1 Censura, sicurezza e privacy: alcuni aspetti del
Transcript
1 Censura, sicurezza e privacy: alcuni aspetti del
Censura, sicurezza e privacy: alcuni aspetti del rapporto tra tecnologia e comunicazione nell’ambito dei principali problemi legati alla gestione della Rete . di Eleonora Calvelli 1. La censura Importanti problemi quali la pornografia e la pedofilia in Rete non dovrebbero distogliere l’attenzione da altri rilevanti grandi temi1, che l’exploit di Internet e la commercializzazione di prodotti e servizi web presso un pubblico di milioni di utenti ha portato alla ribalta e moltiplicato, né d’altra parte essere usati per creare un clima volto al tentativo di generare confusione e sfiducia nel modo di avvicinarsi ed interagire con la Rete. Inizialmente le reti telematiche rappresentavano una sorta di terra franca in cui sperimentare e condividere inedite modalità di comunicazione. In seguito al processo di commercializzazione dell’infrastruttura della Rete, abbiamo assistito a svariati tentativi di circoscrivere gli spazi di espressione, anche attraverso disposizioni legislative. Contemporaneamente abbiamo visto sorgere associazioni culturali e gruppi di protesta telematici, tra cui Electronic Frontier Foundation2 e National Coalition Against Censorship, e il proliferare delle campagne di mobilitazione volte a proteggere i diritti civili e la libertà di espressione nel mondo digitale. Dall’inizio del 1996 è capitato, navigando in Rete, di imbattersi in pagine web che mostravano l’immagine di un nastro blu, ossia blue ribbon. Si 1 e da eventi moderatamente interessanti ma non privi di spunti come ad esempio la vendita del libro Mein Kampf distribuito on-line da Yahoo!. Il motore di ricerca, sull’onda delle proteste di alcune associazioni di ebrei sopravvissuti all’Olocausto, rimosse immediatamente le aste di cimeli nazisti dalla propria sezione francese, ma fu accusato di non aver impedito agli stessi utenti francesi di recarsi sulle corrispondenti pagine dei server americani. Yahoo! fu dunque condannata a pagare delle sanzioni economiche e ad impedire l’accesso alle pagine incriminate, ma in seguito ottenne da un tribunale americano l’assicurazione che il tribunale francese non avrebbe potuto imporre altre sanzioni alla casa madre americana. Proprio recentemente Koogle, ex chairman di Yahoo! è stato assolto in quanto, secondo la sentenza, non avrebbe contribuito a promuovere il nazismo, né avrebbe commesso apologia di reato. 2 Creata a S. Francisco nel 1990 da Mitch Kapor e Jonh Perry Barlow per la promozione dei principi del cyberspazio, per contrastare il controllo dei governi su Internet e per il libero commercio, nonché appoggiata più o meno direttamente da giganti dell’informatica come Sun Microsystem e Lotus Corporation. L’idea della creazione nacque in seguito ad una perquisizione dell’Fbi, che sospettava, senza alcun fondamento, che Kapor e Barlow fossero in possesso di codici sorgente rubati. 1 trattava di un tentativo di risposta a un’iniziativa legislativa sostenuta da alcuni ambienti conservatori della scena politica statunitense, principalmente cattolici e puritani. La legge, denominata Communication Decency Act (CDA), prevedeva la pena di un'ammenda fino a 250.000 dollari e la reclusione in carcere fino a 2 anni per chiunque avesse divulgato in Rete qualsiasi tipo di materiale indecente (indecent), potenzialmente visibile da un minore. Invocando il termine non ben precisato di “indecenza", come l'elemento standard sulla base del quale la comunicazione elettronica avrebbe dovuto essere censurata, il Congresso degli Stati Uniti aveva ottenuto che gli ISP, Internet Service Providers, per cercare di evitare problemi giudiziari, impedissero agli utenti di accedere ad una serie di argomenti che andavano tra gli altri dai gruppi di discussione gay/lesbici, all’informazione sulle malattie a trasmissione sessuale, alle informazioni sull’aborto, trattandosi peraltro di materiale reperibile anche nelle edicole e nelle librerie e riguardante temi di cui si parlava liberamente già al di fuori di Internet. Per questi motivi la EFF aveva chiesto a tutti coloro che ne condividevano gli obiettivi anti-censori, di colorare di nero le proprie pagine web per 48 ore. In seguito, l’immagine del blue ribbon esibita sulle pagine web, ha testimoniato l’adesione alla campagna contro il Communication Decency Act per la libertà di espressione in Rete. Tale campagna per il free speech, propagatasi in tutto il mondo, ha ottenuto due risultati positivi: innanzitutto ha stimolato una maggiore consapevolezza sull’importanza della libertà di espressione in Rete, e poi, nel 1997, ha fatto sì che il CDA fosse dichiarato incostituzionale, e pertanto cancellato, dalla Corte Suprema degli Stati Uniti. Il 15 dicembre 2001 il Congresso degli Stati Uniti ha approvato un altro provvedimento legislativo, denominato Children's Internet Protection Act (CIPA),3 il quale impone, alle scuole e alle librerie che desiderino ricevere finanziamenti statali, l'installazione di filtri software sui computer collegati ad Internet a disposizione dei minori di 17 anni. 3 Children's Internet Protection Act (CIPA) 2 Due importanti indicazioni, volte ad evitare il fallimento del precedente Communication Decency Act, aprono il testo: la prima sottolinea che il testo del CIPA non può essere usato per bloccare contenuti diversi da quelli previsti per tutelare i minori; a seconda chiarisce che la legge non deve violare la privacy di alcun cittadino, sia bambino che adulto. In pratica il CIPA prevede la censura di materiale "visivo" osceno, o contenente pornografia infantile, o dannoso per i minori.4 Il provvedimento prevedeva che fossero i consigli scolastici, i provveditorati, le biblioteche e le altre autorità responsabili a livello locale, senza l'intervento di nessun organismo federale, a determinare il materiale da censurare. Tuttavia, il fatto che molte strutture formative, pubbliche o private, godano di finanziamenti statali, rende il CIPA un provvedimento quasi obbligatorio. Inoltre, l’eventuale disabilitazione dei filtri, possibile unicamente per scopi di ricerca e documentazione da parte di utenti adulti, sarebbe