Category Archives: Privacy

Cameron attaccando la crittografia ambisce a un potere senza controllo

Agendadigitale.eu pubblica un intervento di ALCEI sulle richieste dei governanti europei dirette all’indebolimento delle protezioni crittografiche.
Questo è il testo diffuso da ALCEI:

L’idea del premier inglese David Cameron di bloccare servizi di comunicazione che sfruttano la crittografia non deve sorprendere. Il dibattito sulla crittografia si trascina stancamente da oltre vent’anni sempre negli stessi termini, fin da quando nel 1991 Phil Zimmermann sfidò il governo americano esportando il codice sorgente di PGP, il “padre” dei sofwtare crittografici.

Da un lato, i protettori dell’ordine costituito non perdono occasione di creare allarme sostenendo che la crittografia forte (quella senza “passepartout” che consentono di aggirare le protezioni dei messaggi) aiuta delinquenti, terroristi e pedofili.

Dall’altro, i paladini dei diritti civili che rispondono evidenziando che la crittografia debole (quella con il passepartout) indebolisce la sicurezza degli individui e non impedisce ai malintenzionati di usarne di più forte.

In mezzo, spregiudicati venditori di olio di serpente escono periodicamente sul mercato proponendo l’ennesimo algoritmo “proprietario” che garantisce massima sicurezza (anche se nessuno lo può collaudare perchè è “segreto”), o un rivoluzionario sistema di crittografia che può essere violata solo dai governi.

Ogni occasione è buona per cercare di far pendere la bilancia a favore dell’una o dell’altra tesi. Le rivelazioni di Assange e Snowden hanno dato fiato ai sostenitori della crittografia, il massacro di Charlie Hebdo ha consentito ai governanti di rimettere sul tavolo proposte di messa al bando della crittografia forte, in un continuo di corsi e ricorsi (anzi, “cicli e ricicli” come disse in un’intervista televisiva una nota soubrette).

La realtà, tuttavia, è molto più magmatica di quanto le posizioni radicalizzate dei due schieramenti (pro e contro la crittografia) lascino o possano intendere.

La crittografia è una branca della matematica ed è fatta di algoritmi che devono essere “tradotti” in software e poi fatti funzionare da computer o da apparati specializzati.

In ciascuno di questi passaggi si annida la possibilità di compiere errori che potrebbero anche sovrapporsi. Basta pensare al fatto che non esistono software privi di difetti e quante più sono le linee di codice che li compongono, tanto più aumento la probabilità che ci siano degli errori. E’ ciò che rende possibile la tanto diffusa attività di bug-hunting che, di tanto in tanto, guadagna gli onori della cronaca generalista quando viene scoperta questa o quella vulnerabilità di una piattaforma online o di un software molto utilizzato. Anche se si tratta di PGP o di TrueCrypt.

La potenza di calcolo e i metodi di crittanalisi a disposizione di chi ha veramente necessità di “rompere” protezioni crittografiche sono cresciute oltre l’immaginabile e chiavi o passphrase che qualche anno fa garantivano “millenni” di inviolabilità ora sono relativamente fragili.

Dall’altro lato, è anche vero che in certi casi il tempo necessario a rompere la protezione di un testo cifrato con un algoritmo non particolarmente robusto potrebbe fare la differenza fra la vita e la morte di un ostaggio o di una persona sequestrata e quindi sarebbe auspicabile che la crittografia non fosse così facilmente disponibile.

Ma seguendo questa linea di pensiero, allora dovremmo eliminare dalle nostre case trapani, martelli, coltelli da cucina e altri attrezzi pericolosi che spessissimo vengono utilizzati per commettere crimini efferati.

Stranamente, però, mentre sono disponibili i dati dei reati commessi utilizzando questi strumenti fisici, non ci sono ancora studi attendibili e imparziali che dimostrino se e in che modo la disponibilità di crittografia abbia impedito di individuare colpevoli oppure ostacolato indagini.

In tutti i convegni ai quali ho partecipato negli ultimi vent’anni, quando veniva fuori questo argomento, chi lo sosteneva non è mai stato in grado di “dare i numeri”, rifugiandosi dietro l’impossibilità di diffondere “informazioni riservate” o di “sicurezza nazionale”.

E’ evidente che le democrazie moderne che obbediscono a una logica di tipo hobbesiano secondo la quale il cittadino è un “nemico” e i totalitarismi di stampo kantiano basati sul concetto di Stato etico che “sa” cosa è bene per i propri cittadini sono infastiditi da una protezione difficile (attenzione, difficile, non impossibile) da aggirare.

Come è evidente che le prove storiche non consentono ai cittadini di “fidarsi” di chi dichiara di fare la “cosa giusta”.

Come se ne esce?

La soluzione è semplice ma impraticabile: rispondere alla antica domanda “Chi controlla i controllori?”

Il problema di Prism, Echelon e di tutte le varie incarnazioni dei progetti di sorveglianza globale che vedono nella libera disponibilità di crittografia forte il proprio nemico, è che partono dal presupposto di esercitare un potere senza alcuna forma di controllo efficace ed effettivo. Se, come diceva Spiderman, da un grande potere derivano grandi responsabilità, allora è semplicemente inaccettabile chiedere “atti di fede” ai cittadini, senza dare loro la possibilità di controllare in che modo sono stati utilizzati questi “poteri straordinari”.

E dunque, in attesa che gli Stati emanino leggi che oltre a dare loro poteri, attribuiscono i corrispondenti diritti ai cittadini, non resta che continuare a giocare alla solita, eterna rincorsa: da un lato si costruiscono algoritmi sempre più complessi, dall’altro si cercano metodi per violarli.

Così è stato, così è, così sarà sempre.

