Negli Stati Uniti, ma un po’ in tutto il mondo anglosassone, si possono trovare alcune leggi “curiose” (dumb laws) ancora vigenti. Sono reperibili su Internet, e sebbene molte di queste siano dei fake, alcune sono sempre lì per farci sorridere. Ad esempio, nel North Carolina non è consentito giocare a bingo per più di cinque ore consecutive, mentre nell’Indiana i cavalli non possono superare le 10 miglia orarie.
In Italia forse non esistono dumb laws così stravaganti, ma il fatto che politica e tecnologia non siano mai andate molto d’accordo è evidente in molte leggi vigenti e non.
Da motociclista stagionato ricordo ad esempio il Decreto del 28 novembre 1983 che proibì la produzione di motocicli da cinquanta centimetri cubici (i “cinquantini”, o “motorini”) con più di tre marce. Oggi, nell’era degli scooter, non avrebbe molto impatto, ma allora i motorini da cross ne avevano anche sei o sette di marce. Questo decreto tarpò loro le ali (…le ruote) senza nessuna motivazione logica. E vi assicuro che guidare un mezzo con tre rapporti anziché sei toglie molto al divertimento, soprattutto da ragazzini.
La strada per l’inferno è lastricata di buone intenzioni [K.Marx]
Con l’arrivo di Internet e più in generale con il diffondersi dell’Information Technology, come prevedibile il problema è divenuto molto più sensibile. I seguenti esempi stanno a dimostrare una scarsa attenzione del legislatore alle specificità del settore ed un approccio che definirei “novecentesco” ai problemi di regolazione della Rete in generale.
Il gestore non c’è più
È all’inizio degli anni ‘90, con la Legge 109/91, che si regola – tra l’altro – il collegamento degli impianti di comunicazione interni (oggi si direbbe “reti locali”) alla rete pubblica.
Nel testo si parla di “gestore del servizio pubblico”, evidentemente pensato con riferimento alla SIP, impresa pubblica allora monopolista delle comunicazioni nazionali, e si dispongono regole per i dispositivi da utilizzare, allora principalmente telefoni e modem, imponendo altresì una certificazione per le aziende che operano nel settore.
Ma già dal 1994, con l’avvento di Telecom Italia e la sua privatizzazione, avvenuta a partire dal 1997, il concetto di “gestore pubblico” perse completamente di significato. La legge 109 però è stata abrogata solo nel 2010, perpetuando per oltre un decennio uno stato di incertezza normativa in un settore strategico.
Quanto pesa un Gigabyte?
So cosa state per dire: la legge di cui si sta per parlare proviene da una Direttiva europea. Vero, ma non è che l’Europa sia sempre brillantissima nella sua attività legislativa, attività peraltro molto intensa se si nota che in UE sono normate anche le dimensioni delle banane (non è una leggenda, si tratta del Regolamento di Esecuzione n. 1333/2011).
La tassa sul gigabyte nasce come protezione dei diritti degli autori di opere digitali o digitalizzate. Per difendersi dalle copie illecite di tali dati (che siano software, film, musica, libri) si deve escogitare un sistema per bloccare tale pratica o quantomeno indennizzare i titolari dei diritti.
Anche in questo caso, finalità ottime ma modalità di esecuzione assai discutibili: vista la sostanziale impossibilità di bloccare il download e la copia illegale dei file, si pensa di tassare i supporti destinati ad accogliere tali copie: la tassa sul gigabyte, appunto.
Tutti i dispositivi di memoria scrivibile (CD, DVD, penne USB, hard disk) vengono quindi soggetti ad un contributo proporzionale alla sua capienza. L’importo di tale tassa, che i produttori scaricano ovviamente sul consumatore, arriva fino a 28,98 euro per supporto (DM 30 giugno 2020). E poco importa se sul DVD volete registrare il video del battesimo o del matrimonio: siete considerati “copiatori” a prescindere. Un modo di procedere sinceramente molto discutibile.
