Troppa apprensione genera confusione
Dopo un iter legislativo fatto di continui aggiornamenti e cambiamenti, per
quanto riguarda Internet il decreto antiterrorismo sembra ancora un'opera incompiuta, con contraddizioni e
difficoltà interpretative.
A qualche mese dalla pubblicazione del decreto legge n.144 (modificato con la legge n.155, aggiornato con il decreto
del Ministero degli Interni del 16 agosto e infine "spiegato" con la circolare del Ministero n. 557/05), la normativa
italiana anti-terrorismo - pur con interventi importanti per la sicurezza - presta ancora il fianco a diverse critiche.
La parte riguardante Internet e le comunicazioni - un tassello decisivo nella lotta al crimine, ma molto delicato da
regolare - presenta ancora dubbi interpretativi e qualche contraddizione, e lascia spazio a critiche giustificate e
discussioni sulla limitazione delle libertà personali.
Le implicazioni per Internet
Nato sull'onda emotiva degli attentati a Londra (e rivisto in pieno clima di terrore dopo quelli di Sharm el Sheik) il
"pacchetto Pisanu" delinea le misure urgenti per il contrasto del terrorismo internazionale: accanto a molte norme
relative all'ordine pubblico e alle attività di polizia giudiziaria, il decreto introduce una serie di obblighi a
carico dei "fornitori di una rete pubblica di comunicazioni o di un servizio di comunicazione elettronica accessibile al
pubblico". Con questo intervento si mira a prolungare i tempi della conservazione dei dati di traffico degli utenti,
stabilendo inoltre diverse norme che regolano la disciplina degli esercizi pubblici di telefonia e Internet, tra i quali
l'obbligo della preventiva autorizzazione della polizia e dell'acquisizione e conservazione dei dati relativi
all'attività di navigazione dei clienti. L'intento della legge sembra semplice e chiaro a tutti: stabilire chi si
è connesso con chi in un dato giorno e in una data ora. Il processo per arrivare a registrare questi dati
però è tutt'altro che semplice e, inoltre, non è neppure così chiaro chi sia tenuto ad
applicare le norme. Capire bene cosa prevede il decreto, quali siano i destinatari coinvolti e quali strumenti operativi
siano necessari per assolvere concretamente quanto previsto dalla normativa risultano campi di ampio dibattito in questi
giorni, con interpretazioni a vari livelli (giuridico, tecnologico, operativo ecc.) che complicano ancora di più
una materia di per sé già molto complessa.
Conservare i dati di traffico
Una prima serie di aspetti problematici riguarda la conservazione dei dati di traffico (articolo 7 del DL n.144 e DM del
18.8.05). Si tratta di memorizzare tutte quelle informazioni che possano identificare gli utenti che accedono alla Rete
all'interno di un locale pubblico attrezzato allo scopo (per esempio, ma non solo, un internet café) e che
permettano di risalire ai dati salienti delle navigazioni effettuate da ogni singolo utente. Il contenuto della
comunicazione, invece, non può e non deve essere registrato in alcuna maniera da parte dei gestori. L'utente che
si connette deve altresì essere identificato mediante documento di riconoscimento, prima di poter iniziare la
comunicazione. Sia questi ultimi dati che i precedenti devono essere acquisiti e conservati dal titolare dell'esercizio
in formato elettronico inalterabile e inaccessibile a terzi, secondo modalità simili alla conservazione dei dati
sensibili prevista dalla normativa sulla privacy.
I problemi di archiviazione
Senza entrare nel merito del discorso sulle libertà individuali, rimane il problema dell'archiviazione dei dati.
Se apparentemente può essere facile conservare i dati di posta elettronica (basterebbe preservare le intestazioni
dei messaggi - gli header), bisogna ricordare che le connessioni all'e-mail da postazioni pubbliche avvengono di solito
tramite Web mail. E questo rappresenta già un primo guaio, perché è praticamente impossibile
stabilire se un utente sta utilizzando un servizio di posta elettronica. Se si pensa ai servizi di Instant Messaging e
di chat, poi, i problemi sono gli stessi dell'e-mail, con ancora minori strumenti di controllo dei collegamenti e delle
conversazioni. La questione dell'archiviazione è ancora più complessa per la tracciabilità degli
accessi a siti e servizi Web. Si tratta di mantenere i log file di milioni di accessi, senza tener conto che esistono
sistemi per "ingarbugliare" i percorsi in Rete, e renderli di difficile comprensione. Un altro aspetto da tenere in
considerazione, infine, riguarda la conservazione fisica delle informazioni. Anche qui la soluzione parrebbe semplice,
di primo acchito: basta registrare su Cd o Dvd i log forniti dal router di connessione e i dati identificativi della
persona che ha utilizzato la postazione telematica. Quindi conservare il supporto fisico in posti sicuri. La legge
però non chiarisce ogni quanto tempo si debbano effettuare le archiviazioni (ora, giorno, settimana?), né
per quanto tempo si debbano conservare.