Il Garante per la protezione dei dati personali apre un’istruttoria sul caso segnalato da ALCEI

INTERNET: PRIVACY, SU SOFTWARE SPIA AVVIATA ISTRUTTORIA
(V. INTERNET: DOPO IPHONE, SOFTWARE SPIA… DELLE 13.50)
(ANSA) – ROMA, 1 DIC – ”Abbiamo aperto un’istruttoria per analizzare meglio queste segnalazioni, faremo anche verifiche sui telefonini in Italia”: cosi’ il presidente del Garante
della Privacy, Francesco Pizzetti, si esprime in merito alla notizia di un software, scoperto da uno sviluppatore americano, che traccerebbe milioni di telefonini e anche i messaggi di
testo.
”Un conto sono i software finalizzati a ottimizzare il servizio e a garantire le performance degli apparecchi – aggiunge Pizzetti – un conto quelli che tracciano percorsi e men
che meno quelli che registrano messaggi. Cercheremo di approfondire queste tematiche e faremo verifiche sui telefonini anche in Italia”. (ANSA)
SAM 01-DIC-11 16:50

Comunicato ALCEI del 17 luglio 2009

Ancora una volta il diritto d’autore
è la scusa per violare i diritti dei cittadini

Fra le misure previste dal decreto anticrisi annunciato dal Governo, merita una speciale menzione l’art. 15 comma I lett. c) che estende il vigore del decreto legsilativo 231/01 anche ai casi di violazioni del diritto d’autore. Il d.lgs. 231/01 stabilisce la responsabilità penale dell’impresa che non dimostra di avere fatto tutto il possibile per evitare che un proprio manager commettesse determinati reati. Concepita originariamente per sanzionare le frodi fiscali e finanziarie, questa normativa è diventata un vero e proprio “sistema” per estendere alle aziende le conseguenze degli illeciti commessi dai dipendenti.

Benchè l’idea in quanto tale sia ampiamente condivisibile, non lo è affatto la strumentalizzazione operata da questa proposta governativa che per tutelare gli interessi delle major dell’audiovisivo costringe le aziende a incrementare il  monitoraggio dell’uso dell’internet sul posto di lavoro fino a livello francamente non tollerabili.

Il tutto, nel silenzio dell’Autorità  per la protezione dei dati personali.

Documento del 22 marzo 2005

Analisi dei contenuti del Decreto Urbani sulla criminalizzazione del Peer-to-Peer

Sintesi
La formulazione attuale della legge sul diritto d’autore consente la copia privata di un’opera protetta a fronte del pagamento preventivo di un equo compenso calcolato in percentuale sul prezzo dei supporti di memorizzazione.

La legge sul diritto d’autore non impone l’obbligo di possedere la copia-sorgente (anche perché, altrimenti, sarebbe automaticamente vietato usare il video-registratore), ma solo di realizzare in proprio la copia personale senza cederla a terzi.

Ne consegue che l’utente che si procura opere protette (anche) tramite un network Peer-to-Peer non commette illecito penale, avendo pagato a monte i diritti d’autore.  A differenza di chi mette a disposizione le opere senza averne diritto, che non può invocare alcuna giustificazione.

Il Decreto Urbani stravolge l’assetto precedente e:

o      criminalizza ingiustamente gli utenti che hanno già pagato per godere del diritto alla copia privata.

o      istituisce la responsabilità oggettiva per i provider e li obbliga a controllare e denunciare i propri utenti.

o      affida alla polizia politica (DIGOS) il compito di prevenire le violazioni sul diritto d’autore

o      stabilisce, per la prima volta, che un certo uso della crittografia è illegale “in sé”.

1 – Il regime giuridico della copia privata di materiale audiovisivo nella legge vigente

 L’art.  71-sexies della legge sul diritto d’autore stabilisce che:

“1. E’ consentita la riproduzione privata di fonogrammi e  videogrammi su qualsiasi supporto, effettuata da una persona fisica per uso  esclusivamente personale, purché senza scopo di lucro e senza fini  direttamente o indirettamente commerciali, nel rispetto delle misure  tecnologiche di cui all’articolo 102-quater.”.

La legge, inoltre, prevede un equo compenso applicato anticipatamente sul supporto di memorizzazione in modo che il titolare dei diritti venga retribuito anche per l’effettuazione della copia privata.  Questo è stabilito all’art.  71-septies secondo cui:

“1. Gli autori ed i produttori di fonogrammi, nonché i  produttori originari di opere audiovisive, gli artisti interpreti ed esecutori  ed i produttori di videogrammi, e i loro aventi causa, hanno diritto ad un  compenso per la riproduzione privata di fonogrammi e di videogrammi di cui  all’articolo 71-sexies. Detto compenso è costituito, per gli apparecchi  esclusivamente destinati alla registrazione analogica o digitale di fonogrammi  o videogrammi, da una quota del prezzo pagato dall’acquirente finale al  rivenditore, che per gli apparecchi polifunzionali è calcolata sul prezzo di  un apparecchio avente caratteristiche equivalenti a quelle della componente  interna destinata alla registrazione, ovvero, qualora ciò non fosse  possibile, da un importo fisso per apparecchio. Per i supporti di  registrazione audio e video, quali supporti analogici, supporti digitali, memorie fisse o trasferibili destinate alla registrazione di fonogrammi o  videogrammi, il compenso è costituito da una somma commisurata alla capacità  di registrazione resa dai medesimi supporti.”

 Coerentemente, quindi, l’art.171 ter (cui spetta l’individuazione delle condotte illecite) stabilisce che:

“E’ punito se il fatto è commesso per uso non personale, con la reclusione da sei mesi a tre anni e con la multa da cinque a trenta milioni di lire chiunque a fini di lucro:

a)   abusivamente duplica, riproduce, trasmette o diffonde in pubblico con qualsiasi procedimento, in tutto o in parte, un’opera dell’ingegno destinata al circuito televisivo, cinematografico, della vendita o del noleggio, dischi, nastri o supporti analoghi ovvero ogni altro supporto contenente fonogrammi o videogrammi di opere musicali, cinematografiche o audiovisive assimilate o sequenze di immagini in movimento;”

 2 – La legittimità del Peer-to-Peer

Dal momento che le norme in questione fanno esclusivo riferimento all’effet
to del comportamento (duplicazione non a scopo personale) e non alla tecnologia utilizzata se ne deduce che è consentita la copia privata comunque effettuata purchè non effettuata da terzi (art.71 sexies c.II) e nel rispetto delle misure tecnologiche di protezione (art.102 quater).

