Approvata il 19 luglio, pubblicata sulla Gazzetta ufficiale l'8 agosto, è passata inosservata la delibera 467/00/CONS dell'Autorità per le garanzie nelle comunicazioni, che stabilisce le condizioni per le autorizzazioni generali, previste dall'articolo 6 del DPR 318/97 in attuazione delle direttive comunitarie e in particolare della 97/13/CE.
Con quasi due anni di ritardo sulla scadenza europea, finalmente si chiude il capitolo aperto dal decreto legislativo 103/95, che  ha causato tanti problemi, soprattutto ai piccoli provider.
Non c'è più l'assurdo, doppio regime dichiarazione/autorizzazione, con le relative questioni interpretative: tutti i fornitori di servizi di telecomunicazioni sono in regime di "autorizzazione generale", con l'eccezione dei servizi per i quali è necessaria la "licenza individuale" (telefonia vocale, installazione e fornitura di reti pubbliche di telecomunicazioni).

La delibera è un provvedimento complesso, perché disciplina tutti i servizi di telecomunicazioni soggetti all'autorizzazione generale, in particolare quelli via satellite. Alcune categorie di servizi, oltre alle condizioni comuni, sono soggette a una serie di clausole specifiche e per i servizi via satellite le condizioni sembrano particolarmente aperte e sostenibili, per favorire il più possibile lo sviluppo del settore. Qui ci occupiamo delle disposizioni che riguardano gli internet provider.

Una spada di Damocle

La prima lettura del testo riserva una sgradita sorpresa: nelle premesse si incontra un'affermazione che era stata formulata nelle interpretazioni della prima ora sul provvedimento del '95, ma che era stata accantonata per la sua manifesta infondatezza:

CONSIDERATO che la categoria generale dei servizi di telecomunicazioni si riferisce a numerose tipologie di servizi, quali la trasmissione dati a commutazione di pacchetto e di circuito - nella quale rientrano, ad esempio, i servizi Internet, offerti su reti fisse e mobili, e i servizi a valore aggiunto, che si avvalgono di collegamenti diretti della rete pubblica - nonché la semplice rivendita di capacità e la telefonia vocale per gruppi chiusi di utenti.

Ebbene, come abbiamo più volte dimostrato nelle discussioni a proposito del DLgs 103/95 (vedi Il decreto legislativo 103/95 e gli Internet Service Provider), la fornitura di servizi a valore aggiunto - come l'accesso all'internet - non rientra tra i servizi a commutazione di pacchetto e di circuito. Infatti in tutta la normativa europea e nazionale, e in particolare nel DPR 318/97 essi sono così definiti all'articolo 1, comma 1:

u) "servizio di trasmissione di dati a commutazione di pacchetto o di circuito", la fornitura al pubblico del trasporto diretto di dati in partenza e a destinazione dei punti terminali di una rete pubblica commutata, che consente ad ogni utente di utilizzare l'apparecchiatura collegata al suo punto terminale di tale rete per comunicare con un altro punto terminale.

I servizi a valore aggiunto - in particolare l'accesso all'internet - non possono rientrare nella definizione, perché essi non consistono nel trasporto diretto dei segnali (ci sono in mezzo DNS, proxy server e altro) e i contratti prevedono anche altri servizi, come l'e-mail, nei quali addirittura manca il collegamento tra i due punti terminali della rete. Infatti questi servizi sono definiti nello stesso comma:

q) "servizio di telecomunicazioni", un servizio la cui fornitura consiste, in tutto o in parte, nella trasmissione e nell'instradamento di segnali su reti di telecomunicazioni, ivi compreso qualunque servizio interattivo anche se relativo a prodotti audiovisivi, esclusa la diffusione circolare dei programmi radiofonici e televisivi.

Quest'ultima definizione stata soppressa nella delibera, ma le conseguenze di questa "distrazione" possono essere notevoli, soprattutto in relazione all'avvio del servizio immediatamente dopo l'invio della dichiarazione, consentito solo per i servizi elencati all'art. 3, comma 2 della delibera dell'AGCOM:

I soggetti che intendano offrire al pubblico i seguenti servizi di telecomunicazioni possono avviare il servizio contestualmente alla presentazione della dichiarazione, ai sensi dell'art. 22, comma 1, lett. f) del regolamento:
trasmissione dati a commutazione di pacchetto e/o di circuito;
semplice rivendita di capacità;
telefonia vocale per gruppi chiusi di utenti;
servizi di comunicazione via satellite di tipo SNG;
servizi di comunicazione via satellite espletati tramite l'utilizzo di terminali VSAT, SIT o SUT.

