Che cosa è cambiato

Il comma 19 dell’articolo 2 del Milleproroghe 2010 modifica, invece, l’articolo 7 del decreto Pisanu che dettava la precedente disciplina. I soli che dovranno chiedere l’autorizzazione del questore sono ora coloro che in via di «attività principale» gestiscono «un pubblico esercizio o un circolo privato di qualsiasi specie, nel quale sono posti a disposizione del pubblico, dei clienti o dei soci apparecchi terminali utilizzabili per le comunicazioni, anche telematiche» come un Internet Point. È caduto, invece, l’obbligo di autorizzazione per quegli esercizi che offrivano – con WiFi o meno – la possibilità al pubblico di collegamento a Internet come servizio aggiuntivo, come pub, biblioteche, bar e hotel.

Il requisito della “attività principale” aggiunto dal comma 19, infatti, fa sì che tutti coloro che offrono il servizio di connessione in via accessoria possano ritenersi esclusi dalla richiesta di autorizzazione. L’esclusione degli esercizi commerciali non è esplicitata nel decreto ed è effettuata via puramente deduttiva, ma è ragionevole pensare che si sia voluto limitare l’obbligo di autorizzazione ai soggetti che sono fornitori di servizi pubblici di telecomunicazioni. L’obbligo di identificare gli utenti cade, invece, per entrambe le categorie, in quanto il comma 19 abroga espressamente i commi 4 e 5 dell’articolo 7 dove l’obbligo era previsto.

Che cosa succede ora

È possibile che in sede di conversione in legge il decreto sia modificato o che  nuove norme o regolamentazioni in materia, precedentemente annunciati, vengano emanati nell’immediato futuro, ma è chiaro che dopo avere passato gli ultimi cinque anni a fornire documenti per accedere alle reti WiFi pubbliche siamo di fronte a un cambiamento sensibile ed è lecito chiedersi quale panorama legislativo in questo momento si disegna per effetto dell’abrogazione degli obblighi indicati nel nostro Paese. È importante rilevare come l’obbligo di identificazione previsto nell’articolo 7 del decreto Pisanu trovasse applicazione unicamente nei confronti di soggetti che fornivano accesso a internet in via principale (come per gli Internet Point) o accessoria (come le biblioteche o gli alberghi), ma non verso gli Internet Service Provider che, infatti, hanno diversa regolamentazione.

Questi ultimi, in particolare, sono toccati dall’articolo 6 del decreto Pisanu, che, tra le altre cose, sospendeva la cancellazione dei dati del traffico telefonico o telematico dei loro utenti da parte degli Isp. Il traffico telematico conservato e messo a disposizione delle autorità – se ne fanno richiesta -  non può, lo ricordiamo, riguardare contenuto della navigazione. Quest’ultimo può essere acquisito unicamente attraverso una intercettazione consentita dalla legge. I termini di conservazione, fissati in 12 mesi per il traffico telematico e 24 per quello telefonico dall’articolo 132 del Codice in materia di protezione dei dati personali, erano stati sospesi e gli Isp obbligati a non cancellare i dati (dei problemi collegati alla sospensione dei termini massimi di conservazione abbiamo parlato a suo tempo). Tali obblighi sono stati mantenuti dalla data di entrata in vigore del decreto Pisanu fino al 31 dicembre 2008. L’Isp quindi conserva i dati di traffico dei propri utenti seguendo i limiti sostanziali e temporali fissati dall’articolo 132. Non c’è una disposizione di legge che trasmetta tale obbligo ai clienti che, eventualmente, condividano una connessione internet con altri non identificati, sia questa una WiFi o meno.

La responsabilità degli utenti

È opportuno chiedersi se, in assenza di una puntuale identificazione, sia possibile ipotizzare in capo agli Internet Point o agli altri soggetti che mettono in condivisione l’accesso al web, responsabilità per il comportamento dei propri utenti. Per analizzare la questione è necessario partire da due considerazioni. La prima è che nel nostro paese è possibile rispondere per un reato commesso da altri solo se si aveva l’obbligo giuridico di evitarlo e non lo si è fatto (posizione di garanzia). La seconda è che tale obbligo può avere fonte non solo nella legge ma anche in un contratto. Sappiamo che, in genere, le condizioni generali di contratto previste dagli Isp italiani prevedono clausole che attribuiscono all’utente che sottoscrive il contratto diversi obblighi di garanzia e manleva per le attività effettuate utilizzando il servizio di connessione a Internet. Clausole che vanno dalla tutela della segretezza delle credenziali di autenticazione per la connessione al divieto di condividere il servizio con altri utenti o con persone non appartenenti alla propria organizzazione. Sono, quindi, i contratti stabiliti con il proprio Isp a permettere o meno la condivisione della connessione con utenti e a disciplinare di fatto la possibilità di condividere una connessione.