 Nel caso del Peer-to-Peer, dunque, vanno tenute ben distinte le posizioni di chi distribuisce l’opera protetta e di chi la scarica.  Il primo – se non ha acquisito il relativo diritto – commette sicuramente un atto illecito.  Ma il secondo non sta violando alcuna legge.  L’utente che scarica l’opera, infatti, la memorizza su un supporto per il quale ha già pagato a monte l’equo compenso per la duplicazione e dunque ha il diritto di fruire dell’opera per uso personale.  Una posizione, questa, sostenuta anche dal Copyright Board del governo canadese in una decisione emanata lo scorso 13 dicembre 2003 nella quale si legge testualmente:

“In questo documento non è in discussione la responsabilità di chi fa upload, distribuisce o comunica musica attraverso questi sistemi. Allo stesso modo, non è in discussione la responsabilità di chi fornisce software, gestice reti o connessioni internet. La distribuzione Peer-to-Peer sull’internet non è presa in considerazione in quanto tale dalla normativa. Su questo tema si applicano certamente le altre considerazioni in materia di copyright.  In questa sede ci stiamo occupando esclusivamente delle copie finali. La normativa non si occupa della fonte del material copiato.  Non è richiesto… che la copia-sorgente sia non illecita.  Pertanto non è rilevante sse la copia-sorgente sia un registazione pre-detenuta, un CD regalato, o un file scaricato dalla rete

 Dal punto di vista della concreta possibilità di sanzionare attività di illecita distribuzione, l’attuale normativa (peraltro incivile e vessatoria nella sua impostazione) è già ampiamente sufficiente.

3 – I contenuti del decreto-legge

 A – Le modifiche alla legge sul diritto d’autore

Il decreto-legge Urbani aggiunge alla lettera a) dell’art.171 ter che punisce chi:

“a) abusivamente duplica, riproduce, trasmette o diffonde in pubblico con qualsiasi procedimento, in tutto o in parte, un’opera dell’ingegno destinata al circuito televisivo, cinematografico, della vendita o del noleggio, dischi, nastri o supporti analoghi ovvero ogni altro supporto contenente fonogrammi o videogrammi di opere musicali, cinematografiche o audiovisive assimilate o sequenze di immagini in movimento;”

 La lettera a)bis che si applicherebbe a chi

"a-bis) in violazione dell’articolo 16, diffonde al pubblico per via  telematica, anche mediante programmi di condivisione di file tra utenti, un’opera cinematografica o assimilata protetta dal diritto d’autore, o parte di essa, mediante reti e connessioni di qualsiasi genere;"

 Ne consegue che la modifica proposta è del tutto superflua perché la lettera a) dell’art.171 ter comprende (diffusione in pubblico di opera protetta con qualsiasi procedimento) anche i casi della lettera a-bis).

 La seconda modifica introdotta dal decreto-legge Urbani modifica l’art.171-quater aggiungendo un comma III con l’applicazione di una sanzione amministrativa per:

“Chiunque, in violazione dell’articolo 16, diffonde al pubblico per via telematica, anche mediante programmi di condivisione di file tra utenti, un’opera cinematografica o assimilata protetta dal diritto d’autore, o parte di essa, mediante reti e connessioni di qualsiasi genere, ovvero, con le medesime tecniche, fruisce di un’opera cinematografica o parte di essa…”.

 Ma il comma I (vigente) di questo articolo già sanziona:

“Chiunque abusivamente utilizza, anche via etere o via cavo,  duplica, riproduce, in tutto o in parte, con qualsiasi procedimento, anche  avvalendosi di strumenti atti ad eludere le misure tecnologiche di protezione, opere o materiali protetti, oppure acquista o noleggia supporti audiovisivi,  fonografici, informatici o multimediali non conformi alle prescrizioni della  presente legge, ovvero attrezzature, prodotti o componenti atti ad eludere  misure di protezione tecnologiche”.

 Anche questa modifica si dimostra, pertanto, superflua, come pericolosa è quella contenuta nel successivo paragrafo, che sanziona più gravemente l’utilizzo di tecniche crittografiche per occultare la comunicazione.  Per la prima volta, infatti, viene esplicitamente stabilita la illiceità dell’uso di questi metodi, stabilendo un precedente pericolosissimo.

 Altrettanta preoccupazione desta il comma IV (di futura introduzione) che punisce:

“Chiunque pone in essere iniziative dirette a promuovere o ad incentivare la diffusione delle condotte di cui al comma 3 è punito con la sanzione amministrativa pecuniaria di euro 2000 e con le sanzioni accessorie previste al medesimo comma.".

 Questa norma, infatti, è strutturata sul modello dei delitti di attentato nei quali, invece di punire la commissione di un fatto (regola stabilita nella Costituzione) si anticipa la soglia della punibilità agli “atti diretti”.  Cioè a quegli atti che pur non realizzando materialmente l’evento delittuoso ne costituiscono l’anticipazione logica e cronologica.  Per la sua eccezionalità questa tecnica di normazione è sempre stata utilizzata per proteggere beni collettivi di interesse primario, come certamente non sono i diritti d’autore.

 B – L’introduzione di nuove norme

Il comma III del decreto Urbani stabilisce che:

“Il Dipartimento della pubblica sicurezza del Ministero dell’interno raccoglie le segnalazioni di interesse per la prevenzione e la repressione delle violazioni di cui alla lettera a-bis) del comma 2 dell’articolo 171-ter e di cui ai commi 3 e 4 dell’articolo 174-ter della legge 22 aprile 1941, n. 633, e successive modificazioni, assicurando il raccordo con le Amministrazioni interessate.”

 Nell’organigramma funzionale del Ministero dell’interno, la legge 121/81 sul nuovo ordinamento della Pubblica Sicurezza affida le funzioni di prevenzione alla Direzione Centrale della Polizia di Prevenzione – DCPP (ex UCIGOS) che opera a livello locale tramite le Divisioni Investigazioni Generali ed Operazioni Speciali (DIGOS).

