Home
Decreto Gentiloni, un’analisi tecnica

05 Gennaio 2007

Decreto Gentiloni, un’analisi tecnica

di

Le nuove regole che il ministero delle Comunicazioni impone ai provider per contrastare la diffusione della pornografia infantile si scontrano con alcune perplessità operative

È di questi giorni la notizia che il Ministro delle comunicazioni (di concerto con il Ministro per le riforme e le innovazioni nella pubblica amministrazione) ha firmato un decreto, già noto come “decreto Gentiloni”, per contrastare il fenomeno della pedopornografia in Rete. Il decreto non è ancora stato ufficialmente pubblicato sulla Gazzetta Ufficiale, ma una sua bozza, probabilmente identica alla versione definitiva firmata il 2 gennaio, era già reperibile la sera stessa sul forum della Isoc e poi diffusa il giorno dopo da Mantellini e da Punto Informatico. I destinatari principali del decreto Gentiloni, cioè i soggetti verso i quali il decreto pone obblighi e doveri, sono «i fornitori di connettività della rete internet», ovvero gli Internet Service Provider (ISP). Cerchiamo di analizzare in dettaglio quale è la natura del decreto, in base a cosa esso pone obblighi per i provider, quale è l’attività loro prescritta e quali le questioni controverse.

Le leggi prima del decreto Gentiloni

Il decreto, per la cui redazione sono state sentite anche le associazioni maggiormente rappresentative dei fornitori di connettività e la Polizia Postale, è in attuazione della legge 6 febbraio 2006, n. 38, “Disposizioni in materia di lotta contro lo sfruttamento sessuale dei bambini e la pedopornografia anche a mezzo Internet” (la quale, a sua volta, integra la legge del 3 agosto 1998, n. 269). La legge del 2006 oltre a prevedere l’estensione delle ipotesi di detenzione e scambio di materiale pedopornografico a immagini “virtuali”, cioè costruite digitalmente, ha previsto l’istituzione del Centro nazionale per il contrasto della pedopornografia sulla rete Internet. Tale Centro è istituito presso l’organo del Ministero dell’Interno per la sicurezza e la regolarità dei servizi di telecomunicazione, ovvero la Polizia Postale. Il decreto Gentiloni sostanzialmente non innova quanto già previsto dalla legge dello scorso febbraio. La parte più interessante è la definizione delle modalità tecniche di filtraggio che i fornitori di connettività devono utilizzare per impedire l’accesso ai siti segnalati al Centro. Prima però è il caso di analizzare il funzionamento del Centro che già la legge del 2006 istituiva, proprio perché il coinvolgimento dei provider nasce dalle segnalazioni che il Centro stesso raccoglie.

La segnalazione di un sito pedopornografico

Il Centro ha il compito di raccogliere tutte le segnalazioni riguardanti siti che diffondono materiale pedopornografico, provenienti anche dagli organi di polizia stranieri e da soggetti pubblici e privati impegnati nella lotta alla pornografia minorile. Nel decreto Gentiloni, che pure attua la legge, manca l’indicazione di come possa avvenire tale segnalazione: se debba pervenire tramite una formale denuncia a un organo di polizia che poi provvederà a inoltrarla (anche) al Centro, oppure sia prevista una procedura ad hoc. Poiché anche soggetti privati possono effettuare la segnalazione, un dubbio è legittimo: considerando che il Centro è gestito dalla Polizia postale, la segnalazione di un sito contenente materiale pedopornografico al Centro è una denuncia a tutti gli effetti o è un atto ulteriore e diverso dalla denuncia? In altri termini: visto che un sito contenente materiale pedopornografico è, quantomeno, un corpo di reato, che rapporto c’è tra la segnalazione al Centro e una normale denuncia? E ancora: considerando che la segnalazione dell’esistenza di un sito contenente materiale pedopornografico darà presumibilmente origine a un procedimento penale, la disciplina della simulazione di reato è applicabile anche alla falsa segnalazione? Il decreto in questione non risponde a queste domande, visto che non si conosce ancora la natura dell’atto di segnalazione.

