Emergenza terrorismo e Internet (I)

Roma – Come ampiamente annunciato anche da diversi organi di stampa, il Governo ha predisposto una legislazione d’emergenza antiterrorismo che contiene anche alcune disposizioni che riguardano la rete telematica. Tale normativa è racchiusa in due provvedimenti: la legge 31 luglio 2005, n. 155 del ed il Decreto del Ministero dell’interno del 16 agosto 2005.

Entrata in vigore
Con riguardo alle disposizioni relative alla rete Internet, l’entrata in vigore della norma è immediata, o meglio, per i soggetti obbligati a richiedere la licenza di cui al successivo paragrafo, la legge 155 prevede espressamente che il soggetto tenuto debba richiedere la licenza entro 60 giorni dall’entrata in vigore della norma, e cioè 60 giorni a partire dal 2 agosto 2005.

A quali soggetti si applica la norma?
Dall’analisi congiunta delle due norme appare che i soggetti interessati dal provvedimento siano essenzialmente di tre tipi:

a) i titolari o gestori di un esercizio pubblico o di un circolo privato di qualsiasi specie nel quale sono poste a disposizione del pubblico, dei clienti o dei soci, apparecchi terminali utilizzabili per le comunicazioni,
anche telematiche (Art. 1, punto 1, D.M. 16 agosto 2005). In pratica si tratterebbe prevalentemente dei gestori di internet point.

b) coloro che gestiscono terminali self service o postazioni internet non custodite (Art. 3, punto 1, D.M. 16 agosto 2005)

c) i fornitori di accesso ad Internet tramite i c.d. “hotspot wi-fi” ovvero le postazioni wireless situate in aree a pubblica frequentazione (art 4 D.M. 16 agosto 2005).

Nel prosieguo dell’analisi analizzeremo le tre categorie nel dettaglio.

L’identificazione certa degli utenti
Per il momento è opportuno evidenziare come tutte le categorie sopramenzionate debbano previamente provvedere ad identificare coloro che hanno accesso ai servizi, “acquisendo i dati anagrafici riportati su un documento di identità, nonchè il tipo, il numero e la riproduzione del documento presentato dall’utente”. (Si veda, fra l’altro, Punto informatico del 22 agosto 2005 ).

Chi frequenta gli internet point sa che i gestori, per evitare inutili complicazioni e, soprattutto, per non rischiare di perdere clientela, difficilmente chiedono documenti di identificazione. Nonostante il panico e le proteste che si sono scatenate da parte degli esercenti, occorre rilevare come la norma, almeno per gli internet point, non sia del tutto nuova.

Prima del 2002, infatti, vigeva la Delibera n. 467/00/CONS dell’Autorità per le garanzie nelle comunicazioni, dal titolo “Disposizioni in materia di autorizzazioni generali” e pubblicata in Gazzetta Ufficiale della Repubblica Italiana 8 agosto 2000, n. 184. L’articolo 5 della Delibera, rubricato “Condizioni per le autorizzazioni generali”, prevedeva espressamente che “I soggetti che offrono servizi di telecomunicazioni al pubblico in luoghi presidiati mediante apparecchiature terminali, compresi fax, elaboratori dotati di modem o altrimenti connessi a reti informatiche, oltre a soddisfare agli obblighi di cui al comma 1, sono tenuti a:
consentire l’identificazione certa degli utenti che fanno uso di detti terminali per l’invio di posta elettronica;”.

Dunque il principio dell’identificazione dell’internauta che utilizza postazioni aperte al pubblico già esisteva dal 2000.

Sorprendentemente il Codice delle Comunicazioni elettroniche, entrato in vigore il 16 settembre del 2003, nell’unificare la disciplina delle comunicazioni elettroniche, abrogando esplicitamente le norme precedenti o recependole integralmente, non aveva riprodotto questa norma, lasciando quindi libertà ai gestori di adottare tecniche di identificazione degli utenti.

Al di là dei prevedibili dubbi su questa funzione “paranotarile” dei titolari di internet point che ha, nel bene e nel male, un progenitore illustre nell’operazione di identificazione di coloro che richiedono certificati di firma digitale da parte dei Certificatori (problema mai risolto definitivamente dal corpus normativo sulla firma elettronica e sul documento informatico; un commento un po’ datato ma estremamente puntuale su questa problematica è rinvenibile in “Identificare con certezza”: l’ articolo di Manlio Cammarata e Enrico Maccarone – 25.03.03) occorre evidenziare come l’identificazione e la registrazione dei dati dell’utilizzatore potrebbero servire a dare certezza allo stesso titolare ed evitare che possa accadere, tra l’altro, che le forze di polizia si rechino presso gli stessi titolari senza sapere esattamente cosa cercare disponendo perquisizioni o sequestri spesso destinati a soccombere in sede di riesame di fronte alle argomentazioni dei legali delle parti.

Stesso motivo, si presume, che ha spinto il Governo a modificare la disciplina di monitoraggio delle attività e di tenuta dei log già contenuta nell’art 132 del codice della Privacy.

Naturalmente si riproporranno tutti i dubbi relativi all’utilizzo fraudolento dei documenti di identità ed alle problematiche probatorie in termini di utilizzo dei terminali da parte del titolare del documento di identità, ma questo accade tutte le volte nelle quali un soggetto si avvalga di documenti falsi, contraffatti o rubati e non mi sembra vi siano grandi differenze con quanto accade nel mondo reale.

In verità, nonostante sia chiara la finalità di prevenzione delle norme, appare abbastanza difficile che tramite questi strumenti si riescano realmente ad identificare potenziali terroristi, i quali presumibilmente utilizzeranno internet point di paesi dove vi è un’assoluta mancanza di controllo, così come coloro che intendono riciclare il denaro proveniente da attività illecita non si presentano presso le banche italiane vestiti da rapinatori e con un sacco in spalla avente il simbolo del denaro, ma preferiscono di norma i vestiti di lusso e le operazioni presso i più tranquilli e meno sorvegliati “paradisi fiscali”, alcuni dei quali sono tra l’altro anche “paradisi telematici”(sui reati compiuti per mezzo della rete (si veda Terrorismo e cracking su Punto Informatico del 29 agosto).

Inoltre, le comunicazioni che avvengono tra gli appartenenti alle organizzazioni estremistiche con finalità di terrorismo utilizzano spesso modalità crittografiche difficili da decifrare, come la cd. steganografia, che purtroppo viene venduta su internet a pochi dollari e senza alcun tipo di controllo.

Non è tuttavia escluso che, in vista di un attentato nel nostro paese, gli internet point o le postazioni non vigilate possano costituire uno strumento di comunicazione privilegiato tra gli appartenenti al sodalizio criminale nella fase immediatamente precedente l’azione criminosa e le norme odierne possano in qualche modo esercitare un’efficace azione di prevenzione.

Occorre ora affrontare la tematica della tenuta dei log, le modifiche al Codice della privacy e gli obblighi e le responsabilità dei gestori di connettività senza fili. (continua)

Fulvio Sarzana di S.Ippolito
www.lidis.it