La Electronic Frontier >Foundation , da anni paladino globale dei diritti digitali e in questa istanza rappresentante legale di alcuni ricercatori, ha intrapreso un’azione legale nei confronti del Governo degli Stati Uniti . L’oggetto del contendere è la sezione 1201 del Digital Millennium Copyright Act (DMCA), la legge anti-pirateria che dal 1998 disciplina la protezione del diritto d’autore.
Nota soprattutto come ” clausola anti-circonvenzione “, la sezione 1201 rende illegale aggirare qualsiasi software, dispositivo o tecnologia (barriere genericamente chiamate Digital Rights Management , DRM ) posti a protezione di materiale protetto da copyright. L’illegalità prescinde dal motivo per cui si aggira il DRM, persino se lo si fa per ragioni che altrimenti sarebbero perfettamente concesse dalla legge. Qualche esempio: riparare il proprio dispositivo, trasformare un contenuto regolarmente acquistato in un altro formato, o realizzarne una copia di backup, studiare e modificare un sistema per permettere l’interoperabilità con altri, o sistemare una vulnerabilità di sicurezza. Questa intransigenza porta a situazioni estreme, dove anche crackare il DRM di un lavoro di pubblico dominio costituisce una violazione della sezione 1201.
EFF chiede ai giudici di stracciare questa sezione del DCMA in quanto incostituzionale, poiché implementa una irragionevole ed eccessiva limitazione della libertà di espressione concessa dal Primo Emendamento della Costituzione americana. La portata troppo estesa della sezione 1201 è esemplificata dall’immunità che ha progressivamente acquisito nei confronti del fair use , la valvola di sfogo che la Corte Suprema ha storicamente identificato come meccanismo di salvaguardia contro eventuali abusi della protezione del diritto d’autore a scopo censorio. Ad essere incostituzionale, sostiene EFF, non è solo la legge in sé, ma anche il meccanismo della revisione triennale con cui la Library of Congress può concedere eccezioni all’applicazione della sezione 1201: il processo sarebbe infatti lungo, inaccessibile alla maggior parte dei creatori di contenuti e troppo discrezionale nella sua applicazione.
EFF rappresenterà legalmente due pesi massimi nel settore della sicurezza informatica, Andrew Huang e Matthew Greene . Huang è noto per aver crackato per primo la Xbox originale e aver installato su di essa Linux, ed ha appena presentato una ricerca su un prototipo anti-sorveglianza in collaborazione con Edward Snowden; Greene è un luminare di crittografia applicata alla John Hopkins e il suo team vanta scoperte di vulnerabilità eccellenti: nel sistema antifurto di milioni di veicoli Ford, nella crittografia perfect forward secrecy in uso in un terzo del web e, più di recente, l’ intercettazione in chiaro della messaggistica iMessage di Apple.
Tutte queste ricerche sono problematiche e vivono sotto la scure del DMCA. Huang ha condiviso sul suo blog , come motivazione principale per la partecipazione a questa iniziativa legale, la ricerca di un futuro più tranquillo per la prossima generazione di ricercatori; Greene nel suo comunicato è invece entrato più nel dettaglio di come la sezione 1201 rallenta o uccide sul nascere la ricerca sulla sicurezza informatica .
Greene e il suo team praticano la responsible disclosure , avvertendo come prima cosa le aziende interessate dalla vulnerabilità scoperta e cercando di lavorare a stretto contatto con esse, rilasciando i risultati della loro ricerca solo dopo che i bug sono stati risolti nei prodotti finali, quando possibile. Purtroppo “è pratica sempre più comune tra le aziende sfruttare il DMCA per mettere a tacere questa ricerca in buona fede, minacciando i ricercatori con azioni legali e civili di cui non possono sostenere i costi”. La sezione 1201 costituisce una solida base legale per le aziende che vogliano nascondere dettagli e mancanze imbarazzanti dei propri prodotti che potrebbero portare a reclami da parte dei clienti, non far trapelare descrizioni troppo dettagliate dei meccanismi interni o semplicemente non vogliano affrontare i costi necessari a far fronte al problema. “A pagare il prezzo di queste intimidazioni alla fine è il pubblico”, un prezzo tanto più alto quanto la superficie di attacco si allarga agli autoveicoli in cui viaggiamo , alle apparecchiature mediche che ci tengono in vita, alle macchine a cui affidiamo la democrazia .
Gli sforzi per rispettare la sezione 1201, afferma Greene, impattano seriamente la qualità e l’accuratezza del lavoro di ricerca nel campo della sicurezza. “Ogni tentativo di reverse engineering di un sistema software comporta il rischio di infrangere la legge. La mia prima attività di fronte ad una nuova ricerca non ha a che fare con la scienza, ma con scartoffie legali e avvocati, non solo per me ma anche per i miei giovani studenti”. Il risultato è quello di distogliere l’attenzione da ricerche dall’ampio impatto. Evitare l’utilizzo del reverse engineering e trattare il sistema come una scatola nera è possibile, ma estremamente controproducente . “Dedurre il funzionamento di un sistema solo dai suoi input e output è estremamente più arduo e richiede più tempo”. Meno qualità complessiva, meno tempo a disposizione per approfondire, e meno produzione scientifica, afferma Greene. “Alcuni progetti di ricerca interessanti e importanti semplicemente non vedono mai la luce”.
Se Greene, Huang ed EFF dovessero avere successo, l’impatto difficilmente resterebbe confinato alla legislazione USA . L’adozione di clausole simili alla sezione 1201 è stata posta in passato come requisito nei confronti di altri paesi durante accordi commerciali firmati dal governo statunitense. Qualora parte del DMCA cadesse negli USA, molte altre legislazioni potrebbero avere leva sufficiente per seguire la stessa strada.
Stefano De Carlo