abrogata la Pisanu, il wi-fi è libero (con qualche dubbio). per ora.

Dopo mille peripezie il governo ha abrogato l’art.7 (o meglio i commi 4 e 5) del decreto Pisanu mantenendo solo l’obbligo di richiedere la licenza al Questore per gli esercizi pubblici che forniscono connettività internet come attività principale (in pratica gli internet point).
Quindi dal 1 gennaio 2011 gli esercizi pubblici (bar, ristoranti, alberghi ecc.) potranno offrire connettività wi-fi (e via cavo) senza complicate procedure burocratiche per loro e per gli utenti (per es. l’archiviazione della fotocopia del documento di identità di chiunque acceda).

C’è da notare che un esperto autorevole come Stefano Quintarelli segnala che se questi esercizi pubblici offrissero wi-fi ricadrebbero comunque sotto la definizione di operatori di telecomunicazione e quindi sottoposti ad obblighi comunque onerosi, uno su tutti: bloccare tramite DNS i siti sanzionati dall’Autorità Giudiziaria (o anche dall’Amministrazione Autonoma dei Monopoli di Stato e dal Centro Nazionale per il Contrasto alla Pedo-Pornografia).
Questo perché l’AGCOM avrebbe chiarito che sarebbe escluso dalla definizione di operatori di telecomunicazione l’esercente¬†che

“non avendo come oggetto sociale principale l‚Äô attività di telecomunicazioni, mette a disposizione della propria clientela le apparecchiature terminali di rete”

In poche parole se metti PC disponibili al pubblico nessun problema, se metti a disposizione una porta di accesso (cioè un access point wi-fi) sei un operatore di rete.

Devo dire che questo discorso non mi convince, il chiarimento dell’AGCOM è – sfortunatamente – poco chiaro.
Se offro connettività a Internet tramite un normale operatore con licenza, per es. Telecom Italia,¬†è lui che già assolve tutti questi compiti.
In altre parole, per prendere ad esempio l’obbligo prima citato, non solo il blocco dei siti sanzionati (il DNS poisoning richiesto) è già effettuato dall’operatore autorizzato ma poichè è lui che mantiene i server DNS è anche l’unico a poterlo fare lecitamente.
L’esercente di un bar non mantiene alcun DNS server, utilizza semplicemente quelli del suo operatore (nell’es. Telecom Italia), come potrebbe lecitamente eseguire modifiche o aggiornamenti previsti da una legge?
La stessa AGCOM specifica che sta parlando di

mettere a disposizione del pubblico stesso le sole apparecchiature terminali o terminali di rete, attraverso il collegamento con altri operatori già licenziatari o autorizzati

Inoltre se AGCOM stesse facendo differenza tra un PC già presente e configurato per accedere a Internet e un punto di accesso (come un router wi-fi) accessibile da un qualunque dispositivo personale configurato ad hoc come potrebbe essere questa distinzione tecnologicamente consistente?

Facciamo un esempio.
L’utente arriva in un bar e si collega a Internet col proprio portatile, cerca di accedere a un sito proibito ma deve comunque usare il DNS dell’operatore che fornisce la connessione, game over.
Se però l’utente è esperto, agendo sulla configurazione del proprio portatile, può bypassare questo divieto.
La stessa persona può fare la medesima cosa con un PC già presente nel bar e configurato? La risposta è: con le adeguate conoscenze tecniche, sì.
Quindi la differenziazione tra tecnologie di rete locale usate all’interno dell’esercizio pubblico (cavo vs. wi-fi) o i terminali (pre-configurati vs. personali configurabili) non avrebbe, e non ha, senso dal punto di vista normativo, mancano i requisiti di non ambiguità e universalità.
Non credo che AGCOM intendesse davvero questo altrimenti perché sia efficace¬†bisognerebbe specificare ben altro nella legge (nei regolamenti, circolari e nelle disposizioni varie), come i requisiti hardware dei terminali e le configurazioni ammissibili, il che sarebbe oneroso e un po’ ridicolo.
Il vero problema è che il legislatore non può pensare, sempre rimanendo nell’esempio dei DNS, di contrastare questi illeciti con metodi del genere e poi far ricadere l’onere sui normali utenti.
In generale non si possono considerare gli utenti di Internet potenziali colpevoli di qualcosa solo perché hanno la possibilità teorica di farlo.