Denunciare o segnalare

Il Centro, peraltro, non sembra avere ancora un proprio sito Internet, né è possibile reperire all’interno del sito del Ministero dell’Interno una pagina con i riferimenti del Centro stesso. In una nota del Ministero dell’Interno relativa al decreto in esame, si avverte che «per le segnalazioni di reati che avvengono su Internet il sito della Polizia di Stato mette a disposizione il commissariato di P.S. on line». Il link riportato nella nota porta direttamente alla pagina relativa alla Pedofilia online. Nella colonna a destra appare il link Segnalazioni che direziona a una form per inserire un nome utente e una password. Aprendo il link Non sono registrato, però, non appare quello che ci si aspetta da una procedura di segnalazione, ma la richiesta di registrazione a un vero e proprio forum. Nessuna delle condizioni di servizio si riferisce alla segnalazione di un illecito, evidentemente la parola Segnalazioni è utilizzata in modo improprio. È invece possibile accedere alla denuncia telematica, che però è utilizzabile solo per i seguenti reati: Dialer-Mancato riconoscimento traffico telefonico; E-Commerce (Acquisto); E-Commerce (Vendita); Intrusione Informatica; Phishing; Illecito utilizzo di carte di credito on-line. Evidentemente – nonostante la nota diffusa dal Ministero – non è possibile segnalare online un sito di pedopornografia e, presumibilmente, si dovrà ricorrere ad un qualsiasi posto di Polizia senza aver chiaro se si sta denunciando, segnalando o entrambe le cose.

Gli obblighi previsti per i fornitori di connettività

Tornando ai fornitori di connettività chiamati in causa del decreto Gentiloni, il primo obbligo posto a loro carico consiste nell’istituzione di un modello organizzativo per il trattamento delle informazioni raccolte che garantisca la riservatezza delle stesse. Tali prescrizioni sembrano ricalcare quelle adottate dai gestori in caso di intercettazioni – come specificato dall’intervento del Garante per la tutela dei dati personali, emanato il 15 dicembre 2005 e richiamato in epigrafe allo stesso decreto Gentiloni. I fornitori di connettività sono obbligati a segnalare al Centro le attività di diffusione di materiale pedopornografico di cui vengano a conoscenza. Ma – ed è del resto un principio già acquisito nel nostro ordinamento – non hanno alcun dovere di attivarsi per la ricerca dei siti che ospitano tali materiali. È infatti il Centro che comunica loro la lista dei siti segnalati e da oscurare ed è sempre il Centro che riceve la comunicazione dell’avvenuto oscuramento. Il decreto specifica che tali comunicazioni devono avvenire in modo da «garantire l’integrità, la riservatezza, e la certezza del mittente del dato trasmesso» con un chiaro riferimento, quindi, ai documenti con firma digitale certificata.

Le due inibizioni previste, dominio e Ip

A quanto pare il decreto Gentiloni istituzionalizza la funzione del Centro quale collettore di segnalazioni e sancisce in capo ai provider l’obbligo di oscurare un sito entro 6 ore dalla segnalazione. Cosa c’è di diverso rispetto a prima? I provider hanno già l’obbligo di rispondere ad un ordine delle autorità. Non solo: anche la Polizia postale ha la possibilità di intervenire nel sequestro di un sito, impedendone l’accesso a chiunque – a maggior ragione quando, come nel caso della pedopornografia diffusa tramite le reti telematiche, il sito stesso è una fonte di prova o costituisce il corpo del reato. Il decreto specifica due «livelli di inibizione» – ovvero di filtraggio all’accesso ai siti segnalati. Tali siti potranno cioè «essere inibiti al livello minimo di nome a dominio ovvero a livello di indirizzo ip, ove segnalato in via esclusiva».

I primi commenti sul nome a dominio

I primi commenti alla notizia dell’emissione del decreto hanno riguardato proprio le modalità di oscuramento dei siti incriminati, quell’oscuramento «a livello minimo di nome a dominio» – che come nel secondo caso del «livello di indirizzo IP» è attività a esclusivo carico degli Internet Service Provider. Come osserva Claudio Telmon l’inibizione del nome a dominio potrebbe essere per i provider particolarmente oberante: «L’ISP in generale non vede i nomi di dominio, solo il traffico IP. Vede le richieste ricorsive ai propri server Dns, per la risoluzione di domini gestiti da altri, o vede traffico Dns in uscita verso altri server Dns. Mentre inibire la risoluzione di un dominio sui propri sistemi è, direi, abbastanza facile, inibire la risoluzione da parte di terzi richiede l’analisi del traffico a livello applicativo». Per questa ragione, Telmon deduce (come anche altri commentatori) che “il livello minimo di dominio” debba essere interpretato come un filtro a livello di Dns. E quindi i fornitori di connettività si debbano limitare ad impedire, grazie a una sorta di blacklist, che il sito segnalato venga “risolto” dai Dns da loro gestiti – rendendolo così irraggiungibile. Facile? Forse, ma non si può affermare con certezza che sia un metodo efficace. Ostacolerà certo l’accesso non intenzionale, ma è anche vero che gli utenti possono intervenire manualmente sui Dns – come si è visto per il caso del problema sui DNS di qualche settimana fa, o per l’aggiramento dell’analogo blocco dei siti di scommesse non autorizzate. In altre parole i Dns possono essere facilmente reimpostati, magari utilizzando i Dns open e rendendo così vani i filtraggi operati dagli ISP italiani.