affidata solo agli amministratori di sistema, pertanto il CIPA rappresenterebbe in effetti una misura di censura che non riguarda solo i minori. Alcune associazioni come la ACLU, American Civil Liberties Union, potente organizzazione americana per i diritti civili, la EPIC e l'ALA, l'Associazione dei bibliotecari americani, hanno ripetutamente chiesto la cancellazione di questa normativa. Il primo di aprile 2002 iniziò a Philadelphia, presso un tribunale federale, il giudizio di primo grado sulla costituzionalità del CIPA. Innanzitutto il tribunale aveva sentenziato che la normativa violava il Primo Emendamento, cioè i diritti alla libera espressione dei frequentatori delle biblioteche; inoltre veniva ritenuto inaccettabile che i gestori delle biblioteche non potessero in autonomia decidere se e che tipo di filtri imporre; infine, secondo i giudici di 4 Nel testo si definisce "dannoso per i minori" qualsiasi materiale "visivo" che, preso nel suo complesso, e in riferimento ai minori, faccia appello ad interessi lascivi riguardanti nudità, sesso o escrezioni; che dipinga, descriva o rappresenti, in modo palesemente offensivo per i minori un atto o un contatto sessuale, vero o simulato, normale o pervertito, una esibizione indecente di organi genitali e che manchi per i minori di qualsiasi valore letterario, artistico, politico o scientifico. È evidente che il legislatore abbia cercato di evitare la trappola della censura "cieca" richiamandosi all’uopo, nella definizione di "atto o contatto sessuale", alla legislazione vigente negli Usa. 3 Philadelphia, non era lecito imporre alle biblioteche americane l’installazione di sistemi di filtraggio che vietassero l’accesso anche a siti web apprezzabili, senza riuscire a bloccare integralmente la pornografia in Rete quale obiettivo prefissato. Il caso infine è arrivato nella sede della Corte Suprema degli Stati Uniti onde accertare se il CIPA sia costituzionale o meno. I giudici della massima corte americana hanno dunque sentenziato che il provvedimento legislativo non è incostituzionale e non viola il Primo Emendamento, sottolineando che i filtri sui contenuti della Rete equivalgono alle politiche di acquisto dei libri presenti in biblioteca. Negli Stati Uniti, dal momento in cui il CIPA è entrato in vigore, i punti di accesso alla rete fruibili dai minori al di fuori delle strutture scolastiche hanno continuato a moltiplicarsi, per cui è improbabile che la restrizione avallata dalla Corte Suprema abbia un apprezzabile effetto frenante sulla disponibilità di accesso da parte dei minori a contenuti web scabrosi. In generale, dunque, è chiaro che, se da una parte i produttori di software auspicassero ad un certo ritorno economico, incoraggiati da una legge che legava l'installazione di filtri alla possibilità per le biblioteche di ottenere fondi pubblici per l'acquisto di computer e per la predisposizione di postazioni di accesso alla rete, dall’altra era già noto che i software adibiti alla censura dei contenuti fossero estremamente approssimativi. Uno studio di Peacefire5 sui cinque più famosi programmi adibiti al filtraggio di materiale pornografico, ossia Cyber Patrol, SurfWatch, Bess, AOL Parental Controls, e SafeServer, dimostra che nessuno di essi ha una percentuale di errori minore del 20% e due di essi arrivano persino a circa l'80%. Ossia, se ad esempio un software censura 100 siti, è possibile che 80 di essi siano totalmente innocui, mentre al contrario le liste di censura preparate da risorse umane hanno una percentuale di errori estremamente più bassa, minore dell'1%, spesso dovuta ad errori di trascrizione degli URL. Infine, la maggior parte dei siti bloccati non vengono visitati, onde assicurarsi che siano davvero dannosi. 5 http://www.peacefire.org/error-rates/ 4 Un episodio sintomatico del cattivo funzionamento dei filtri anti censura è quello che ha visto il software Surfwatch, diventare famoso nel 1996 per aver bloccato una pagina web del sito della Casa Bianca in quanto il file incriminato si chiamava "couples.html", termine che significa sia "coppia" che "accoppiarsi". Secondo gli stessi giudici di Philadelphia, i quali avevano testato ampiamente i software di filtraggio, la situazione è tale che "attualmente risulta impossibile, data la dimensione della rete, la velocità della sua crescita e dei suoi cambiamenti, anche nell'architettura, e dato lo stato attuale dei sistemi di classificazione, sviluppare un filtro che impedisca del tutto l'accesso ad una certa quantità di contenuti".6 In base ad altri significativi episodi, risulta evidente quanto sia impossibile inoltre applicare un sistema di censura universale, per il fatto che esiste un sistema legislativo diverso da paese a paese. Secondo un rapporto diffuso dal Berkman Center dell’Università di Harvard, Google avrebbe cancellato dalle liste delle versioni francese e tedesca (www.google.de e www.google.fr) alcuni risultati, i quali rimanderebbero ad una serie di siti dai contenuti razzisti, filo-nazisti, anti-semiti, nonché a www.jesus-is-lord.com, sito di fondamentalisti cristiani.7 Ben Edelman e Jonathan Zittain, i ricercatori che hanno comparato le diverse versioni di Google rispetto alla versione originale Google.com, avrebbero trovato 113 siti esclusi dalle liste su indicazione delle agenzie governative francesi e tedesca. L’oscuramento di siti che violavano le leggi in vigore in Francia e Germania, e contemporaneamente la pubblicazione degli stessi siti nelle liste di www.google.com, hanno dimostrato quanto la censura assoluta sia probabilmente un’astrazione o un fatto puramente formale e fine a 6 7 “Impossibile creare software filtro per il Net” http://punto-informatico.it/p.asp?i=40390 “Localized Google search result exclusions Statement of issues and call for data” Jonathan Zittrain and Benjamin Edelman - Berkman Center for Internet & Society, Harvard Law School, http://cyber.law.harvard.edu/filtering/google/. 