RSS

Archivi tag: accesso

Decreto Fare e Disfare

24 Lug

Non siamo abituati a cotanto dinamismo legislativo in merito a tematiche tecnologiche: la settimana è iniziata con un certo fermento, generato dai pessimi emendamenti all’articolo 10 del Decreto Fare (che configuravano una liberalizzazione piena di lacune e perplessità), che nelle scorse ore sono stati sbianchettati da un intervento di Francesco Boccia, presidente della V Commissione Bilancio, Tesoro e Programmazione della Camera dei Deputati, che ha presentato un nuovo emendamento:

L’offerta di accesso alla rete internet al pubblico tramite rete WIFI non richiede l’identificazione personale degli utilizzatori. Quando l’offerta di accesso non costituisce l’attività commerciale prevalente del gestore del servizio, non trovano applicazione l’articolo 25 del codice delle comunicazioni elettroniche di cui al decreto legislativo 1° gennaio 2003, n.259 e successive modificazioni, e l’articolo 7 del decreto-legge 27 luglio2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155, e successive modificazioni.

La rubrica, modificata di conseguenza, chiarisce che questo articolo del decreto riguarda la Liberalizzazione dell’accesso ad internet tramite tecnologia WIFI e dell’allacciamento dei terminali di comunicazione alle interfacce della rete pubblica. 

La nuova versione ha eliminato ogni vincolo e mette sullo stesso piano, a quanto pare, chiunque offra un servizio di connettività WiFI: manca infatti la distinzione tra operatori di telecomunicazioni che offrono tale servizio come attività principale e gli altri soggetti, quelli per cui è un servizio accessorio (bar, ristoranti, alberghi…). Rimosso anche ogni obbligo sull’identificazione degli utenti e sulla registrazione delle sessioni di navigazione, aspetto che però non costituisce una liberalizzazione e che potrebbe tra l’altro essere contestato, in virtù dell’esistenza di una Direttiva Europea – la Direttiva 2006/24/CE sulla conservazione di dati generati o trattati nell’ambito della fornitura di servizi dicomunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione – che definisce i dati da ottenere e conservare “a fini di indagine, accertamento e perseguimento di reati gravi“.

Perplessità a parte, nel Decreto è stato trovato spazio per altre due novità, una cattiva e una buona: la cattiva è la decurtazione degli stanziamenti previsti per l’abbattimento del digital divide che da 150 milioni di euro passeranno a 130, poiché 20 milioni saranno girati alle TV locali (magari qualche broadcaster illuminato volesse destinarli a trasmissioni divulgative su temi legati al digitale!); la buona è l’eliminazione dell’assurdo obbligo di far installare apparati di rete ad installatori professionali. Al momento, insieme al fatto che gli esercenti non saranno più assoggettati alle autorizzazioni generali previste dal Garante per la Privacy, forse è questo l’obiettivo di liberalizzazione raggiunto.

 
Commenti disabilitati su Decreto Fare e Disfare

Pubblicato da su 24 luglio 2013 in news

 

Tag: , , , , , ,

Dal Decreto Fare (Casino) al Decreto BOH!

22 Lug

Dalla padella nella brace, o –  come scrive Marco Valerio Principato su The New Blog Times – “di male in peggio”! Sull’accesso pubblico a Internet, con gli ultimi emendamenti al Decreto Fare siamo passati dal Decreto Fare a Casaccio al più intricato Decreto Fare Casino! Ma in realtà, oltre alla confusione, la nuova stesura del provvedimento porta incertezze e lacune.

Infatti, per quanto riguarda l’articolo 10, oltre alle già citate perplessità sul titolo che ne dovrebbe circoscrivere l’ambito di applicazione (“Liberalizzazione dell’allacciamento dei terminali alle interfacce della rete pubblica”, che scritto così potrebbe anche riguardare la rete del gas) e sul testo sottostante, dalla Camera si apprende dell’approvazione di tre emendamenti, il cui assemblaggio porta a questo:

Sostituire i commi 1 e 2 con i seguenti:

  1. Quando non costituisce l’attività commerciale prevalente del gestore del servizio, l’offerta di accesso ad internet al pubblico tramite tecnologia WIFI non richiede la identificazione personale degli utilizzatori. Non trovano applicazione l’articolo 25 del decreto legislativo 1o agosto 2003, n. 259 e l’articolo 7 del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155. Resta fermo l’obbligo del gestore di garantire la tracciabilità del collegamento attraverso l’assegnazione temporanea di un indirizzo IP e il mantenimento di un registro informatico dell’associazione temporanea di tale indirizzo IP al MAC address del terminale utilizzato per l’accesso alla rete internet. 
  2. Il trattamento dei dati personali necessari per garantire la tracciabilità del collegamento di cui al comma 1 è effettuato senza consenso dell’interessato, previa informativa resa con le modalità semplificate di cui all’articolo 13, comma 3, del decreto legislativo 30 giugno 2003, n. 196, e non comporta l’obbligo di notificazione del trattamento al Garante per la protezione dei dati personali.

