Mentre ad oggi nessuno ha capito se nel Milleproroghe appena approvato, i cosidetti "strumenti" di identificazione siano stati inserite nella legge o se si siano riservati di prorogare ulteriormente la decisione al 31 Marzo 2011... riportiamo l'intervista di un legale specializzato in information tecnology riguardo alla sicurezza e tracciabilità delle connessioni wireless fatte da terzi.

In particolare ci riferiamo all'articolo comparso su Computerworld del 25 Febbraio 2011.

L' intervistato è l' Avvocato Carlo Piana esperto in diritto dell’Information Technology e delle Telecomunicazioni e consulente generale per la Free Software Foundation Europe.

Alla domanda:
La liberalizzazione del Wi-Fi sembra portare con sé innegabili vantaggi in termini di velocità, comodità e snellimento delle procedure per l’erogazione del servizio, ma c’è chi teme una caduta degli standard di sicurezza: come scongiurare questo pericolo?

Risponde:

Il Decreto Pisanu ben poco aveva a che fare con la sicurezza, molto invece con oneri burocratici inutili a prevenire il terrorismo e irrilevanti per la protezione da attività dannose alla rete informatica. Ben venga la sua abolizione, sperando che sia totale e definitiva, visto che le recenti iniziative legislative sono ancora legate a una legge di conversione che potrebbe modificare la situazione. Gli obblighi di sicurezza sono, infatti, legati a ben altre normative, come il Codice Privacy, che pochi sembrano ricordare, anche perché non è specificamente legato al Wi-Fi.

Alla Domanda:

Spostiamo per un attimo l’attenzione sul proprietario della struttura che offre il servizio Wi-Fi: che tipo di responsabilità può ricadere su di lui se un utente all’interno della sua rete accede a siti con contenuti pericolosi ad esempio siti pedopornografici o terroristici oppure compie attività criminali?
 

Risponde:

Esistono due punti critici. Il primo riguarda la protezione della rete interna, il secondo riguarda una responsabilità legale per attività effettuate verso l’esterno. I normali access point semplicemente proteggono una rete informatica con una chiave di cifratura (ad esempio WPA) che è piuttosto banalmente violabile. Senza un firewall che separi la rete Wi-Fi da quella interna, si è completamente esposti. Una soluzione di tipo ‘hotspot’, invece, fa in modo che anche chi rompa il lucchetto sia confinato in un’area dove non può far danni. Da lì al massimo – sempre che riesca a ottenere il permesso – può navigare su Internet, ma non accedere alla rete interna.

Qui entra in gioco il secondo aspetto: la responsabilità anche penale per attività illegali realizzate attraverso l’accesso alla rete. Accade molto più spesso di quanto non si creda che malintenzionati sfruttino insicurezze dei sistemi per non farsi riconoscere. Chi ci va di mezzo è il titolare dell’accesso Internet registrato presso il provider, perché sarà il suo indirizzo IP a essere associato all’attività illecita. A nessuno fa piacere sentirsi chiamato dalla Polizia Postale o dalla Guardia di Finanza perché il proprio accesso è stato utilizzato per attività illecite e dovere dare spiegazioni, sempre che si sia in grado di darle. Un mio cliente ha rischiato il rinvio a giudizio per una truffa da parte d’ignoti che si erano appropriati del suo computer e dunque l’indirizzo IP che risultava alla Polizia era quello del mio cliente.

Alla Domanda:

Quale tipo di dati e/o documentazione sarebbe necessaria alla Polizia per individuare i responsabili di tali attività? In quali termini l’erogatore del servizio Wi-Fi è tenuto a fornire la documentazione?

Risponde:
Con l’abolizione dell’Articolo 7 del Decreto Pisanu è ragionevole pensare che anche le norme integrative decadranno, comprese quelle che impongono la trasmissione dei dati di traffico alla Polizia in caso di indagini. Tuttavia, per evitare responsabilità, è consigliabile dotarsi di prove sufficientemente affidabili circa chi ha fatto cosa. Concedere l’accesso solo a chi si conosce è sempre buona norma. Imporre una scadenza alle credenziali di accesso riduce la possibilità che esse possano essere utilizzate da altri. Dimostrare di avere usato un buon grado di diligenza può veramente fare la differenza. Conservare i dati di navigazione per un successivo controllo fa parte di tutto ciò, anche se occorre verificarne la compatibilità con la normativa sulla privacy.

Alla Domanda:

Ora che non sarà più necessario fornire la carta d’identità per ottenere la connessione Wi-Fi, quali potrebbero essere le nuove modalità di identificazione dell’utente?
 

Risponde:

Non esiste una risposta buona per tutti i casi. Occorre bilanciare la facilità di accesso alla rete con le esigenze di sicurezza. Un albergo, ad esempio, deve sempre conservare copia della carta d’identità degli ospiti e potrà quindi facilmente fornire codici associati alla camera dell’ospite e avere così una robusta identificazione. Centri congressi o altre strutture più pubbliche probabilmente dovranno ancora affidarsi a mezzi di riconoscimento quali l’uso di carte di credito, l’invio dei codici via SMS, la raccolta di documenti di identità. Tutti questi casi dovranno avere una soluzione ‘hotspot’, non penso che sia sensato utilizzare altri strumenti. Insomma, il gestore di una rete Wi-Fi accessibile al pubblico non dovrà più fare il poliziotto, ma non potrà nemmeno lasciare “tutto aperto”, indipendentemente dal fatto che voglia farsi pagare per il servizio.

In attesa dell'uscita della Gazzetta Ufficiale sulla abolizione del Decreto Pisanu tramutato in legge, crediamo importante potersi dotare della strumentazione adeguata per essere professionali ed evitare guai con la legge.

(link fonte: computerworld)