Cosimo Comella
Il rischio informatico non è limitato all'accesso illecito ai dati personali, alla loro perdita o alla loro diffusione accidentale: è soprattutto nelle normali condizioni di esercizio che si celano i maggiori pericoli per la privacy, cioè i cosiddetti trattamenti occulti. Ecco le insidie all'intimità della persona che sono nascoste nelle tecnologie di rete. I gestori di servizi dovrebbero renderle note agli utenti.
La diffusione capillare di internet ha da tempo posto il problema delle
potenziali insidie per la sfera dei diritti e della dignità delle persona insite
nelle tecnologie di rete. A questa sensibilità non è corrisposta finora una
adeguata consapevolezza della natura e della portata dei rischi, che nella
percezione comune vengono spesso ricondotti e limitati a eventi quali la
perdita, il danneggiamento, l'accesso illecito o la diffusione di dati
personali, e perciò assimilati a comuni incidenti, come tali riconducibili alle
categorie dell'imponderabile e dell'improbabile. Questa percezione del rischio
informatico è solo parzialmente vera, perché è nelle condizioni di normale
esercizio, più che nell'eccezionalità dell'incidente o dell'atto illecito
individuale, che si celano i più preoccupanti fenomeni di violazione della
privacy, come quelli derivanti dalla raccolta e dall'elaborazione sistematica di
informazioni personali relative ai visitatori della rete. Queste attività sono
talvolta implicite nelle tecnologie e nei protocolli di comunicazione, ma
vengono comunque svolte all'insaputa della gran parte degli utenti della rete,
ed è corretto definirle a tutti gli effetti trattamenti occulti, prescindendo
dalle finalità non necessariamente maliziose che le caratterizzano.
Il
trattamento occulto dei dati personali è quindi qualcosa di ben diverso
dall'incidente o dal reato informatico, e coinvolge quotidianamente la totalità
dell'utenza Internet.
Prenderemo in considerazione ora le situazioni che più
frequentemente espongono l'utente di servizi Internet a potenziali violazioni
della propria privacy, tralasciando i casi in cui tali violazioni abbiano luogo
per esplicita intenzionalità. Occorrerà distinguere tra le situazioni frutto di
eventi accidentali, che sono comunque oggetto di specifiche previsioni normative
in relazione all'obbligo informativo dei gestori di servizi nei riguardi degli
utenti, e quelle che derivano dalle caratteristiche di funzionamento dei sistemi
software per la gestione dei principali servizi di rete o dagli stessi
protocolli di rete.
Cookies.
I cookies sono stati introdotti da Netscape a metà degli
anni Novanta per realizzare a livello applicativo una nozione di sessione che
l'Http1 inizialmente non
prevedeva. Sebbene il concetto di stato della connessione non sia estraneo ma
sia anzi fondamentale nel funzionamento di protocolli di trasporto come il Tcp2,
l'interazione dei browser con i siti web tramite Http è di tipo stateless,
ovvero senza mantenimento di alcuna informazione di stato, in assenza della
quale viene a mancare la nozione di sessione. L'interazione dei browser con i
server avviene quindi secondo una successione del tipo: connessione del browser
al server; presentazione della richiesta; soddisfacimento della richiesta;
chiusura della connessione.
Questo ciclo può essere reiterato varie volte
anche per l'elaborazione di una sola pagina web, senza alcuna correlazione, a
livello di protocollo Http, tra le sue distinte istanze.
Molte applicazioni
della tecnologia web richiedono invece che le attività degli utenti vengano in
qualche modo correlate per consentire l'elaborazione di operazioni più complesse
su strutture dati articolate, come le transazioni: basti pensare a un catalogo
web per acquisti on line, in cui è necessario realizzare una sorta di carrello
virtuale che raccolga le merci prescelte per l'acquisto, per poi procedere al
pagamento con carta di credito. In assenza di informazioni di stato e di
strumenti alternativi come i cookies l'utente sarebbe costretto a pagare
immediatamente ogni singolo pezzo acquistato, non potendo il server correlare e
associare allo stesso cliente le successive scelte di prodotti.
I cookies consentono quindi al server web di far persistere sul computer
dell'utente una piccola quantità di informazione destinata a identificarlo e a
facilitare le sue successive interazioni con lo stesso o con altri server.
Questa possibilità di tracciamento si presta ad abusi ai danni degli utenti,
poiché consente di analizzare il loro comportamento al fine della cosiddetta
profilazione con scopi, per esempio, pubblicitari.