5 se stesso, se non addirittura in altri casi uno strumento volto ad ottenere una repressione aprioristica della libertà di espressione.8 Un altro episodio che mette in luce la natura incerta dei flussi di comunicazione in Internet è quello che è avvenuto in Italia nell’estate del 2002: il Nucleo Speciale Radiodiffusione Editoria della Guardia di Finanza ha censurato cinque siti denunciati perché considerati blasfemi dall’Osservatore Romano.9 L'indagine ha richiesto lungo tempo dal momento che i dati con cui erano registrati i domini internet erano fasulli e i siti erano residenti su server di provider americani dislocati in California e a Washington. Il sequestro non impediva l'accesso ai contenuti dei siti sotto inchiesta: dalla copia cache di Google è infatti ancora possibile visualizzare le home page dei siti. I confini nazionali, che nella giurisdizione statale sono delimitati in modo preciso, in Rete diventano decisamente più sfumati, il controllo dei flussi comunicativi in una rete basata sulla commutazione di pacchetto è qualcosa di molto complesso e talvolta ineffabile.10 Il problema della censura dei contenuti su Internet, oltre che ai provvedimenti legislativi e ai software adibiti a filtrare, è legato anche ai motori di ricerca che indicizzano l’informazione contenuta in Rete. Indubbiamente i limiti dei motori nello scegliere quale parte del web scandagliare per arricchire i propri database, ma specialmente i criteri impiegati nel presentare i risultati della ricerca come risposta ad una precisa 8 Misurare il livello della repressione in Rete è possibile attraverso la query “sito sottoposto a sequestro” su qualunque motore di ricerca. Se un sito non risulta più pubblicato è possibile digitare le proprie richieste sul sito www.alltheweb.com , considerando il fatto che esiste l’opzione copia cache di www.google.com o di web.archive.org che è in grado di ricostruire in certi casi il sito censurato. Oppure, sul sito http://www.autistici.org/freenet.php si è costituita Freenet che si presenta come un meccanismo di file sharing, ovvero un protocollo per scambiarsi files. Freenet e' una rete priva di nodi centrali, e strutturata in modo da rendere alquanto complicato il tracciamento delle connessioni al suo interno. Freenet e' una rete anticensura basta su due principi: l'anonimato e la decentralizzazione. 9 “Sequestrati cinque siti italiani”, http://punto-informatico.it/p.asp?i=40880 10 Il fenomeno del peer 2 peer è sintomatico. Secondo una ricerca commissionata da Microsoft la battaglia da parte dell’industria musicale, contro lo scambio peer 2 peer di file musicali è ormai perduta e gli sforzi per contrastare questo scambio sono essenzialmente una perdita di tempo e di denaro. 6 query da parte dell’utente, rappresentano il collo di bottiglia più significativo nell’avvicinamento all’informazione presente in Rete.11 Secondo uno studio del NEC Research Institute di Princeton12, la percentuale di siti indicizzata dai motori di ricerca sta diminuendo rapidamente: difatti, nella composizione di una determinata graduatoria, i motori creano i risultati della propria ricerca e scelgono la priorità delle pagine web proprio in base al numero di link dedicati a un sito, tendendo così a concentrare l’interesse degli utenti su un numero sempre più circoscritto di siti.13 Considerando quindi che l’80% di utenti web entra in rete attraverso i motori di ricerca, difficilmente i siti che nessuno segnala potranno essere rintracciati da uno di essi.14 La probabilità che una determinata pagina venga trovata, quindi, aumenta con il numero di link che conducono ad essa stessa. Per contro, i siti che non arrivano in cima al top-ranking è quasi come se non esistessero ed emergono con grandi difficoltà. Dunque, i motori di ricerca, per limiti tecnologici, censurano inconsapevolemente l’informazione in rete. Eppure i motori possono rappresentare una forma di censura dell’informazione in rete, non solo a causa di ostacoli tecnologici, ma soprattutto per scelte redazionali. America Online, il più importante provider Internet al mondo, Msn, il portale di Microsoft e Yahoo!, uno dei portali più visitati della rete, tre siti che insieme rappresentano quasi la metà del traffico web statunitense, si sono accordati per adottare un sistema di classificazione dei contenuti che dovrebbe offrire agli utenti la possibilità di scartare quei siti che contengono materiale osceno, violento o di dubbio gusto. 11 Parrini, Claudio, I motori di ricerca nel caos della rete. Kit di sopravvivenza tecnicoesistenziale, Milano, 2001, Shake. 12 Hindmany, M.; Tsioutsiouliklisz, K., Johnsonx, J.A., “Googlearchy”: How a Few HeavilyLinked Sites Dominate Politics on the Web, July 28, 2003. 13 Gli spider (o crawler) di molti motori di ricerca (quasi tutti ormai) sono programmi automatici che ogni giorno visitano migliaia e migliaia di pagine registrate e ne estraggono le informazioni necessarie per costruire gli archivi su cui poi il search engine effettuerà le ricerche. Ogni motore segue propri algoritmi per cui una stessa pagina web può essere captata in modi diversi. vagano per il web e memorizzano ogni pagina visitata, indicizzandola in relazione alla parole contenute. 14 . Secondo Gary Flake, uno scienziato dei labs di NEC a Princeton, è ora a disposizione un nuovo algoritmo di ricerca capace di lavorare in modo del tutto nuovo: http://webselforganization.com/ 7 Il sistema di Web-rating, questo il nome del software sviluppato dall'Internet Content Rating Association (ICRA), è uno standard compatibile con Internet Explorer e i sistemi operativi Windows. Tramite un download gratuito, gli utenti possono aggiornare i loro sistemi operativi e, configurando opportunamente il loro browser, selezionare i contenuti di quei siti Web aderenti all'iniziativa.15 Al problema della censura più o meno inconsapevole da parte dei motori di ricerca è strettamente legata la questione della responsabilità su ciò che è immesso e comunicato in rete. I fornitori di servizi telematici, gli ISP, sono stati al centro di una disputa legale: dovrebbero essere considerati come degli editori e quindi responsabili a tutti gli effetti di ciò che diffondono, oppure come banca dati, ossia bibliotecari, edicolanti – con la semplice funzione di depositari di materiali sui cui contenuti non hanno né possono avere completa conoscenza? Dal momento che i messaggi transitano sulla rete in modo principalmente