Home
Legiferare senza cognizione di causa

17 Febbraio 2016

Legiferare senza cognizione di causa

di

L'ignoranza regna sovrana e si asseconda il pensiero comune (o interessi minoritari) senza considerarne le implicazioni.

Non è la prima volta che su queste pagine ho da ridire sul binomio tecnologia & legislazione. Vorrei beninteso sottolineare che chiunque è, a suo modo, profondamente ignorante. I tuttologi esistono solamente durante le chiacchierate al bar e lo scibile umano è talmente vasto che è impossibile, per chiunque, avere una buona padronanza di qualcosa oltre qualche decina di argomenti.

Siamo anche in un’epoca dove è diventato semplicissimo accedere a qualunque tipo di informazione, con una velocità fino a poco tempo fa inimmaginabile. Le fonti di comunicazione, i social e servizi come LinkedIn permettono di raggiungere esperti in praticamente ogni settore.

Se quindi domani io fossi un deputato e dovessi scrivere una legge in un campo di cui non so assolutamente nulla, potrei (considerando anche che ho a disposizione risorse di livello governativo):

  • Fare atto di umiltà e passare la palla a chi ne sa più di me.
  • Documentarmi prima di fare figure barbine.
  • Trovare un consulente in materia ed assumerlo.
  • Costituire una commissione e aprire un tavolo di discussione.

Se, nonostante questo, me ne esco con una proposta di legge fuori da ogni logica, sono solamente inescusabile.

Il cattivo esempio

Prendiamo la Proposta di legge d’iniziativa della deputata Greco presentata il 2 dicembre 2015 alla Camera dei deputati. Inizia con un discorso toccante (invero condito di banalità sul terrorismo di massa) di cui riporto alcuni dei passaggi più significativi:

I recenti episodi verificatisi in Europa, e più in generale nel mondo, hanno evidenziato l’innalzamento della minaccia terroristica che, presentandosi in forme spesso nuove e di inusitata violenza, costituisce una gravissima insidia per la sicurezza interna ed internazionale […] Tale contesto ha reso ormai improrogabile lo sviluppo di una capacità di risposta globale attraverso misure da adottare […] anche per offrire una risposta strategicamente efficace.

E ancora:

Tra queste misure va senz’altro considerata la possibilità di consentire alle Forze di polizia l’utilizzo di nuovi programmi informatici che permettano l’accesso da remoto ai dati presenti in un sistema informatico al fine di contrastare preventivamente i reati di terrorismo commessi mediante l’uso di tecnologie informatiche o telematiche […] La presente proposta di legge ha, pertanto, come principale obiettivo quello di garantire un adeguamento tecnologico del sistema delle intercettazioni […]

Dopo una introduzione di questo genere uno, a seconda del suo retaggio socioculturale, può sentirsi galvanizzato oppure terrorizzato da quello che sta per arrivare. Arriva questo:

Al comma 1 dell’articolo 266-bis del codice di procedura penale sono aggiunte, in fine, le seguenti parole: « , anche attraverso l’impiego di strumenti o di programmi informatici per l’acquisizione da remoto delle comunicazioni e dei dati presenti in un sistema informatico.»

Tutto qui. Niente altro. Solo un Nulla alla Michael Ende, due pagine bianche senza un solo carattere.

Le vite degli altri

Le vite degli altri, film su una realtà dove l’intercettazione globale era la norma.

 

Che significa

Mi permetto di tradurre dal legalese a concetti comprensibili per l’uomo della strada.

Vogliamo consentire alle forze di polizia di effettuare delle intrusioni elettroniche all’interno dei sistemi dei cittadini sottoposti ad intercettazione. Tali intercettazioni possono essere effettuate tramite trojan appositamente scritti (ma di cui nessuno conosce l’esatto funzionamento) in grado di prendere il controllo degli apparati remoti, di abbassarne il livello di sicurezza, di effettuare qualsivoglia operazione sul sistema stesso, come intercettare dati, voce, operare come intercettazione ambientale, scattare foto, riprendere filmati con la videocamera, prelevare (e chissà, anche depositare) file e cartelle, alterare i file di configurazione, cambiare i permessi di accesso, permettere accesso incontrollato a chiunque, effettuare connessioni verso server terzi senza alcun controllo.

Proseguo:

Tutte le informazioni a cui il trojan ha avuto accesso o che ha intercettato, saranno depositate da qualche parte, sotto la responsabilità di chissà chi; potranno essere alterate (volontariamente o no) dato che non è previsto alcun sistema di controllo, ma costituiranno fonte di prova contro l’indagato o contro terzi. Non è previsto controllo relativo a quali funzioni potranno essere attivate, a quanto tempo il trojan potrà operare, a chi lo potrà controllare e a quanto tempo risiederà sui sistemi, nonché se potrà usare tecniche di replicazione per diffondersi all’interno di altri sistemi con cui verrà in contatto. Il tutto indipendentemente dalla gravità del reato.

Se non siete inorriditi, caduti dalla sedia, andati a rispolverare la vecchia copia di 1984 per rileggerla e piangervi sopra, vuol dire che probabilmente non avete alcuna coscienza di trovarvi nel XXI secolo, non tenete per nulla alla vostra privacy e con considerate che in uno stato di diritto i poteri delle forze di polizia devono avere un limite.

Se invece vi strappate i capelli e vi siete vestiti di sacco e cosparso il capo di cenere in segno di lutto, avete capito che legiferare senza alcuna cognizione di causa può essere molto pericoloso.

Un problema ampio

Quando si ha a che fare con queste tecnologie, nessuno può comprendere appieno la vastità della tematica. Le proprie conoscenze, per quanto approfondite e mirate, saranno sempre confinate nella migliore delle ipotesi ad un punto di vista ben definito, invece che ad una pluralità di visioni.

Ho avuto a che fare con la questione a un tavolo di lavoro cui sedevano deputati, esperti di tecnologie e legali. Si sono interrogati persone che sviluppano queste tecnologie, esponenti delle forze dell’ordine, magistrati, ONG che si occupano dei diritti civili e altri attori. Si spera che quanto ne è uscito potrà avere in futuro un seguito concreto nei luoghi dovuti. Certamente non si tratta di un risultato perfetto e può essere oggetto di critiche sotto molti punti di vista, ma almeno non sono quattro righe sbattute su un foglio senza tenere conto dei danni che possano fare in un sistema democratico.

L'autore

  • Andrea Ghirardini
    Andrea Ghirardini è uno dei precursori della Digital Forensics in Italia. Sistemista multipiattaforma (con una netta preferenza per Unix), vanta una robusta esperienza in materia di sicurezza informatica ed è specializzato nella progettazione di sistemi informativi di classe enterprise. È CTO in BE.iT SA, una società svizzera del gruppo BIG focalizzata sulla gestione discreta e sicura di sistemi informativi aziendali.

Iscriviti alla newsletter

Novità, promozioni e approfondimenti per imparare sempre qualcosa di nuovo

Gli argomenti che mi interessano:
Iscrivendomi dichiaro di aver preso visione dell’Informativa fornita ai sensi dell'art. 13 e 14 del Regolamento Europeo EU 679/2016.