I video rubati al presentatore non sono solo un caso di cronaca: mettono a nudo le contraddizioni di un modello tecnologico fondato sulla sorveglianza e sull’illusione del controllo di Andre Monti – Inizialmente pubblicato su Italian Tech – La Repubblica
Il caso di Stefano Di Martino induce una riflessione più generale sul senso del modello industriale che vuole qualsiasi servizio che ci riguarda, anche nelle sfere più personali e intime, dover essere per forza “erogato in cloud” o comunque tramite la possibilità per il fornitore di entrare direttamente nella nostra rete casalinga o aziendale.
La domotica “vulnerabile by default”?
Pochi sono consapevoli che, da sempre, il router in “comodato gratuito” del fornitore di accesso gli consente di controllarlo a distanza e che i servizi basati sull’immancabile “app” —specie quelli che gestiscono il funzionamento di webcam o sistemi di sorveglianza— memorizzano i flussi video per futura consultazione da qualche parte, ma non necessariamente sul terminale del cliente.
Con buona pace degli “obblighi di misure di sicurezza” e delle “garanzie contrattuali” che molto spesso si riducono a poco più di semplici slogan, la realtà è che troppo spesso i dati sulla nostra vita personale e pubblica finiscono nelle mani di chi non dovrebbe averli. Questo, tuttavia, anche con la corresponsabilità delle vittime che, per fiducia o negligenza, non si pongono realmente il problema di capire cosa vuol dire utilizzare una tecnologia controllata o controllabile da qualcun altro.
Come è stato possibile sottrarre i video?
Non ci sono informazioni pubbliche su come fosse strutturato il sistema di videosorveglianza di De Martino, ma dalla descrizione dei fatti si può desumere che, nella più semplice delle configurazioni, fosse costituito da una o più telecamere raggiungibili anche dall’esterno via internet e che i flussi video fossero registrati o sul singolo apparato (spesso dotato di una memoria autonoma) o su un server nella disponibilità del produttore.
Partendo da questa assunzione (una, fra le tante possibili), se i file sono stati prelevati direttamente dalle telecamere vuol dire che queste erano direttamente esposte —cioè raggiungibili— sulla rete, che il loro firmware, il software che le fa funzionare, era vulnerabile e/o che le password erano deboli oppure non presenti.
Se, invece, i file sono stati trafugati dai sistemi remoti nei quali erano stati memorizzati questo sarebbe potuto accadere perché qualcuno ha utilizzato le credenziali legittime, dunque commettendo quello che impropriamente si chiama “furto di identità” o ha sfruttato vulnerabilità dell’infrastruttura dove i dati erano memorizzati.
Quali illeciti sono stati commessi
Quale che sia la modalità di commissione del fatto, è abbastanza chiaro che siamo di fronte al reato previsto dall’articolo 615-ter del Codice penale, cioè quello che punisce l’accesso abusivo a un sistema —sia esso un singolo computer o un macchina connessa a una rete, potenzialmente, anche di fronte a quello di interferenze illecite nella vita privata ma non, paradossalmente, quello di trattamento illecito di dati personali né di “revenge porn”.
I reati in materia di dati personali, infatti, puniscono chi causa “nocumento” abusando dei dati di traffico telematico o di geolocalizzazione, gli spammer o chi diffonde abusivamente archivi; e nessuna di queste ipotesi è applicabile al caso De Martino. Allo stesso modo, per applicare l’articolo 612-ter del Codice penale, quello appunto sul revenge porn, è necessario che chi diffonde i contenuti ne sia anche l’autore —e non è questo il caso.
Il ruolo del Garante dei dati personali
Un discorso a parte merita l’intervento del garante dei dati personali.
Se il fatto ha rilevanza penale, l’autorità garante —che non ha il potere di tutelare diritti—non può svolgere accertamenti autonomi sulle fattispecie di reato. Tuttavia, se durante le verifiche amministrative, dovesse rilevare elementi di interesse per la magistratura allora li dovrebbe comunicare al pubblico ministero. Ma quali accertamenti può fare, in un caso del genere, il Garante?
Per rispondere dobbiamo tornare agli aspetti tecnici della vicenda, e riprendere la differenza fra un sistema totalmente autogestito dall’utente e un sistema che vede un intermediario come un fornitore di servizi di memorizzazione e controllo remoto degli apparati.