I compiti della DCPP sono:

  • raccolta delle informazioni relative alla situazione generale, anche ai fini della prevenzione dell’ordine pubblico;
  • investigazioni per la prevenzione e la repressione dei reati contro la personalità interna ed internazionale dello Stato e contro l’ordine pubblico, dai reati di terrorismo a quelli di natura politica, in genere;
  • compimento dei relativi atti di polizia giudiziaria e supporto operativo ai Servizi Segreti

Attualmente, come risulta dal sito istituzionale dell’ufficio, pubblicato sul dominio del Ministero dell’interno:

“Nella fase attuale, l’azione preventiva e di contrasto è indirizzata particolarmente verso i seguenti obiettivi:

  • organizzazioni terroristiche interne ed a carattere internazionale;
  • associazioni eversive a
    venti tra i propri scopi l’incitamento alla divisione ed alla violenza per motivi razziali, etnici, nazionali o religiosi cui fanno riferimento la legge 13.10.1995 n.654 ed il D.L. 26.4.1993 n.122, convertito con legge 25.6.2993 n. 205, ovvero riconducibili alla fattispecie di cui all’art. 1 della legge 20.6.1952 n.645 recante norme di attuazione della XII disposizione finale e transitoria della Costituzione;
  • associazioni che perseguono l’obiettivo della distruzione dell’integrità, dell’indipendenza e dell’unità dello Stato ovvero la modifica dell’assetto costituzionale con mezzi non consentiti dall’ordinamento; gruppi estremisti che perseguono scopi di sovvertimento sociale attraverso il ricorso alla violenza o a pratiche illegali;
  • associazioni a carattere militare o paramilitare di cui al D.Lgs. 14.2.1948 n.43;
  • reati contro la P.A., qualora il fenomeno, in ragione della sistematicità e della gravità dei fatti delittuosi registrati, assuma dimensioni tali da incidere sulla credibilità e sullo stesso funzionamento delle Istituzioni;
  • flussi di immigrazione clandestina e traffico internazionale di armamenti per gli aspetti connessi al coinvolgimento di organizzazioni terroristiche, nazionali ed internazionali;
  • associazioni segrete;
  • congregazioni ed altre realtà di tipo settario che perseguono finalità controindicate;
  • terrorismo informatico e telematico;
  • fenomeni di "violenza di gruppo" ispirati ad ideologie connotate dal ricorso sistematico a comportamenti aggressivi;
  • episodi di illegalità nelle manifestazioni sportive ad opera di formazioni organizzate;
  • altre fenomenologie trasgressive da cui derivino, anche indirettamente, ripercussioni negative per la difesa e la sicurezza dello Stato, la tutela della libertà e dell’esercizio dei diritti dei cittadini, nonché dell’ordine e della sicurezza pubblica.

 Mentre sarebbe tecnicamente (ma non culturalmente) concepibile l’estensione al diritto d’autore delll’ambito delle attività di prevenzione di competenza della DCPP, non risulta coerente e comprensibile attribuire a questo ufficio la raccolta di non meglio qualificate “segnalazioni” per la repressione degli illeciti, dato che sono attività che la legge attribuisce alle sezioni di polizia giudiziaria e all’autorità giudiziaria.  

Questa sovrapposizione di competenze è ancora più evidente nel successivo comma V  che – senza, evidentemente, che ci sia un procedimento penale in essere – estende alla DCPP il potere di ordinare l’inibizione dell’accesso ai contenuti contestati o la loro rimozione.  Ad oggi, questo potere spetta alla sola magistratura ed è regolato dal codice di procedura penale che contempera le necessità delle indagini con i diritti dell’indagato e dei terzi.  Con l’approvazione del decreto Urbani la DCPP potrà operare al di fuori del sistema di garanzie stabilito per legge.

 I commi 5,6 e 7 del decreto Urbani, infine, stabiliscono di fatto l’obbligo per il provider di monitorare il comportamento dei propri utenti e di denunciarli alla DCPP. Il testo parla di “segnalazione”, ma siccome la DCPP è composta da personale della Polizia di Stato che ha l’obbligo di denuncia degli illeciti di cui viene a conoscenza, di fatto la “segnalazione” del provider equivale a una vera e propria denuncia.

 Conclusioni

In sostanza – un’ennesima legge-papocchio inutile, inefficace e pericolosa.  In cui si mescolano, in un intruglio indigesto e velenoso, temi diversi e non connessi fra loro, come il terrorismo e la duplicazione di musica, video o software.

 Inutile perché non fornisce alcuno strumento utile per la prevenzione del crimine (e in particolare di delitti gravi come il terrorismo o altre forme di violenza).

 Inefficace perché farraginosa e mal concepita, quindi atta a produrre dispersione di attività, procedimenti a carico di innocenti, sovraccarico di indagini senza capo né coda, a scapito di attività seriamente utili per combattere le attività criminali.

Pericolosa perché introduce, in materie ove è totalmente insensato, il concetto di “processo alle intenzioni” cioè di punibilità non di un fatto, ma della supposta inclinazione a farlo.  (Se questa violazione di un principio fondamentale del diritto può essere ammissibile in situazioni estreme come il terrorismo, è inaccettabile che possa essere estesa a situazioni in cui non c’è alcun rischio per la vita e la sicurezza delle persone e delle istituzioni).

Come altre (troppe) leggi e norme rivela, con le sue affermazioni ridondanti e inutili, una specifica volontà di repressione dell’internet e della libertà di comunicazione e di informazione offerta dalla rete.

La perversa assurdità dell’impostazione è rivelata da alcune specifiche disposizioni.

Sintesi

Con l’entrata in vigore del decreto Urbani, la DIGOS, oltre a occuparsi di criminalità organizzata, terrorismo e sicurezza dello Stato avrà il compito di tutelare in via preventiva gli interessi di un ristretto gruppo di (potenti) imprenditori dello spettacolo, dell’editoria e dell’informatica (che già con le leggi esistenti sono assurdamente favoriti dal fatto che la duplicazione di musica, immagini o software è considerata una responsabilità penale).