automatico, non ci sarebbe alcuna possibilità di controllo e censura preventiva, pertanto chiedere ai gestori di diventarne responsabili significherebbe rallentare la loro attività con immediate ripercussioni economiche sul mercato della comunicazione online. Invece, per quanto riguarda i motori di ricerca, pur essendo assimilabili, da un punto di vista squisitamente ontologico, a dei fornitori di servizi, in quanto diffondono le informazioni già presenti nel web e richieste all’uopo dai navigatori, dal punto di vista del funzionamento del servizio sarebbe utile considerare che un motore di ricerca non solo fa riferimento a fonti testuali ed audio/visive come un’opera multimediale, ma svolge il proprio servizio attraverso determinati algoritmi matematici, i quali farebbero ritenere un’attività intellettuale a monte da parte dell’autore del servizio.16 15 “Parte il nuovo superfiltro anti-oscenità”, http://punto-informatico.it/p.asp?i=39536; “Yahoo, MSN e AOL per il Web-bollino”, http://punto-informatico.it/p.asp?i=37733 16 A. Monti - Uno spettro si aggira per l'Europa: la responsabilità del provider, http://www.interlex.it/regole/amonti40.htm 8 2. Comunicazione e sicurezza Indubbiamente l’informazione è considerata un bene dal valore inestimabile e, sia nella vita privata che in quella professionale, riveste un ruolo strategico, rappresentando dunque un patrimonio che può essere custodito e protetto. La diffusione di grandi reti aziendali, l’exploit di Internet presso un ampio pubblico, ed infine l’esigenza di flessibilità e di mobilità legata alla rinnovata organizzazione del lavoro, - la quale fa sì che dati riservati possano momentaneamente essere memorizzati su supporti non sottoposti a controllo, come ad esempio n o t e b o o k o PC casalinghi, con il rischio di esporre considerevoli quantità di dati sensibili alle violazioni - ha costretto imprese e privati a riflettere sulla necessità di proteggere i dati che circolano in Rete, fronteggiando attacchi sporadici o organizzati che creano danni economici e di immagine. Nondimeno, è aumentata la sensibilità verso altri problemi connessi alla sicurezza, quali ad esempio la riservatezza e segretezza dei dati, la loro integrità, fruibilità e disponibilità, e i temi relativi all’identificazione e all’autenticazione. Generalmente, parlando di sistemi informatici, si è portati a limitare il campo d’applicazione a tre categorie: hardware, software e dati, mentre invece si dovrebbero considerare sia alcuni prodotti e servizi, quali i supporti di memorizzazione che possono contenere software e dati, le reti che permettono interconnessione dei vari sistemi e consentono lo scambio di informazioni, l’accessibilità ossia la possibilità data agli utenti di utilizzare il bene stesso, sia alcune figure chiave, quali ad esempio un competente amministratore di sistema o un operatore specializzato nell’uso di un determinato programma. Di solito, nel settore della sicurezza informatica, si usa il termine cybernetic warfare per indicare il processo di protezione di un patrimonio informativo a rischio: in tal caso è opportuno parlare di processo, in quanto si raggiunge un valido livello di sicurezza solo attraverso la creazione di un giusto equilibrio tra tecnologie impiegate, politiche di sicurezza e educazione degli utenti ai sistemi informatici. 9 Fondamentalmente sono tre i principi che bisognerebbe seguire in materia di sicurezza: innanzitutto dichiarare un sistema, un approccio o una soluzione definitivamente sicuri significherebbe peccare di superficialità; inoltre la sicurezza totale è un concetto astratto e dunque irraggiungibile; infine non si possono risolvere i problemi di sicurezza esclusivamente attraverso il software17, trascurando la componente umana che riveste invece un ruolo insostituibile.18 Gli obiettivi di un progetto di sicurezza dovrebbero mirare al raggiungimento di determinate caratteristiche che, secondo la definizione ISO, sono sintetizzate nell’acronimo CIA: Confidentiality, Integrity, Availability, ossia riservatezza, integrità e disponibilità. • Riservatezza: il sistema raggiunge gli obiettivi di sicurezza prefissati quando i dati non sono accessibili o interpretabili dai soggetti che non ne hanno il diritto. Nel caso in cui i dati venissero intercettati, la loro lettura dovrebbe essere impossibile od oltremodo complessa. • Integrità: non dovrebbe essere possibile alterare i dati oggetto di una qualsivoglia transazione nell’ambito dei contratti online, dell’e-procurement e di altre manifestazioni di e-business. 17 Tale regola è anche conosciuta anche come Legge di Ranum. Quanto l’alfabetizzazione informatica sia necessaria per un’analisi lucida dei fenomeni legati alla sicurezza ci è mostrato da una tecnica denominata Social Engineering che sfrutta appunto l’inesperienza degli utenti per attacchi e danni di vario genere. Come esempio citiamo la serie di messaggi allarmanti su una presunta attivazione di un malicious code legato al file Sulfnbk.EXE appartenente al sistema Windows. Un fake alert consigliava la cancellazione del file, rimozione che di fatto è stato l’unico vero danno. 18 10 •Disponibilità: sia i dati, sia gli accessi, sia i servizi fruibili per via telematica dovrebbero essere sempre disponibili agli aventi diritto.19 Business to Business. In altri tempi, le violazioni informatiche venivano analizzate talvolta persino come eventi isolati, mentre attualmente si è preso coscienza che ogni attacco è potenzialmente propedeutico ad altri attacchi successivi e causati da persone non legate agli autori della violazione originale. Addirittura la sicurezza non è solo percepita come una necessità, ma è divenuta anche fonte di guadagno e possibilità di business. Tuttavia i bug nella sicurezza delle reti telematiche sono evidenti e lo spam e i virus incontrollati lasciano intendere che nella progettazione e nella realizzazione di piattaforme di sicurezza qualche elemento non abbia funzionato: non solo a livello di espansione della tecnologia in sé, bensì rispetto al relativo processo di commercializzazione: la diffusione della sicurezza e dei prodotti non si è evoluta di pari passo con lo sviluppo della “cultura della