Internet point, istruzioni per l'uso

di Corrado Giustozzi - 21.09.05

Ancora non si erano smorzati i tristi echi delle esplosioni di Londra che il nostro governo varava prontamente un decreto legge, un po' isterico, intitolato Misure urgenti per il contrasto del terrorismo internazionale, meglio noto come "pacchetto Pisanu" dal nome del Ministro dell'interno che lo ha predisposto. Assieme a molte norme più strettamente relative a tematiche di ordine pubblico e di polizia giudiziaria, il decreto (così come successivamente modificato in sede di conversione in legge) ha introdotto una serie di obblighi a carico dei "fornitori di una rete pubblica di comunicazioni o di un servizio di comunicazione elettronica accessibile al pubblico", finalizzati essenzialmente a prolungare i limiti della data retention, ossia della conservazione dei dati di traffico degli utenti; ed ha stabilito altresì alcune "norme integrative della disciplina degli esercizi pubblici di telefonia e internet", tra cui l'obbligo della preventiva autorizzazione di polizia e dell'acquisizione e conservazione dei dati delle attività dei clienti.

Pochi giorni dopo, proprio a cavallo di ferragosto, un decreto del Ministro dell'interno stabiliva le ulteriori specifiche norme per la "preventiva acquisizione di dati anagrafici dei soggetti che utilizzano postazioni pubbliche non vigilate per comunicazioni telematiche", ovvero essenzialmente i clienti degli Internet-cafè e, come ha specificato la successiva circolare interministeriale, anche delle strutture ricettive (alberghi, campeggi...).

Altri e ben più autorevoli commentatori hanno già espresso su queste stesse pagine le loro valutazioni in merito alla valenza giuridica di tali norme ed alle loro conseguenze sul piano del diritto, in particolare per quanto riguarda la sussistenza o meno di un effettivo bilanciamento tra la restrizione delle libertà personali che esse comportano e l'apporto di un reale beneficio alla collettività in termini di prevenzione o repressione di attività criminali o terroristiche da parte di qualcuno (vedi Libertà e sicurezza: un binomio impossibile? di Manlio Cammarata e Internet più aperta per combattere il terrorismo  di Giovanni Ziccardi). Non affronterò dunque questo tema, anche perché non è il solo degno di commento. 

Infatti, al di là dei giudizi di merito, resta il fatto che le norme del "pacchetto Pisanu" sono ormai indiscutibilmente legge dello Stato e dunque "è fatto obbligo a chiunque spetti di osservarle e farle osservare". Ma ciò non appare cosa facile, soprattutto per quanto riguarda le prescrizioni più operative in termini tecnologici che esse impongono ai loro destinatari. Il problema, come sempre in casi del genere, è duplice, ed attanaglia chi non sia né un avvocato né un tecnico: da un lato si tratta infatti di comprendere ciò che realmente dicono le norme, al di là del "legalese" nel quale sono inevitabilmente redatte; e dall'altro di stabilire come tecnicamente realizzare nella pratica un sistema che recepisca e rispetti il mandato delle norme stesse. Tentiamo dunque in queste poche righe di rileggere le norme principali del "pacchetto" col pensiero rivolto a chi, riconoscendosi tra i soggetti destinatari. non sa che pesci pigliare. E proviamo a fornire loro indicazioni ragionevolmente pratiche su come comportarsi, nei limiti di una imparziale lettura preventiva della legge ("ci sarà giurisprudenza", dicono i miei amici avvocati in situazioni del genere.).

È d'uopo tuttavia iniziare con una constatazione preliminare, che non è un disclaimer come quelli che si trovano nelle licenze del software, ma rispecchia un reale anche se imbarazzante stato di cose. In generale può capitare, e spesso invero capita, che una norma di legge pensata per attuare un certo concetto finisca poi, per via della sua particolare formulazione pratica, a significare tutta un'altra cosa. Ciò, se si vuole, rappresenta un po' il contrappasso giuridico di quel famosissimo principio dell'informatica il quale stabilisce che "un computer non fa ciò che vorresti che facesse, bensì ciò che gli hai detto di fare". Ebbene, a mio avviso il "pacchetto Pisanu" soffre in modo particolare di questo vizio di forma: si percepisce infatti chiaramente quale ne era lo scopo astratto e quali gli obiettivi che intendeva perseguire, ma la sua lettura attenta e letterale porta sorprendentemente a conclusioni affatto differenti da quelle presumibilmente auspicate dal legislatore.

Naturalmente a questa intrinseca difficoltà interpretativa si vanno a sommare tutte le pseudo-interpretazioni di sedicenti esperti che hanno iniziato a circolare in Rete sin dai primi giorni successivi alla pubblicazione delle norme, e che hanno gettato uno sconfortante velo di disinformazione su tutta la vicenda. È triste ad esempio constatare come ancora vi sia chi faccia confusione tra "dati di traffico" e "contenuto della comunicazione", il che equivale ed equivocare (ma magari a bella posta.) tra i concetti di "tabulato di traffico" e "intercettazione della chiamata". Già è difficile valutare in modo sereno e distaccato questo decreto così com'è, figurarsi se poi si inizia anche a fare confusione sui concetti.

