|
Come ALCEI aveva evidenziato nel comunicato del 18 settembre
2005 - Repressione
dei diritti civili con il pretesto del terrorismo, il "pacchetto Pisanu"
emanato sull'onda emotiva provocata dall'attentato terroristico alla
metropolitana di Londra ha poco a che vedere con la prevenzione del terrorismo e
molto con l'ennesimo "giro di vite" a danno delle libertà civili di
cittadini e imprese.
Questo documento - che completa il comunicato del 18 settembre 2005 - ne
riprende i temi e ne approfondisce gli aspetti normativi, evidenziando come il
"pacchetto Pisanu" sia afflitto da imprecisioni giuridiche, scarsa
consapevolezza tecnico-informatica e ridondanze procedurali che,
paradossalmente, rendono più complesso il lavoro degli investigatori e non
aumentano la sicurezza del paese.
Venendo al merito della questione è possibile affermare che
il meccanismo applicativo del "pacchetto sicurezza" ruota attorno a due
cardini:
- l'imposizione dell'obbligo di conservazione dei dati di traffico "circostanziali"
- l'estensione spropositata di obblighi e controlli di "polizia
amministrativa" anche alle associazioni e ai comitati - fenomeni associativi
impropriamente definiti "circoli privati" - in modo da rendere
praticamente applicabile l'obbligo di licenza anche ai singoli cittadini.
Cominciamo da questo secondo argomento: dal punto di vista
dei soggetti destinatari dell'obbligo di conservazione e di messa a
disposizione dei dati di traffico è abbastanza chiaro che l'art. 7 c. I DL
144/05 convertito in legge dalla L.155/05 si applica agli esercenti attività
commerciali nel settore delle telecomunicazioni (e dunque: internet point, call
center, internet café).
I problemi sorgono, invece, con l'estensione degli obblighi ai "circoli
privati di qualsiasi specie", "entità" che non rientrano fra i soggetti
di diritto. Il codice civile, infatti, individua agli articoli da 36 a 42 delle
realtà - associazioni non riconosciute e comitati - che pur non avendo
personalità giuridica sono comunque, seppur con le note limitazioni, soggetti
di diritto. Dunque, dove il decreto Pisanu parla di "circoli privati" si
dovrebbe leggere, più correttamente, "associazioni non riconosciute" o,
appunto, "comitati"; con le paradossali conseguenze che si evidenziano nelle
prossime righe.
Un'associazione non riconosciuta - dice il codice civile
- nasce senza bisogno di particolari formalità, per il solo fatto che due o
più persone decidano di operare per il raggiungimento di un obiettivo. Ne
deriva quindi che qualsiasi tipo di associazione non riconosciuta - anche
quelle parrocchiali o sportive - che per qualsiasi ragione dovessero
consentire ai propri aderenti l'uso di un computer collegato all'internet
dovrebbero richiedere la licenza al questore e accettare che - senza mandato
del magistrato - la polizia possa accedere al domicilio privato adibito a "sede"
per eseguire "controlli amministrativi".
Si tratta, evidentemente, di una limitazione irragionevole,
ingiustificata e pericolosissima della libertà di associazione e della
inviolabilità del domicilio. Il decreto Pisanu non collega la licenza di
polizia - come nel caso della licenza amministrativa per la somministrazione
di alimenti e bevande nei "circoli privati" - al particolare scopo
associativo e alla particolare modalità con la quale questo scopo viene
perseguito (e anche se questo facesse, nel caso dell'internet, ci sarebbe
comunque da discutere). Ma limita indiscriminatamente la libertà di qualsiasi
cittadino che si collega all'internet tanto da spingere a domandarsi se quella
del terrorismo non sia altro che una "scusa".
Veniamo ora alla questione "data retention". Anche qui le
norme sono scritte in modo confuso e impreciso, lasciando spazio a
interpretazioni differenti rispetto alla tipologia dei dati da conservare e ai
servizi di cui si dovrebbero conservare le attività.
Va premesso che la data retention è una soluzione culturalmente
sbagliata e inefficiente dal punto di vista delle indagini, perché trasmette
agli investigatori una falsa sensazione di sicurezza, ma non consente di
rintracciare soggetti criminali adeguatamente motivati e tecnicamente preparati
(cioè i più pericolosi). La realtà - come pure dice quasi "vergognandosi"
il decreto Pisanu - è che i dati così conservati servono anche per le
indagini che non riguardano i terroristi (non si può interpretare diversamente
quella parte dell'art.6 comma I che recita: "i dati del traffico.possono
essere utilizzati esclusivamente per le finalita' del presente decreto-legge,
salvo l'esercizio dell'azione penale per i reati comunque perseguibili.").
Dunque, benché ci sia un ovvio, diffuso - e identificato -
interesse a sostenere che l'obbligo di conservazione dei dati si applichi
estensivamente a qualsiasi "servizio di comunicazione elettronica", in
realtà questo non è vero.
