FULOG

Wi fi libero oppure no?

Il tutto nasce da una nota stampa della FIPE –confcommercio, ripresa da diversi organi di stampa.

La sensazione iniziale è che il garante privacy potesse aver “sbloccato” l’uso del wi fi adottando un provvedimento autorizzatorio a valenza generale .

Non è ovviamente cosi.

Analizziamo i fatti.

La nota è stata spedita il 5 febbraio.

Eccone i contenuti.

il Dipartimento Comunicazione e reti telematiche, attraverso il capo dello stesso Dipartimento, Luigi Montuori, invia il 5 febbraio alla FIPE la risposta al “quesito in materia di liberalizzazioni dell’accesso alla rete wifi.
La risposta è formulata in questi termini:

“L’abrogazione della revisione relativa alle “misure di preventiva acquisizione dei dati anagrafici riportati su un documento di identità dei soggetti che utilizzano postazioni pubbliche non vigilate per comunicazioni telematiche ovvero punti di accesso ad internet utilizzando tecnologia senza fili”, contenuta nel suindicato art. 7, comma 4 del decreto Pisanu, ha fatto venir meno l’obbligo, per i gestori dei c.d. Internet Point, di registrare i dati anagrafici e identificativi degli utenti e di monitorare le sessioni Internet.”

Attenzione che il garante adotta il termine “internet point” in una modalità che potrebbe sembrare atecnica.
La legge Pisanu e tutte le norme del settore delle comunicazioni elettroniche adottano una diversa terminologia perchè diverse sono le tipologie di fornitura di accesso al pubblico ( esercizi pubblici in via prevalente, esercizi pubblici e basta, hot spot wifi privati, hotspot pubblici).

Le distinzioni sono state colte praticamente da tutti gli esperti del mondo delle tlc http://blog.quintarelli.it/blog/2011/05/confusione-sul-wifi.html
In nessuna parte dell’abrogato decreto pisanu infatti si adotta il termine internet point, che, potrebbe indurre in errore, e che tra l’altro ovviamente non si applica a bar e pizzerie .
La risposta al quesito prosegue con un’analisi delle modalità di consenso da adottare nel settore delle comunicazioni elettroniche.
E’ un discorso generale che probabilmente segue una specifica richiesta della FIPE, dal momento che il garante ribadisce la necessità di richiedere il consenso quando le finalità della raccolta dei dati abbiano una precisa attinenza commerciale o pubblicitaria.

La parte più interessante di quello che evidentemente non è né un parere né un provvedimento, , è però contenuta nella parte finale della missiva.
Il garante specifica ( solo con riferimento alla posta elettronica e non ai dati di navigazione, non si sa perchè ndr)
“Quanto al monitoraggio e all’archiviazione dei dati relativi all’invio e alla ricezione di messaggi di posta elettronica, si richiama la disciplina contenuta nell’art. 132 del Codice, che riguarda però soltanto i fornitori di servizi comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazione e non anche i gestori degli Internet point. Al riguardo, si ricorda anche il provvedimento del Garante in materia di “data retention” del 17 gennaio 2008 (G.U. 5 febbraio 2008 n. 30, doc. web n.1482111), successivamente aggiornato con quello del 24 luglio 2008 (G.U.13 agosto 2008, n.189, doc. web n. 1538224).”

Anche qui si fa riferimento peraltro al concetto di internet point che è del tutto atecnico.
Fortunatamente il garante richiama tutte le norme sulla data retention, ritenendo però che non si applichino agli internet point. ( e al wi fi? A e al wi fi pubblico? E ai bar?) eccettuate quelle più recenti, ovvero forse quelle più interessanti, ovvero gli art 32 e 32 bis del codice privacy emendato nel 2012, che anticipano quanto farà il legislatore comunitario a breve con il recepimento del regolamento comunitario unico sulla privacy.

La lettera non proviene dal Collegio del Garante ( ma da un Dipartimento) , non è un provvedimento, non è una prescrizione, non è un’autorizzazione generale, non può avere in altri termini efficacia generale e, non chiarisce di certo le diverse ipotesi di identificazione degli utenti diverse dalla raccolta ed archiviazione in via cartacea del documento di identità.

La storia del Wi Fi “libero”  a quanto pare non è finita.

 E si perché l’abrogazione “fulminea”, in costanza natalizia,  dei commi 4 e 5 dell’art 7 della legge 155/2005, detta anche “volgarmente”  Decreto Pisanu, che come è noto prescrivevano gli obblighi di identificazione mediante documento di identità di chi navigava negli hotspot, e che rimandavano a norme del Ministero dell’interno successive,  sembrava in effetti aver lasciato il sistema in “balìa di sé stesso”.

Si erano levate voci  giustamente dubbiose  sia sulla permanenza in vita di alcune norme, sia sull’abrogazione totale o parziale delle stesse, sia sullo strano silenzio del legislatore in merito  alla presentazione in Parlamento di un disegno di legge Governativo pochi giorni prima dell’annunciata abrogazione per decreto legge ( che deve ancora essere convertito) di una parte dell’oramai noto decreto Pisanu.

Ebbene oggi  l’edizione on line di uno dei maggiori quotidiani italiani ( se non il più diffuso) ci informa testualmente che  lo “ staff del ministro dell’Interno Roberto Maroni, che pure aveva dimostrato fiuto politico nel cavalcare la liberalizzazione del wi-fi, è blindato in questi giorni al Viminale per trovare delle «soluzioni tampone» che, per certi versi, potrebbero essere un passo indietro. A riferirlo è una fonte dello stesso ministero.” http://www.corriere.it/economia/11_gennaio_15/wi-fi-libero-per-comuni-e-poste-ma-e-ancora-caos-sulle-regole-massimo-sideri_bf549be6-207b-11e0-bf27-00144f02aabc.shtml

Non si comprende bene se la frase sia una libera interpretazione del giornalista, o una espressa dichiarazione della fonte richiamata,  né se la “pretesa” soluzione tampone avrà a che fare con il decreto legge in fase di conversione o con il disegno di legge, ma in ogni caso sembra di trovarsi di fronte ad una storia infinita..