Questo decreto stabilisce di fatto la “responsabilità oggettiva” dei provider, che hanno l’obbligo di monitoraggio e denuncia dei propri utenti – e sono multati pesantissimamente se non denunciano.

Per la prima volta si stabilisce che un certo uso della crittografia è, di per sé, illecito. (Sembra di ritornare a quelle disposizioni americane sul controllo della crittografia come strumento militare che tanto scandalo avevano suscitato dieci anni fa).

Si instaura, insomma, qualcosa che somiglia molto a uno “stato di polizia”, con la persecuzione delle intenzioni, l’obbligo di delazione, la violazione della vita e della comunicazione.  E tutto questo non per combattere i terroristi (che possono essere solo favoriti dalla confusione e dalla dispersione di energie create da leggi come questa) ma per soddisfare il protagonismo di questo o quell’altro uomo politico (“voglio anch’io una mia legge contro l’internet”) e le potenti lobby delle case discografiche o di software, cui poco importa se leggi come questa siano applicabili o funzionali, ma piace “terrorizzare” chi non asseconda i loro avidi interessi.

Comunicato ALCEI del 23 dicembre 2003

La conservazione indiscriminata del traffico internet non serve ad arrestare i criminali e minaccia la libertà di imprese e cittadini
Un articolo pubblicato a pagina 8 de Il Corriere della sera di oggi, 23 dicembre 2003, annuncia l’emanazione di un provvedimento normativo che imporrà la conservazione per cinque anni del traffico internet.

E’ una decisione inutile dal punto di vista investigativo, impraticabile tecnicamente e pericolosa per i diritti dei cittadini innocenti e delle imprese.

Il terrorismo – non da oggi – è una minaccia grave e reale e va sicuramente accettato quanto consente di combatterlo nel modo più efficace. Ma non al prezzo di ledere indiscriminatamente il rispetto dei diritti fondamentali instaurando un sistema di schedatura preventiva di massa. Sistema, che, per di più, mette a rischio interi comparti economici del Paese, come banche, assicurazioni e, in generale, tutti quei settori che trattano informazioni personali.

Siamo, ancora una volta, di fronte all?ennesimo tentativo di imporre censura e repressione approfittando dei pretesti più vari (e drammatici, come in questo caso) per legittimare norme palesemente contrarie alla Costituzione.

In realtà l’accumulazione preventiva del traffico internet ha una scarsissima efficacia investigativa e non aggiunge sostanziale valore all’operato della polizia giudiziaria. Le attuali tecniche di indagine di cui dispone la magistratura, insieme alla cooperazione offerta dagli internet provider e dagli operatori telefonici già consentono, infatti, di svolgere investigazioni di polizia senza bisogno di emanare norme pericolose che, a parte la discutibilità tecnica, dànno “licenza di spiare” tutto e tutti.

Si faccia tutto ciò che serve per reprimere gli illeciti, ma non per questo si conceda licenza di invasività.

Comunicato ALCEI del 22 gennaio 2003

La sicurezza non deve diventare un pretesto per la invasività
La sicurezza dei sistemi informatici e telematici è un problema serio che merita un approfondimento meditato e concreto. Non giovano a soluzioni efficaci le notizie allarmistiche, i sensazionalismi e le informazioni sbagliate troppo spesso dilaganti sull’argomento – né le disattenzioni, purtroppo ancora diffuse, alle necessarie cautele.

In questo contesto disordinato giocano anche gli interessi privati di chi cerca di approfittare della situazione. Non è l?unico esempio, ma è particolarmente vistoso e pericoloso, il comportamento dell?impresa monopolista che controlla nove decimi del mercato mondiale del software. La bandiera del trustworthy computing, recentemente sventolata dalla Microsoft, non merita la fiducia che chiede. Senza ripetere qui cose note da molto tempo, la complessità e la “permeabilità” di molti sistemi (e in particolare di quelli della casa di Redmond) sono fra le cause più gravi dei diffusi problemi di sicurezza.

Mentre si fa poco o nulla per correggere quei difetti, la n uova proposta della Microsoft è afflitta da un vizio culturale ancora prima che tecnico. Quello di trasformare anche la gestione della sicurezza in un processo che priva l’utilizzatore (e, cosa più grave, l?amministratore di rete) del controllo sulla macchina e sulle applicazioni. Ciò che la Microsoft cerca di ottenere è una situazione in cui gli amministratori e gli utilizzatori perdono ogni ruolo o responsabilità e sono ridotti a semplici applicatori di patch – ed è la casa fornitrice l’unica a decidere quali “rattoppi” si debbano usare, propinandoli automaticamente in una continua serie di insidiosi service pack in cui può contrabbandare ogni sorta di complicazioni dettate dai suoi privati interessi.

Anche senza entrare nei dettagli tecnici, è evidente che il cosiddetto trustworthy computing è più uno strumento per aumentare il potere di controllo del monopolio che una risorsa per migliorare la sicurezza. Se nel quadro di un sistema che aumenta le complessità (e di conseguenza i rischi) invece di semplificare si aggiungono ulteriori automatismi fuori dal controllo degli utilizzatori e degli amministratori di sistema la più probabile conseguenza è un peggioramento dei problemi di sicurezza rispetto alla situazione, già preoccupante, di oggi.

Un’altra notizia recente, che contribuisce a peggiorare il quadro, è l’offerta della Microsoft di rendere disponibile agli Stati (per esempio ai membri della Comunità Europea) il codice sorgente delle piattaforme Windows nel quadro del suo govermnent secutity program. Questa apparente “apertura” nasconde trappole pericolose. Non solo si propone ai governi (come ai privati) di “affidarsi alla sicurezza Microsoft” (cioè di dare a un’impresa privata un’impensabile “delega” sui propri sistemi e controlli) ma gli stati che incautamente lo accettano sono costretti a sottoscrivere un contratto che, naturalmente, li imprigiona in una serie di obblighi nei confronti della Microsoft – fra l’altro – con clausole inaccettabili che vietano di modificare i codici e di utilizzare il know how per sviluppare software proprio. Per non parlare delle invasività che già nella situazione attuale sono concesse alla Microsoft (e a tanti altri che approfittano della permeabilità dei suoi sistemi) e che in quella situazione potrebbero solo aggravarsi.

