15 Ott WI-FI LIBERO E DECRETO PISANU: ABROGARE NON BASTA
di Luca Bolognini – Presidente dell’Istituto Italiano per la Privacy
– La proposta di legge n. 3736 dedicata al wi-fi libero, che hanno presentato in Italia diversi Deputati di vari schieramenti (tra cui gli onn. Lanzillotta e Barbareschi), si limiterebbe ad abrogare l’articolo 7 del decreto Pisanu del 2005, che oggi prevede l’obbligo di chiedere una licenza per installare wi-fi in luoghi aperti al pubblico o in circoli, nonché l’obbligo per il gestore di chiedere il documento d’identità dell’utilizzatore per acquisirne i dati anagrafici. Le intenzioni della proposta sono buone, perché in effetti troppi lacci a internet significano meno libertà, meno innovazione e meno mercato. Restano, tuttavia, nodi da sciogliere e problemi da affrontare. In particolare, a mio avviso, i commenti da fare sono tre, due di impatto immediato e uno di più ampio respiro:
1. abrogare (e basta) non risolverebbe tutto, o meglio non renderebbe affatto le wi-fi degli esercizi pubblici aperte al primo sconosciuto che passa per strada a fare “wardriving”. Questo va detto e ricordato, per evitare illusioni e/o delusioni. Infatti, il Codice privacy, all’art. 34 e nell’allegato B, impone comunque ai soggetti che effettuano trattamenti di dati personali con strumenti elettronici, per fini non esclusivamente personali, di installare misure minime di sicurezza consistenti in sistemi di autenticazione informatica e in sistemi di autorizzazione. Inoltre, i dati personali devono essere protetti contro il rischio di intrusione e dell’azione di programmi di cui all’art. 615-quinquies del codice penale, mediante l’attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale. Questo vale anche per le reti. Si aggiunga che, pur nel caso di trattamenti per fini esclusivamente personali, valgono comunque le norme in materia di misure minime di sicurezza (art. 31 del Codice Privacy) e di responsabilità civile “quasi oggettiva” ai sensi dell’art. 2050 c.c., per cui ci si libera da responsabilità solo dimostrando di avere adottato tutte le misure idonee ad evitare il danno. Una prova difficilissima. Se quanto detto finora è vero, l’abolizione dell’art. 7 del Decreto Pisanu, pur eliminando correttamente il laccio burocratico/pubblicistico rappresentato dalla licenza e togliendo l’obbligo di documentazione, non cancellerebbe il dovere di diligenza e prudenza dei gestori di wi-fi con il relativo obbligo di proteggere le reti da intrusioni e, dunque, di fatto, di fornire agli utenti le credenziali per l’accesso e l’utilizzo della connessione. Non parliamo di sola Italia: in Germania, recentemente, è stata sanzionata una privata cittadina proprio perché non aveva protetto con password la propria rete wireless, consentendo a terzi sconosciuti di scaricare materiale protetto;
2. è vero che ci sono esempi di Paesi attenti alla sicurezza i quali, malgrado ciò, non richiedono una preventiva licenza o l’identificazione dell’utente nelle wi-fi pubbliche: va ricordato, tuttavia, che spesso si tratta di Paesi in cui – a differenza dell’Italia, dove la protezione della riservatezza delle comunicazioni è forte – il potere esecutivo può “rastrellare” e filtrare, anche senza mandato giudiziario, i contenuti delle comunicazioni telematiche (es. Patriot Act in US). Cioè, si consente l’accesso senza controlli ma subito dopo si invade la privacy dei cittadini molto più pesantemente e per di più silenziosamente, senza avvisi, per ragioni di pubblica sicurezza;
3. una soluzione seria del problema non può non passare dalla revisione congiunta – nel contesto della Digital Agenda UE ma con un approccio globale e coinvolgente i grandi Paesi e i colossi tlc internazionali – delle direttive 2002/58/EC e 2006/24/EC, e della direttiva sulla firma elettronica. Siccome gli illeciti esistono e fanno male (al di là di ogni pio wishfulthinking), potremo non chiedere davvero né documenti di carta ed ossa né, alternativamente, password di accesso alla rete wireless quando dovranno essere conservati, per scopi di repressione dei reati, anche i dati di traffico che siano insieme dati di contenuto (es. IP di destinazione) e (“e”, non “o”) quando saranno attivi, riconosciuti e convalidati dalle P.A. i sistemi avanzati di gestione dell’ID digitale che già oggi importanti fornitori di servizi di comunicazione stanno sviluppando. Questi sistemi dovrebbero consistere in “identificatori e dosatori elettronici”, automaticamente disponibili sui dispositivi (pc, smartphone) di ciascun e-citizen, che attestino ufficialmente la sua individuabilità e gli consentano di godere, insieme, del cosiddetto “anonimato protetto”, cioè dell’uso di pseudonimi che solo la magistratura, in caso di illecito, potrebbe smascherare.
La proposta di legge trasversale è dunque certamente un primo passo di buona volontà e nella direzione giusta, ma il tema non è banale e va approfondito. Diversamente, tornerebbe in mente la famosa battuta di George Bernard Shaw: “Per ogni problema complesso, c’è sempre una soluzione semplice. Che è sbagliata”.