Sul numero precedente abbiamo esaminato alcuni aspetti generali della
cosiddetta "legge
Pisanu", soffermandoci in particolare sui rischi per la
riservatezza e sui problemi della "libertà digitale" che viene
fortemente limitata dalle disposizioni che impongono licenze di polizia e registrazione delle
attività on line.
Ma la legge è legge e va rispettata: è la condizione necessaria per la
sopravvivenza della società civile. Per questo è necessario leggerla con
attenzione e cercare di interpretarla e applicarla, ciascuno per la sua parte.
E a questo punto incominciano altri problemi, perché il decreto-legge modificato, il
decreto ministeriale e anche la circolare che dovrebbe spiegarli sono
l'ennesimo prodotto di una legislazione giunta ormai a un livello di oscurità,
incoerenza e inesattezza che fanno sembrare lontanissimi i tempi in cui il
nostro Paese veniva chiamato "la patria del diritto".
Le contorsioni del testo, i rimandi, le perifrasi, l'uso inappropriato di
termini tecnici rendono in molti casi difficile, se non impossibile, capire le
norme e applicarle. L'intenzione del legislatore è chiara: conservare i dati
per sapere "chi-ha-fatto-cosa" in un determinato momento. Ma quando si
vanno a esaminare i singoli adempimenti a volte non si capisce che cosa
prescriva la legge. Ecco un esempio: l'art. 5, c. 1 b) del decreto ministeriale
16 agosto 2005 precisa che le disposizioni del decreto stesso non si applicano
"all'offerta di servizio fax salvo che si utilizzino tecnologie a
commutazione di pacchetto (voip)". Dunque il tabaccaio o il cartolaio che
offrono il servizio fax sulla normale linea telefonica analogica non sono soggetti
all'autorizzazione di polizia e all'obbligo di identificare il cliente e
conservare i dati di traffico. Insomma, se dovete mandare un fax a Bin Laden,
andate da un tabaccaio che non vi conosce.
La norma di esclusione contiene una precisazione e una precisazione della
precisazione: la prima è "salvo che non si utilizzino tecnologie a
commutazione di pacchetto". Che significa? Il protocollo del facsimile
prevede solo la tecnologia "a commutazione di circuito", cioè
punto-punto (non rileva, ai fini della legge, la modalità trasmissiva adottata
dai fornitori di rete nei passaggi intermedi). Anche quando il fax viene spedito
da un PC invece che da un apparecchio telefonico, la trasmissione è "a
commutazione di circuito" e solo se il documento viene spedito attraverso
un sistema di posta elettronica si ha la commutazione di pacchetto: ma in questo
caso valgono le norme per l'e-mail.
Ed ecco la precisazione della precisazione: "(voip)", che non ha
senso, o quasi. Trasmettere e ricevere fax con questo sistema è possibile solo
in teoria perché in pratica ci sono difficoltà tecniche quasi insormontabili.
Partendo da queste premesse sono perfettamente giustificate le numerose
richieste di chiarimenti giunte in questi giorni. Cerchiamo di rispondere, nei
limiti del possibile, alle più frequenti.
FTP
Il File Transfer Protocol (FTP) è un protocollo dell'internet (come lo
sono HTTP, POP, SMTP e tanti altri), molto utilizzato, che serve per il
trasferimento di file di qualsiasi genere. La domanda è se anche questo
"servizio" sia soggetto agli obblighi della "legge Pisanu".
L'imprecisione tecnica delle norme rende difficile la risposta, perché a una
prima lettura anche per l'FTP sono generati "dati di traffico" (quale
server si collega a quale altro), e quindi la conservazione sarebbe
obbligatoria. D'altra parte non si tratta di "comunicazioni", intese
come scambio di contenuti tra soggetti identificati, sicché potrebbero non
rientrare nell'ambito della legge (vedi il comunicato di
ALCEI del 18 settembre).
VOIP
Il VOIP (Voice Over the Internet) è la telefonia vocale via internet, che
sfrutta i protocolli "a commutazione di pacchetto" dell'internet
invece della "commutazione di circuito" della telefonia tradizionale.