L’analisi delle trappole nascoste nella filosofia trustworthy computing e in contratti-capestro come quello del government secutity program può essere complessa e meriterà ulteriori approfondimenti. Ma i termini fondamentali della questione sono chiari. Ancora una volta (e con crescenti motivi di attenzione) è evidente che la responsabilità della sicurezza e della qualità dei sistemi non possono e non devono essere ciecamente “delegate” agli interessi privati di un?imp resa commerciale. Né dai cittadini, né dalle imprese, né dagli amministratori di sistema – e tantomeno dagli Stati, dalla pubblica amministrazione e dai servizi (comunque amministrati o gestiti) di pubblica utilità. L’allarme sulla “schiavitù elettronica“, che ALCEI aveva lanciato chiaramente nel 1998, si propone con ancor maggiore gravità nella situazione di oggi.

È più che mai necessario che i governi nazionali e l’Unione Europea affermino con la massima energia la loro capacità di gestire questi problemi senza assoggettarsi in alcun modo a condizionamenti estranei. E, nello stesso tempo, è necessario che le risorse e i metodi di sicurezza non siano “centralizzati” e occulti, ma sia diffusa la conoscenza, il più ampiamente possibile, fra gli utilizzatori e gestori di sistemi – e in generale fra i cittadini. Senza esagerazioni a falsi allarmi che spargono paure insensate e invece con chiarezza, trasparenza e concretezza sui problemi reali e sui modi per risolverli.

Per approfondire:
Dovresti fidarti del tuo venditore di software?
articolo di A. Monti dal sito Ictlex.net

Trustworthy Computing – White Paper
Microsoft PressPass – Craig Mundie –

Anti-Trustworthy computing
Articolo di Paul Boutin su Salon

Wired News – Bill Gates Trustworthy Computing

E’ compito delle istituzioni liberarci dalla schiavitù elettronica – ALCEI

Comunicato ALCEI del 17 giugno 2002

Rischio privacy per vulnerabilità router Telindus 11xx
Un buco nei router ADSL Telindus serie 11xx permette di aquisire senza nessuna dote particolare di “cracking” le password di accesso ai router della famiglia.
ALCEI interviene presso il Garante dei dati personali per chiarimenti e chiede un tempestivo intervento a riguardo.

La nostra lettera al
Garante per la protezione dei dati personali
piazza Montecitorio 121 00186 ROMA
fax 0669677715

Signor Garante,

Apprendiamo che i router serie 11xx prodotti dalla societa’ Telindus sono affetti da una grave vulnerabilita’ che consente, senza alcun artificio o azione di “cracking”, di entrare in possesso della password di accesso al router .
Quindi e’ possibile bloccare il funzionamento dell’apparrato rendendno inacessibili i servizi e, in alcuni casi, accedere alla rete interna dell’utente. Il che consentirebbe di intercettarne la posta elettronica e, piu’ in generale, le informazioni
che ivi sono contenute. Ovviamente il tutto all’insaputa dell’utente.

La gravita’ del problema sta nel fatto che i router Telindus sono
distribuiti dai maggiori operatori telefonici e internet provider che offrono, e fortemente promuovono, accesso su linea ADSL – e quindi sono (o possono essere) largamente diffusi. Di conseguenza, si possono diffondere estesamente e rapidamente i pericoli derivanti da questa “botola” nascosta.

Ci chiediamo – e le chiediamo – come sia possibile che vengano immessi sul mercato apparati affetti da simili vulnerabilita’ per la privacy dei cittadini e per l’attivita’ delle imprese, senza alcun controllo, senza alcuna informazione o cautela, senza assunzione di responsabilita’ da parte di produttori e distributori e senza alcuna protezione per gli indifesi (e ignari) utenti.

Invochiamo pertanto un suo tempestivo intervento e restiamo a disposizione per ogni approfondimento.

Grazie per l’attenzione.
ALCEI

Leggi l’advisory in lingua italiana dal sito Tiger Team

Comunicato ALCEI del 15 febbraio 1999

Echelon: reazione tardive delle istituzioni pubbliche
Nei giorni scorsi i mezzi di informazione hanno dato ampio risalto alla denuncia proveniente da organi istituzionali relativa al progetto Echelon, un sistema di intercettazione delle comunicazioni su scala mondiale realizzato dagli Stati Uniti in collaborazione con la Gran Bretagna, l’Australia e la Nuova Zelanda. Una delle proprietà rilevanti di questo sistema è la sua capacità di intercettare una comunicazione in base ai suoi contenuti, indipendentemente dall’indentità di chi la trasmette o la riceve.

Questo sistema esiste dal 1980 (i suoi “precursori” dal 1952) e varie notizie in merito erano “trapelate” in fonti pubblicamente disponibili, in particolare dal 1991 in poi.
Ma solo all’inizio del 1998 è arrivata all’attenzione della stampa a larga diffusione.

L’Unione Europea (stando alle informazioni pubblicamente disponibili) se ne è accorta soltanto un anno fa (cfr. il rapporto STOA – An Appraisal of Technologies of Political Control, European Parliament: Scientific and Technologies Options Assessment, Luxembourg, January 6, 1998) e ora le istituzioni italiane arrivano “buone ultime”.

Da quasi dieci anni l’Unione Europea (quindi anche l’Italia) è al lavoro per realizzare un Echelon continentale, denominato Enfopol.

