Cominciano a girare le bozze del Decreto del Fare, che avrebbe “liberalizzato” il wifi, secondo le chiare parole del ministro Zanonato, ma che già sono destinate a far discutere. Un’avvertenza ai lettori, il condizionale è d’obbligo, trattandosi di norme in itinere.

La norma che si occuperebbe del wifi (e non solo) è l’art 10, che, secondo quanto pubblicato da un portale del gruppo Il Sole 24 ore, sarebbe cosi strutturata:

Art. 10: (Liberalizzazione dell’allacciamento dei terminali di comunicazione alle interfacce della rete  pubblica)
1. L’offerta di accesso ad internet è libera e non richiede la identificazione degli utilizzatori. Resta fermo l’obbligo del gestore di garantire la tracciabilità del collegamento (MAC address)
2. La registrazione della traccia delle sessioni, ove non associata all’identità dell’utilizzatore, non costituisce trattamento di dati personali e non richiede adempimenti giuridici. Se l’offerta di accesso ad internet non costituisce l’attività commerciale prevalente del gestore, non trovano applicazione l’articolo 25 del decreto legislativo 1° agosto 2003, n. 259 e l’articolo 7 del decreto legge 27 luglio 2005 , n. 144, convertito in legge 31 luglio 2005, n. 155.

2. Al decreto legislativo 26 ottobre 2010, n. 198 sono apportate le seguenti modificazioni:
a) l’articolo 2 è soppresso;
b) all’articolo 3 il comma 2 è sostituito dal seguente: “2. Il decreto del Ministro delle poste e telecomunicazioni 23 maggio 1992, n. 314 è abrogato”.

Prima constatazione ovvia. La norma non è in alcun modo una interpretazione autentica da parte del governo ma costituisce una abrogazione (ed una sostituzione con altre norme) vera e propria.

Nonostante oggi i commentatori con il vizio di salire sempre sul carro dei “io l’avevo detto”, si affrettino a dire cose opposte rispetto a quelle che hanno detto fino ad un anno fa, il governo, per bocca del ministro Zanonato è stato molto chiaro. Si dispone una norma abrogativa perché le norme sull’identificazione sono in vigore e dunque vi è la necessità di dire con certezza che le norme sono abrogate. Altrimenti non ci sarebbe stato bisogno di una nuova legge.

Ma, andiamo per ordine ed analizziamo le disposizioni “provvisorie”. La norma, secondo la versione che sarebbe oggi disponibile, sostituisce ad un sistema di identificazione “tecnica” e di registrazione di log due principi (stabiliti nei primi due commi dell’art 10 del decreto fare) .

Primo principio: “L’offerta di accesso ad internet è libera e non richiede la identificazione degli utilizzatori. Resta fermo l’obbligo del gestore di garantire la tracciabilità del collegamento (Mac address)”. Questa noma si riferirebbe a tutti (anche agli internet point quindi oltre che al wifi) ed intenderebbe sostituire l’identificazione personale dell’utilizzatore dei sistemi wifi (su cui vi erano sorti dubbi dopo le modifiche della legge Pisanu avvenute nel 2010)  con un sistema di registrazione degli indirizzi mac address, senza più, fra l’altro obblighi amministrativi ( che però erano già stati previsti dalle norme del 2010)

Cos’è il Mac address? Il MAC è un acronimo che significa Media Access Control  ed è un sistema di identificazione di dispostivi anziché di persone. Ad un sistema di identificazione personale, insomma, se ne sostituisce uno basato su un numero in grado di identificare “macchine” e non persone. L’identificazione personale è esclusa nettamente anche dal secondo comma dell’articolo 10: “La registrazione della traccia delle sessioni, ove non associata all’identità dell’utilizzatore, non costituisce trattamento di dati personali e non richiede adempimenti giuridici. Se l’offerta di accesso ad internet non costituisce l’attività commerciale prevalente del gestore, non trovano applicazione l’articolo 25 del decreto legislativo 1° agosto 2003, n. 259 e l’articolo 7 del decreto legge 27 luglio 2005 , n. 144, convertito in legge 31 luglio 2005, n. 155.”

La norma all’apparenza rende più semplice il collegamento dell’utente al wifi e commercialmente più appetibile la vendita di servizi senza fili. Ma questo significa anche che, a meno di effettuare indagini complesse che iniziano dal produttore del dispositivo e risalire ad una catena di eventi impossibili da prevedere, ad es nel caso il dispositivo sia venduto all’estero, oppure a favore di un terzo, oppure il computer o il telefono siano usati, o il computer non sia associato ad una vendita avvenuta con un codice fiscale, il numero Macaddress non potrà identificare a fini di tutela e di repressione di reati nessun soggetto. Prevedo che il prossimo computer (o dispositivo telefonico) verrà comperato (anche per eludere il temibilissimo Serpico, dell’agenzia delle entrate) dalla nonna novantenne o dall’amico senza fissa dimora .

Inoltre, come è agevole verificare anche da una semplice consultazione dell’enciclopedia wikipedia, l’indirizzo Macaddress è semplicemente modificabile con un software. Anzi “Sebbene l’indirizzo MAC sia permanente di natura, esistono alcuni metodi che permettono di modificarlo, operazione che in gergo tecnico viene detta MAC spoofing. La modifica può essere utile per motivi di privacy, ad esempio collegandosi ad una rete Wi-Fi libera, o per motivi di interoperabilità.” In questo modo potrà compiere tutti i reati che voglio senza mai essere identificato.

Vediamo le ulteriori conseguenze del dettato normativo :
1) Pur essendo in linea teorica un indirizzo Macaddress univoco, se il gestore non è in grado di registrare le sessioni (ed associare un nome a quell’indirizzo, come previsto dal secondo comma dell’art 10) ) non potrà mai sapere chi ha fatto cosa e a chi appartiene il dispositivo utilizzato. Ciò significa che le indagini di polizia giudiziaria in casi di reati informatici diverranno di fatto impossibili (o almeno difficilissime).
2) In caso di organizzazioni complesse l’access point che dovrebbe registrare il macaddress non sarà in grado di abbinare univocamente una persona (anzi l’azione è proibita dal secondo comma) al compimento di una certa attività, senza un registro ed una identificazione del soggetto che ha avuto accesso.

Vediamo le ulteriori conseguenze delle nuove disposizioni, sempre il secondo comma dell’art 10 del decreto fare: La norma intende chiarire che i gestori, (ad esempio un pubblico esercizio, un internet point, ma, anche l’Università che mette a disposizione i terminali ai propri studenti), non sono internet service provider né operatori di telecomunicazioni. Va bene, certo.

Ma d’ ora in poi basterà, per un operatore, aprire un esercizio pubblico (ad esempio un gelateria) mettere dieci computer accessibili al pubblico e quella attività non sarà ricompresa tra le attività di offerta al pubblico di servizi di comunicazione elettronica “prevalenti”.

L’operatore suddetto sarà di fatto un soggetto che offre servizi al pubblico “liberalizzati” eludendo allegramente il dettato normativo del codice delle comunicazioni elettroniche, senza peraltro pagare alcun contributo statale per gli apparati, senza versare il contributo come operatori e quindi diminuendo il gettito a beneficio dello Stato.