Una riedizione dei dialer in “salsa pedopornografica”, ovvero dei programmi installati all’insaputa dell’utente che  reindirizzavano questi ultimi  verso connessioni telematiche estere e a pagamento che hanno segnato i primi anni di applicazione della rete internet, –quella per intendersi che si basava sulla navigazione dial-up e non adsl- sembra sia stata alla base di un’indagine della polizia postale denominata “venice carnival”.

Secondo gli organi di stampa infatti un’organizzazione criminale basata in uno dei paesi dell’europa orientale aveva ideato un sistema semplice ma alquanto efficace per trovare clienti su Internet: mediante l’installazione involontaria  in oltre un migliaio di siti di un software che reindirizzavano gli utenti verso un altro sito, dove c’erano immagini e filmati pedopornografici. http://www.julienews.it/notizia/cyber-scienza-e-gossip/pedofilia-on-line-la-polizia-postale-pulisce-centinaia-di-siti/63016_cyber-scienza-e-gossip_5_1.html

Il sistema si sarebbe basato sull’invio di mail di spamming.

La vicenda spinge a varie riflessioni:

la prima e più ovvia constatazione  è che non si comprende come in un sistema fortemente interconnesso e controllabile con sistemi informatici semplici da reperire e tra l’altro obbligatori per legge, in virtù della disciplina del codice della privacy che dispone l’obbligo di adozione di misure di sicurezza  come quello odierno i gestori dei siti fossero del tutto all’oscuro di ciò che stava succedendo, come se se la vicenda avesse avuto ad oggetto  computer “zombie”  lasciati abbandonati magari un un’università americana.

Come è noto infatti, l’uso  di server antiquati e facilmente “bucabili” dalle organizzazioni criminali, costituisce uno degli strumenti preferenziali per commettere reati su internet sperando di “farla franca” .

La seconda riflessione riguarda l’uso dei sistemi di filtraggio dei siti pedopornografici previsto dalla legge 38/2006 e dalle successive modifiche ed integrazioni, che ha previsto un sistema di filtraggio IP operato dai provider su segnalazione del centro nazionale per il contrasto alla pedopornografia costituito presso il Ministero dell’interno, al fine di evitare agli utenti italiani l’accesso a tali siti.

Visto che il sistema di filtraggio  viene aggiornato quotidianamente dal Centro Nazionale e inviato ai provider in giornata viene spontaneo domandarsi il perché, una volta assodata la natura pedopornografica del sito in questione, non si sia semplicemente bloccato il contenuto della pagina pedopornografica  alla fonte, come la norma prevede, anziché consentire  l’accesso dei singoli utenti alla pagina con il rischio di trovarsi di fronte a situazioni di difficile soluzione normativa come l’ipotesi di colui che è stato reindirizzato alla pagina senza saperne nulla, visto che pare accertato che ad essere ignari fossero sia i gestori dei server infettati sia gli utenti che venivano reindirizzati presso la pagina.

Tutto ciò naturalmente se le informazioni di stampa, che appaiono però molto confuse dal punto di vista del diritto, corrispondono a verità.

Un ultimo profilo sembra essere estremamente interessante nella vicenda raccontata dagli organi di stampa,l’identificazione degli utenti che hanno avuto accesso alla pagina sarebbe avvenuta mediante la registrazione dei dati IP, consentita ( ed anzi) obbligata dalla normativa sulla tenuta  dei dati di traffico da parte dei provider a disposizione delle forze di polizia e della Magistratura.

Orbene nella pagina filtrata dai provider su ordine del Centro Nazionale per il contrasto alla pedopornografia  che appare a coloro che si recano sui siti  presuntivamente pedopornografici ( per caso o meno è una valutazione che deve naturalmente essere fatta dall’autorità giudiziaria) e che è stata riportata ( anche se impropriamente nella vicenda che ha dato origine a “venice carnival”)  dagli organi di stampa http://tg24.sky.it/tg24/cronaca/2011/01/08/pedofilia_pedopornografia_black_list_polizia_postale_maurizio_ciucci
_adescamento_on_line.html appare però la scritta “Nessun dato relativo al tuo IP address od altra traccia utile ad identificarti verrà registrato”.

Ci si domanda a questo punto se il dato corrisponda effettivamente a ciò che succede in fatti come quelli narrati dagli organi di stampa in questi giorni.

Fulvio Sarzana di S. Ippolito

www.fulviosarzana.it
Studio Legale Roma Sarzana & Associati

It is illegal in Italy for anyone to intercept data transmissions without authorization, and this provides the legal grounds for this investigation.  It seems that Google are aware they have stepped over the mark, by owning up to the privacy breach in a blog posting last week.  While this breach has been known for a while now, this new Italian investigation makes it more serious than previously thought.

In the post, Alan Eustace, senior vice president for engineering and research at Google said “In May we announced that we had mistakenly collected unencrypted Wi-Fi payload data using our Street View cars. We work hard at Google to earn your trust, and we’re acutely aware that we failed badly here.”

However, the case in question seems to be investigating ‘illicit interference in private life’, rather than the illegal interception of communications per se.  Italian legal expert Fulvio Sarzana di S. Ippolito is one of the people arguing that the magistrates involved should really change the focus of the case, although it seems that these two issues go hand in hand for many Italian people.

Follow on GEEKWITHLAPTOP