Lasciamo dunque perdere i "dati di traffico", per i quali sostanzialmente non cambia nulla se non la durata della conservazione, e occupiamoci invece delle tanto discusse norme a carico dei "titolari o gestori di un esercizio pubblico o di un circolo privato di qualsiasi specie" nel quale "sono posti a disposizione del pubblico, dei clienti o dei soci apparecchi terminali utilizzabili per le comunicazioni, anche telematiche". Si tratta, inequivocabilmente, degli Internet-cafè o locali assimilati, nonché di quei luoghi o locali pubblici, quali ad esempio aeroporti e biblioteche, ove si trovino "totem" mediante i quali i visitatori possano navigare in Rete. I gestori di tali locali devono adottare misure per il "monitoraggio delle operazioni dell'utente e per l'archiviazione dei relativi dati", nonché per la "preventiva acquisizione di dati anagrafici riportati su un documento di identità dei soggetti che utilizzano postazioni pubbliche non vigilate per comunicazioni telematiche ovvero punti di accesso ad Internet utilizzando tecnologia senza fili.". Tali misure, solo preannunciate nel DL 144 (art. 7, comma 4), sono meglio specificate nel successivo DM 16 agosto 2005 che le dettaglia lungo cinque articoli dal forte impatto pratico.

Vediamo innanzitutto i concetti, per scendere poi alle problematiche implementative. Appare intanto evidente che nella mente del legislatore l'esigenza primaria da soddisfare sia quella di poter identificare tutti i soggetti aventi accesso alla Rete per il tramite di un locale pubblico e di poter associare, in modo certo ed univoco, a ciascuno di essi i dati salienti della sua navigazione in Rete. Ciò in piena analogia rispetto a come si fa col traffico telefonico. Quindi i "dati di traffico" da rilevare e memorizzare sono: data ed ora della comunicazione, "con chi" il soggetto ha comunicato, in che modalità. È in ogni caso escluso il contenuto della comunicazione, ossia il "cosa" ha detto o ricevuto. Inoltre il soggetto in questione deve essere identificato, mediante documento di riconoscimento, prima di poter iniziare la comunicazione. Il titolare deve acquisire tutte queste informazioni, sia quelle sull'identità dei clienti sia quelle sulla loro navigazione, in forma elettronica; e deve conservarle inalterate ed inalterabili, nonché inaccessibili a terzi, per la durata prevista dalla legge, salvo presentarle a richiesta alle autorità aventi titolo di esaminarle.

Questo castello concettuale, tutto sommato semplice e comprensibile, finisce tuttavia per sgretolarsi quando lo si esamini più da vicino, creando una notevole e spinosa serie di problemi pratici di non immediata soluzione.
Innanzitutto una "sessione" TCP/IP non è come una telefonata: nell'ambito di una medesima sessione ad alto livello, infatti, possono essere attivi più canali di comunicazione a basso livello, contemporanei ed indipendenti, eventualmente diretti anche a destinatari diversi (è il comunissimo caso di una pagina Web in cui le immagini vengano caricate mediante link a siti esterni a quello che contiene il testo). Cos'è dunque su Internet la "comunicazione"? Di cosa, ed a che livello di dettaglio tecnico, si deve tenere traccia? Nelle intenzioni del legislatore probabilmente c'è solo la semplice nozione "il soggetto X il giorno Y all'ora Z ha visitato il sito W"; ma purtroppo spesso questa descrizione "ad alto livello" è solo un'astrazione concettuale, difficilmente desumibile in modo sintetico dai reali e numerosi log prodotti dagli apparati di rete.

Diverso è, in effetti, il caso della e-mail: in generale è facile dai comuni log ottenere le "informazioni di traffico" relative alle e-mail inviate e/o ricevute (ossia mittente, destinatario, orario), in quanto lo scambio di e-mail, se effettuato per il tramite di un normale client di posta locale quale Outlook, Thunderbird o Eudora, è un processo "atomico" ed univoco. Peccato però che gli Internet-cafè o i totem pubblici non consentano quasi mai di utilizzare client locali! Invece dagli Internet-cafè i server di posta vengono di solito raggiunti utilizzando la loro interfaccia Web-mail (come quella di Yahoo o GoogleMail), la quale tuttavia per gli apparati di rete locali è una pagina Web come un'altra, e non consente in alcun modo di capire che l'utente sta leggendo o inviando una e-mail (a meno di non intercettare ed interpretare tutto il contenuto della sessione, cosa tuttavia esplicitamente non consentita).