Un piano non troppo forte
La cybersecurity non è una questione nuova: nasce insieme all’informatica, in particolare all’informatica distribuita. Il primo virus in grado di diffondersi in rete è infatti il Morris worm del 1988. Quando anche i sistemi informativi degli enti pubblici cominciarono ad assumere dimensioni e strategicità notevoli, il legislatore intervenne con varie norme tese a garantire la protezione dei dati e la sicurezza in generale dei sistemi (fra cui le misure minime di sicurezza). Ma fu nel 2005, e precisamente con il DM del 2 agosto di quell’anno, che la questione assunse toni decisamente grotteschi. Il titolo del decreto recitava “Regole tecniche e di sicurezza per la redazione dei piani di sicurezza comunali per la gestione delle postazioni di emissione CIE, in attuazione del comma 2 dell’articolo 7-vicies ter della legge 31 marzo 2005, n. 43”
In relazione alla prevista emissione della CIE (Carta d’Identità Elettronica) si impose cioè ai Comuni di predisporre, entro il 31 ottobre 2005, un piano di sicurezza informatico che la gran parte degli enti non aveva mai predisposto in maniera compiuta.
Finalità lodevole, se non fosse che venne proposto come schema di riferimento un documento di 150 pagine che mal si adattava agli enti di piccole dimensioni (e dalle scarse o nulle risorse ICT). Si trattava in pratica di un esercizio di stile, che citava tutti gli standard dell’epoca (dalla ISO 9001 alla BS 7799). Ma che avrebbe soprattutto richiesto un impegno di tempo molto superiore al mese e mezzo che era a disposizione degli Enti prima della scadenza imposta.
Il risultato fu che buona parte dei Comuni, per rispettare l’ennesimo adempimento, cambiarono il logo ed il nome del Comune nel documento di riferimento e consegnarono direttamente quello.
Questo modo di procedere vanificò il possibile beneficio per l’Ente che avesse deciso – una volta tanto – di affrontare la questione cybersecurity in maniera seria.
Il Piano doveva inoltre essere inviato alla Prefettura competente per territorio in un formato digitale non meglio specificato. Il CD fu quindi il supporto prescelto, ma si pose il problema della tipologia di firma digitale e di chi dovesse sottoscriverlo.
Il mio colloquio telefonico di allora con il funzionario della Prefettura di Firenze fu surreale:
- (io) Ma che cosa ci farete poi con tutti questi volumi, sono uno per Comune…
- (lui) Per ora li mettiamo in un armadio, poi vedremo. [penso siano ancora lì, NdA]
- E poi ho visto che volete una copia su un CD firmato, può andar bene un pdf firmato dal Sindaco in formato p7m…
- No, no, macché. Basta il CD firmato a pennarello dal Sindaco (sic).
E quindi, vergognandomi un po’, presi il mio CD e lo portai al Sindaco per la sottoscrizione… analogica.
Per inciso, la mia Prefettura fu tutto sommata fortunata, avendo competenza solo su 44 Comuni. Mi immagino l’armadio della Prefettura di Torino con i suoi 312 “Piani” cartacei. E i 312 CD firmati a pennarello, ovvio.
La BrunettaPEC
È del 2009 il tentativo per semplificare la comunicazione fra cittadini e Pubblica Amministrazione, a cura del Ministro per l’Innovazione Renato Brunetta. Buona idea, ma realizzata in maniera pessima.
CEC-PAC, è questo il nome del nuovo servizio, sta per “Comunicazione elettronica certificata tra la pubblica amministrazione e il cittadino”. Si tratta, in sostanza, di un indirizzo di posta elettronica quasi-certificata che fu istituito con Decreto legge 29 novembre 2008, n° 185.