Nel primo comma, dunque, si stabilisce in primis che solo chi offre un accesso in modalità WiFi non sarà tenuto a richiedere l’identificazione degli utenti. Per cui questa norma non si applica a chi offre un collegamento ad Internet tramite un computer dedicato, oppure concedendo l’uso di una propria porta di rete per chi intende collegarvi il proprio computer per accedere ad Internet. In questi casi diversi dal WiFi, stando al testo approvato, pare proprio che sarà necessario chiedere l’identificazione degli utenti.

Al già previsto obbligo di rilevare il MAC Address, inoltre, si aggiunge ora anche quello di abbinarvi l’indirizzo IP assegnato al momento della connessione, e di compilare un registro informatico dell’associazione temporanea di tale indirizzo IP al MAC address del terminale utilizzato per l’accesso alla rete internet. Soluzione assolutamente inutile, poiché l’indirizzo assegnato temporaneamente sarà un indirizzo IP privato interno simile a tutti quelli utilizzati in qualunque LAN (ad esempio 192.168.x.x), e quindi in qualunque esercizio, abbinato ad un MAC Address di cui nessuno conosce il titolare (all’acquisto di uno smartphone, tablet o notebook dotato di scheda WiFi, qualcuno vi ha mai identificato?). Ancora una volta, niente che sia unico, ne’ che identifichi in modo certo un utente.

Per i gestori dei locali pubblici intenzionati ad offrire il WiFi, si conferma quindi l’obbligo di avere uno strumento per registrare le connessioni attuate dal suo esercizio, per cui si deve attuare – senza consenso da parte dell’interessato – un trattamento dei dati personali che in precedenza era stato escluso, ma che ora è necessario per garantire la tracciabilità del collegamento di cui al comma 1 è effettua to senza consenso dell’interessato. 

Dati che verranno conservati, non per dodici o ventiquattro mesi, come stabilito in precedenza dal  Decreto Legislativo 109/2008, ma per… A proposito, per quanto, quanto tempo? Non si sa, questo provvedimento non ne parla.

Quindi bisognerà conservare questi dati per sempre? Oppure è possibili cancellarli il giorno dopo la registrazione? Non si sa, questo provvedimento non ne parla.

Ci sono sanzioni a questo proposito? Non si sa, questo provvedimento non ne parla!

 
1 Commento

Pubblicato da su 22 luglio 2013 in news

 

Tag: , , , , , , , , ,

Datagate e novità che fanno cadere dalle nuvole

15 Lug

Nei giorni scorsi il Guardian è tornato a  parlare del Datagate, divulgando ciò che la stampa ha etichettato come “nuove rivelazioni” di Edward Snowden. La notizia che sembra suscitare più stupore e scalpore riguarda Microsoft: secondo il nuovo scoop, l’azienda collabora con la NSA in relazione ai servizi di Outlook.com (intercettazioni delle chat online e impatto sulle mailbox della creazione di alias) e delle comunicazioni effettuate con Skype.

Io non capisco lo stupore di questi giorni, non sulle operazioni descritte. Il 6 giugno – oltre un mese fa – sono state pubblicate dal Guardian le ormai famose slide relative a PRISM. Una di esse delineava una linea temporale con le aziende coinvolte e la data in cui ha avuto inizio il loro coinvolgimento nel sistema di raccolta dati e informazioni sui servizi di comunicazione di queste aziende.

image

Come si può notare dalla figura (cliccare per ingrandire), Microsoft e Skype sono indicate chiaramente (la prima con data 11 settembre 2007, la seconda 6 febbraio 2011). Quindi mi chiedo: oltre un mese fa, cosa pensavano coloro che oggi si stupiscono? Nessuno, nell’apprendere di queste “collaborazioni” – a scopo di raccolta dati e intercettazioni – ha considerato che Microsoft offre da anni servizi di comunicazione (con Outlook.com, e prima Hotmail.com, ma ricordiamoci anche di Messenger), così come Skype, attiva anche prima di far parte del gruppo Microsoft? Quando è uscita quella slide pensavano che la NSA, con Microsoft e Skype, scambiasse figurine? Che si recapitassero piccioni viaggiatori?

L’unica verà novità che è emersa – ma pochi ne parlano – è che Microsoft ha lavorato con l’FBI per agevolare alla NSA l’accesso, attraverso PRISM, dei contenuti di SkyDrive, servizio di cloud storage che vanta oltre 250 milioni di utenti in tutto il mondo.