Ma anche su questo tema le nostre autorità hanno conservato un ingiustificato silenzio, rotto solamente dalle dichiarazioni pubbliche dell’Ufficio del Garante per i dati personali (La Repubblica 2/2/99 pag.17) che – probabilmente non troppo avvertito della natura del problema – dichiara “i nostri dati sono sicuri,protetti da una legge… e da un tasso di automazione delle nostre amministrazioni che non è in grado di porci problemi”.
Un’affermazione – quella riportata dal quotidiano – doppiamente preoccupante, in primo luogo perché affida la tutela dei nostri dati personali ad una “confessione di arretratrezza tecnologica”, e in secondo, perché Echelon, Enfopol e in generale i sistemi di signal/communication intelligence, non si limitano di certo alle sole comunicazioni della Pubblica Amministrazione ma a quelle di tutti i cittadini che dunque rimangono senza protezione.

ALCEI è conscia della necessità di ricorrere a sistemi tecnolo gici sempre più potenti per contrastare fenomeni criminali che da molto tempo hanno trasceso i confini nazionali, ma esprime forti riserve sul modo in cui le istituzioni europee e italiane hanno gestito tali iniziative, privando la società civile della possibilità di esprimere la propria opinione in ordine alle scelte da compiere, esponendo tutti i cittadini a una sorveglianza potenzialmente clandestina e incontrollabile ed evitando la possibilità di eservitare un controllo democratico sulle decisioni prese.

Documento del 20 giugno 1995

COMPORTAMENTI E NORME NELLA SOCIETA’ VULNERABILE Osservazioni su “Non c’è privacy senza sicurezza” FORUM MULTIMEDIALE LA SOCIETA’ DELL’INFORMAZIONE

L’intervento del professor Guido M. Rey, presidente dell’Autorità per l’Informatica nella Pubblica Amministrazione, induce (prima ancora di arrivare al fatto specifico) ad alcune osservazioni generali.
Prima di parlare di leggi, norme e loro applicazioni, ci sembra necessario guardare in faccia le realtà. L’Italia, teorica “patria del diritto”, è ivece afflitta da una smisurata pletora di leggi, norme, regole, spesso in conflitto fra loro, spesso portatrici di effetti diversi, o addirittura contrari, rispetto ai principi cui dovevano essere ispirate.
Da ciò nasce una legittima attenzione (per non dire sospetto) nei confronti di ogni regola che si voglia introdurre; ed una doverosa sorveglianza per evitare, se possibile, che regole ed isituti regolatori si trasformino in un’ennesima sovrastruttura burocratica, in un’ulteriore forma di oppressione, in un limite alla libertà di azione e di iniziativa dei cittadini.

Già ALCEI ha espresso (e conferma) la preoccupazione, riguardo al disegno di legge sulla tutela dei dati personali. Non per la sostanza della legge, sulla quale confermiamo il nostro accordo; ma sulla struttura dell’istituzione “garante”, che potrebbe facilmente rivelarsi non un’agenzia autonoma di garanzia dei diritti, come è nelle intenzioni della Comunità Europea, ma un’ennesima sovrastruttura più impegnata ad affermare un proprio potere burocratico che a proteggere i diritti dei cittadini: e perciò tanto meno efficace nel difendere i diritti quanto più intenta a catalogare, con inutili quanto ingombranti formalismi, informazioni estranee al tema ed inutili all’applicazione della legge.
Non si possono certo considerare infondate queste cautele se si osservano la storia e la realtà attuale di molte presunte istituzioni di “garanzia” nel nostro Paese. In questo quadro appare assai poco accettabile l’ipotesi che un tale istituto (di per sè poco desiderabile se non concepito con criteri assai diversi da quelli abituali in Italia) vada ad incorporarsi con un altro già esistente, che ha natura e funzioni assai diverse.
Più specificamente: Non si vede per quale motivo i criteri adottati per la sicurezza dei dati nella Pubblica Amministrazione (dato e non concesso che siano corretti ed efficienti in quella sede) debbano essere adottati anche dai privati o, peggio ancora, imposti: nè, in generale, perché ognuno non debba essere libero di adottare i metodi di sicurezza che ritiene più adatti alle sue esigenze.

Secondo le norme esistenti, esiste un obbligo di utilizzo di particolari metodi e prodotti approvati sall’AIPA per quelle attività che entrano in relazione con la Pubblica Amministrazione; se la legittimità di una tale imposizione è comunque discutibile, è in ogni caso da escludersi che analoghe costrizioni possano esser applicabili alle attività private.
Non si vede quali basi possa avere l’affermazione che “il carattere della sicurezza non è qualcosa che si aggiunge ab extra al dato informatico ma lo caratterizza intimamente, fino a connotare la sua stessa essenza”. I dati sono dati: alcuni, per loro natura, richiedono sicurezza (che siano informatici o non); altri no. In ogni caso, se e come proteggere un dato può essere soltanto una libera scelta di chi lo possiede, non certo un’imposizione di un organismo esterno, pubblico o privato.

Non si vede come l’AIPA possa arrogarsi il diritto di essere “la sola competente in materia di sicurezza informatica”. Se ciò può essere vero nell’ambito della pubblica amministrazione, non lo è certo nel settore privato – e sarebbe mostruoso se lo fosse.
Quanto alla vantata competenza tecnica… appare incredibile che chiunque, sia un ente pubblico o privato, possa erigersi ad unico giudice ed esperto in una materia così complessa ed in continua evoluzione. Insomma, è difficile liberarsi dal sospetto che posizioni come queste rivelino il desiderio di interferire in funzioni estranee alla propria competenza; e comunque di creare per qualcuno, o qualcosa, un’estesa quanto arbi traria area di potere.

Ipotesi di questo genere non possono non rinforzare i sospetti e le cautele verso tutte le norme che vanno a toccare una materia nuova e compl essa come questa, dove esistono fenomeni diffusi di cattiva informazione e costanti rischi di repressione della libertà dei cittadini.

Comunicato ALCEI del 10 aprile 1995

La legge é giusta, ma va corretta per evitare rischi di repressione

ALCEI (l’associazione per la difesa della libertà nella comunicazione elettronica) chiede che nella legge vengano introdotte le modifiche necessarie per evitare impedimenti alla libera espressione e scambio di idee ed informazioni.