E' infatti possibile affermare che i "dati circostanziali" da conservare
obbligatoriamente sono soltanto quelli relativi ai servizi di comunicazione
(e-mail, chat, instant messaging), mentre restano fuori dalla retention quelli
relativi alla consultazione passiva di risorse (navigazione e lettura di
newsgroup) o di pubblicazione di contenuti (ftp).
Si giunge a questa conclusione considerando che l'art.6 della
L.155/05 impone la data retention per "dati del traffico telefonico o
telematico, anche se non soggetti a fatturazione, e gli stessi, esclusi comunque
i contenuti delle comunicazioni, e limitatamente alle informazioni che
consentono la tracciabilità degli accessi". Questa interpretazione è
confermata dal successivo decreto ministeriale 16 agosto 2005, il cui art. 1
dice chiaramente che gli obblighi valgono per "i titolari o gestori di un
esercizio pubblico o di un circolo privato di qualsiasi specie nel quale sono
poste a disposizione del pubblico, dei clienti o dei soci, apparecchi terminali
utilizzabili per le comunicazioni, anche telematiche." Ribadisce il concetto l'art.2
del decreto (monitoraggio delle attività), che fa nuovamente riferimento alla
"comunicazione" come oggetto degli obblighi di retention. Si legge infatti
nella norma: "I soggetti di cui all'art. 1 adottano le misure necessarie a
memorizzare e mantenere i dati relativi alla data ed ora della comunicazione e
alla tipologia del servizio utilizzato, abbinabili univocamente al terminale
utilizzato dall'utente, esclusi comunque i contenuti delle comunicazioni".
Quindi il concetto è che andrebbero conservati solo i dati
di quella tipologia di traffico che rientra nella categoria
"comunicazione", cioè - per semplificare - tutto ciò che è
protetto dall'art. 15 della Costituzione; mentre sarebbero esclusi tutti quei
servizi - come la pubblicazione di file o la diffusione/messa a disposizione
di contenuti - che rientrano nell'art. 21.
Prendiamo atto con soddisfazione, invece, che l'art. 2 del
DM 16 agosto 2005 recepisce finalmente - seppur in piccola parte - la
necessità di conservare i dati garantendone la non alterabilità e la non
accessibilità a terzi non autorizzati. Da anni ALCEI si batte perché i
tribunali riconoscano la dignità di "prova" processuale solo a dati e log
di sistema generati, manipolati e custoditi con adeguate cautele e non a
qualsiasi file di testo, magari stampato su un normale foglio di carta. Con l'entrata
in vigore di questa norma, invece, si registra un primo, piccolo ma
significativo cambio di rotta. E' evidente, infatti, che ben difficilmente i
dati circostanziali di traffico potranno avere un valore probatorio se non
saranno conservati seguendo almeno le minime indicazioni del decreto
ministeriale. Ben altro ci sarebbe da fare per realizzare compiutamente il
sistema processuale della "prova informatica", ma quantomeno cominciano a
esserci delle norme che vanno nella direzione giusta.
E', viceversa, grave il presupposto politico-giuridico su
cui si basa il pacchetto Pisanu e che tramite l'eliminazione dell'anonimato,
porterà alla messa al bando - o al sostanziale ridimensionamento - dell'utilizzo
di sistemi crittografici.
Fin dalla sua costituzione, risalente al 1994, ALCEI si è fatta portatrice di
un approccio sull'anonimato che, successivamente, è stato definito "anonimato
protetto" (una formula per la quale il provider - e solo il provider - si
fa garante della reale identità dell'abbonato e che comunicherà alla
magistratura solo in caso di commissione di atti illeciti). Ma il pacchetto
Pisanu sposa un approccio ciecamente repressivo che non tiene conto della
decennale elaborazione giuridica sul tema e implica di fatto, la potenziale
messa al bando di tutti quei servizi (anonymous remailer, anonymous surfing, ma
anche VPN) che si basano sulla crittografia forte e che costituiscono, oltre che
uno strumento per la tutela delle libertà civili, un importante componente per
la protezione delle infrastrutture critiche di un paese.
Il pacchetto Pisanu potrebbe essere interpretato nel senso di
vietare quei servizi che non consentono la conservazione dei dati circostanziali
di traffico o che ne producono di inutili: ne conseguirebbe la messa fuori legge
anche degli strumenti che consentono di realizzare il risultato e dunque, in
ultima analisi, della crittografia.
Non sarebbe certo una novità, visto che si tentò senza successo il "colpo di
mano" già con il famigerato "decreto Urbani" sul peer-to-peer (vedi http://www.alcei.org/index.php/archives/4).
Ma ora - a differenza di allora - il Parlamento è riuscito a muovere il
primo passo verso quello che sembra un obiettivo "segnato": la sostanziale
limitazione dei diritti civili nella società dell'informazione.
|
Pagina stampabile
