Documento del 18 settembre 2005

Pacchetto sicurezza e repressione dei diritti civili.
Un documento di approfondimento
del comunicato 18 settembre 2005
Repressione dei diritti civili
con il pretesto del terrorismo
.
Di nuovo pericolose ambiguità
nelle norme italiane
e nella loro applicazione.

Come ALCEI aveva evidenziato nel comunicato del 18 settembre 2005 – “Repressione dei diritti civili con il pretesto del terrorismo”, il “pacchetto Pisanu” emanato sull’onda emotiva provocata dall’attentato terroristico alla metropolitana di Londra ha poco a che vedere con la prevenzione del terrorismo e molto con l’ennesimo “giro di vite” a danno delle libertà civili di cittadini e imprese.
Questo documento – che completa il comunicato del 18 settembre 2005 – ne riprende i temi e ne approfondisce gli aspetti normativi, evidenziando come il “pacchetto Pisanu” sia afflitto da imprecisioni giuridiche, scarsa consapevolezza tecnico-informatica e ridondanze procedurali che, paradossalmente, rendono più complesso il lavoro degli investigatori e non aumentano la sicurezza del paese.

Venendo al merito della questione è possibile affermare che il meccanismo applicativo del “pacchetto sicurezza” ruota attorno a due cardini:
– l’imposizione dell’obbligo di conservazione dei dati di traffico “circostanziali”
– l’estensione spropositata di obblighi e controlli di “polizia amministrativa” anche alle associazioni e ai comitati – fenomeni associativi impropriamente definiti “circoli privati” – in modo da rendere praticamente applicabile l’obbligo di licenza anche ai singoli cittadini.

Cominciamo da questo secondo argomento: dal punto di vista dei soggetti destinatari dell’obbligo di conservazione e di messa a disposizione dei dati di traffico è abbastanza chiaro che l’art. 7 c. I DL 144/05 convertito in legge dalla L.155/05 si applica agli esercenti attività commerciali nel settore delle telecomunicazioni (e dunque: internet point, call center, internet café).
I problemi sorgono, invece, con l’estensione degli obblighi ai “circoli privati di qualsiasi specie”, “entità” che non rientrano fra i soggetti di diritto. Il codice civile, infatti, individua agli articoli da 36 a 42 delle realtà – associazioni non riconosciute e comitati – che pur non avendo personalità giuridica sono comunque, seppur con le note limitazioni, soggetti di diritto. Dunque, dove il decreto Pisanu parla di “circoli privati” si dovrebbe leggere, più correttamente, “associazioni non riconosciute” o, appunto, “comitati”; con le paradossali conseguenze che si evidenziano nelle prossime righe.
Un’associazione non riconosciuta – dice il codice civile – nasce senza bisogno di particolari formalità, per il solo fatto che due o più persone decidano di operare per il raggiungimento di un obiettivo. Ne deriva quindi che qualsiasi tipo di associazione non riconosciuta – anche quelle parrocchiali o sportive – che per qualsiasi ragione dovessero consentire ai propri aderenti l’uso di un computer collegato all’internet dovrebbero richiedere la licenza al questore e accettare che – senza mandato del magistrato – la polizia possa accedere al domicilio privato adibito a “sede” per eseguire “controlli amministrativi”.
Si tratta, evidentemente, di una limitazione irragionevole, ingiustificata e pericolosissima della libertà di associazione e della inviolabilità del domicilio. Il decreto Pisanu non collega la licenza di polizia – come nel caso della licenza amministrativa per la somministrazione di alimenti e bevande nei “circoli privati” – al particolare scopo associativo e alla particolare modalità con la quale questo scopo viene perseguito (e anche se questo facesse, nel caso dell’internet, ci sarebbe comunque da discutere). Ma limita indiscriminatamente la libertà di qualsiasi cittadino che si collega all’internet tanto da spingere a domandarsi se quella del “terrorismo” non sia altro che una “scusa”…