Stesso discorso per le altre prescrizioni previste per gli operatori di telecomunicazione.
Non si può obbligare l’esercente di un bar a “comunicare periodicamente al Ministero dell’Interno il numero di richieste di accesso ricevute dall’autorità giudiziaria” perché nessuna Autorità Giudiziaria richiederebbe l’accesso al router di un bar: basta (ed è molto più efficace) chiederlo all’operatore autorizzato, e titolare di licenza, che fornisce connettività al bar tramite quel router.
A che serve “gestire i log di traffico in base ai provvedimenti del garante della Privacy”¬†del router di un ristorante? si tratta di utenti occasionali, non identificati con certezza (non più ormai) e ben coscienti di essere in un esercizio pubblico. Non sono dati che nel normale funzionamento possono ledere il diritto alla privacy di qualcuno (esistono già leggi che punirebbero l’eventuale “spionaggio” di un esercente malintenzionato).
E così via.

Tra l’altro bisogna sottolineare che già adesso il titolare di un accesso a Internet presso un fornitore di connettività (o operatore autorizzato) è responsabile dell’uso che si fa della sua connessione, quindi ha tutto l’interesse che non si compiano degli illeciti.

Diverso sarebbe il discorso per connettività offerta in aree pubbliche (come nelle piazze di Roma) o per chi volesse diventare un vero fornitore finale di connettività (con propri DNS e tutto il resto) perché entrambi i casi rientrano nel voler offrire Internet come attività principale e quindi essere operatori autorizzati.

Detto questo, però, la maggioranza di governo ha intenzione di proporre emendamenti alla legge di conversione di questa abrogazione (che è parte del decreto legge “milleproroghe”) che dovrà essere approvata entro 60 giorni.
Per uno di questi¬†si parla della possibilità di richiedere a certi esercenti, per un determinato periodo di tempo e per scopi precisi, di monitorare gli accessi (ma a che serve, visto che è possibile già farlo tramite i relativi operatori autorizzati?).
In generale si parla di reintrodurre l’identificazione degli utenti in maniera “leggera”, per esempio tramite SMS, la cui efficacia per chi è intenzionato a compiere illeciti è tutta da dimostrare.
Inoltre obbligare chi vorrebbe comunicare senza telefono ma tramite Internet a possedere un telefono è abbastanza bizzarro.
Vedremo.

aggiornamento 1:
importante la risposta e le riflessioni di Stefano Quitarelli nei commenti. In ogni caso la legge, allo stato attuale, è proprio questa.

aggiornamento 2:
Il dibattito si allarga ai giuristi esperti in materia informatica.
Elvira Berlingieri su Apogeonline individua due punti interessanti:

  • l‚Äôobbligo di identificazione previsto nell‚Äôarticolo 7 del decreto Pisanu trovava applicazione unicamente nei confronti di soggetti che forniscono accesso a internet in via principale (come per gli Internet Point) o accessoria (come le biblioteche o gli alberghi), ma non verso gli Internet Service Provider che, infatti, hanno diversa regolamentazione (e i quali, infatti, sono toccati anche dall’art. 6 del Decreto e sono regolamentati da altre norme).
  • i titolari dei contratti con gli ISP (quindi i gestori di bar, ristoranti ecc.) non possono essere ritenuti responsabili per utilizzi illeciti della connessione (a meno di comportamento fraudolento, naturalmente). Il motivo di fondo è che non possono impedire un reato poichè la legge gli vieta di intercettare le comunicazioni.
    Una sentenza della Cassazione conferma questo, esplicitando che nel decreto Pisanu l‚Äôobbligo di identificare gli utenti era stato posto dal legislatore “ai soli fini della prova dell‚Äôutilizzazione e non per impedire l‚Äôeventuale reato”.

Massimo Melica rileva che in assenza di una precisa disposizione generale abrogativa del decreto regolamentare sia possibile considerare¬†in vigore il¬†Decreto Ministero Interno del 16 agosto 2005 per quanto riguarda l‚Äôuso e la gestione dell’identificazione.

Fulvio Sarzana suggerisce che per quest’ultimo decreto e per tutte le norme “accessorie” del Decreto Pisanu non espressamente abrogate si possa considerare la forma di abrogazione tacita.

