I cracker di matrice brasiliana hanno segnato l’evolversi della rete nel paese e così lo spam e molte altre attività non del tutto edificanti. Ora però il Brasile è ad una svolta: dopo anni dalla presentazione in Parlamento, si sta avviando alle ultime battute un colossale progetto di legge che prevede una riforma sostanziale del diritto in materia di Internet, informatica, privacy e più in generale della Società dell’Informazione.
Nel paese dove l’e-voting esiste da tempo, lo scorso 9 luglio, apprende Punto Informatico da alcuni docenti brasiliani che si occupano della cosa, il Senato (nella foto) ha approvato con modifiche la proposta di legge numero 89, un progetto nato alla Camera addirittura nel 2003, che in sostanza determina quali siano i comportamenti da considerarsi reati e quale debba essere la punizione. Alla cosa ha accennato proprio in questi giorni Global Voices , ma la vera novità è la cancellazione dalla proposta di una misura che prevedeva la registrazione coatta dei blogger , una procedura che come ben sanno i lettori di Punto Informatico è da tempo una ipotesi accarezzata da molti in Italia .
Secondo i promotori, la legge metterà all’angolo cracker, disseminatori di virus e pedopornografi , istituendo pene specifiche anche contro l’incursione in computer altrui, in archivi pubblici e in reti di computer. Propositi importanti ma è difficile credere che basti una legge per spazzar via il crimine informatico. Ad ogni modo pene specifiche sono anche previste per chi trasferisce o prende possesso di informazioni contenute in computer o sistemi palesemente protetti, ad esempio dietro password di accesso. Presi di mira anche il phishing e, più in generale, tutte le attività che mirano ad impossessarsi dei dati di accesso a servizi finanziari e commerciali o dei dati di carte di credito. Sono poi considerati reati la falsificazione elettronica di documenti pubblici, e più in generale la manipolazione di dati e documenti particolari ed istituzionali.
Tra le misure più controverse c’è l’adozione di una policy di data retention : ai provider viene chiesto di mantenere i log dei dati di traffico, che saranno a disposizione delle forze dell’ordine in caso di necessità. Allo stesso modo gli operatori Internet, che molto si sono fatti sentire in questi anni per evitare troppe forzature al loro ruolo di intermediari, saranno tenuti a comunicare segretamente alle autorità di pubblica sicurezza qualsiasi reato in cui dovessero imbattersi. I log dovranno contenere tutti i dati, dall’IP all’orario di accesso e via dicendo.
A scatenare le ire dei difensori della privacy è il fatto che la data retention impegni i provider a mantenere gli archivi di quei dati per tre anni , un tempo considerato lunghissimo. La differenza rispetto ad altri ordinamenti, però, è che a quelle informazioni si potrà accedere esclusivamente dietro mandato del giudice .
Andando più nello specifico delle pene, la legge prevede fino a tre anni di carcere e multe per chi accede ad una rete informatica protetta. Medesime sanzioni anche per chi diffonde dati di cui non dovrebbe disporre: in questo caso le fonti specificano a Punto Informatico che la legge stessa è esplicita nel chiarire come non si tratti di file musicali, mp3 o film, ma più specificamente di documenti riservati di cui ci si è appropriati illegalmente.
L’accesso ad un account con dati di registrazione non propri potrà portare in galera fino a due anni, mentre rischiano fino a tre anni di carcere i virus writer, con possibile aggravio della pena di altri quattro anni qualora il virus eventualmente diffuso abbia compiuto gravi danni. Ulteriori aggravanti sono previste se il computer o comunque il sistema aggredito in qualsiasi modo sia militare.
Tra le novità di interesse il fatto che, come già accaduto in Italia, alle sanzioni contro chi si macchia di violenze pedofile si aggiungano ora anche i reati del possesso di immagini pedopornografiche e della loro diffusione. In questo caso si parla di sanzioni fino a sei anni di carcere con aggravanti a seconda delle modalità di distribuzione delle immagini, l’eventuale scopo di lucro e via dicendo.
Ancora devono essere definite, spiegano le fonti a Punto Informatico , le condizioni di manutenzione degli archivi dei dati degli utenti da parte dei provider. Sebbene non sia previsto l’obbligo di conservare anche l’elenco dei siti visitati , nel caso in cui scatti una indagine l’ISP è tenuto a mettere a disposizione del magistrato dal momento della notifica ufficiale in poi qualsiasi informazione relativa all’utente. Che i provider collaborino è invece assicurato dalle multe: fino a 40mila euro di sanzione nel caso in cui i dati non siano stati registrati.
Piacciano o meno queste normative, la sensazione è che ci si trovi dinanzi ad una legge destinata a toccare quasi integralmente tutti i nodi critici del cyber-crimine, nodi che in altre legislazioni, come quella italiana, sono invece sparpagliati tra Codice penale, sentenze ed altre fonti di diritto, al punto che spesso non sono chiari i confini dell’illecito. Se fino ad oggi il Brasile ha dovuto stiracchiare le proprie leggi per affrontare le novità della Società dell’informazione presto le cose potrebbero cambiare: a breve la proposta approvata dal Senato tornerà alla Camera dove si prevede una rapida approvazione. Le fonti spiegano infatti a Punto Informatico che il nuovo testo è stato presentato dal relatore della commissione di Scienza, Tecnologia, Innovazione, Comunicazione e Informatica Eduardo Azeredo e che ha collaborato al cambiamento della proposta anche il senatore Aloizio Mercadante e che quindi si tratta di una proposta bipartisan.