sicurezza” tra gli utenti. Tuttavia, occuparsi della sicurezza da un punto di vista pratico richiede grandi competenze personali ed è legato strettamente ad una questione che vede la contrapposizione attualmente in corso tra software di tipo proprietario e open source. Sono due vere e proprie correnti: una parte sostiene che l’azienda e i dipendenti non dovrebbero occuparsi di come funziona un sistema di sicurezza, potendosi appoggiare totalmente ad una struttura che 19 Una delle più ricorrenti violazioni, denominata Connection hijacking o Data spoofing, riguarda principalmente le transazioni, o comunque i flussi di dati point to point, ossia da un computer all’altro. L’attacker si inserisce materialmente nella transazione in corso, simulando di essere un computer che in realtà non è, in modo da ottenere un accesso. Le contromisure si basano essenzialmente sull’uso della crittografia che può essere utilizzata sia per gestire la codifica delle informazioni in transito, sia per l’autenticazione dei poli della transazione. Studiato e giudicato dalla comunità scientifica uno degli strumenti più comodi e sicuri per la tutelare la propria riservatezza, PGP ovvero Pretty Good Privacy, software di crittografia inventato nei primi anni noverata da Phil Zimmermann. Funziona su ogni tipo di PC, è gratuito ed open source. È curioso il fatto che gli algoritmi di crittografia “robusti”, cioè impenetrabili anche dalle risorse di calcolo più avanzate, vengano considerati dall’ITAR (International Traffic in Arms Regulation) alla stregua di armi da guerra e la loro esportazione al di fuori degli Stati Uniti ufficialmente proibita. La digitalizzazione dell’informazione e la natura stessa della rete rendono inutili in effetti tali proibizioni. 11 garantirebbe in tutta onestà il corretto funzionamento. L’altra parte ritiene che nascondere il funzionamento del sistema avvantaggi i veri malintenzionati a danno di chi dovrebbe essere protetto. Senza dubbio, ciò che le aziende desiderano sono soluzioni semplici da gestire, per cui c’è il rischio che, in alcuni casi, venga offerto un prodotto che dà l’impressione di essere una soluzione ritagliata sulle esigenze del cliente, mentre invece viene fornito un prodotto seriale e non configurato adeguatamente, privilegiando la vendita rispetto ai servizi. Il mercato risulta così invaso da soluzioni più o meno complesse, certamente utili, ma talvolta controproducenti se non accompagnate, come già sottolineato, da un’adeguata attenzione al fattore umano. Business to Consumer. Nel corso del 2003, 44 milioni di carte di credito e di bancomat, 700mila terminali POS e 35mila sportelli ATM delle banche italiane sono passate dalla banda magnetica al microchip. Il chip consentirà molte nuove operazioni, come i micro-pagamenti per i parcheggi e i trasporti o l’acquisto delle prestazioni presso gli uffici pubblici. Tuttavia la tutela dei dati personali rimane ad oggi uno dei principali motivi di freno all'acquisto online. Le principali preoccupazioni riguardano la sicurezza dei pagamenti, la natura impersonale dei contatti che avvengono via Internet, la difficoltà di modificare le decisioni precedentemente assunte, e la scarsa fiducia nella controparte che si trova all’altro capo della Rete. La carta di credito, che rimane un bene poco diffuso in Italia, rispetto alla media europea e soprattutto rispetto agli Stati Uniti, rappresenterebbe l'elemento necessario per uno sviluppo rapido e internazionale del commercio elettronico, rivelandosi essenziale nel 98,5 per cento delle transazioni di pagamento che avvengono via Internet.20 Ma, secondo le stime del CERT (Computer Emergency Response Team), il tipo di attacco noto con il nome di Cross-Site Scripting (CSS) sembra 20 Uno studio evidenzia che la quantità di frodi, realizzate on-line con dati sottratti o clonati dalle carte di credito, ai danni di chi le rilascia e/o degli intestatari, sono pari a quelle che avvengono fuori dalla rete. Il rapporto è stato presentato il 26 novembre 2001 dall'Osservatorio permanente sull'Usura e la Criminalità alla Camera di Commercio a Milano. Tale studio si intitola "Le frodi con le carte di credito, rischi e limiti del commercio elettronico". 12 confermarsi una delle insidie più temibili per lo sviluppo del commercio elettronico, non risparmiando siti affermati e con un numero notevole di accessi, tra cui AOL, Ebay, MSN, Excite e Lycos ed ultimamente Cisco, Oracle e Hotmail.21 Sempre secondo il CERT, i siti Web considerano questo aspetto di minore importanza, tuttavia per gli utenti si tratta di un problema di sicurezza e di privacy piuttosto ragguardevole. Difatti i CSS generalmente non mettono a repentaglio la sicurezza dei server su cui è ospitato il sito, quanto quella degli utenti che li visitano: il pericolo più rilevante è che un attacker possa sfruttare un bug per entrare in possesso delle informazioni con cui i navigatori accedono alle parti riservate dei siti, individuando le password, i numeri di carte di credito, cookies ed altri dati sensibili. 22 Senza dubbio, il bisogno di privacy degli utenti apre prospettive interessanti non solo a tutti i fornitori di strumenti gestionali per la sicurezza, ma anche a quei soggetti che agiscano da intermediari di fiducia nelle transazioni online. Chiaramente, le aziende che puntano sul commercio elettronico hanno interesse a raccogliere il maggior numero possibile di notizie sui potenziali clienti. Ma questi ultimi hanno l'interesse opposto: difendere la propria privacy e riuscire ad orizzontarsi nella marea di informazioni che circola online. Prendiamo il caso di Amazon.com, la libreria telematica più grande del mondo. A cosa deve il suo successo Amazon? Prima di tutto all'avere costruito intorno al sito una comunità di lettori che hanno acquisito fiducia nel servizio: chiunque può scrivere una recensione su un libro, può ricevere sulla propria 21 Cfr. il primo avviso di sicurezza del CERT (www.cert.org/advisories/CA-2000-02.html), e il nuovo documento pubblicato a due anni di distanza (www.isalliance.org/resources/papers/cross_site_scripting.pdf) in cui è descritto il problema. 