

Procjenjuje da bi se eventualnim usvajanjem takvog zakona pružatelje komunikacijskih usluga praktično prisililo da omoguće nadzor nad enkriptiranom komunikacijom, dijelom ekosustava koji je danas teško nadzirati bez kompromitiranja sigurnosti.

'Zakon o zaštiti djece na internetu prisilit će tvrtke koje nude softver za komunikaciju da omoguće nadzor i nad enkriptiranom komunikacijom, koju u široj primjeni trenutno nije tako lako nadzirati, a ako se uvede, mogućnosti zloupotrebe nadzora su neograničene', upozorava Juranić.

'Pravno uporište ne postoji'

Odvjetnik Vlaho Hrdalo, specijaliziran za digitalno pravo i zaštitu privatnosti, u razgovoru za tportal ne krije koliko ga ovaj prijedlog zabrinjava.

'Nije samo najveći sustav masovnog nadzora u povijesti Europe, nego i svijeta. Ovakvo nešto nema ni Kina, u kojoj je sve kontrolirano, ali s VPN-om i enkripcijom ste mirni', ističe Hrdalo. Kao i Juranić, dotaknuo se Snowdena. 'Još od tada znamo da Amerikanci nadziru sve, ali barem imaju pristojnosti da vam to ne kažu niti pokušavaju zapakirati u zakon. To što je neka distopijska ideja uobličena u zakon ne daje joj čisto ruho. I nacisti su radili po propisima – to se zove nirnberška obrana', kaže Hrdalo.

Europska komisija branila je prijedlog tvrdnjom da 'nijedno pravo nije apsolutno'. Hrdalo ističe da je takva argumentacija 'zlonamjerna i pogrešna'.

'Apsolutna prava itekako postoje – pravo na život, pravo na slobodu, pravo na zaštitu od mučenja. Pravo na tajnost dopisivanja pripada skupini prava koja se mogu ograničiti samo u vrlo iznimnim slučajevima, i to isključivo zakonom i prema konkretnoj osobi. Ako se potezom pera može suspendirati svima, onda to uopće nije pravo. Najopresivnija tiranija je, kaže C.S. Lewis, ona koja se provodi za tobožnje dobro svojih žrtava', objašnjava odvjetnik.

Na pitanje gdje prestaje zaštita djece, a počinje ugroza prava građana, Hrdalo odgovara da 'granice nema i ne treba postojati kad je riječ o osumnjičenima za teška kaznena djela'. Ali dodaje da će zbog jedan posto zlostavljača ostalih 99 posto građana stalno biti pod nadzorom. 'Ne može to proći test bilo kojeg suda. Ali dok ta tema dođe na sud, o svakome od nas već se biti izrađeni hooverovski spisi', upozorava.

Spornim smatra činjenicu da bi naloge za nadzor mogla izdavati i tzv. neovisna upravna tijela, a ne isključivo sudovi. 'To je bez presedana i ne postoji pravnik u zapadnim demokracijama koji bi to mogao braniti. Zato se u prijedlogu regulative ni ne navodi na čemu bi se temeljila – jer pravno uporište ne postoji', naglašava.

Hrdalo ističe da bi obvezna identifikacija korisnika značila kraj anonimnosti na internetu, i to u vrijeme u kojem se već godinama sustavno pokušava anonimnosti nametnuti isključivo negativna konotacija.

'Ovaj propis predviđa iznimku isključivo za profesionalnu komunikaciju određenih državnih službenika. Njihova korespondencija jedina se ne bi skenirala. A zapravo bi trebalo biti obrnuto – mi bismo trebali znati sve o njima jer su javni dužnosnici, a oni ništa o nama jer smo privatne osobe', kaže.

'EU je postao tvornica propisa'

Jedan od najvećih problema je mogućnost da algoritam pogrešno označi poruku i time uništi nečiji život.

'Nije problem hoće li osoba na kraju biti pravno oslobođena, nego što se nikada neće oprati od stigme. Zamislite da susjeda privede policija zbog širenja fotografija djece, provede mjesec dana u zatvoru, a onda iz EU-ova centra jave da je AI pogriješio. Bi li ga susjedi ikad gledali istim očima?' kaže Hrdalo.

Ako bi se od platformi tražilo da ugrade backdoor, postavlja se pitanje tko bi bio odgovoran za posljedice hakerskih napada. 'Opet oni sami. Ipak mislim da do toga neće doći jer teško da je EU u stanju realizirati takvo tehničko rješenje, a još je manje vjerojatno da će na to natjerati vodeće svjetske proizvođače čipova koji nisu europski. EU se nažalost pretvorio u tvornicu propisa', ocjenjuje.

