Emergenza terrorismo e Internet (II)

di F. Sarzana di S.Ippolito Guido Villa (Lidis.it) - Seconda parte di un approfondimento sulle novità introdotte dal Governo che toccano direttamente anche Internet. Ecco quali sono le novità e l'orientamento

(vedi prima parte) - Per affrontare nello specifico le problematiche relative alla generazione ed alla conservazione dei log occorre tener ben presente la finalità delle norme appena approvate che è quella di consentire all'Autorità Giudiziaria di associare un "volto" ad ogni attività compiuta su Internet originata nel nostro Paese. In realtà tale attività - anche se ad un' analisi superficiale potrebbe sembrare non particolarmente complessa, presenta alcune problematiche di difficile risoluzione, anche perché le modalità tecniche di collegamento ad Internet sono le più varie e per di più sono in continua evoluzione. Nel prosieguo, dunque, analizzeremo alcune situazioni che, in un certo senso, sfuggono alle recenti disposizioni anti-terrorismo: preliminarmente, tuttavia, forniremo una panoramica delle novità apportate dalle stesse nel campo del trattamento dei dati personali e, più in generale, nella raccolta dei dati relativi al traffico.

Occorre innanzitutto effettuare una distinzione tra i log di "accesso" ed i log di "attività" Internet: benché non vi sia una definizione univoca, per semplificare è possibile affermare che, mentre i primi consistono nell'associazione tra un indirizzo IP ed utente (ad es. log radius) in un determinato istante temporale, i secondi registrano nel dettaglio l'attività Internet compiuta da un determinato utente in un certo arco temporale. Il primo tipo di log consente perciò di rintracciare un utente che abbia compiuto una determinata attività sulla rete solo se questo sia collegato con un indirizzo IP pubblico assegnato ad esso in esclusiva in quel dato istante, il secondo consente di conoscere quale, tra "n" utenti collegati ad Internet con lo stesso indirizzo pubblico (es. più PC collegati ad Internet in NAT tramite router), abbia compiuto una certa attività in un determinato istante.
Questa distinzione sembra essere stata tenuta in considerazione dal legislatore, non si sa quanto volontariamente.

I log di accesso
Con riferimento ai log di "accesso", le norme odierne modificano le disposizioni già introdotte con il codice della privacy: il comma 1 dell'art. 6 della legge 155 del 2005, innanzitutto, sospende l'applicazione delle disposizioni di legge che prescrivono o consentono la cancellazione dei dati del traffico telefonico o telematico (restano comunque esclusi i contenuti delle comunicazioni), limitatamente alle informazioni che consentono la tracciabilità degli accessi (nonchè, qualora disponibili, dei servizi) sino al 31 dicembre 2007. Tali dati devono essere conservati dai fornitori di una rete pubblica di comunicazioni o di un servizio di comunicazione elettronica accessibile al pubblico (quindi, essenzialmente, dagli ISP).
Questa disposizione incide profondamente sull'impianto normativo dell'art. 123 del D.Lgs. 196 del 2003 (Codice della privacy), che dispone invece che i dati siano solo cancellati o resi anonimi quando non più necessari ai fini della trasmissione della comunicazione elettronica.

Il comma 2 dell'art. 6, poi, modifica l'art. 132 del Codice della Privacy (Conservazione di dati di traffico per altre finalità). L'articolo, nella versione precedente (peraltro già risultato di una precedente modifica, apportata dal decreto legge n° 354 del 2003), disponeva la conservazione dei dati relativi al traffico telefonico per finalità di accertamento e repressione dei reati per 24 mesi, nonché la conservazione degli stessi per ulteriori 24 mesi per l'accertamento e la repressione dei delitti di cui all'articolo 407, comma 2, lettera a) del codice di procedura penale, nonché dei delitti in danno di sistemi informatici o telematici. Le norme anti-terrorismo hanno esplicitamente esteso l'applicazione di tali norme anche al traffico telematico (che si aggiunge dunque a quello telefonico); per quest'ultimo, tuttavia, sono previsti tempi di conservazione di 6 mesi + 6 mesi (invece dei 24 + 24 previsti per il traffico telefonico).