22 Secondo quanto riportato dal CERT, gli attacchi di tipo CSS sfrutterebbero la possibilità di inviare codice malizioso verso un utente attraverso un sito Web insospettabile. Questo tipo di attacco viene spesso perpetrato inducendo gli utenti a cliccare sul link di una e-mail o di una pagina Web appositamente preparate. L’esperto di sicurezza Dave de Vitry sul proprio sito mantiene una lista (www.devitry.com/holes.html) aggiornata dei siti più celebri vulnerabili al CSS. De Vitry suggerisce agli utenti del Web di disabilitare JavaScript e tenerlo disattivato. Ma, secondo il CERT, questa precauzione non protegge gli utenti da tutti gli altri tipi di script e invalida notevolmente la corretta visualizzazione di molte pagine Web. 13 casella di posta elettronica notizie sulle novità di proprio interesse o sugli sconti praticati dalla libreria. L'obiettivo è far sentire i visitatori a proprio agio perché facciano acquisti, fornendo inoltre ogni informazione personale possibile. Di contro, le indagini di mercato dicono che gli utenti vogliono conservare un completo controllo sulle informazioni che li riguardano. Così nascono le contromisure messe in atto dalle organizzazioni dei consumatori per proteggere i loro clienti: gli anonymizer23 software per navigare in rete restando anonimi; i soppressori di cookies per evitare che i siti commerciali spiino nel nostro hard disk; i filtri per cancellare dalle caselle di posta, in modo automatico, la posta spazzatura; i programmi per fare acquisti in rete restando anonimi; programmi indipendenti; proxy server; smart card che consentano di pagare in moneta elettronica senza dover necessariamente rivelare il numero della carta di credito. L'obiettivo è fare in modo che l’utente navighi e paghi senza lasciare traccia di sé. Per mediare le opposte esigenze di consumatori e produttori, sono nate in rete nuove figure di intermediazione: gli infomediari, definiti da Microsoft cybermediari, destinati a diventare “i custodi, gli agenti, i broker delle informazioni sugli utenti”.24 Tali nuove figure di intermediari garantirebbero ai consumatori che le informazioni su di loro verrebbero usate soltanto a loro vantaggio, e non diffuse indiscriminatamente a chiunque le richieda. Tuttavia, proprio rispetto al nuovo software di Microsoft, .NET Passport, programma che raccoglie dati personali degli utenti della Rete, pur dichiarandosi consapevoli dell’espansione di servizi di autenticazione online e 23 NAVIGAZIONE ANONIMA E’ possibile navigare in Rete senza essere sorvegliati? No, non del tutto; però è possibile muoversi per Internet di soppiatto. Alcune tecniche sono già in possesso dei singoli utenti, mentre altre sono state messe a punto dalle imprese, sempre più numerose, che offrono prodotti a tutela della privacy. Anonymizer.com è stato uno dei primi, ma oggi ci sono letteralmente centinaia di quelli che vengono definiti “servizi di reindirizzamento” (remailers). Questi servizi provvedono ad eliminare tutte le informazioni identificative (nome, indirizzo di posta elettronica) dai messaggi e-mail prima di inviarli a destinazione. L’Electronic Privacy Information Center (EPIC – www.epic.org) gestisce un elenco di remailer affidabili, e se si sfruttano i link presenti sul loro sito Web (privacy tools) si ottengono utili dritte. Ci sono anche programmi di cifratura, come quello della Zero-Knowledge Systems. 24 “Se non ti fidi dell'e-commerce oggi hai un amico: l'infomediario” di (E. Pedemonte) http://www.fub.it/telema/TELEMA18/Pedemo18.html 14 dell’importanza di meccanismi di autenticazione sicuri e in grado di garantire l’integrità di alcune operazioni elettroniche (in particolare quelle che comportano pagamenti online), i Garanti europei per la privacy hanno svolto approfondimenti, dal momento che attualmente il servizio .NET Passport costituisce l’iniziativa più importante in questo settore, e la messa a punto di tali servizi deve rispettare i principi fondamentali della protezione dati.25 3. Privacy e Permission marketing La digitalizzazione delle informazioni, pur offrendo ai consumatori innovative possibilità di comunicazione, rappresenta altresì l’occasione di svariati rischi di violazione dei dati personali e della vita privata. Invero, la privacy dei dati personali viene recepita dall’utente come un bene personale da difendere e gestire, un diritto fondamentale basato sulla richiesta della massima garanzia di riservatezza sulle informazioni fornite. Dal 31 luglio 2002 è entrata in vigore la Direttiva n. 2002/58/CE del Parlamento Europeo inerente alla tutela della privacy nell’ambito del settore delle comunicazioni elettroniche.26 In essa vengono affrontati temi importanti, quali la raccolta dei dati personali, il loro trattamento, l'invio non richiesto di messaggi pubblicitari indesiderati - ossia lo spamming tramite e-mail e SMS/MMS - la gestione dei cookies ed il software spyware. La necessità di adeguare la vecchia direttiva 97/66/CE è nata dallo sviluppo della tecnologia nel mercato dei servizi di comunicazione elettronica, ma anche in conseguenza di alcuni eccezionali exploit di virus nei sistemi informatici, del pesante bombardamento di spam, ovvero messaggi spazzatura e pubblicità indesiderata nelle caselle di posta elettronica e su terminale 25 Dopo una prima analisi, in un documento approvato il 2 luglio 2002, le Autorità per la protezione dei dati personali dell’UE, hanno ritenuto che, per quanto Microsoft abbia messo in atto alcune misure finalizzate a tenere conto della protezione dei dati, vari elementi del sistema .NET Passport sollevano interrogativi di ordine giuridico e necessitano, pertanto, di ulteriori valutazioni. In particolare, i Garanti intendono approfondire alcune questioni riguardo: alle informazioni fornite agli interessati al momento della raccolta o del trattamento ulteriore dei dati o del loro trasferimento a soggetti terzi, eventualmente situati in un Paese terzo; al valore e alle caratteristiche del consenso prestato dall’interessato a tali operazioni; alle norme di protezione dati applicate dai siti Web affiliati a .NET Passport; alla necessità e ai requisiti applicabili all’impiego di un identificatore unico; alla proporzionalità e alla qualità dei dati raccolti e conservati da .NET Passport e successivamente trasmessi ai siti affiliati; all’esercizio dei diritti riconosciuti agli interessati; ai rischi per la sicurezza associati a tali operazioni. 