Sebbene siano stati
dimostrati dei difetti software dei browser più diffusi che consentivano a un
sito web "malizioso" che usava i cookies di ottenere delle informazioni relative
all'utente, un cookie non è tuttavia in grado di acquisire autonomamente
informazioni sull'utente stesso: il contenuto informativo del cookie è frutto
del conferimento di dati da parte dell'utente fatto in modo esplicito, come con
la sottomissione di un form compilato, o in modo implicito, come avviene con le
informazioni scambiate tra browser e server durante la loro interazione.
Inoltre, i principali browser consentono di configurare le modalità di gestione
dei cookies sulla base di preferenze personali, eventualmente rifiutandone la
trasmissione. Rimangono tuttora nell'uso dei cookies delle vistose carenze
relative a: scarsa o nulla informazione che i server web trasmettono volta per
volta sulle finalità del loro uso; difficoltà di navigazione introdotta talvolta
dalla loro mancata accettazione; insicurezza nella trasmissione di dati
rilevanti come le password e i codici di accesso.
La gestione dei cookies
così come di altri aspetti relativi alla privacy è argomento dell'iniziativa del
World wide web consortium (W3C), concretizzatasi nel Platform for privacy
preferences project (P3P)3 che prevede la
possibilità di verifica automatica della corrispondenza tra le preferenze
dell'utente in tema di riservatezza delle informazioni e le caratteristiche
dichiarate, sulla base di un comune protocollo, da parte di un certo sito web4.
Trattamenti impliciti nel web.
Più immediati e gravi rispetto
all'uso dei cookies sono i trattamenti di dati fatti a insaputa dell'utente.
Mentre è già discutibile che alcune informazioni di pertinenza dell'utente
relative a caratteristiche del suo pc, del sistema operativo e altri dati
vengano trasferite al server web, a ogni richiesta da un browser il server
acquisisce necessariamente l'indirizzo Ip o il nome a dominii associato al
computer dell'utente, il numero di porta del protocollo Tcp, l'Uri (Uniform
resource identifier) completo della risorsa che il browser vuole ottenere,
l'orario e lo stato con cui si è conclusa la richiesta. Gli indirizzi Uri
descrivono la collocazione in rete di un documento ai fini del suo reperimento,
e ne consentono almeno potenzialmente una classificazione da cui potrebbero
essere desumibili preferenze, tendenze politiche e altre informazioni del
richiedente.
Questa caratteristica di funzionamento dei server web, unita
alla capacità di mantenere traccia in modo persistente delle stesse
informazioni, consente quanto meno a posteriori di analizzare e arricchire i
profili comportamentali dell'utente della rete. Il potere di elaborazione di
queste informazioni compete ai gestori dei servizi web consultati dall'utente,
fatta salva la possibilità, che vedremo successivamente, di fasi di trattamento
intermedio dei dati dovute all'interposizione di adeguati strumenti software tra
l'utente e le risorse da lui consultate.
Compilazione di Html forms.
Degno di attenzione è anche il fatto che i
dati trasmessi all'atto della compilazione on line di un modulo web (Html forms)
possano entrare a far parte, per esteso, di un Uri, e come tali essere
registrati dal server. Benché il metodo preferenziale di sottomissione del
contenuto degli Html forms sia il cosiddetto Post, si incontrano siti in cui è
ancora usata la modalità Get che produce l'effetto sgradevole qui
descritto.
In altre occasioni alcuni dati di pertinenza dell'utente possono
essere inseriti negli Url e trasmessi "in chiaro" verso il server: è utile a
questo proposito osservare, nel corso dell'utilizzo di un qualsiasi motore di
ricerca, il formato della query visualizzata dal browser al momento della
restituzione dei risultati.
Provenienza delle visite web.
Un'altra insidia per l'utente è
nell'uso da parte dei server della variabile HTTP_REFERER che, se utilizzata dal
browser, consente al server di conoscere l'indirizzo dell'ultima risorsa
acquisita in rete dall'utente. Scopo di questa variabile è consentire la
creazione di backlists e individuare la provenienza dei contatti. Essa permette
però, almeno in via teorica, di effettuare un backtracking del comportamento di
un utente, con possibile ricostruzione di tutto il suo percorso di navigazione,
ostacolata solo dalla distribuzione in rete dei dati sui contatti. Alcuni
browser più avanzati, come Opera5, consentono
tuttavia di disattivare la trasmissione di queste informazioni.