Il monitoraggio delle attività in rete
Quanto ai log "di attività", occorre dire che, mentre le modifiche agli articoli 123 e 132 del codice della privacy interessano soprattutto i fornitori di reti pubbliche di comunicazioni e di servizi di comunicazione elettronica accessibile al pubblico, la disciplina del monitoraggio dell'attività in rete riguarda invece i soggetti che offrono connettività in locali pubblici quali Internet Point con la predisposizione di misure che questi ultimi sono tenuti ad adottare per monitorare l'attività in rete della clientela. L'articolo 2 del recente decreto ministeriale, infatti, obbliga i titolari o gestori di un esercizio pubblico o di un circolo privato di qualsiasi specie, nel quale sono poste a disposizione del pubblico, dei clienti o dei soci, apparecchi terminali utilizzabili per le comunicazioni, anche telematiche, ad adottare le misure necessarie a memorizzare e mantenere i dati relativi alla data ed ora della comunicazione e alla tipologia del servizio utilizzato, abbinabili univocamente al terminale utilizzato dall'utente, esclusi comunque i contenuti delle comunicazioni effettuate dal cliente.

Tale misura si è evidentemente resa necessaria poiché, di norma, nei locali quali gli Internet Point il traffico Internet viene effettuato "uscendo" sulla rete attraverso un unico indirizzo IP pubblico (quello del router che consente la navigazione alla rete interna), che dunque risulta essere l'unico visibile dall'esterno. Gli indirizzi IP dei singoli PC utilizzati dai clienti rimangono dunque "mascherati" e, in caso di mancato monitoraggio dell'attività dei singoli PC, sarebbe impossibile risalire, ad es., all'autore di un messaggio di rivendicazione di un attentato inviato ad un "web forum": si individuerebbe solo l'Internet Point, ma non il PC da cui è partito il messaggio.

E' bene ricordare che il monitoraggio, tuttavia, deve riguardare solo i dati relativi alla data ed ora della comunicazione e alla tipologia del servizio utilizzato, mentre resta escluso il contenuto della comunicazione. Una volta individuato il PC da cui è partito il messaggio grazie ai log di monitoraggio, sarà dunque possibile identificare chi lo stava utilizzando in quel momento grazie al sistema di identificazione e registrazione degli accessi che i gestori sono tenuti ad approntare ai sensi dell'art. del D.M. 16 agosto 2005.

Il trattamento dei dati personali
E' innegabile che molte delle disposizioni contenute nelle norme poc'anzi citate, seppur giustificate dalla situazione contingente, suscitino qualche perplessità, soprattutto considerando le caratteristiche di molti Internet Point: di sovente nati in corrispondenza di "phone center", destinati ad un pubblico straniero e gestiti da stranieri; ci si chiede ad esempio se un'attività così delicata di trattamento di dati personali e di identificazione degli avventori possa essere effettuata senza problemi di sorta.
Alcuni problemi sono già stati evidenziati dagli operatori (si veda Punto Informatico del 7 settembre) altri inevitabilmente si presenteranno con la prassi.

L'aspetto più delicato della questione riguarda sicuramente il trattamento dei dati personali: non solo, infatti, i soggetti interessati dalle nuove norme saranno tenuti a trattare tutti i dati di navigazione dei loro utenti (con tutto quello che ne consegue dal punto di vista della profilazione e della riservatezza in generale) e a conservarli e trattarli in conformità con quanto prescritto dal codice della privacy, ma i gestori dovranno, come si è già evidenziato in precedenza, anche identificare i clienti acquisendo copia del documento di identità e "certificare" che un PC, in un determinato lasso di tempo, è stato utilizzato da un certo cliente e non da un altro.

Più in generale, poi, gli adempimenti relativi alla protezione dei dati personali a carico dei gestori divengono molteplici e possono comportare, tra l'altro, la notificazione del trattamento all'Autorità Garante, l'obbligo di redazione del Documento Programmatico sulla Sicurezza, la richiesta di consenso al trattamento dei dati, nonché la resa di un'adeguata informativa.

D'altro lato le norme presentano l'innegabile merito di riproporre l'urgenza di disporre di sistemi informatici sicuri e compatibili con la disciplina del trattamento dei dati personali, che quasi tutti gli operatori, siano essi provider o titolari di internet point, o gestori di biblioteche, etc. e molti utenti dimostrano di non volere in alcun modo applicare.

Questo stato di cose non può essere protratto ulteriormente poiché l'attuale situazione di emergenza rende necessari sistemi di protezione delle infrastrutture ed un'organizzazione della sicurezza informatica molto più elevati che in passato.