Presentata con grande enfasi (“avremo entro un anno dieci milioni di caselle”, disse il ministro) e costata circa 50 milioni di euro, la CEC-PAC aveva già in partenza dei limiti notevoli: poteva essere utilizzata esclusivamente fra cittadini e Pubblica Amministrazione (e non, come la normale PEC, in maniera generalizzata); fra le stesse Pubbliche Amministrazioni furono molte a non attivarla.
Nel 2012 si contavano solo 1,2 milioni di caselle, di cui realmente utilizzate circa 200.000 (tra cui la mia). Il fallimento era evidente, ma per il sipario si dovettero attendere ancora tre anni: il progetto CEC-PAC si chiuse definitivamente il 18 settembre 2015 con la disattivazione degli account ancora presenti sui server.
È evidente come la soluzione più semplice, ovvero quella di dotare ogni cittadino di una casella di posta certificata gratuita, potesse in qualche modo alterare gli equilibri del mercato dei servizi web. Certo è che proprio questa fu la soluzione scelta da AGID dopo la chiusura delle CEC-PAC (anche se la gratuità fu solo per un anno).
MAC address? MA Che dici?
Se il sonno della ragione genera mostri, la paura dell’anonimato genera regole ridicole: l’anno è il 2010, il provvedimento è il Decreto Milleproroghe (uno dei mille Milleproroghe, verrebbe da dire). Nel quale si legge, all’articolo riguardante le connessioni wifi pubbliche (o, come si diceva allora, i cybercafé): “resta fermo l’obbligo del gestore di garantire la tracciabilità del collegamento (MAC address)”.
Il MAC address (indirizzo Media Access Control) si può considerare una “targa” del computer. È un numero che appartiene ad ogni dispositivo per il collegamento in rete del PC ed è univoco: non esistono al mondo due computer con lo stesso indirizzo. Pare quindi essere un buon indiziato per tracciare tutti i collegamenti attraverso reti wifi pubbliche. Pare, appunto.
A parte il fatto che a me fa sempre un po’ sorridere trovare un termine tecnico come MAC address in un testo di legge, ma la trovata sembrò da subito quantomeno ingenua, e fu soggetta a battute piuttosto irriverenti da parte del “popolo del web”.
Per cominciare: l’associazione fra MAC e soggetto fisico come la facciamo? Con un registro cartaceo, facendo compilare da ogni cliente del cybercafé un’informazione sul proprio PC che quasi nessuno conosce? Oppure con un’applicazione sul server di connessione proxy (installato e gestito dal barista che sventuratamente offre il servizio)?
Già sarebbe una soluzione migliore, ma con questi tre semplici comandi:
sudo ifconfig eth0 down
sudo ifconfig eth0 hw ether xx:xx:xx:xx:xx:xx
sudo ifconfig eth0 up
il MAC è camuffato. Questo se usate un PC Linux.
Con Windows è ancora più facile: bastano due click dati bene.
E dunque questo comma della legge-Milleproroghe è rimasto di fatto lettera morta.
Nello stesso periodo, nel resto d’Europa, la navigazione wifi era pressoché libera: ricordo ancora lo sguardo stranito del gestore di un internet point di Bruxelles, nel 2008, quando mi presentai al banco con il passaporto in mano per chiedere l’utilizzo di una postazione, perché pensavo che l’identificazione fosse obbligatoria. Mi indicò viceversa un computer libero e con due euro navigai per un’ora in modalità completamente anonima.
2023: la guerra del pezzotto
Dicesi “pezzotto” un particolare decoder utilizzato per accedere illegalmente ai contenuti dei canali televisivi italiani ed esteri a pagamento. In realtà il pezzotto del 2023 è molto più spesso rappresentato da un semplice collegamento web ad un provider di contenuti video non autorizzato, senza decoder fisici da acquistare. Il termine è di origine partenopea ma si è rapidamente diffuso in tutto il nostro Paese, così come l’utilizzo del dispositivo stesso, anche a causa dei costi elevati degli abbonamenti video agli eventi sportivi.
