Piracy shield, ovvero la storia di come una legge potenzialmente inefficace diventa realmente dannosa.
Com’è noto, dopo il blocco di alcuni DNS dispacciati da CloudFlare nella primavera di quest’anno, questa volta è toccato a Google, che si è vista compromettere il funzionamento di Google Drive per tutta la serata di sabato dopo un’improvvida segnalazione da parte di DAZN ad Agcom.
I problemi di Piracy Shield
Se è vero che il diavolo sta nei dettagli, i primi problemi del Piracy Shield sono emersi con l’implementazione del regolamento Agcom (previsto dall’art. 6 della legge) e con la creazione della piattaforma di segnalazione sviluppata da SP Tech Srl (braccio tecnologico dello Studio legale Previti). Da subito è apparso evidente che al processo di segnalazione mancavano alcuni elementi chiave, come quello della notifica e procedure strutturate di ricorso, che possono essere soltanto inoltrate via PEC entro 5 giorni dalla segnalazione. Veramente pochi se non ci non si accorge che i propri servizi sono stati messi offline – per non parlare delle difficoltà di eventuali stranieri che non necessariamente hanno o conoscono cosa sia una PEC.
A questo si aggiunge il fatto che come riporta Wired non esiste alcun SOC, un centro operativo di sicurezza. Per questo così ogni crisi viene gestita per passaparola e – al netto delle procedure di ricorso da attivare ex post – non esiste una procedura standardizzata per intervenire tempestivamente in caso di palesi ed evidenti errori nelle segnalazioni.
Il caso di Google Drive è emblematico, dal momento che la risoluzione dei disservizi è avvenuta in modo graduale e “disordinato”, con i diversi internet service provider che ripristinavano gli accessi una volta resisi conto dell’errore.
Ma non solo, a rendere tutto più complesso e scivoloso è intervenuto il Decreto Omnibus che, come dicevo in precedenza, ha esteso il raggio di azione dello scudo a tutti gli IP e a tutti i domini utilizzati anche e in modo prevalente (ma questo è difficile da dimostrare) per attività pirata. Indirizzi che non devono più essere univoci, quindi. Per utilizzare una metafora, immaginate che a un numero civico ci sia un condominio di sei appartamenti e che in uno di questi sia in atto un crimine; ora le forze dell’ordine potranno arrestare tutto il palazzo e non dovranno più concentrarsi nella ricerca di quel preciso appartamento. Certo la legge dice che quel condominio dovrebbe “prevalentemente” essere usato per attività criminali, ma siccome senza entrare in tutti gli appartamenti non si può sapere cosa stiano facendo gli altri inquilini, se arriverà la segnalazione anche solo per uno di essi, Piracy Shield interverrà (l’abbiamo visto con Google Drive).
A meno che, questo palazzo non sia incluso in White List, ovvero una lista di indirizzi sicuri che non possono essere colpiti da provvedimenti di oscuramento. E ora parliamo anche di questo
Il caso Google e le risposte del Ministero delle Imprese e del Made in Italy
Alla luce dei fatti fin qui esposti, lunedì 21 ottobre ho depositato un’interrogazione al Ministero dell’Industria e del Made in Italy per chiedere quali iniziative di competenza, anche di carattere normativo, il governo intendesse adottare per assicurare il rispetto del diritto degli utenti evitando che Piracy shield continui a sospendere servizi internet estranei ad attività illecite.
La risposta arrivata dal Ministro Urso, come potete vedere voi stessi, tuttavia è stata alquanto carente.
Gli eventuali disservizi si limiteranno quanto più gli operatori della comunicazione contribuiranno a inserire nella white list i servizi legittimi per evitare che vengano erroneamente colpiti – ha detto il ministro del Made in Italy Adolfo Urso -. Inoltre, la normativa in vigore prevede profili di responsabilità dei provider e degli intermediari online, richiedendo loro di segnalare qualsiasi indirizzo sospettato di attività illecita. Il ministero del Made in Italy è disposto a valutare qualsiasi iniziativa idonea a rafforzare misure di controllo sui soggetti operanti nel settore. È cruciale che i servizi legittimi possano operare senza timore di essere oscurati (ministro del made in Italy Adolfo Urso)
In sostanza, per il Ministero i problemi dello scudo anti-pirateria verranno risolti soltanto quando tutti gli operatori contribuiranno a segnalare che i loro servizi sono sicuri attraverso l’iscrizione alla famosa White List. Tradotto: nessun altro provvedimento verrà messo in campo.