Na kraju naglašava da borba protiv seksualnog zlostavljanja djece ne može biti opravdanje za uvođenje masovnog nadzora cijele populacije. 'Ne postoji panaceja, ali postoji preventiva. Mislim da bi mnogi roditelji prihvatili aplikaciju koja bi ih upozorila kad njihova djeca razgovaraju s nepoznatim odraslima. Internet više nije nevin kao nekad. Zato su prijedlozi poput zabrane mobitela u osnovnim školama korak u pravom smjeru', zaključuje Hrdalo.

'Kao da se godinama tražio način na koji nadzor zapakirati u društveno odgovoran okvir'

Konzultant za kibernetičku sigurnost Marko Gulan upozorava da se radi o mehanizmu bez presedana i najvećem sustavu potencijalnog masovnog nadzora u povijesti Europe. 'Chat Control 2.0 predviđa obvezno skeniranje privatnih digitalnih komunikacija, uključujući one koje su enkriptirane. To znači da bi milijuni građana, koji nikada nisu ni osumnjičeni za kaznena djela, postali predmet nadzora', ističe Gulan.

Posebno naglašava poslovnu dimenziju; već sama mogućnost nadzora osjetljivih poslovnih podataka otvara ozbiljan rizik za privatnost i povjerenje. 'Kada jednom uvedete infrastrukturu koja omogućava nadzor, tada pitanje više nije hoće li ona biti korištena, već tko će je i kada i u koju svrhu koristiti', dodaje.

Na pitanje skriva li se iza plemenite namjere zapravo mehanizam kontrole građana, Gulan kaže:

'Ovdje leži najveći paradoks Chat Controla. Zaštita djece postavljena je kao centralni narativ. Međutim, kad je neka namjera prenaglašena, često vrijedi obrnuto – da iza nje stoji dublji cilj. Ne mogu se oteti dojmu da se godinama tražio način na koji nadzor zapakirati u društveno odgovoran okvir, a dječja pornografija je tema protiv koje se svaki građanin instinktivno želi boriti.'

Upozorava da dokument jasno predviđa da će svaka komunikacija tehnički biti 'pročitana' prije slanja, što otvara prostor za političke i ekonomske zloupotrebe. Algoritmi koji bi trebali automatski otkrivati sumnjive poruke, kaže Gulan, daleko su od savršenih.

'Ako bi samo 0,2 posto poruka bilo pogrešno označeno kao sumnjivo, to bi na razini milijardi poruka dnevno značilo stotine tisuća ili milijune lažnih uzbuna. Stvorilo bi to tehnički i operativni kaos jer bi ljudi morali ručno pregledavati sadržaje koji zapravo nisu sporni', objašnjava. Dodatni problem je i kratak rok – uredba predviđa da sustav proradi u samo šest mjeseci od stupanja na snagu, što Gulan smatra gotovo nemogućim.

'Građani gube privatnost, a sustav dobiva moć kontrole'

'Ako se jednom uvede tehnička mogućnost 'čitanja' poruka, kriterij što će se nadzirati postaje pitanje odluke onih koji kontroliraju sustav. Danas je to dječja pornografija, sutra može biti politički meme ili privatni razgovor. Time ne stvaramo samo alat za zaštitu djece, nego i legitimiramo institucionalizirani nadzor koji možda već postoji u pozadini', kaže.

Dodaje da bi takav potez Europu učinio ranjivijom, a ne sigurnijom, te da postoji realna opasnost povlačenja pojedinih servisa (WhatsApp, Signal..., op.a.) s europskog tržišta i nastanka 'sivog digitalnog tržišta' komunikacijskih alata.

Obvezna identifikacija korisnika, prema Gulanu, imala bi dvostruke posljedice. 'S jedne strane, anonimnost se često koristi za govor mržnje i dezinformacije. Ali s druge, obvezna identifikacija stvorila bi 'hladni efekt', autocenzuru i nepovjerenje u digitalne kanale. Umjesto sigurnijeg interneta, dobili bismo prostor u kojem dominira nadzor, a kreativnost i sloboda govora povlače se pred birokratskom kontrolom', smatra.

'Iako je Chat Control 2.0 upakiran u humanistički diskurs zaštite djece, njegova je logika ista – stvaranje tehničke infrastrukture za nadzor i filtriranje komunikacije. Razlika je samo u retorici. Građani gube privatnost, a sustav dobiva moć kontrole. Europa riskira da, pod krinkom humanizma, krene putem modela od kojeg se godinama distancirala', zaključuje.