Infine da segnalare una notevole intervista sull’argomento di Silvia Carbone al criminologo esperto di mafia Antonio Nicaso in cui si evince come le mafie usino molto Internet e l’identificazione imposta dal decreto Pisanu non era in grado certamente di fermarle (anche perché in altri paesi non esiste). È necessaria collaborazione su questo tra i vari paesi e soprattutto una registrazione anonima del traffico, come già avviene in Francia, Germania, Regno Unito.


altri 3 post a cui potresti essere interessato:

6 thoughts on “abrogata la Pisanu, il wi-fi è libero (con qualche dubbio). per ora.

  1. Stefano Quintarelli

    Agcom a maggio 2003 ha stabilito che mettere un terminale a disposizione del pubblico quale servizio ancillare ad altra attivita’ (albergo, bar, ecc.) non e’ da intendersi come fornitura di servizio di telecomunicazione (per il quale era necessaria una licenza se si faceva fonia (PATS) o autorizzazione generale se si facevano servizi non-fonia (ECS)). Questo perche’ alcuni alberghi venivano multati in quanto non titolari ne’ dell’una ne’ dell’altra.

    Il codice delle comunicazioni da agosto 2003 ha stabilito che chi offre al pubblico servizi di telecomunicazioni deve essere in possesso di autorizzazione (sparisce la licenza).

    Poi arriva Pisanu, poi se ne va la Pisanu e si rimane nello stesso quadro normativo.

    Se fai una cosa per la quale e’ prevista una autorizzazione, devi ottemperare agli obblighi specifici (che sono quelli che elencavo).

    Il wifi non e’ previsto dal codice ne’ da agcom come eccezione (come invece i terminali).

    tutto qui.

    tu dici “è possibile aggirare” ma questo vale sempre, anche al divieto di sosta, ma non per questo e’ meno vietato o non hanno senso i divieti.

    dici anche “uno non ha il DNS”, ma nemmeno le catene/gomme da neve. si attrezzi…

  2. Luca Alagna Post author

    ciao Stefano! però in questo modo la normativa (con il supporto di AGCOM) introduce una distinzione tecnica che definirei inconsistente.
    Nel tuo esempio è come se il codice della strada prevedesse il divieto di sosta solo per le automobili di colore verde metallizzato.
    Anzi rendesse obbligatorie le catene per loro, anche d’estate.

    È una previsione arbitraria, che non ha fondamenti tecnici, tecnologici o giuridici, anche per i motivi che ho elencato.
    Se nel 2003 poteva sembrarci una mancanza veniale di prospettiva, nel 2010 ci appare quasi un’assurdità.
    Nel migliore dei casi è una legge che, su questo, non ha retto l’evoluzione tecnologica di appena 7 anni, evidentemente c’è qualcosa da rivedere.

  3. Pingback: un check-in su Foursquare per la causa del wi-fi libero in Italia » stilografico

  4. Stefano Quintarelli

    non ha fondamenti oggi ma li aveva all’epoca. non era sbagliata, e’ obsoleta. cosa diversa.

    teini presente che la norma agcom e’ del maggio 2003. nel maggio 2003 i notebook erano una eccezione e comunque il parco installato non aveva generalmente il wifi (fino al 2008 si vendevano piu’ desktop che notebook) quindi era logico avere un pc per collegarsi ad internet (rarissssssimo) ma assolutamente una mosca bianca usare il wifi.

    teniamo presente inoltre che fino a fine 2005 il wifi si poteva usare solo in fondi privati, fin quando Gianluca Petrillo convinse il ministro Landolfi con una mano di Matteo fici e mia http://is.gd/jXILj

    la norma agcom quindi non era sbagliata all’epoca ed e’ certamente obsoleta oggi.

    tempo fa avevo fatto un piccolo seminario sul il problema che l’evoluzione tecnologica aveva un passo troppo rapido per la architettura normativa della civil law…

    cio’ detto, io sono sempre a favore dell’autenticazione perche’ non si autentica solo l’utente ma anche il fornitore e cosi’ si mitiga il rischio di capitare in qualche honeypot.

  5. Luca Alagna Post author

    grazie di queste riflessioni.
    speriamo allora che questi emendamenti siano anche l’occasione per aggiornare la legge allo stato della tecnologia (rapporto tra evoluzione tecnologica e normativa, argomento molto interessante!).

  6. Gianluca

    Una società come la nostra che noleggia sale riunioni ed uffici arredati anche per un giorno soltanto come deve comportarsi a questo punto? Grazie

Comments are closed.