Come si vede, non ci sono i "servizi di telecomunicazioni" indicati dalla lettera q) del DPR 318, ma la delibera di un'autorità indipendente non può modificare un atto avente forza di legge. Quindi, con un'interpretazione letterale e sistematica della norma, il provider che avviasse il servizio subito dopo aver presentato la dichiarazione potrebbe subire le pesanti sanzioni previste per chi opera senza l'autorizzazione generale: fino a 180.000.000 di lire, sequestro delle apparecchiature...
Evidentemente l'intenzione dell'Autorità è di consentire l'avvio immediato del servizio, come si evince dal "considerato" preliminare, ma il rischio delle tristemente note interpretazioni ministerial-poliziesche pende come una spada di Damocle sul capo dei provider (vedi Il Ministero ordina, la Polizia obbedisce).

Le condizioni

Andiamo avanti. Il regime disegnato dalla delibera 467 è di natura dichiarativa, come prescrivono le norme comunitarie, perché basta mandare la domanda per dare immediatamente avvio al servizio. Però, come avevamo osservato a suo tempo, quando erano stati definiti gli importi dei contributi, l'onere è quello delle vecchie autorizzazioni: un milione per l'istruttoria, più un milione l'anno per ogni sede nella quale sono installate "le apparecchiature di commutazione proprie di ciascun servizio offerto" (vedi il decreto ministeriale 5 febbraio 1998).

A parte i dubbi interpretativi su questa formula, la sostanza è che i piccoli provider pagano i contributi per fornire il servizio, mentre i grandi, che hanno la licenza di operatori di telecomunicazioni, non pagano nulla, perché l'autorizzazione generale è compresa nella licenza. Paradossalmente, un provider di medie dimensioni che abbia molti POP, può dover versare più di quello che versa un operatore di telecomunicazioni che copre il territorio nazionale con tutti i servizi telefonici. Resta poi il dubbio se questo importo sia effettivamente tale da coprire "esclusivamente i costi amministrativi connessi all'istruttoria, al controllo della gestione del servizio e del mantenimento delle condizioni previste per l'autorizzazione stessa", come prescrivono l'articolo 6, comma 5 del DPR 318/97 e l'articolo 6 della direttiva 97/13/CE.

La novità più interessante, rispetto al regime precedente, è in una serie di condizioni che devono essere rispettate dai titolari di autorizzazioni generali (articolo 5, primo comma). Oltre ad alcuni obblighi, peraltro ovvii, che riguardano il rispetto delle "esigenze fondamentali" (articolo 12 del DPR 318/97) e di una serie di requisiti tecnici, ai fornitori di servizi si chiede:

g) la fornitura di fatture dettagliate e documentate;
h) la pubblicizzazione delle condizioni di offerta del servizio, incluse quelle attinenti alle condizioni economiche, alla qualità ed alla disponibilità del servizio nonché le relative variazioni delle condizioni stesse;
i) l'istituzione di una procedura per la trattazione dei reclami.

Queste disposizioni sono opportune, perché in sostanza impongono il rispetto di alcuni elementari obblighi di trasparenza e correttezza nei confronti degli utenti, obblighi oggi spesso ignorati da fornitori grandi e piccoli, a partire dall'indicazione degli standard di qualità del servizio.

Intercettazioni legali

Desta invece molte perplessità l'ultimo punto delle condizioni elencate al primo comma dell'articolo 5: 

k) la collaborazione tempestiva alle competenti Autorità giudiziarie ai fini della tutela della sicurezza delle comunicazioni e le necessarie prestazioni a fronte di richieste di documentazione e di intercettazioni legali, anche mediante sistemi informatici e telematici, secondo quanto previsto dalla Risoluzione del Consiglio dell'Unione Europea del 17 gennaio 1995 sull'intercettazione legale delle comunicazioni citata in premessa, dal regolamento, dall'articolo 266 bis c.p.p., nonché da successive disposizioni in materia.