Le clausole di garanzia previste dai contratti hanno, comunque, lo scopo generale di mantenere indenne l’Isp da eventuali danni diretti causati alle proprie infrastrutture o indiretti per spese sostenute in ragione del comportamento illegittimo dell’utente, ma non sono tali da configurare ipotesi di responsabilità personale in caso di reato commesso da un utente che sta utilizzando, ad esempio, una rete aperta al pubblico. Questo perché nemmeno gli Isp stessi possono legalmente conoscere il contenuto delle comunicazioni dei propri utenti e, di conseguenza, non possono controllare né impedire che attraverso i propri servizi siano commessi reati. Per i titolari degli Internet Point o di altri esercizi che metteranno in condivisione connessione a internet queste considerazioni debbono ritenersi valide a maggior ragione, poiché neppure questi hanno modo di conoscere il contenuto della navigazione degli avventori che ne utilizzano la connessione.

Il precedente in Cassazione

A tal riguardo abbiamo un precedente giurisprudenziale relativo a un caso in cui un utente aveva inviato una mail a contenuto diffamatorio usando i servizi di un Internet Point. La Cassazione ha avuto modo di sottolineare come i titolari di un Internet Point non solo non sono obbligati a conoscere il contenuto della navigazione dei loro utenti, ma ciò gli è anche impedito dalla legge (Cass. Penale Sez. 5, sent. n. 6046/2008). L’articolo 617-quater del codice penale, infatti, vieta l’intercettazione fraudolenta di sistemi informatici e telematici, con la conseguenza che non si può attribuire al gestore dell’Internet Point responsabilità di tipo omissivo. La Cassazione, nella stessa sentenza, ha chiarito come l’obbligo – abrogato in questo momento dal decreto Milleproroghe, ma vigente all’epoca della decisione – di identificare gli utenti che utilizzavano i terminali dell’Internet Point era stato posto dal legislatore «ai soli fini della prova dell’utilizzazione e non per impedire l’eventuale reato».

Gli stessi ragionamenti possono essere ripetuti, mutatis mutandis, per le reti WiFi casalinghe. L’utente consumer che sottoscrive un contratto per accedere a internet non ha, normalmente, il diritto di condividere il servizio con altri utenti l’accesso alla rete. Questo, però, non implica che una volta che una utenza sia utilizzata, ad esempio, da un nucleo familiare, colui che sottoscrive il contratto abbia il diritto di controllare il contenuto della navigazione di ciascuno. Naturalmente, l’inesigibilità di un controllo del contenuto del traffico da parte di un utente di una connessione condivisa deve essere tenuto distinto dal diverso caso, di indole fraudolenta, del non proteggere adeguatamente e deliberatamente una rete al fine di procurarsi un alibi per commettere reati. È chiaro, però, che anche l’intento fraudolento non possa desumersi dalla mancata o non sufficiente protezione o dalla semplice condivisione, ma vada dimostrato in concreto.

Far West o Fair West?

È retorico, infine, chiederci se, dal punto di vista della repressione dei reati,  l’assenza di una identificazione per gli utenti di reti (wireless o meno) messe a disposizione dagli esercenti significhi – vista l’irresponsabilità di Isp e soggetti che la mettono in condivisione – l’ingresso o, meglio, il regresso, nel far west, dato che la registrazione dei dati di una utenza non è condizione sufficiente per individuare l’autore di un illecito. Di sicuro, in caso di problemi, il titolare dell’Internet Point dovrà collaborare con la giustizia, così come accadeva in passato.

Dopo Londra

Tra le scadenze che da due anni compongono il bouquet milleproroghe c’è quella della legge Pisanu, il decreto antiterrorismo che l’allora ministro dell’Interno del governo Berlusconi III si affrettò a promuovere all’indomani degli attentati di Londra del luglio 2005 e che il parlamento convertì compatto pochi giorni dopo. Il clima era molto teso: solo un anno prima era stato attaccato il sistema ferroviario di Madrid, la ferita dell’11 settembre 2001 era ancora molto fresca e la retorica della coalizione dei volonterosi contro il terrorismo internazionale correva con facilità sulla bocca dei più. Far passare norme restrittive per le libertà individuali e collettive non incontrava molti ostacoli, in quei mesi. Senza contare che l’Italia si stava preparando ad avere su di sé gli occhi del mondo, all’Olimpiade invernale di Torino. La sola legge Pisanu, per esempio, concedeva in un colpo maggiore discrezionalità agli investigatori e ai servizi segreti (compresa una discreta mole di nuove norme in fatto di identificazione, di verifica dell’identità, di gestione degli arresti e dei fermi), introduceva limiti più severi per la concessione dei permessi di soggiorno nel nostro paese, allentava alcune rigidità delle procedure di espulsione, imponeva controlli più rigidi sulla circolazione degli esplosivi e sulle attività di volo.