L’Autorità per le Garanzie nelle Comunicazioni (AgCOM) nel 2023, su sollecitazione delle aziende che propongono contenuti web “leciti”, nonché della Lega Calcio, lancia una campagna per limitare l’utilizzo fraudolento di queste connessioni. E fin qui niente di strano, si tratta in fondo di una difesa dalla pirateria informatica. Ma lo fa nel peggiore dei modi: sostenendo l’introduzione di una Legge (la 93/2023 “Diritto d’autore reti di comunicazione elettronica – Repressione diffusione illecita contenuti”) che attiva un “Piracy Shield” che altro non è che un sistema di richiesta di blocco dei contenuti illegali da effettuarsi a cura degli internet service provider italiani (ISP). In pratica, ricevuta la richiesta di blocco del flusso video incriminato, gli ISP hanno 30 minuti di tempo per bloccarne l’accesso da parte dei client italiani, a livello di URL (ovvero: nome del sito) o di indirizzo IP.
È inoltre imposta ai gestori di motori di ricerca (pensiamo a Google) la deindicizzazione dei siti segnalati, ovvero la scomparsa dai risultati ottenuti da ricerche mirate.
Tutta l’operazione comporta l’assunzione di dieci dipendenti “dedicati” presso AgCOM ad un costo aggiuntivo di circa due milioni l’anno.
Ma il sistema, da subito, mostra di non funzionare correttamente, e così concepito non potrebbe mai funzionare: dopo meno di un anno dall’introduzione risultano bloccati molti nomi a dominio (alcuni dei quali “innocenti”) e migliaia di indirizzi IP che vanno a saturare la capacità di filtraggio di molti ISP. Nella norma manca inoltre la definizione di una procedura per richiedere lo “sblocco” dell’indirizzo o l’indicazione di una durata massima del ban. Queste mancanze – non propriamente tecniche – danno l’idea della frettolosità e dell’approssimazione con cui si è affrontato il problema.
Il vero disastro si verifica il 19 ottobre 2024, quando per un errore di programmazione è Google a cadere nelle maglie dell’anti-pezzotto: per tre ore i servizi di Google Drive diventano irraggiungibili da tutti i PC italiani, creando disagi anche seri, mitigati solo dal fatto che il 19 ottobre è caduto di sabato.
Non paghi dell’evidente inadeguatezza della misura, ad oggi sta per arrivare un emendamento (al momento già approvato da Camera e Senato) secondo il quale i provider devono segnalare all’Autorità Giudiziaria ogni contenuto che violi la legge sul diritto intellettuale, oltre ad estendere il sistema “anti-pezzotto” alle connessioni via VPN (Virtual Private Network). Nuovamente ci troviamo di fronte a problematiche tecniche (vietare tutte le VPN? imporre regole anche ai VPN provider stranieri, che sono la maggioranza? E come?) e anche semplicemente di buon senso: l’obbligo di denuncia delle violazioni del diritto d’autore trasformerebbe gli internet provider in poliziotti del web, ruolo che non sono tenuti a svolgere; e soprattutto intaserebbe i Tribunali con milioni di segnalazioni. Sono infatti stimate in 9 miliardi tali tipi di violazioni sul Web.
In sostanza appare quanto mai opportuno un ripensamento su questo emendamento e sulla Legge 93/2023 in generale, che ha dimostrato ampiamente di essere inefficace e dannosa.
Telefona fra cent’anni
Non credo che la legge anti-pezzotto sarà l’ultima delle dumb laws all’italiana. Quello che mi aspetterei, però, è un maggior ascolto da parte del legislatore nei confronti dei tecnici della materia.
Una telefonata allunga la vita, recitava uno spot di successo di qualche anno fa. Una telefonata preventiva ad un ingegnere, forse, potrebbe evitare ulteriori brutte figure.