In termini generali, nel primo caso, c’è poco che il Garante possa accertare: se c’è stato un errore da parte dell’utente che non si è affidato a un soggetto qualificato per l’installazione del sistema in modo da adottare adeguate contromisure anche in presenza di eventuali vulnerabilità delle telecamere, la materia rimane esclusivamente di competenza del pubblico ministero.
Se, invece e sempre in termini molto generali, l’accesso ai video è stato possibile per negligenze nella gestione del controllo remoto del sistema o della memorizzazione dei file, allora è ragionevole ipotizzare quantomeno la necessità di una verifica sull’effettiva sicurezza complessiva dell’insieme prodotto (telecamera)/servizio(gestione remota e storage).
Infine, se i video comparissero su qualche piattaforma o blog, potrebbe provare a disporre il blocco del trattamento relativo a quei contenuti —posto che questo sia compatibile con il fatto che dovrebbe essere un giudice (almeno) civile a disporre un provvedimento del genere.
Le responsabilità di chi condivide i video e delle piattaforme che li rendono disponibili
È abbastanza improbabile che i singoli “condivisori” dei video possano essere materialmente portati in giudizio —civile o penale che sia— dal momento che gli sforzi per individuare ogni singolo soggetto potrebbero avere tempi e costi tali da rendere inutile agire in questo modo. Specie se si considera l’effetto “Idra di Lerna” in base al quale rimosso un contenuto da qualche parte, “rispunta” in più esemplari altrove.
Realisticamente, dunque, chi si troverà a dover provvedere all’eliminazione dei contenuti saranno i gestori delle piattaforme che, fra gli altri obblighi previsti dalla UE—ma anche dal Codice civile italiano— hanno anche quello di identificare i propri utenti. Inoltre, per via di una recente ordinanza della Corte di cassazione, non devono nemmeno aspettare l’ordine di un giudice perché basta anche una segnalazione “non qualificata” —cioè proveniente da un soggetto privato, a maggior ragione se vittima del fatto— per far sorgere la responsabilità dell’operatore. Analogamente, e sempre in base allo stesso principio di diritto, anche gli operatori di accesso potrebbero essere destinatari di diffide ad oscurare determinate risorse di rete senza bisogno di attendere un ordine dell’autorità.
Il dito e la luna
Forse gli autori dell’accesso abusivo alla rete privata di Stefano De Martino verranno individuati e processati, come forse accadrà a chi ha fatto rimbalzare per ogni dove i video sottratti. Qualche azienda pagherà le sanzioni irrogate dal Garante dei dati personali e qualche piattaforma si troverà, ancora una volta e in nome delle normative UE, ad applicare una giustizia privata sottratta al controllo della magistratura. Rimangono fuori dal raggio d’azione chat e gruppi privati che, in quanto tali, non sono facilmente o immediatamente individuabili; ma anche a questo sta pensando la Commissione Europea con le future norme sul client-side scanning che, autorizzando la perquisizione preventiva e automatica dei device alla ricerca di “contenuti illeciti” e indebolendo la crittografia, ci trasformeranno in presunti colpevoli senza processo.
Tutto questo, però, non cambia un fatto, anzi, due: il primo è che i piedi d’argilla del colosso tecnologico che abbiamo consentito di costruire non reggono più; il secondo è che gli utenti privi di una reale capacità di proteggersi sono destinati a essere sempre più spesso vittime inconsapevoli di modelli industriali basati sul fatto che i difetti di un software o di un servizio non sono errori ma funzionalità.
Individuare e punire i responsabili di fatti illeciti è certamente doveroso, ma pensare che questo possa risolvere i problemi di stabilità del Colosso digitale di Rodi senza affrontare seriamente il tema delle responsabilità per chi causa le vulnerabilità strutturali di software, reti e sistemi significa semplicemente vivere nel mondo delle favole —o in quello della burocrazia.
Possibly Related Posts:
- Jean Pormanove e la morte in diretta: quando la libertà diventa spettacolo estremo
- Dal lutto al business: AI, chatbot, dati personali e la promessa dell’immortalità
- GPT-OSS com’è il modello “open-weight” (che non vuol dire affatto open source) di OpenAI
- Agcom: le Content Delivery Network (CDN) dovranno avere l’ok del Mimit? Cosa cambia per le Telco
- WhatsApp, l’Antitrust e il controllo delle interfacce