In queste settimane si è fatto un gran parlare del cosiddetto “piracy shield“, ovvero la piattaforma nazionale anti-pirateria messa a disposizione da Agcom (l’Autorità Garante delle Comunicazioni) nata per contrastare lo streaming illecito di contenuti protetti da diritto d’autore, su tutti gli eventi sportivi e le partite di calcio.
Perché se ne parla? Perché non funziona, innanzitutto; ma anche perché la vicenda dei suoi malfunzionamenti si sta allargando mostrando quanto lo strumento sia mal sviluppato e inadeguato ad assolvere a un compito così delicato: intervenire sulla tutela del diritto d’autore in via cautelativa, senza che ci sia la sentenza di un giudice di mezzo.
Cos’è e come nasce lo scudo anti-pirateria
Lo scudo anti-pirateria è stato istituito con la legge 93 del 14 luglio 2023, un testo a cui ho contribuito personalmente con alcuni emendamenti migliorativi in Commissione trasporti, poste e telecomunicazioni, durante la discussione alla Camera. Questa legge, voluta fortemente dalla maggioranza, anche in seguito a una raccomandazione della Commissione Europea che chiedeva maggior impegno nel contrasto alla riproduzione non autorizzata di eventi sportivi, è stata chiamata informalmente “legge anti-pezzotto”, dal nome del più noto sistema illegale usato per vedere le partite di calcio senza pagare alcun abbonamento.
Lo scudo, attivato a inizio febbraio, è dunque nei fatti lo strumento operativo che Agcom, incaricata di comminare i provvedimenti cautelari, utilizza per contrastare la diffusione illecita dei contenuti incriminati.
Come funziona lo scudo anti-pirateria
La procedura è piuttosto semplice: quando il detentore di un diritto, per esempio Dazn o la Lega Calcio, intercetta un sito che sta trasmettendo un contenuto senza autorizzazione, carica all’interno di una schermata sul sito di AGCOM l’indirizzo Ip o il Fqdn (Fully qualified domain name) incriminato, insieme a delle prove che testimonino la violazione subita; di tutta risposta entro 30 minuti i 309 operatori di servizi internet che collaborano alla piattaforma hanno l’obbligo di rendere il sito irraggiungibile facendo comparire al suo posto una schermata che notifica la sospensione. Eventuali ricorsi vengono poi gestiti da Agcom in seguito alle segnalazioni di chi si è visto ingiustamente colpito.
Questo strumento era necessario per rendere applicabile realmente la tutela del diritto d’autore. Prima della sua applicazione, infatti, non esisteva nessuna modalità di intervento che permettesse di oscurare una diretta clandestina e ogni segnalazione doveva passare per un tribunale. Appare da subito evidente che, per quanto la giustizia potesse fare di tutto per essere efficace e veloce, 90 minuti (più eventuali supplementari) erano decisamente troppo pochi per intervenire.
Ecco perché la legge approvata a luglio, pur coi suoi limiti applicativi (che stiamo vedendo in queste settimane e mi appresto a snocciolarvi), è maturata in un clima di distesa collaborazione tra tutte le forze politiche in parlamento e approvata a larga maggioranza anche da chi siede all’opposizione.
I primi problemi, fin dal lancio
Se è vero che il diavolo si cela nei dettagli, bisogna dire che fin da subito questa norma gli forniva molti interessanti nascondigli. Partiamo dal suo limite più grosso: queste misure cautelari, ovvero l’oscuramento dei siti interessati da parte di Agcom, sono efficaci soltanto per chi si connette dall’Italia, ergo con una VPN gli IP in black-list sono comunque raggiungibili e visibili.
L’oscuramento dei siti legittimi
Tuttavia, non era questa la cosa che noi dell’opposizione temevamo maggiormente. La cosa che ci preoccupava di può, che poi è ciò che è accaduto, è che questo strumento potesse colpire anche moltissimi siti che con la pirateria non c’entravano nulla, colpevoli soltanto di condividere (o ereditare) gli IP con chi trasmette i contenuti illegalmente. Proprio per questo io stessa avevo proposto in fase di discussione di creare almeno una white-list (ancora in fase di completamento) di siti strategici da mettere al riparo da qualunque intervento Agcom.
Da Agcom ci aspettavamo insomma maggiore accortezza o – quantomeno – delle procedure di rettifica veloci ed efficaci – e anche su questo avevamo presentato diverse proposte come opposizioni.
Convocato in audizione alla Camera in seguito a questi prevedibili problemi, il presidente di Agcom Lasorella, ha minimizzato la gravità della situazione pur riconoscendo che qualche problema c’è stato, come quando un segnalatore ha caricato un indirizzo IP di Cloudflare condiviso tra tanti siti diversi, rendendo decine di migliaia di indirizzi web irraggiungibili.
Rendere più trasparente la lista degli interventi effettuati
Alla mia richiesta di rendere più trasparente la lista degli interventi effettuati, in modo anche da fornire un riscontro a chi ha subito un ingiusto danno (che comunque va notificato entro 5 giorni o si finisce in tribunale), il presidente di Agcomha risposto che ci penseranno, visto che non c’è nessun obbligo di pubblicazione per legge, asserendo inoltre che su questo tema sono in atto consultazioni con l’Agenzia per la Cybersicurezza Nazionale e gli internet service provider. Consultazioni che forse sarebbero dovute avvenire prima nella logica delle cose.
Un leak svela i difetti di progettazione del privacy shield
Purtroppo, i problemi del Piracy Shield non sono migliorati dopo l’audizione alla Camera e i tanti “falsi positivi”. Nella settimana del 25 marzo un leak ha reso accessibile in chiaro il codice della piattaforma su Github, una piattaforma molto utilizzata da sviluppatori e ingegneri per condividere i loro codici software.
Anche se a leggere diversi pareri sul web la divulgazione del codice sorgente non dovrebbe rappresentare una vera minaccia di sicurezza per la piattaforma e gli utenti, quello che è emerso è che le modalità con cui è stata realizzata l’architettura sono piuttosto amatoriali. Ci sono diverse importanti righe di codice che non sono state debitamente implementate, mandando in produzione un prodotto quantomeno incompleto, se non addirittura vulnerabile; inoltre, nei leak appaiono anche i nomi delle persone che hanno lavorato al codice esponendole in violazione delle leggi sulla privacy. Un pasticcio dietro l’altro, insomma.
La priorità ora è tutelare gli utenti
A questo punto il suggerimento che viene da più parti è proprio di sospendere la piattaforma mentre si cerca di sistemare tutto ciò che non funziona – e che si riuscirà a sistemare – al fine di tutelare gli utenti.
Purtroppo, poiché è impossibile colpire indirizzi IP multipli senza danni collaterali – checché Agcom se la prenda con provider come Cloudflare, quasi fosse una colpa essere un Content Delivery Newtork – si deve quanto meno lavorare sul fronte trasparenza, come ha chiesto proprio oggi l’Unione Nazionale Consumatori con un comunicato stampa.
Questo permetterebbe di migliorare anche sul fronte dei ricorsi. A oggi ci sono soltanto cinque giorni dall’avvenuto blocco per presentare reclamo. La scadenza non è dunque legata alla notifica al diretto interessato, come avviene per qualunque tipo di altra sanzione (dalle multe del Codice della strada alle cartelle esattoriali) e l’unico modo per accorgersi di essere stati colpiti da un blocco è collegarsi al sito dall’Italia, altrimenti si finisce in tribunale. Una cosa del tutto inaccettabile in uno stato di diritto.