26 Direttiva n. 2002/58/CE del Parlamento Europeo e del Consiglio relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche, http://www.iusreporter.it/Testi/direttiva2002-58-ce.htm 15 mobile. La Direttiva europea si occupa anche del fenomeno degli spyware, programmi spia che si installano unitamente ad alcune utility freeware e shareware, inviando ad insaputa dell'utente informazioni sulla sua navigazione ad appositi centri di raccolta dati. La nuova normativa imporrà alle aziende apprezzabili cambiamenti: i messaggi promozionali potranno essere inviati solamente in modalità opt-in, ossia dietro chiara approvazione del destinatario, provvedimento che sancisce un importante diritto per l'utente, limitando in parte il campo d'azione delle agenzie di advertising e degli operatori nel commercio elettronico. La normativa europea è intervenuta a confermare le scelte già operate dal legislatore italiano in merito alla privacy: invio di e-mail commerciali e pubblicitarie solo agli utenti che abbiano espresso il proprio consenso e divieto di inviare messaggi di posta elettronica, a scopo di direct marketing, omettendo o camuffando l’identità del mittente o senza l’indicazione di un indirizzo valido, cui il destinatario possa inviare un’eventuale richiesta di cessazione. Nello specifico, in Italia, risale alla all’estate 2003 il primo intervento del Garante contro la pratica di inviare a mezzo e-mail informazioni pubblicitarie e commerciali indesiderate utilizzando indirizzi di posta elettronica senza il consenso degli interessati. L’Autorità aveva provveduto a disporre nei confronti di sette società, operanti in Internet, il blocco del trattamento dei dati personali contenuti nei loro data-base. Secondo il Garante, le società avevano violato le norme sulla privacy, utilizzando in modo illecito, ossia senza il consenso informato degli interessati, i loro indirizzi e-mail e altri dati per inviare comunicazioni di tipo commerciale o promozionale. Le società avevano dichiarato di aver attinto gli indirizzi e-mail in Internet da elenchi ritenuti per errore pubblici e liberamente utilizzabili, oppure di aver creato ex-novo delle liste attraverso l’uso di software che consentono di raccogliere gli indirizzi e-mail in rete attraverso procedure random, ossia attraverso modalità di ricerca automatizzata. È importante notare che, in nessun caso analizzato le società avevano acquisito preventivamente dai destinatari delle e-mail il consenso previsto, né li avevano informati sull’uso dei 16 dati e sui diritti che la legge italiana del n°675/96 sulla privacy riconosce, in particolare il diritto di opporsi all’uso delle informazioni personali per fini di informazione commerciale. Dunque, se prestare attenzione alle esigenze di riservatezza dei consumatori è fondamentale, limitare lo s p a m di messaggi e-mail è indispensabile anche per assicurare l’efficienza dei servizi di posta elettronica, dal momento che gli elevati volumi di traffico generano cattivi funzionamenti e conseguentemente alti costi di gestione per i fornitori di servizi, gli ISP, Internet Service Providers, che si trovano costretti a limitare sempre più lo spazio di memoria destinata all’archiviazione dei messaggi e ad istallare filtri anti-spam ed anti-virus. Inoltre, i maggiori costi di gestione non sono la causa principale - la quale rimane attualmente il crollo degli investimenti pubblicitari - ma sicuramente rappresentano un ulteriore motivo che giustifica il fenomeno di un progressivo ritorno ai servizi a pagamento su Internet. Indicizzazione e posizionamento su motori di ricerca, perfezionamento della usability del sito web, gestione delle partnership online e delle comunità virtuali, Online Advertising, e-Mail Management e TV Digitale: sono alcune delle strategie a cui le aziende guardano per attirare nuovi clienti e costruire un'immagine credibile. Tuttavia l’azione strategica principale rimane la cura della relazione con l'utente/cliente, e la coltivazione di un rapporto basato sulla fiducia. In futuro, il mercato arriverà ad essere sempre più orientato al singolo, dal momento che il commercio si baserà sempre più sulla personalizzazione dei servizi e dei prodotti. In tale scenario la comunicazione dovrà quindi potersi adattare agli interessi di ogni consumatore. Diventa essenziale chiedersi che senso abbia, in un contesto che pone al centro del mercato il consumatore, infastidirlo con messaggi non richiesti. Da alcuni anni, ha iniziato a farsi strada un altro modo di pensare il rapporto tra l’operatore di pubblicità ed il potenziale cliente: tale concezione, 17 definita Permission marketing, o marketing basato sul consenso, si serve della comunicazione interattiva, basata sulle nuove tecnologie, per rispettare l’esigenza di privacy da parte dell’utente nella diffusione dei dati personali. Il testo ormai divenuto di culto, in cui è esposta tale teoria, si intitola Permission marketing. Trasformare gli estranei in amici e gli amici in clienti, di Seth Godin, esperto di direct marketing, il quale, nel volume, sottolinea quanto sia importante per gli operatori della pubblicità ripensare la leva promozionale del marketing mix, instaurando un dialogo con il consumatore. Seth Godin sottolinea che per troppi anni gli uomini di marketing hanno parlato ai consumatori, mentre attualmente la tecnologia permette di parlare con i consumatori. Bisogna prendere atto che l’interruption marketing, cioè il tentativo di catturare l'attenzione con una comunicazione invasiva, ha superato il livello di saturazione ed è sempre meno efficace; bisogna d’altronde riconoscere che avviare un dialogo con i propri potenziali e/o attuali clienti è fonte di vantaggio competitivo. Il processo di conquista della fiducia del consumatore potrebbe richiedere tempo, tuttavia i dati sull’utilizzo di tale metodo sono convincenti: per il direct e-mailing basato su liste permission-based, cioè costituite selezionando esclusivamente coloro che hanno dato il permesso di essere contattati, il response rate, ossia la percentuale di risposte positive alle offerte, spesso supera il 20%. Pertanto una volta stabilito un rapporto fiduciario tra utente ed azienda, una pubblicità autorizzata renderebbe il messaggio maggiormente efficace, rispetto a quella che sarebbe una voce nel coro di messaggi inviati in modalità opt-out, ossia senza il consenso preventivo del destinatario. 