Chi deve fare che cosa?
Un altro elemento di difficoltà nell'interpretare la norma è quello relativo ai destinatari. Nella mente
del legislatore, la legge era probabilmente rivolta agli esercenti di Internet café o locali assimilabili. Ma la
definizione è: "titolari o gestori di un esercizio pubblico o di un circolo privato di qualsiasi specie nel quale
sono messi a disposizione del pubblico, dei clienti o dei soci apparecchi terminali utilizzabili per le comunicazioni,
anche telematiche".
Scuole, alberghi e altro
E questa definizione può significare molte cose: una prima ripercussione potrebbe riguardare le università
e le scuole di ogni ordine e grado, dotate di postazioni per l'accesso a Internet, in quanto sono luoghi pubblici di
connessione online. Attualmente negli atenei e in alcune scuole superiori si accede a queste postazioni molto liberamente,
senza formale identificazione dell'utente e senza alcun tipo di registrazione dei log. Se la legge dovesse essere
applicata anche nelle scuole, tutto questo non sarebbe più possibile, ma ci si dovrebbe attrezzare per rispondere
alle misure normative previste. In base a quella definizione, anche altri luoghi pubblici che mettono a disposizione
liberamente postazioni telematiche dalle quali è possibile entrare in Rete sono interessati dalla legge: si pensi
alle biblioteche, agli aeroporti, agli alberghi.
E gli accessi in mobilità?
Un altro nodo da risolvere è quello inerente la mobilità: non è chiaro se la legge si applichi solo
alle strutture che offrono l'opportunità di collegamenti in loco, con proprie postazioni, oppure se basta la sola
possibilità di connettersi anche con apparecchi del cliente (per esempio, un portatile collegato alla linea
telefonica). La questione non è di poco conto perché le sanzioni previste per gli inadempienti sono
piuttosto pesanti, e in linea di principio riguarda tutti gli edifici pubblici dotati di una linea telefonica. Il
problema, poi, è ancora più grande pensando agli hot spot per i collegamenti wireless: gli utenti degli
hot spot di sistemi wireless pubblici (sale d'attesa dei terminal aeroportuali o ferroviari o altri luoghi pubblici)
sono per definizione non identificabili. Gestire secondo legge un tale sistema potrebbe richiedere un investimento
economico tale da bloccarne lo sviluppo, proprio ora che sembravano in arrivo investimenti in queste tecnologie.
Le limitazioni alla navigazione
L'ultimo aspetto, ma forse il più importante dal punto di vista legislativo, è quello delle libertà
personali di navigazione. Secondo il ministro Pisanu si tratta di una piccola limitazione della privacy a favore di un
interesse più grande, come quello della lotta al terrorismo internazionale. Bisogna considerare però se il
gioco vale la candela: per chi vive la Rete come una massima espressione di libertà, risulta difficile comprendere
che il motore stesso della società dell'informazione e della comunicazione possa essere sottoposto ad
autorizzazioni e controlli da parte delle forze dell'ordine. Inoltre le informazioni raccolte per rispondere alle norme
previste possono dare un'idea delle nostre convinzioni politiche o religiose, dei nostri interessi, delle nostre tendenze
sessuali... All'orizzonte bisogna aspettarsi una mega-profilazione di tutti gli utenti Internet? Queste informazioni
costituiscono una minaccia per la privacy individuale, soprattutto se gli esercenti che hanno l'obbligo di conservarli
dovessero rivelarsi inaffidabili in termini di custodia, o peggio poco onesti...
Una riflessione finale
In sostanza, una serie di norme nate per combattere il terrorismo internazionale, generate dalla paura e dall'apprensione
per il perpetuarsi degli attentati, sta generando una profonda confusione e un sottile timore per le proprie
libertà individuali. E inoltre: di fronte alla minaccia terroristica, tutto ciò ha un valore preventivo
reale oppure si tratta soltanto di fumo negli occhi? Come a dire: attenti terroristi, noi tracciamo tutto. Un terrorista
non prenderebbe le sue precauzioni nel caso di comunicazioni riservate? Probabilmente si potrebbe anche ricostruire il
percorso di comunicazione e i legami esistenti tra i fiancheggiatori più sprovveduti o i simpatizzanti. Ma i
sistemi per aggirare le limitazioni previste dal decreto sono abbastanza semplici e alla portata di tutti. Chi non si
prenderebbe mai la briga di cercare di aggirare queste norme sono i semplici cittadini, non di certo i terroristi.
 |
