Grazie al blog di Mantellini abbiamo (o almeno, io ho) finalmente la possibilità di leggere il decreto, seppure in bozza. Nota a margine, ma è così complicato pubblicare una cosa che è già stata firmata?
Tanto per cominciare, il decreto definisce i requisiti tecnici per i fornitori di connettività; sono esclusi quindi da questo decreto i fornitori di servizi di hosting. Poi, sembrano esclusi i, diciamo così, fornitori di connettività non iscritti, almeno leggendo l’art. 3 comma 1. Ad esempio, ricordo un post di qualche giorno fa, da qualche parte, relativo al fatto che dalle università e da molte PA sono raggiungibili i siti di gioco d’azzardo stranieri che sono bloccati dai normali ISP. Sembrerebbe che qui si riproponga lo stesso problema. Punto importante, si parla di siti (non di indirizzi IP), il cui concetto è definito all’interno del decreto. In effetti, guardando le definizioni del Codice delle Comunicazioni Elettroniche, il “sito” non sembra definito (anche se il termine è utilizzato ad esempio all’art. 23 comma 4, forse è definito altrove?). Non che quella del decreto sia una definizione usabile in senso generale, dato che fa riferimento specificamente alla pedopornografia. L’art. 3 non credo presenti grossi problemi: si tratta di stabilire dei canali protetti fra Centro e ISP, tecnicamente non dovrebbe essere un problema. Non mi è chiaro il problema al quale si riferisce Nuti, e riportato dal Corriere, riguardo all’implementazione della tecnologia da parte di Telecom, che almeno in questa bozza non è citata. Forse il problema sta nella garanzia di consegna, e nella validazione dell’orario che farà fede per il trascorrere delle 6 ore. Per problemi di questo tipo, forse una soluzione è un meccanismo di hartbeat. L’art. 4 comincia ad affrontare il nocciolo della questione. Come fa un ISP a inibire l’accesso a un sito “a livello di nome di dominio”? Purtroppo questo punto sembra molto ambiguo. L’ISP in generale non vede i nomi di dominio, solo il traffico IP. Vede le richieste ricorsive ai propri server DNS, per la risoluzione di domini gestiti da altri, o vede traffico dns in uscita verso altri server DNS. Mentre inibire la risoluzione di un dominio sui propri sistemi è, direi, abbastanza facile, inibile la risoluzione da parte di terzi richiede l’analisi del traffico a livello applicativo. Peggio ancora se le richieste http sono fatte ad un proxy di un altro ISP (non italiano), nel qual caso è nuovamente necessario entrare nel traffico applicativo, per di più di una quantità enorme di traffico. Immagino che l’intenzione fosse di indicare solo che i server dns del provider non devono risolvere il nome di quel sito. Dato che non è sperabile che questo impedisca l’accesso “determinato” al sito, ma solo quello casuale, bloccare la risoluzione sui propri server per evitare che qualcuno capiti sul sito “per sbaglio” può bastare. Peraltro, io non sono mai capitato per caso su un sito di pedopornografia, e dire che Internet la uso… il blocco a livello IP sembra una misura eccezionale: è certamente più efficace, ma rischia di causare maggiori disservizi, e quindi c’è da sperare che rimanga davvero una misura eccezionale. La specificazione dell’art. 5 comma 2 non mi sembra che aiuti in alcun modo a chiarire meglio la situazione. Mi crea invece qualche perplessità l’art. 5 comma 4: parlando di “linguaggi a marcatori” e “linguaggi di script” sembra fare esplicitamente riferimento ad un intervento a livello applicativo, ad esempio sulle richieste http. Temo che garantire questo sarebbe un onere notevole per gli ISP, e nello stesso tempo la realizzazione comporterebbe un’intromissione pesante anche nel traffico legittimo degli utenti onesti. Di nuovo però, non credo che sia questa l’intenzione del decreto: l’art. 8 pone tempi stretti (60 gg) per il filtraggio a livello di nome di dominio, 120 per l’indirizzo IP. Questo direi che stabilisce definitivamente che si sta parlando dei server DNS del provider.
Valutazione complessiva? Se la mia interpretazione è corretta, direi che l’applicabilità è ragionevole, l’impatto sugli ISP limitato, e lo stesso per quanto riguarda il traffico legittimo. Data la media delle norme viste fino a qui, direi che già non è poco. Per quanto riguarda l’efficacia, la vedo solo per quanto riguarda accessi casuali o “naïf”; per evitare situazioni spiacevoli, insomma. Importante l’art. 8 comma 3, che sottolinea l’utilità dei miglioramenti in corso d’opera e dell’interazione con gli ISP. Unico problema di questo approccio: sarebbe utile se le eventuali modifiche al decreto venissero pubblicate e discusse, non solo con gli ISP, prima di essere approvate. Tutto quello che riguarda il blocco o l’intercettazione di comunicazioni può infatti avere pesanti ripercussioni sulle libertà dei cittadini, e quindi non interessano solo gli ISP, che guardano all’aspetto tecnico, ma anche, e come minimo, il Garante della privacy, le associazioni dei consumatori ed i cittadini tutti. Intervenire per modifiche a decreti su questi temi lo vedo altrimenti molto rischioso.
Passando ad altro. A quanto pare il ripristino delle comunicazioni in Asia sarà più lungo e complicato del previsto.
E per quanto riguarda i dati dei cittadini EU che entrano in USA, forse ci eviteremo altre fonti di errori e seccature. Mi piace questo commento: “Bruce actually used the shortened name of the program. The full name is US-VISIT UR COUNTRY, U NOT-VISIT OURS.”