18 4. Conclusioni Nelle società democratiche, la tensione verso il raggiungimento di un elevato livello di sicurezza non dovrebbe necessariamente comprimere gli spazi di civiltà raggiunti, né svilire il rispetto per valori ormai consolidati, quali la libertà di espressione, la circolazione delle informazioni, la riservatezza delle comunicazioni, la tutela della privacy. Indubbiamente il dualismo privacy/sicurezza è divenuto oggetto di un acceso dibattito a vari livelli, soprattutto dopo gli eventi dell’11 settembre. Mantenere un corretto equilibrio tra il bisogno di mantenere la sicurezza e la necessità di proteggere la privacy è attualmente una questione di rilevanza non indifferente. Dal momento che non è possibile, né ragionevole arrestare lo sviluppo della tecnologia, e di conseguenza la messa a punto di strumenti sempre più raffinati per il controllo e la raccolta di informazioni, una possibile soluzione consisterebbe nel garantire, sia a coloro che controllano, sia a coloro che sono controllati, un accesso paritario alle informazioni, o, almeno, a buona parte dei dati disponibili. Invero, sarebbe auspicabile una sorta di contro-sorveglianza, attraverso adeguati strumenti giuridici, come ad esempio la legge sull’accesso alle informazioni pubbliche, Freedom of Information Act, che agisca come un deterrente nei confronti di possibili abusi. In questo panorama, l’educazione degli utenti della Rete assume un ruolo cruciale. Il problema della censura, della privacy e della sicurezza non rappresenta un tema di esclusiva competenza delle aziende. Per quanto riguarda ogni singolo individuo, non si tratta di trovare mere soluzioni tecniche, bensì di assumere determinati comportamenti personali: oltre che mirare all’addestramento tecnologico e all’alfabetizzazione informatica, è fondamentale attuare una presa di coscienza delle proprie responsabilità e del proprio diritto alla sicurezza e alla privacy, senza limitare la propria e altrui libertà di espressione, di comunicazione e di informazione. 19 Bibliografia online Ok della Corte Suprema ai filtri internet http://punto-informatico.it/p.asp?i=44570 Impossibile creare software filtro per il Net http://punto-informatico.it/p.asp?i=40390 Random048/ Filtri e Tabù http://punto-informatico.it/p.asp?i=39698 Random029/ Immagini proibite a scuola http://punto-informatico.it/p.asp?i=34596 Filtri web davanti alla Corte Suprema http://punto-informatico.it/p.asp?i=42133 Chi ha paura della Rete? http://punto-informatico.it/p.asp?i=41186 Parte il nuovo superfiltro anti-oscenità http://punto-informatico.it/p.asp?i=39536 Yahoo, MSN e AOL per il Web-bollino http://punto-informatico.it/p.asp?i=37733 Study of Average Error Rates for Censorware Programs http://www.peacefire.org/error-rates/ CERT® Advisory CA-2000-02 Malicious HTML Tags Embedded in Client Web Requests http://www.cert.org/advisories/CA-2000-02.html Jason Rafail, CERT® Coordination Center, Cross-Site Scripting Vulnerabilities http://www.isalliance.org/resources/papers/cross_site_scripting.pdf http://www.epic.org/free_speech/censorware/cipa.pdf Localized Google search result exclusions Statement of issues and call for data Jonathan Zittrain and Benjamin Edelman - Berkman Center for Internet & Society, Harvard Law School, http://cyber.law.harvard.edu/filtering/google/ Sequestrati cinque siti italiani http://punto-informatico.it/p.asp?i=40880 20 The ICRA system - a parent's view http://www.icra.org/_en/parents/ Uno spettro si aggira per l'Europa: la responsabilità del provider (di A. Monti) http://www.interlex.it/regole/amonti40.htm Se non ti fidi dell'e-commerce oggi hai un amico: l'infomediario di (E. Pedemonte) http://www.fub.it/telema/TELEMA18/Pedemo18.html Direttiva n. 2002/58/CE del Parlamento Europeo e del Consiglio relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche, http://www.iusreporter.it/Testi/direttiva2002-58-ce.htm Rodotà ferma altri sette spammer http://punto-informatico.it/p.asp?i=45488 Italia, chi spamma rischia il carcere http://punto-informatico.it/p.asp?i=45120 Microsoft ritocca Passport.NET http://punto-informatico.it/p.asp?i=42932 21 Bibliografia off-line - Beninger, James R., Le origini della società dell’informazione, Torino, 1995, UTET; - Bolter, Jay David & Grusin, Richard, Remediation. Understanding new media, MIT Press, Cambridge (Mass.); trad. it. Remediation. Competizione e integrazione tra media vecchi e nuovi, prefazione e cura di A. Marinelli, Milano, 2002, Guerini e Associati. - Chiccarelli, Stefano e Monti, Andrea, Spaghetti Hacker, Milano, 1997, Apogeo; - Fidler, Roger, Mediamorfosi, Milano, 2000, Guerini e Associati; - Giustozzi, C., Monti, A., Zimuel, E., Segreti, spie e codici cifrati, Milano, 1999, Apogeo; - Godin, Seth, Permission marketing. Trasformare gli estranei in amici e gli amici in clienti, Milano, 2000, Parole di Cotone. - Himanen, Pekka, L’etica hacker e lo spirito dell’età dell’informazione, 2001, Feltrinelli; - Hindmany, M.; Tsioutsiouliklisz, K., Johnsonx, J.A., “Googlearchy”: How a Few Heavily-Linked Sites Dominate Politics on the Web, Princeton, July 28, 2003, NEC Research Institute - Mandelli, Andreina, Internet marketing, Milano, 1998, McGraw-Hill. - Negroponte, Nicholas, Essere digitali, Feltrinelli; - Nielsen, Jacob, Web Usability, Milano, 2000, Apogeo. - Parrini, Claudio, I motori di ricerca nel caos della rete. Kit di sopravvivenza tecnico-esistenziale, Milano, 2001, Shake; - Pedemonte, Enrico, Personal media, Torino, 1998, Bollati Boringhieri; - Rifkin, Jeremy, L’era dell’accesso. La rivoluzione della new economy, Milano, 2001, Mondatori. 22 Indice 1 Capitolo 1. La censura in Rete 9 Capitolo 2. Comunicazione e sicurezza 15 Capitolo 3. Privacy e Permission marketing 19 Capitolo 4. Conclusioni 20 Bibliografia online 22 Bibliografia off-line 23 Indice 23