Si tratta di prescrizioni superflue, perché la materia è già regolata da norme di legge, che non possono essere né confermate, né modificate dal provvedimento di un'autorità indipendente. Ma l'esplicita menzione della Risoluzione comunitaria del '95, che non ha valore imperativo, indica la tendenza a un "giro di vite" che può avere risvolti preoccupanti, anche in considerazione delle previsioni di responsabilità penale "oggettiva" dei provider, mascherate nella recente direttiva sul commercio elettronico.
Nessuno chiede che si abbassi la guardia nei confronti delle attività illecite che si svolgono per via telematica, ma si non si può ignorare la  tendenza sempre più forte di attribuire ai fornitori di servizi  responsabilità troppo impegnative per situazioni che non li riguardano direttamente.

Una conferma di questa tendenza viene dal secondo comma dello stesso articolo 5:

I soggetti che offrono servizi di telecomunicazioni al pubblico in luoghi presidiati mediante apparecchiature terminali, compresi fax, elaboratori dotati di modem o altrimenti connessi a reti informatiche, oltre a soddisfare agli obblighi di cui al comma 1, sono tenuti a:
 - consentire l'identificazione certa degli utenti che fanno uso di detti terminali per l'invio di posta elettronica;

A parte la strana circonlocuzione  per indicare gli internet cafè, le biblioteche e altri luoghi aperti al pubblico in cui si offre l'uso di apparecchiature collegate alla rete telefonica, a parte il fatto che la mancanza di una virgola rende sconcertante la prima lettura (luoghi presidiati mediante fax?), la norma è pericolosamente criptica. Che significa "consentire l'identificazione certa degli utenti"? Chiedere un documento prima di abilitare il terminale? In questo caso l'espressione avrebbe dovuto essere "devono identificare".
L'interpretazione letterale indica invece che i gestori devono rendere possibile (consentire) ad altri l'identificazione di chi invia e-mail. Questi "altri" non possono essere che gli agenti di polizia giudiziaria, che non hanno certo bisogno del consenso del gestore di un locale per identificare gli avventori!
Va anche considerato che, se si interpreta questa disposizione come obbligo per i gestori di identificare i clienti, i gestori stessi diventano titolari di trattamenti di dati personali, ai sensi della legge 675/96, con tutte le conseguenti notificazioni, informative, stravaganti misure di sicurezza e responsabilità varie, che non incoraggiano certo la diffusione di questi servizi.

Non c'è dubbio - se ne parla da anni - che l'anonimato totale facilita la commissione di atti illeciti, ma servirebbero norme più chiare e generali per conciliare il diritto alla riservatezza e le esigenze di prevenzione e repressione del crimine.
Inoltre nella lettera k) del primo comma sembra di riconoscere l'iniziativa, già avviata tra mille proteste negli USA e in Gran Bretagna, di installare in permanenza dispositivi di intercettazione presso i provider, con tutti i rischi di abuso che queste attività comportano.

Ma la norma appena vista richiama un altro aspetto problematico: i fornitori di accesso da locali aperti al pubblico non offrono un "servizio di telecomunicazioni" che, come abbiamo visto, è definito dalla normativa definisce come "un servizio la cui fornitura consiste, in tutto o in parte, nella trasmissione e nell'instradamento di segnali su reti di telecomunicazioni". Quello che viene fornito, in questi casi, è semplicemente l'uso di un terminale collegato alla rete, mentre il servizio di telecomunicazioni è fornito dal provider "a monte".
E' una vecchia questione, che ha un risvolto preoccupante: come abbiamo rivelato alcuni mesi fa, la falsa interpretazione della qualificazione del servizio è stata indicata dal Ministero delle comunicazioni alla Polizia postale, per avere un'arma di controllo in più (vedi Il Ministero ordina, la Polizia obbedisce).
La conclusione è in un vecchio adagio: il lupo perde il pelo, ma non il vizio.

Le sanzioni

Con l'emanazione delle condizioni delle autorizzazioni generali divengono operative anche le sanzioni previste dall'articolo 25 della legge 128/98: da 5 a 180 milioni di lire, a seconda della gravità dell'infrazione, con il noto corredo di sospensioni del servizio e sequestri di apparecchiature.
Così sarà più facile estinguere definitivamente la razza dei piccoli provider, di quelli che sono sopravvissuti nonostante il costo delle linee dedicate, la concorrenza sleale di Telecom Italia, le irruzioni della polizia, le super-offerte dei nuovi operatori di telecomunicazioni, e che non riescono a veder approvata neanche una leggina che garantirebbe loro una boccata d'ossigeno. Una leggina, come al solito, superflua, perché anche questa materia è di competenza dell'Autorità per le garanzie nelle comunicazioni (vedi Dal decreto "ammazzaprovider" alle sviste del DDL "salvaprovider").