Per la sua natura sostanziale a questo servizio si applicano le disposizioni
della legge, ma per le sue caratteristiche tecniche la raccolta dei dati è
praticamente impossibile: all'attivazione e durante una telefonata via internet
si apre una incontrollabile quantità di connessioni e i server che gestiscono
le chiamate possono essere all'estero, sfuggendo quindi alle maglie della legge.
Ma non è difficile solo la raccolta dei dati di traffico: anche
l'intercettazione è un problema che fa passare notti insonni ai tutori della
legge, perché le conversazioni sono cifrate automaticamente nella maggior parte
dei casi.
Web mail
La posta elettronica, in entrata e in uscita, può essere gestita sia con gli
specifici protocolli (POP3 in ricezione e SMTP in trasmissione) sia con il
protocollo IMAP (Internet Message Access Protocol). Nel primo caso i log
dei server POP3 e SMTP - o gli header (interstazioni) dei messaggi - sono
i dati da conservare. Nel secondo l'acquisizione delle informazioni è
praticamente impossibile (vedi l'articolo di Corrado Giustozzi Internet point, istruzioni per l'uso). La stessa
situazione di verifica per i servizi di chat che utilizzano client
web. Un "buco" non indifferente, anche perché interessa soprattutto
gli internet point.
Server e-mail e web su reti private
Ci sono moltissimi casi di aziende e studi professionali che non si servono dei
sistemi di posta elettronica di
un internet service provider, ma hanno "in
casa" i server.
Poiché le norme anti-terrorismo si applicano ai fornitori di servizi di
telecomunicazioni o a chi offre l'accesso all'internet a clienti (internet point,
strutture ricettive) o a soci (circoli privati), per i dati di traffico generati
dai server di privati non c'è l'obbligo di conservazione e, tantomeno, di
autorizzazione di polizia. Non è pensabile di sottoporre ad autorizzazioni di
polizia e controlli anche i server dei privati e questo è un altro
"buco" notevole, e ineliminabile, del "pacchetto sicurezza".
Anonymous remailer
Come si fa con gli anonymous remailer? Gli anonymous remailer
sono quei server che, attraverso un certo numero di passaggi,
"nascondono" più o meno definitivamente l'indirizzo del mittente di
un messaggio. Un server di questo tipo genera a bella posta dei file log del
tutto inutili per risalire all'origine delle e-mail trasmesse, quindi non ci
sono dati da conservare. E allora, poiché la conservazione dei dati è
obbligatoria (se il titolare del server rientra nelle categorie previste dalla
legge), se ne deduce che gli anonimous remailer sono di fatto vietati. Un
divieto peraltro inutile, poiché di solito questi server sono all'estero. Un
altro "buco".
Acquisizione e conservazione dei dati
Dei rischi che derivano dalla indiscriminata conservazione di una gigantesca
quantità di di dati da parte di troppi soggetti abbiamo parlato nel già citato
articolo del 12 settembre.
Ma ci sono difficoltà più... terra-terra: per esempio, i documenti dei clienti
(o dei soci, nel caso di circoli privati), non possono essere fotocopiati, ma
devono essere acquisiti con lo scanner. Infatti il decreto ministeriale prevede
che i dati vadano raccolti e conservati con modalità informatiche ed
essere resi disponibili anche per via telematica
al Servizio polizia postale e delle comunicazioni.
Per quanto riguarda il rispetto della normativa sui dati personali, si veda
l'articolo La legge Pisanu e le norme sulla privacy.
Internet point, alberghi, circoli privati, hot spot...
Si vedano gli articoli Internet point, istruzioni per l'uso di Corrado
Giustozzi e Quali obblighi per le attività ricettive? di Daniele
Coliva.
In conclusione - e sperando che qualcosa non ci sia sfuggito nella lettura
delle norme - è stato messo in piedi un gigantesco sistema di controllo, che
limita la libertà dei cittadini onesti e impone pesantissimi oneri agli
operatori, ma è così pieno di buchi che può servire solo a prendere qualche
terrorista particolarmente stupido. Ne vale la pena?
|
Pagina stampabile