Prevista da un mio Ordine del Giorno votato in seguito all’approvazione della prima versione della legge, e poi implementata nel regolamento, la White List è un lungo elenco di domini da non oscurare, anche qualora venissero segnalati. Le disposizioni di Agcom impongono a tutti i fornitori di servizi media di iscriversi alla piattaforma, tuttavia, poiché non tutti gli operatori hanno già iscritto i loro indirizzi “sicuri”, è possibile che alcuni servizi estremamente diffusi possano venire oscurati, come è appunto avvenuto per Google Drive.
È un sistema che offre qualche garanzia ma che ha un grosso problema: se per essere sicuri di non venire perseguiti è necessario dichiararsi preventivamente innocenti, significa che chiunque non lo faccia è automaticamente presunto colpevole di trasmettere contenuti pirata? Insomma, anche ammesso che tutti gli indirizzi “essenziali” inseriti un giorno in White List fossero effettivamente sicuri, il Ministero ci sta dicendo che tutti gli altri non saranno mai al sicuro visto che l’indirizzo IP a loro assegnato potrebbe un giorno essere condiviso con qualcuno che trasmette un contenuto pirata.
Non si può andare avanti così
Appare evidente che, a meno di non voler rivoluzionare il funzionamento di internet, così non si può andare avanti. Innanzitutto, è necessario fare un passo indietro rispetto alle modifiche del Decreto Omnibus, riportando nel testo quell’univocamente necessario a garantire il rispetto del diritto.
Se nella sua prima formulazione la norma, infatti, prevedeva che potessero essere oscurati soltanto indirizzi univocamente riconducibili a contenuti pirati, con il decreto Omnibus di quest’estate l’articolo 2 della legge è stato modificato rendendo passibili di blocco anche tutti quei nomi di dominio e IP condivisi che siano anche solo parzialmente riconducibili ad attività pirata. La legge utilizza l’avverbio “prevalentemente” che è una soluzione che – a mio avviso – porta con sé molte perplessità.
Inoltre, si potrebbe prevedere un oscuramento solo temporaneo (indicativamente per la sola durata dell’evento, se è live) degli IP e dei DNS incriminati, in modo tale da minimizzare i danni in caso di errore.
Sempre per limitare i danni, andrebbe introdotto un rating per i segnalatori, trovando meccanismi sanzionatori per quei titolari di diritti di autore che fanno troppi errori. Infine, il sistema di notifica dei blocchi va migliorato e tutta la procedura resa più trasparente, per migliorare la comunicazione bidirezionale tra tutti gli interessati.
Questi sono soltanto alcuni suggerimenti ma sono sicura che ci sia molto altro che può essere fatto per migliorare la situazione, perché per me una cosa è chiara: se il Ministero o Agcom non intendono mettere le cose a posto, la piattaforma va chiusa.
Piracy shield: com’è nato, come funziona
Lo scudo anti-pirateria è stato istituito con la legge 93 del 14 luglio 2023. Questa norma, voluta fortemente dalla maggioranza, anche in seguito a una raccomandazione della Commissione Europea, è stata chiamata informalmente “legge anti-pezzotto”, dal nome del più noto sistema illegale usato per vedere le partite di calcio senza pagare alcun abbonamento.
Si tratta di un provvedimento che, pur con alcuni limiti applicativi, è maturato in un clima di distesa collaborazione tra tutte le forze politiche in Parlamento ed è stato approvato a larga maggioranza anche da chi siede all’opposizione – chi non è favorevole al contrasto alla pirateria, in fondo?
Come funziona
La procedura prevista è piuttosto semplice: quando il detentore di un diritto d’autore intercetta un sito che sta trasmettendo un contenuto senza autorizzazione, carica all’interno di una schermata sul sito di AGCOM l’indirizzo Ip o il Fqdn (Fully qualified domain name) incriminato, insieme a delle prove che testimonino la violazione subita ed entro 30 minuti quel sito deve diventare irraggiungibile in Italia, facendo comparire al suo posto una schermata che notifica la sospensione. Eventuali ricorsi vengono poi gestiti da Agcom in seguito alle segnalazioni di chi si è visto ingiustamente colpito, ma solo se la vittima se ne rende conto entro 5 giorni in autonomia, visto che nessuna notifica viene inviata.
