Scorrendo i provvedimenti riferiti, direttamente o indirettamente, alle nuove tecnologie, ciò che traspare è la presenza di un Legislatore a volte ingombrante, non sempre in sintonia con il mondo del web e le sue iperdinamiche frontiere. Una sensazione che diviene certezza nel momento in cui si ripercorre la rassegna stampa successiva all’emanazione, nell’estate de 2005, della normativa antiterrorismo racchiusa in due provvedimenti, la L. n. 155/2005 ed il D.M. 16.08.06, più noto come “Decreto Pisanu” . Ed in effetti addetti ai lavori e riviste specializzate hanno manifestato non poche perplessità in riferimento alle norme che – nell’ambito della suddetta disciplina – riguardano la rete telematica.
Ci si riferisce agli obblighi che impone ai gestori di servizi pubblici di qualsiasi tipo che offrano al pubblico la connessione ad Internet, tramite terminali (anche self service), prese ethernet o WiFi.
Con il presente contributo, in particolare, si vuole prestare particolare attenzione alla lett. b) del art.1 D.M. 16.08.06, in forza della quale tutti i soggetti in precedenza richiamati (analiticamente individuati dagli artt. 1, 3 e 4 del D.M. 16.08.06), nel momento in cui forniscono la connessione ad Internet hanno l’onere di procedere all’identificazione dell’utente del servizio prima di consentirgli l’accesso , chiedendo un documento di identità, trascrivendo su un registro o su un pc i dati anagrafici, indicando il tipo ed il numero di documento, nonché procedendo a fotocopiare il medesimo (art. 1, lett. b, D.M. 16.08.06).
L’introduzione delle predette incombenze – come sopra accennato – è stata ampiamente criticata e ciò in ragione di un duplice ordine di considerazioni.
In primo luogo ed in linea di principio è possibile osservare come obbligare il titolare o il gestore di esercizio pubblico ad identificare l’utente significa investire gli operatori di un ruolo di polizia pubblica di cui con ogni probabilità i medesimi avrebbero fatto volentieri a meno, non apparendo certo corretto che questi siano investiti di poteri di controllo non connaturati alla loro funzione, appartenendo istituzionalmente ad altro soggetti.
Soprattutto però è stato rilevato come il predetto obbligo di identificazione, essendo facilmente eludibile (non è infatti da escludere che l’utente fornisca, senza essere scoperto, un documento contraffatto), si traduca in realtà in un inutile orpello, il cui unico effetto è quello di impedire la rapida diffusione delle nuove tecnologie .
A tal proposito l’indice è puntato, con particolare vigore, nei confronti della macchinosa procedura di identificazione – richiesta, esibizione e fotocopia documento identificativo – la quale se è stata mal digerita dai gestori dei locali dove è possibile usufruire di connessione internet (internet cafè o internet point), appare addirittura un non senso per gli accessi con tecnologia WiFi.
Ed in effetti, ci si domanda, come procedere all’identificazione del cliente – mediante fotocopia della carta d’identità del medesimo! – nei casi in cui, come appunto nelle ipotesi di certi accessi internet WiFi, non ci sia un soggetto fisico preposto all’area di fruibilità della connessione Internet.
Per rispettare la norma bisognerebbe predisporre pur sempre un punto di controllo. In tale ipotesi però, considerato che il vantaggio del WiFi era ravvisato proprio nella possibilità di un accesso snello e senza la predisposizione di aree necessariamente presidiate, imporre un controllo fisico vero e proprio, significherebbe frustare le potenzialità di una simile tecnologia .
Le problematiche appena riassunte sono ancora oggi attuali, poiché gli operatori del mondo Internet, dopo aver protestato nell’immediatezza dell’introduzione del “Decreto Pisanu”, sono passati alle vie di fatto, escogitando dei sistemi per ottemperare all’obbligo di identificazione nel modo più pratico possibile.
In primo luogo alcune aziende presenti nel mercato WiFi, proprio per evitare di procedere all’analitica identificazione di ogni singolo cliente, hanno previsto la distribuzione agli utenti di scratch card numerate in cambio di una fotocopia del documento di identità, in tal modo consentendo un accesso ad Internet rapido, controllato e gratuito.
La vera novità (almeno per l’Italia), di cui si è avuto notizia con i primi mesi del 2007, è rappresentata dalla particolare modalità di identificazione predisposta dai cosiddetti hotspot – punti di accesso alle rete svincolati dagli Internet Service Provider e disponibili a chiunque disponga di dispositivi dotati di tecnologia wireless – i cui utenti ricevono il codice di autenticazione direttamente sul proprio cellulare via SMS , semplicemente registrandosi nella pagina di benvenuto che appare una volta attivata la connessione WiFi del pc oppure collegandosi al sito delle aziende che forniscono il sistema hotspot medesimo.
Tale tecnologia, si è detto, è pienamente conforme al Decreto “Pisanu” in quanto permette l’univoca identificazione dell’utente in modo rapido e senza particolari incombenti per il fornitore del servizio.
A questo punto, è necessario domandarsi se la procedura di identificazione mediante SMS di autenticazione sia effettivamente rispettosa del dettato normativo. Se infatti non pare possano esserci dubbi sull’effetto identificativo, qualche perplessità in ordine alle modalità permane, soprattutto osservando la lapidarietà della norma.
Il D.M. 16.08.06, infatti prevede che l’identificazione del cliente debba avvenire – tra l’altro – proprio mediante la consegna di una copia del documento di identità, pertanto ponendo in essere un’operazione materiale che con il sistema di autenticazione via SMS verrebbe completamente omesso .
Alcuni rilievi fanno propendere per la liceità di tale procedura snella e rapida. In primo luogo – come appena osservato – è innegabile che lo scopo della norma, ovvero l’identificazione dell’utente, avvenga anche – anzi probabilmente con ancora maggiore sicurezza – mediante l’invio di SMS di autenticazione e ciò a prescindere dalla materiale esibizione di documento d’identità; inoltre è bene osservare che le aziende che hanno adottato la procedura in questione, almeno per il momento, non sono state in alcun modo riprese dalle Autorità o, peggio, sanzionate, per la violazione del “Decreto Pisanu”, elemento quest’ultimo che dovrebbe incoraggiare un’interpretazione elastica della medesima normativa.
In buona sostanza allo stato dell’arte e per cercare di trarre una conclusione da questa rapida carrellata, è possibile rilevare come a fronte di una norma il cui scopo è quello di garantire la sicurezza delle comunicazioni elettroniche mediante l’imposizione di rigidi obblighi di controllo dell’utenza, sembra essersi consolidata una prassi che permette di garantire un sufficiente standard di controllo, nel contempo senza frenare l’evoluzione tecnologica e lo spirito imprenditoriale .
Altrettanto evidente però è la necessità di un intervento normativo che interpreti definitivamente le disposizioni del Decreto “Pisanu” non in un ottica di emergenza – spirito che evidentemente aveva ispirato la sua promulgazione – ma nella prospettiva della globale fruibilità delle nuove tecnologie.
Avv. Nicolò Ghibellini
Consulentelegaleinformatico.it