di Andrea Monti – PC Professionale n. 174
La Polizia Postale ha potuto acquisire i dati di un intero server, invece dei soli dati presenti sul sito oggetto d’indagine, all’insaputa degli utenti
È il 21 giugno 2004, e sul sito dell’associazione Autistici/Inventati – uno dei punti di riferimento tecnologico della telematica antagonista italiana – appare un comunicato stampa (www.inventati .org/ai/crackdown/) destinato a suscitare un vespaio di polemiche: “I servizi di crittografia offerti dal server di Autistici/Inventati, collocato presso la webfarm di Aruba, sono stati compromessi in data 15.06.04. Ne veniamo a conoscenza il giorno 21.06.05. Un anno dopo.
La Polizia Postale, nell’ambito di un’indagine su una singola casella di posta, ha potenzialmente potuto spiare per un anno le comunicazioni personali di tutti gli utenti del server autistici.org / inventati.org e realisticamente è quello che stanno ancora facendo”. La notizia ha provocato reazioni allarmate. Nel frattempo, Aruba affida a un controcomunicato (http://assistenza.aruba.it/news.php?newsid=27) la propria versione dei fatti, sostenendo che la copia dei dati contenuti nel server di proprietà dell’associazione era stata eseguita per via di un decreto di esibizione e sequestro della Procura della Repubblica presso il Tribunale di Bologna e che “… Il personale Aruba non era in alcun modo autorizzato ad informare il cliente dell’attività svolta dalla Polizia Giudiziaria senza incorrere a sua volta in responsabilità penali…, la Polizia Giudiziaria ha potuto acquisire tutti i dati presenti sul server dell’associazione Investici invece dei soli dati presenti sul sito oggetto di indagine non solo perché così disponeva il provvedimento emesso dall’Autorità Giudiziaria, ma anche perché detto server era di esclusiva proprietà dell’Associazione ed era da essa gestito in proprio senza alcun coinvolgimento di Aruba”. Dunque, da un lato, i responsabili dell’associazione no profit denunciano una clamorosa violazione della riservatezza di tutti gli utenti (anche estranei alle indagini) commessa da Aruba. Dall’altro quest’ultima si difende sostenendo di non avere avuto alternativa e di avere semplicemente dato seguito a un ordine dell’autorità giudiziaria.
Chi ha ragione? Effettivamente nel contratto di housing il provider ospita nella propria server farm una macchina di proprietà (e sotto il controllo esclusivo) del cliente. In altri termini, il provider non ha alcun potere anche solo di “sfiorare” la macchina in questione, senza l’esplicita autorizzazione del proprietario e in questo senso sono certamente corrette le dichiarazioni di Aruba. Ne consegue che così come il provider non è responsabile (come dice il DLGV 70/2003) per i fatti illeciti commessi dai propri clienti, allo stesso modo non può essere destinatario di un provvedimento che riguarda terze persone. Ma se tutto questo è vero, allora il decreto di sequestro dei contenuti del disco rigido sarebbe dovuto essere stato notificato non ad Aruba ma ai proprietari del server.
Saremmo di fronte, quindi, più che ad una negligenza del provider, a un clamoroso errore della procura di Bologna. Un errore che come “effetto collaterale” ha portato all’acquisizione di una enorme mole di informazioni relative a soggetti e ad attivisti politici del tutto estranei alle indagini e che non sarebbero dovute essere oggetto di “attenzioni particolari”. A che titolo è accaduto tutto questo? Da anni associazioni come Alcei chiedono che durante le indagini di polizia vengano rispettati i diritti di chi non è nemmeno indagato e ciò nonostante subisce il sequestro della propria corrispondenza.
Persino il Garante per i dati personali ha censurato l’eccessiva ampiezza dei sistemi di indagine che si estendono anche a dati estranei alla stessa. Si legge infatti in un provvedimento risalente al 2 dicembre 1998 (www.ictlex.net/index.php?p=489) emanato “contro” i ROS dei Carabinieri che “il materiale informativo da acquisire nel procedimento penale va selezionato in base alla necessità di assumere dati, informazioni e notizie necessari per la prevenzione, l’accertamento e la repressione dei reati …. La legge … non pregiudica tali finalità, ma rende necessario operare in un quadro di maggiore attenzione per i diritti della personalità tutelati dalla legge stessa, ed impone di non arrecare pregiudizi ingiustificati alle persone, specie qualora si tratti di terzi estranei alle vicende giudiziarie”. In pratica: la legge, una volta tanto, è chiara, ma chi dovrebbe applicarla non lo sa o “fa finta di niente”. E se è “incivilmente normale” che rimangano “lettera morta” gli appelli di un’associazione non governativa, lo è altrettanto che siano disattesi principi stabiliti addirittura da un’autorità garante.
Come finirà? Nello specifico, immagino che i soggetti cui sono stati indebitamente prelevati i dati faranno un’ istanza nei confronti della Procura per esercitare il diritto di accesso di cui all’art. 7 della nuova legge sui dati personali, per sapere chi, come e perché trattiene dati su soggetti non indagati. In generale, non sarebbe strano ipotizzare una vera e propria “fuga” verso servizi di hosting e housing offerti da aziende di altri paesi dove la italica “disinvoltura investigativa” non arriva. Così, a fianco degli hosting “bulletproof” pagati dagli spammer 3.200 dollari al mese, ci saranno anche quelli di chi ha commesso l’efferato crimine di interessarsi di politica.
Possibly Related Posts:
- Chi ci protegge dal dossieraggio tecnologico?
- Webscraping e Dataset AI: se il fine è di interesse pubblico non c’è violazione di copyright
- Perché Apple ha ritirato la causa contro la società israeliana dietro lo spyware Pegasus?
- Le sanzioni UE ad Apple e Google aprono un altro fronte nella guerra contro Big Tech (e incrinano quello interno)
- La rottura tra Stati e big tech non è mai stata così forte