Veniamo ora alla questione “data-retention”. Anche qui le norme sono scritte in modo confuso e impreciso, lasciando spazio a interpretazioni differenti rispetto alla tipologia dei dati da conservare e ai servizi di cui si dovrebbero conservare le attività.
Va premesso che la data-retention è una soluzione culturalmente sbagliata e inefficiente dal punto di vista delle indagini perché trasmette agli investigatori una falsa sensazione di sicurezza ma non consente di rintracciare soggetti criminali adeguatamente motivati e tecnicamente preparati (cioè i più pericolosi). La realtà – come pure dice quasi “vergognandosi” il decreto Pisanu – è che i dati così conservati servono anche per le indagini che non riguardano i terroristi (non si può interpretare diversamente quella parte dell’art.6 comma I che recita: “i dati del traffico…possono essere utilizzati esclusivamente per le finalita’ del presente decreto-legge, salvo l’esercizio dell’azione penale per i reati comunque perseguibili.”).
Dunque, benché ci sia un ovvio, diffuso – e identificato – interesse a sostenere che l’obbligo di conservazione dei dati si applichi estensivamente a qualsiasi “servizio di comunicazione elettronica”, in realtà questo non è vero.
E’ infatti possibile affermare che i “dati circostanziali” da conservare obbligatoriamente sono soltanto quelli relativi ai servizi di comunicazione (e-mail, chat, instant-messaging), mentre restano fuori dalla “retention” quelli relativi alla consultazione passiva di risorse (navigazione e lettura di newsgroup) o di pubblicazione di contenuti (ftp).
Si giunge a questa conclusione considerando che l’art.6 della L.155/05 impone la data retention per “dati del traffico telefonico o telematico, anche se non soggetti a fatturazione, e gli stessi, esclusi comunque i contenuti delle comunicazioni, e limitatamente alle informazioni che consentono la tracciabilità degli accessi”. Questa interpretazione è confermata dal successivo decreto ministeriale 16 agosto 2005, il cui art. 1 dice chiaramente che gli obblighi valgono per “i titolari o gestori di un esercizio pubblico o di un circolo privato di qualsiasi specie nel quale sono poste a disposizione del pubblico, dei clienti o dei soci, apparecchi terminali utilizzabili per le comunicazioni, anche telematiche.” Ribadisce il concetto l’art.2 del decreto (Monitoraggio delle attività) che fa nuovamente riferimento alla “comunicazione” come oggetto degli obblighi di retention. Si legge infatti nella norma: ”I soggetti di cui all’art. 1 adottano le misure necessarie a memorizzare e mantenere i dati relativi alla data ed ora della comunicazione e alla tipologia del servizio utilizzato, abbinabili univocamente al terminale utilizzato dall’utente, esclusi comunque i contenuti delle comunicazioni.”.
Quindi il concetto è che andrebbero conservati solo i dati di quella tipologia di traffico che rientra nella categoria “comunicazione”, cioè – per semplificare – tutto ciò che è protetto dall’art.15 della Costituzione; mentre sarebbero esclusi tutti quei servizi – come la pubblicazione di file o la diffusione/messa a disposizione di contenuti – che rientrano nell’art.21 Cost.

Prendiamo atto con soddisfazione, invece, che l’art.2 del DM 16 agosto 2005 recepisce finalmente – seppur in piccola parte – la necessità di conservare i dati garantendone la non alterabilità e la non accessibilità a terzi non autorizzati. Da anni ALCEI si batte perché i tribunali riconoscano la dignità di “prova” processuale solo a dati e log di sistema generati, manipolati e custoditi con adeguate cautele e non a qualsiasi file di testo, magari stampato su un normale foglio di carta. Con l’entrata in vigore di questa norma, invece, si registra un primo, piccolo ma significativo cambio di rotta. E’ evidente, infatti, che ben difficilmente i dati circostanziali di traffico potranno avere un valore probatorio se non saranno conservati seguendo almeno le minime indicazioni del decreto ministeriale. Ben altro ci sarebbe da fare per realizzare compiutamente il sistema processuale della “prova informatica”, ma quantomeno cominciano a esserci delle norme che vanno nella direzione giusta.

E’, viceversa, grave il presupposto politico-giuridico su cui si basa il pacchetto Pisanu e che tramite l’eliminazione dell’anonimato, porterà alla messa al bando – o al sostanziale ridimensionamento – dell’utilizzo di sistemi crittografici.
Fin dalla sua costituzione, risalente al 1994, ALCEI si è fatta portatrice di un approccio sull’anonimato che, successivamente, è stato definito “anonimato protetto” (una formula per la quale il provider – e solo il provider – si fa garante della reale identità dell’abbonato e che comunicherà alla magistratura solo in caso di commissione di atti illeciti). Ma il pacchetto Pisanu sposa un approccio ciecamente repressivo che non tiene conto della decennale elaborazione giuridica sul tema e implica di fatto, la potenziale messa al bando di tutti quei servizi (anonymous remailer, anonymous surfing, ma anche VPN) che si basano sulla crittografia forte e che costituiscono, oltre che uno strumento per la tutela delle libertà civili, un importante componente per la protezione delle infrastrutture critiche di un paese.
Il pacchetto Pisanu potrebbe essere interpretato nel senso di vietare quei servizi che non consentono la conservazione dei dati circostanziali di traffico o che ne producono di inutili: ne conseguirebbe la messa fuori legge anche degli strumenti che consentono di realizzare il risultato e dunque, in ultima analisi, della crittografia.
Non sarebbe certo una novità, visto che si tentò senza successo il “colpo di mano” già con il famigerato “decreto Urbani” sul peer-to-peer (vedi http://www.alcei.org/index.php/archives/4). Ma ora – a differenza di allora – il Parlamento è riuscito a muovere il primo passo verso quello che sembra un obiettivo “segnato”: la sostanziale limitazione dei diritti civili nella società dell’informazione.