ALCEI ha inviato oggi alla Commissione Giustizia della Camera una memoria in cui chiede che nella stesura definitiva della legge (disegni di legge 1901 BIS e TER) si tenga conto delle esigenze dei cittadini elettronici e dei liberi sistemi di comunicazione (BBS) e si evitino fenomeni di repressione od appesantimento burocratico.

ALCEI chiede che nella stesura definitiva della legge, e poi nei regolamenti di applicazione, venga posta la massima attenzione a far sì che i meccanismi di attuazione non si traducano in una repressione della libertà di comunicazione.

Esiste infatti, indipendentemente dalle buone intenzioni, il chiaro rischio di un ostacolo alla comunicazione elettronica e di una dannosa, quanto inutile, pressione burocratica che potrebbe ostacolare o vincolare la libera espressione pubblica del pensiero o la libertà di corrispondenza privata.

Occorre, specificamente, evitare che venga ostacolata od appesantita l’attività dei sistemi di comunicazione telematica, con particolare attenzione alle strutture più piccole, diffuse in tutto il territorio, la cui attività (quasi sempre volontaria e senza fini di lucro) rappresenta un prezioso contributo alle attività personali e collettive dei sempre più numerosi cittadini elettronici ed alla vitalità della convivenza umana e sociale.

Premessa

La posizione di ALCEI non è di critica o di opposizione alla legge.

Al contrario, la nostra associazione è fortemente favorevole alla difesa della privacy ed all’affermazione del principio che i dati privati, di persone fisiche o giuridiche, non possano essere diffusi, per farne commercio o per qualsiasi altro motivo, senza il consenso della persona, ente, associazione od impresa cui i dati si riferiscono.

In questo senso non condividiamo la posizione espressa pubblicamente da FIEG, Confindustria ed altre grandi organizzazioni di settore e riteniamo che debba essere respinto ogni tentativo di ostacolare questa legge o di metterne in discussione il principio fondamentale: ciò non solo per la necessità di adeguarsi alle norme della Comunità Europea, ma soprattutto per una necessaria difesa del diritto di tutti i cittadini alla riservatezza dei loro dati personali.

Risulta, per esempio, priva di fondamento l’affermazione secondo cui l’attuale testo della legge potrebbe ostacolare l’attività dei giornalisti, dato che è prevista una serie di eccezioni in loro favore.

Dobbiamo tuttavia rilevare che, come spesso accade nelle leggi italiane, il testo della legge ̬ talmente complesso, astruso ed involuto da renderne il contenuto incomprensibile ai normali cittadini Рe di difficile lettura ed interpretazione anche per chi ha una specifica competenza giuridica.

Questa illeggibilità delle leggi rappresenta sempre un danno per i cittadini ed è particolarmente negativa in un caso come questo, dove è in gioco la libertà di espressione e di comunicazione.

Il Garante

Desideriamo esprimere la nostra preoccupazione per l’istituzione di un apparato, a nostro avviso pletorico e non necessario, che assuma le funzioni di garante.

La funzionalità di un tale apparato è assai discutibile ed i danni che ne possono derivare, per il peso degli adempimenti, specialmente su piccole strutture, sono notevoli.

In linea di principio riteniamo che questa struttura potrebbe essere del tutto abolita; o almeno abolito l’obbligo di registrare presso il Garante il possesso di dati. Ma, ove ciò non fosse possibile, chiediamo che almeno siano esentate tutte quelle strutture che non hanno come attività primaria la gestione od il commercio dei dati – o comunque siano piccole imprese od associazioni.

Ciò non solo giova alla libertà ed alla non oppressione burocratica di singoli o di piccoli gruppi di persone, ma alleggerisce anche l’ufficio del Garante dal rischio di affastellamento di un’enorme quantità di informazioni sostanzialmente inutili.

Deve un medico segnalare al Garante che ha su un computer i dati dei suoi pazienti? o un droghiere che ha gli indirizzi dei suoi fornitori? o un parrucchiere che ha le pettinature o tinture preferite delle sue clienti? eccetera? Più specificamente, è da considerarsi deposito di dati un BBS che svolge una semplice attività di messaggeria, raccolta e scambio di informazioni ed opinioni?

Ci sembra necessario che nella legge ed in tutte le sue norme esplicative questo tipo di ipotesi sia esplicitamente esclusa.

Proposte

Proponiamo che le esenzioni previste per i giornalisti, e in generale per le attività a fini personali, siano estese anche ad associazioni, piccole imprese, gruppi di lavoro volontario, associazioni culturali o di servizio, e specificamente a tutti i BBS (bulletin board system) ed ai nodi delle reti telematiche.

Si intende esenzione da ogni misura o procedura burocratica e dalle comunicazioni al Garante – mantenendo salvo il principio che ognuno, e specialmente le grosse strutture che raccolgono grandi quantità di dati, è comunque tenuto a rispettare il principio fondamentale della non diffusione (ed in particolare del non commercio) di dati personali senza il consenso degli interessati.

Proponiamo, in generale, che sia fatta una chiara e non equivoca distinzione fra i controlli cui devono essere sottoposto lo Stato, gli Enti pubblici e coloro che trattano professionalmente la gestione dei dati personali – e la libertà di cui deve godere chi invece, nello svolgimento di un’altra attività, si trova in possesso di tali dati incidentalmente e non ne fa commercio.

Proponiamo inoltre che, anche in quei casi in cui la dichiarazione del possesso dei dati fosse inevitabile, il servizio sia decentrato sul territorio ed affidato ad uffici locali.

Insomma: se la struttura del Garante (a nostro avviso inutile e probabilmente inefficiente) non può essere del tutto abolita, chiediamo che almeno sia fortemente semplificata, con esenzioni a favore di precise categorie di soggetti, secondo le linee che abbiamo indicato – e con procedure il più possibile semplici, trasparenti ed agevoli.

Siamo, naturalmente, a disposizione della Commissione Giustizia, dei parlamentari, della stampa, di tutti i mezzi di informazione e di chi altro voglia approfondire questo argomento.