Non è tutto. L’osservazione che il filtraggio possa avvenire a livello di Dns configge con un punto preciso del decreto Gentiloni in cui si dettaglia che l’inibizione non deve dipendere, tra le altre «dalle caratteristiche e dalle tecnologie dei sistemi e delle risorse impiegate dall’utente». In altre parole, visto che l’inibizione non deve dipendere dalle risorse dell’utenza, i Dns sembrano essere tagliati fuori, vista la loro libera modificabilità.

Troppi siti con un solo Ip

C’è un altro punto all’ordine del giorno, ovvero il secondo caso previsto di inibizione, quello a livello di indirizzo Ip. Paolo Nuti, vicepresidente di Aiip, ha osservato sul Corriere della Sera che tale inibizione, anche se più efficace dell’intervento sui Dns perché interviene direttamente sulla macchina, pone il rischio di bloccare anche i siti che condividono lo stesso indirizzo Ip del sito pedopornografico. Il blocco dell’indirizzo Ip, in altri termini, è indiscriminato e non fa distinzioni: insieme al sito segnalato da oscurare potrebbero essere oscurati anche siti che hanno la sola colpa di essere ospitati sullo stesso host. È peraltro difficile prevedere quali possano essere i tempi e le modalità di ripristino per i siti “innocenti” oscurati.

I risultati concreti del decreto

Rimane da chiedersi quale sia il senso di inibizioni aggirabili (i Dns, come “interpretazione” del livello minimo dei nomi a dominio) o troppo intrusive (come l’oscuramento a livello di indirizzo Ip). Attività a carico dei provider che hanno il solo scopo di filtrare i contenuti – quando già la Polizia postale e la magistratura dispongono di pieni poteri per intervenire presso il maintainer, sequestrare il materiale, risalire all’autore del sito e rimuoverlo permanentemente dalla Rete. Visto che è difficile immaginare che un sito il cui server si trovi in Italia venga solamente oscurato e non vada incontro a tutte le conseguenze penali del caso, la preoccupazione del legislatore è evidentemente quella di intervenire sul materiale che si trova su server allocati in territori diversi da quello italiano – che rendono quindi un’azione di polizia o di intelligence di difficile attuazione.

In altre parole, un effetto sicuro e certo del sistema dei filtri è il blocco all’accesso casuale ai contenuti dei siti pedopornografici: il primo e importantissimo risultato concreto è quello di limitare la diffusione del materiale. Il secondo è quello di ottenere un elenco di siti che può diventare un utilissimo strumento di cooperazione internazionale per la repressione della pornografia minorile. La creazione dell’elenco, l’istituzione del Centro e il sistema dei filtri, in sostanza, non sostituiscono né possono ovviamente interferire con l’attività della Polizia e della magistratura, ma si affiancano alla normale attività di repressione dei reati per impedire la diffusione del materiale pedopornografico – ove altre azioni non siano possibili.

L'autore

  • Elvira Berlingieri
    Elvira Berlingieri, avvocato, vive tra Firenze e Amsterdam. Si occupa di diritto delle nuove tecnologie, diritto d'autore e proprietà intellettuale, protezione dei dati personali, e-learning, libertà di espressione ed editoria digitale. Effettua consulenza strategica R&D in ambito di e-commerce e marketing online. Docente, relatore e autore di pubblicazioni in materia, potete incontrarla online su www.elviraberlingieri.com o su Twitter @elvirab.

Iscriviti alla newsletter

Novità, promozioni e approfondimenti per imparare sempre qualcosa di nuovo

Gli argomenti che mi interessano:
Iscrivendomi dichiaro di aver preso visione dell’Informativa fornita ai sensi dell'art. 13 e 14 del Regolamento Europeo EU 679/2016.