C'è inoltre nella mente del legislatore un altro assunto che, se è vero nel mondo della telefonia, non lo è più in quello Internet: la univoca identificabilità dell'apparato origine della comunicazione (e dell'utente che gli sta dietro). Ma se nel mondo telefonico ad ogni apparecchio è associato uno ed un solo numero identificativo, nel mondo del TCP/IP questo non è accade quasi mai. Infatti, per motivi tecnici che qui sarebbe troppo lungo esaminare, tutti i computer di un Internet-cafè (o di una qualsiasi organizzazione) si "presentano" sulla rete con un solo identificativo legato all'organizzazione stessa e non ai computer interni di cui dispone (tecnicamente è l'indirizzo IP assegnato dal provider all'interfaccia esterna del router dell'organizzazione). Questo processo si chiama NAT (Network Address Translation) e, benché utilizzato essenzialmente per motivi di efficienza, di fatto nasconde all'esterno le identità dei singoli computer interni conferendo un relativo anonimato alle azioni da essi svolte. Il gestore del locale, dunque, non può ottemperare del tutto allo spirito della legge in quanto non è materialmente in grado di poter identificare univocamente e con certezza chi abbia fatto qualcosa in rete nel caso in cui vi sia coincidenza di azioni da parte di più computer locali.

Accenniamo poi solo alla difficoltà tecnica, tutt'altro che banale, di registrare e mantenere i dati "con modalità che ne garantiscano l'inalterabilità e la non accessibilità da parte di persone non autorizzate". Idealmente potrebbe sembrare sufficiente registrare periodicamente i log su CD per garantirsi l'inalterabilità, e mettere i CD in un armadio chiuso a chiave per tutelarne l'inaccessibilità. Ma quanto devono essere inalterabili i dati, e soprattutto quando? È sufficiente salvare i log ad esempio una volta al giorno? Essi però non sono inalterabili finché risiedono ancora sul PC ove sono stati raccolti! E allora? Occorre forse mettere su un sistema di firma digitale dei log, come quello richiesto ai certificatori di firma digitale, per cui ogni registrazione appena generata viene firmata digitalmente e "congelata" così in uno stato legalmente inalterabile? Sembra un po' eccessivo, ma a rigore di termini non sembra esservi possibilità di deroga.

Dal punto di vista operativo, inoltre, la norma impone un altro "compito impossibile": la preventiva identificazione di tutti coloro che accedono ad un "hot-spot" di un sistema Wi-Fi pubblico. Si tratta in pratica di una vera e propria contraddizione in termini: un "hot-spot", infatti, serve proprio a consentire l'accesso alla rete di utenti non identificati a priori! Pensiamo agli "hot-spot" esistenti all'interno delle sale di attesa degli aeroporti, o di quelli in fase di installazione in molti luoghi aperti e pubblici delle nostre città: non è facile, in modo pratico, identificare preventivamente gli utenti, e soprattutto impedire l'accesso a quelli non identificati. Si può certamente fare, ma l'onere gestionale della cosa è talmente pesante che probabilmente non vale la candela, ed il gestore sarà piuttosto motivato a sopprimere l'"hot-spot" che non ad implementare i controlli di legge. Con buona pace della diffusione di Internet presso il grosso pubblico.

Rimane tuttavia un ultimo punto controverso: chi è soggetto alla legge? Ancora una volta, sembrerebbe di poter dire che il legislatore volesse coprire tutte quelle forme di accesso pubblico estemporaneo, ossia non la clientela residenziale dei provider né quella stanziale delle aziende, e neppure quella "di passo" ma identificata tipica ad esempio degli alberghi. Leggiamo tuttavia attentamente il testo: le norme si applicano ai "titolari o gestori di un esercizio pubblico o di un circolo privato di qualsiasi specie nel quale sono posti a disposizione del pubblico, dei clienti o dei soci, apparecchi terminali utilizzabili per le comunicazioni, anche telematiche, esclusi i telefoni pubblici a pagamento abilitati esclusivamente alla telefonia vocale".

Il discrimine è l'apparecchio terminale posto dal gestore a disposizione del pubblico, come tipicamente avviene negli Internet-cafè e locali assimilabili. Ma laddove non ci sia il terminale la legge non si applica, anche se c'è la possibilità di accedere alla Rete con un apparecchio proprio! Il modem o il router non sono "apparecchi terminali", quindi la sola presenza di un impianto di rete locale con connessione ad Internet a una prima lettura non è sufficiente per far scattare le norme della legge. E dunque la biblioteca che metta a disposizione di propri utenti semplicemente la presa di rete, alla quale essi possano collegare i propri computer portatili e navigare, sembrerebbe esclusa dal "pacchetto Pisanu". Ma è possibile anche l'interpretazione contraria, come ci spiega Daniele Coliva in Quali obblighi per le attività ricettive?...