Accanto  a ciò, e ci avviciniamo al punto, la legge Pisanu aveva particolarmente a cuore la sicurezza delle comunicazioni telematiche, introducendo limiti molto fiscali alla diffusione indiscriminata dell’accesso a internet: dal luglio 2005, chiunque offra connettività al pubblico deve registrarsi e ottenere licenza in Questura, deve identificare chi utilizza la propria connessione e registrarne puntualmente gli accessi, deve custodire tutti i dati sul traffico generato e deve metterli a disposizione, se richiesto, delle forze dell’ordine e della magistratura. La giustificazione alla severità di queste misure sta nella difficoltà di tracciare le comunicazioni dei terroristi, che sempre più spesso viaggiano in rete e sfuggono alle più tradizionali antenne dei servizi di intelligence. Se metto un posto di blocco passivo a ogni possibile ingresso della rete, dice il legislatore, quando poi mi capita di intercettare una comunicazione sospetta posso risalire in tempi ragionevoli e con ragionevole certezza all’identità di chi l’ha originata.

Costi e benefici

Quattro anni dopo è urgente la necessità di soppesare nella pratica i benefici e i costi di questa legge, che nasceva emotivamente urgente ma dichiaratamente temporanea. Non è noto quanti pericolosi terroristi internazionali siano stati così sprovveduti da farsi beccare mentre si scambiavano piani d’attacco contro le capitali del mondo libero tramite posta elettronica o sui presidiatissimi forum dell’estremismo glocale. Di certo c’è solo che questa legge transitoria ha agevolato non poco le indagini della polizia postale sul fronte interno, permettendo l’identificazione di numerosi autori di reati commessi attraverso internet, pedopornografia in testa. Il che è certamente una buona notizia, ma a ben guardare esula dallo scopo grave e urgente che animava l’eccezionalità del testo del ministro Pisanu. Né risolve il problema di fondo: per trovare i proverbiali aghi non puoi tenere sotto assedio per sempre il pagliaio.

I costi della legge Pisanu, invece, sono altissimi. Questa legge ha assestato un colpo durissimo alle potenzialità di crescita tecnologica e culturale di un paese già in ritardo su tutti gli indici internazionali della connettività a internet: nel momento in cui nel mondo la rete si apre sempre di più al prossimo grazie alle tecnologie wireless e all’utopia mutualistica dei tanti punti di accesso condivisi liberamente da privati, da istituzioni e da locali pubblici, in Italia abbiamo imposto lucchetti e procedure artificiali, aliene alla sua immediatezza ed efficacia. È come se dopo gli anni ’70 il telefono fosse rimasto alla teleselezione tramite operatrici. Le capitali di mezzo mondo stanno ricostruendo le proprie identità sociali grazie a un prodigioso sistema operativo per le relazioni: noi qui stiamo aspettiamo di sconfiggere ogni strutturale devianza prima di fidarci nuovamente di noi stessi.

Mentre altrove internet si rafforza come diritto riconosciuto all’interazione con l’altro, un’infrastruttura per il progresso sociale ed economico da favorire e da proteggere, per le classi dirigenti italiane – complici leggi miopi o leggi d’emergenza protratte nel tempo, come la Pisanu – si è trasformato nel luogo comune dell’inutilità, della devianza e del reato diffuso. Non abbiamo sconfitto i nostri fantasmi, in compenso abbiamo perso tempo e opportunità, che oggi costerà molto più caro recuperare. Abbiamo perso anche diritti, lasciando che oggi in determinate circostanze gli estremi delle nostre navigazioni parlino per noi con un’intimità che mal si concilia con la legislazione sulla privacy di un paese civile. Questa legge ha contribuito a trasformare un paese spaventato dai mantra delle sue stesse leadership in un paese più arretrato, più rinchiuso in se stesso, più complicato, più pessimista di quanto il mondo d’oggi consentirebbe. La legge Pisanu non garantisce di fermare la pazzia di un estremista, in compenso sta contribuendo alla strage quotidiana delle aspettative e delle opportunità di una intera nazione.

Alzare la voce

L’eccezionalità delle richieste d’urgenza presentate nel 2005 dal ministro Beppe Pisanu si spiega in virtù del loro carattere dichiaratamente provvisorio: sarebbero dovute scadere il 31 dicembre 2007. Se non fosse che prima il governo Prodi II (con il milleproroghe del 31 dicembre 2007) e poi il governo Berlusconi IV (col milleproroghe del 18 dicembre 2008) ne hanno garantito fino a oggi la piena efficacia. È inutile recriminare sulle scelte fatte, ma è nostro dovere influire come cittadini su quelle che possono ancora cambiare. La prossima scadenza utile, sulla quale sarebbe opportuno si aprisse questa volta in tempo utile un dibattito sereno e costruttivo, è il 31 dicembre 2009.

Fanno 85 giorni a partire da oggi. 85 giorni in cui chi ha a cuore il futuro della rete in Italia è chiamato a far sentire la propria voce.