Quindi, nei prossimi giorni, nessuno cada dalle nuvole se si dovesse scoprire che la NSA, allo stesso scopo, ha sfruttato e sfrutta anche la collaborazione delle altre aziende come GoogleFacebook  e Yahoo, visto che si tratta di aziende che offrono mail, VoIP, piattaforme cloud per applicazioni e storage, social network con chat e servizi per condividere di tutto.

Ah, ricordo che di questo gruppo di aziende fa parte anche Apple. E che tutte queste aziende hanno utenti anche tra i cittadini italiani (ma all’orizzonte non si vedono istituzioni nostrane in allarme).

 
3 commenti

Pubblicato da su 15 luglio 2013 in news, privacy, security

 

Tag: , , , , , , , , , , , , , , , ,

Decreto Fare, sull’accesso a Internet nulla di chiaro

25 Giu

DecretoFareWiFi

Il Decreto Fare è stato pubblicato sulla Gazzetta Ufficiale venerdì 21 giugno. Ricordo che le promettenti anticipazioni recitavano:

Nel Decreto Fare il Consiglio dei Ministri ha previsto la liberalizzazione dell’accesso ad internet (wifi), come avviene in molto Paesi europei.

L’offerta ad internet per il pubblico sarà libera e non richiederà più l’identificativo personale dell’utilizzatore. Resta però l’obbligo del gestore di garantire la tracciabilità mediante l’identificativo del dispositivo utilizzato.

Veniamo quindi al testo ufficiale. Nel decreto legge n. 69 del 21 giugno 2013 troviamo l’articolo 10 dedicato alla Liberalizzazione dell’allacciamento dei terminali di comunicazione alle interfacce della rete pubblica.

Interfacce della rete pubblica de che? Ah, forse è perché non riguarda esclusivamente il WiFi. Vedremo. L’articolo si apre così:

L’offerta di accesso ad internet al pubblico è libera e non richiede la identificazione personale degli utilizzatori. Resta fermo l’obbligo del gestore di garantire la tracciabilità del collegamento (MAC address)

Ma è il Decreto del “Fare un po’ a casaccio”? La prima frase sembra dire che chiunque può offrire l’accesso a Internet nel modo che ritiene opportuno. L’unico obbligo è in capo al gestore. Però manca una definizione del soggetto (o dei soggetti) a cui questa norma fa riferimento: “gestore” di cosa?

  1. Di un locale pubblico (ad esempio un bar, un ristorante…) che concede l’accesso a Internet come servizio accessorio e collaterale all’attività principale, e quindi non è un provider?
  2. Oppure gestore di un’attività tipo Internet Point, dove l’attività commerciale consiste proprio nel concedere accesso a Internet?
  3. Oppure ancora gestore di telecomunicazioni? Questo decreto permette ai provider di offrire agli utenti un accesso ad Internet senza essere tenuti ad identificarli?

Inoltre, il riferimento al MAC Address è abbastanza risibile: si tratta di un codice che identifica una scheda di rete (Ethernet o wireless) abbinata ad un terminale. E’ il produttore che lo assegna alla scheda ed è univoco, ma può essere modificato via software. Detto questo, e ammesso che non venga modificato, se un computer è accessibile a più utenti (come quelli di una biblioteca, o di un Internet Point di un albergo), e nessuno può risalire all’identità di ognuno, in caso di utilizzi non consentiti o addirittura illeciti che senso ha identificare solo il computer?

Segue una precisazione che, in realtà, contiene un’imprecisione:

La registrazione della traccia delle sessioni, ove non associata all’identità dell’utilizzatore, non costituisce trattamento di dati personali e non richiede adempimenti giuridici

Innanzitutto sarebbe opportuno capire una cosa: la registrazione della traccia delle sessioni come va effettuata? Quali dati deve contemplare? Il MAC Address? La data? Ora di inizio e ora di fine navigazione? Gli indirizzi dei siti visitati? Di tutto e di più?

Se l’utente non viene identificato, questa registrazione non è riconducibile ad alcuna persona, quindi non esiste alcun trattamento di dati personali. Ma questo, in realtà, vale solo finché un utente si limita ad un’attività di consultazione, ad esempio leggere il giornale via web… Se invece si iscrive ad un servizio online, o se consulta un proprio account (il conto corrente bancario, la pagina personale sul social network, la propria webmail, o altro ancora), la registrazione potrebbe contenere informazioni assolutamente personali, e quindi il trattamento di dati personali c’è.

Ergo, il provvedimento di liberalizzazione dell’accesso a Internet contenuto nel Decreto Fare, così com’è oggi, è talmente vago e approssimativo da essere pressoché inutile.

 
1 Commento

Pubblicato da su 25 giugno 2013 in diritto, Internet

 

Tag: , , , , , , , , ,

 
%d blogger hanno fatto clic su Mi Piace per questo: