Washington (USA) – Dalla capitale americana è giunta ieri una notizia che era nell’aria da tempo : l’approvazione da parte della Camera dei Rappresentanti della legge sui crimini informatici con la quale si rende possibile, in certe condizioni, condannare un colpevole all’ergastolo.
Di particolare rilevanza, vista la portata del Cyber Security Enhancement Act (CSEA) , il fatto che sia stato approvato con una maggioranza schiacciante: 385 sì e 3 no. Un risultato che va incontro alle richieste dell’amministrazione Bush che dopo l’11 settembre aveva espressamente chiesto al Congresso di muoversi rapidamente su questo fronte, considerato essenziale per la sicurezza dei sistemi informativi e delle infrastrutture telematiche pubbliche e private.
Il CSEA diverrà legge solo dopo l’approvazione del Senato che, nonostante il poco tempo a disposizione, dovrebbe comunque pervenire al voto in tempi rapidi. Questo si deve anche all’appoggio che al progetto hanno fin qui dato i provider americani, associazioni importanti come la Business Software Alliance , la Information Technology Association of America (ITAA) e altre ancora.
Il clima in cui è maturato questo provvedimento è ben descritto dal maggior sostenitore del CSEA, il repubblicano Lamar Smith, secondo cui “fino a quando non rendiamo sicura la nostra infrastruttura telematica, pochi comandi e una connessione ad internet saranno sufficienti per danneggiare l’economia e mettere vite in pericolo”. “Un mouse – si era spinto a dichiarare Smith qualche mese fa – può essere pericoloso quanto un proiettile o una bomba”.
Proprio la Commissione di cui Smith è presidente ha formulato alcune delle specifiche più severe del CSEA, come quella dell’ergastolo da prevedere nei casi in cui un’azione di cracking abbia messo in pericolo la vita di qualcuno. Un rapporto della Commissione allegato al CSEA afferma peraltro: “Un attacco telematico terrorista o criminale potrebbe colpire ulteriormente la nostra economia e le infrastrutture critiche. Ed è imperativo che le sanzioni e le capacità delle forze dell’ordine siano adeguate alla prevenzione e repressione di tali attacchi”.
Tra gli istituti previsti dal CSEA c’è la possibilità di ottenere un certo livello di monitoraggio delle comunicazioni elettroniche da parte della polizia anche senza il mandato della magistratura. Questo può avvenire soltanto nei casi in cui si intraveda una “minaccia immediata” alla sicurezza nazionale o in presenza di un “attacco continuativo” contro un sistema connesso ad internet, come nei casi di denial-of-service, attacchi capaci di rendere server internet inutilizzabili anche per lunghi periodi.
Va detto che questo tipo di monitoraggio viene limitato dal CSEA a dati “di contorno” come i numeri IP, le URL dei siti visitati, i dati di riferimento dei messaggi di posta elettronica (gli header) o il numero di telefono della persona indagata. L’approfondimento del monitoraggio ai contenuti delle telefonate o delle email è previsto dalle leggi federali soltanto quando si è in presenza di attività di crimine organizzato oppure quando la minaccia è quella di un “grave danno contro qualsiasi individuo”.
Un ruolo centrale nel quadro disegnato dal CSEA lo giocano i provider.
Fino ad oggi i provider americani sono tenuti ad esercitare una certa “riservatezza” sulle comunicazioni dei propri utenti, sebbene non sempre i provider si siano rivelati “tutori” della privacy con la dovuta diligenza. Con il CSEA le cose cambiano, perché il provider non correrà rischi legali dando alla polizia i contenuti dei messaggi inviati e ricevuti dai propri utenti, o i log degli accessi e altro ancora.
Il CSEA in pratica amplia i casi in cui un provider può “suggerire” informazioni alla polizia. Oltre ai “gravi crimini” e ai casi di problemi tecnici, con il CSEA il provider potrà agire quando “una emergenza che riguarda il rischio di morte o di serio danno fisico per chiunque richieda la fornitura delle informazioni senza ritardi”.
Mentre l’Associazione dei provider americani si è dichiarata d’accordo su questa misura, sostenendo che “ridurrà gli ostacoli alla collaborazione dei provider con le forze dell’ordine”, secondo i conservatori della Free Congress Foundation il CSEA rappresenta invece un problema.
“Il congresso – ha dichiarato Brad Jansen della FCF – dovrebbe smetterla di toglierci le nostre libertà civili. Un buon punto di inizio dovrebbe essere la revisione sostanziale del CSEA per aumentare e non per diminuire i poteri di supervisione e la loro affidabilità da parte del Governo”. L’utilizzo dei provider come “tramite” tra la polizia e i contenuti di email e telefonate può dunque non essere considerato sufficiente?
Tra le conseguenze della probabile approvazione definitiva del CSEA è compreso anche il divieto di qualsiasi pubblicità relativa a strumenti il cui scopo principale è la sorveglianza elettronica non palese. Un divieto che fino al CSEA riguardava solo media come i giornali o le riviste. Poiché si parla di “pubblicità” è probabile che in questa definizione rientrino anche i siti Web, spesso considerati essenzialmente dei “mezzi pubblicitari” dai tribunali, e non solo da quelli americani.