Occorre ora focalizzare l'attenzione sugli obblighi e responsabilità dei gestori di connettività internet senza fili. (continua)

Fulvio Sarzana di S.Ippolito e Guido Villa
www.lidis.it

TAG: italia
23 Commenti alla Notizia Emergenza terrorismo e Internet (II)
Ordina
  • Quello che vorrei sapere e come si fà a loggare gli accessi delle persone ai pc negli internet point, rispettando il d.m. 16 agosto 2005???
    Quale programma si usa e qual'è la procedura giusta di creare il log rispettando quando previsto dall'attuale normativa. Non basta la semplice registrazione in un registro cartaceo con le generlità dell'utente, ora d'inizio e fine del collegamento e il pc utilizzato ???
    In lacrime Il decreto non fa capire nulla e io non sò come fare. Tra l'altro le mie conoscenze d'amministrazione di reti è molto limitata. Ci sono programmi che svolgono qiesto compito in automatico ???

    Grazie a chiunque mi risponda o mi possa indirizzare alla giusta soluzione.

    In lacrime   In lacrime
    non+autenticato
  • Sono il titolare di un Internet Point e ho un gravissimo problema riguardante le nuove disposizioni del pacchetto Pisanu:
    Come faccio a schedare i minorenni ????? Deluso   Sorpresa
    La mia attività è situata vicino ad una scuola media inferiore, dunque molti ragazzini sono sprovvisti di documenti d'identità !!
    Allora che devo fare ?? Fareli venire accopagnati dai loro genitori ??? Chiamare le forze dell'ordine e far loro procedere alla loro identificazione "certa" ??? O vietarli di connettersi e dire loro d'aspettare quando saranno più grandi ed avranno la carta dìidentità ????

    Ma perchè prima di legiferare i nostri politici non interpellano mai le categorie coinvolte, molte problemi si potrebbero evitare.

    Allora io con i minori che faccio ??? Li mando a casa ?? Perplesso   Triste
    non+autenticato
  • ma allora se una ditta (un posto di lavoro qualsiasi) ha deciso di NON loggare il traffico internet, da oggi è incasinata?

    ovvero se l'attentatore è uno che lavora in una ditta e gli attentati li rivendica dal posto di lavoro, il povero sfigato di "sysadmin" va in merda?

    magari perchè tutti hanno deciso che non è importante avere il log?
    oppure perchè hanno proprio deciso "noi qui non mettiamo il log perchè non lo vogliamo" (magari perchè il figlio del capo è cula, ma il capo non vuole che si sappia e però quello si guarda i siti con gli uomini nudi ...)

    insomma ... gli internet point hanno questo problema ... e le ditte, i posti di lavoro, hanno questo problema?
    non+autenticato
  • Ma sono anni, che intercettano, schedano e altre cose piacevoli, a nostro danno. E sono, purtroppo , dei nostri connazionali a fare questo. I peggiori nemici, sono quelli interni!
    Qualcuno, forse, pensa ancora che soltanto da qualche mese , le intercettazioni e controlli vari ,comunicazioni archiviate, siano state attivate? Beh, se è così, sarà bene che questi ingenui si sveglino dal loro torpore!

                                                                     Saluti a tutti
                                                                         Il Musico
  • Si sta avvicinando il momento compagni come nel '17 il popolo si è sollevato contro questi porci che ci governano. Il giorno in cui faremo tacere questi burocrati pancioni che si sentono in dovere di essere il grande fratello di tutti e frustare quelli che non sono d'accordo col loro stupido intelletto. Io penso che in quanto libero sono un terrorista e se il mio amico bin laden colpirà ancora, io andrò in piazza e sarò felice.
    non+autenticato

  • - Scritto da: Anonimo
    > Si sta avvicinando il momento compagni come nel
    > '17 il popolo si è sollevato contro questi porci
    > che ci governano. Il giorno in cui faremo tacere
    > questi burocrati pancioni che si sentono in
    > dovere di essere il grande fratello di tutti e
    > frustare quelli che non sono d'accordo col loro
    > stupido intelletto. Io penso che in quanto libero
    > sono un terrorista e se il mio amico bin laden
    > colpirà ancora, io andrò in piazza e sarò felice.

    Ma sei impazzito????!!!????? Facendo proclami del genere, riceverai solo derisione e compatimento dal popolo che vuoi sollevare!! Dopo il 1917 si è visto come tutto è filato liscio e quanta libertà c'era..... Il tuo amicone Bin Laden, non è altro che un burattino di quelli che vuoi abbattere...accendi il cervello e dimentica il mito....Le illusioni comuniste portate all'eccesso hanno prodotto solo milioni di morti......
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 11 discussioni)