Posta elettronica.
Nel normale esercizio dei servizi di e-mail in
Internet, basati sullo standard Smtp6 e sulle sue
revisioni7, i server
tengono traccia delle informazioni contenute nell'envelope del messaggio
elettronico, che comprende gli indirizzi in chiaro di mittente e destinatario,
visibili anche nel caso in cui la cosiddetta body part del messaggio sia stata
sottoposta a cifratura.
Una più grave violazione della privacy nell'ambito
dei servizi di e-mail avviene nella fase di diagnostica e di gestione delle
condizioni di errore: gli hosts requirements8 e la prassi
d'uso dei principali software prevedono infatti, per default, che in caso di
impossibilità di portare a buon fine la consegna di un messaggio sia trasmessa
al postmaster (persona responsabile degli servizi e-mail) del dominio
interessato una notifica con allegato il messaggio che ha prodotto l'anomalia.
Questo tipo di segnalazione si verifica in corrispondenza a problemi nella
spedizione di un messaggio (errori nell'indirizzo di destinazione, temporanea
indisponibilità del servizio ricevente, spedizione di allegati voluminosi, ecc).
Chi sia incorso almeno una volta in uno di questi problemi sappia quindi che,
con elevata probabilità, il messaggio che ha prodotto l'inconveniente è stato
recapitato con tutti i suoi contenuti ad almeno un soggetto
estraneo.
Peraltro, altre modalità di funzionamento dei servizi basati sullo
standard Smtp si prestano a trattamenti illeciti dei dati personali: si pensi
per esempio all'utilizzo dei mail exchanger hosts secondari sui quali, in caso
di malfunzionamento dei server di posta elettronica deputati alla ricezione dei
messaggi per un certo dominio, vengono dirottati tutti i messaggi diretti alle
destinazioni temporaneamente irraggiungibili. Una volta acquisiti i messaggi,
essi vengono mantenuti accodati in una spool area finché la destinazione
originaria non sia raggiungibile, consentendo anche solo potenzialmente
un'ispezione e un filtraggio del traffico e-mail a soggetti non noti al
mittente. Questa caratteristica di funzionamento dell'Smtp, con la previsione
dei mail exchanger hosts secondari, è talvolta sfruttata in abbinamento ai
cosiddetti "attacchi Dos" (Denial of service), e con l'uso di strumenti diversi
come il Dns (Domain name system), per dirottare le comunicazioni e-mail a scopi
fraudolenti verso destinazioni improprie.
Proxy, caching e controllo del traffico.
In reti di una certa
dimensione si cerca di pervenire a una ottimizzazione dei flussi di
comunicazione, evitando traffico inutile e garantendo efficienza e rapidità. Tra
i sistemi usati a tal fine sono i proxy servers che, ricevendo le richieste di
connessione destinate a siti web esterni, provvedono a contattare il server
remoto al posto del richiedente. Questa modalità di collegamento "per procura"
ha conseguenze positive sulla privacy, poiché tutte le richieste di connessione
a server esterni vengono presentate da un solo sistema con un numero prefissato
di indirizzi Ip, consentendo una certa mimetizzazione del singolo in una massa
indistinta di utenti.
In genere ai proxy è associata una capacità di caching,
ovvero di memorizzazione dei documenti acquisiti, al fine di renderli
immediatamente disponibili in caso di successive richieste, con vantaggi
notevoli in termini di prestazioni. Sotto l'aspetto della privacy, l'uso
congiunto di proxy e cache permette però ai gestori dei servizi non solo di
conoscere gli indirizzi dei siti e dei documenti che, per esempio, i dipendenti
di una certa organizzazione consultano, ma anche di disporre del loro
contenuto.
I proxy trasparenti.
Un'altra modalità di ottimizzazione del
traffico è quella basata sull'uso dei cosiddetti transparent proxy, che
acquisiscono in modo autonomo le richieste del protocollo Http, portandole a
compimento per conto dell'utente interno senza che il suo browser sia
configurato a tal fine (il termine trasparenza ha in informatica una accezione
diversa da quella comunemente attribuitagli, secondo cui al massimo della
trasparenza corrisponde il minimo di consapevolezza dell'utente...).
Questa
caratteristica rende il transparent proxy facilmente utilizzabile dai provider
di connettività Ip per scopi di gestione della banda trasmissiva, lasciando gli
utenti del tutto inconsapevoli di questo stadio intermedio di trattamento dei
loro dati. Le diverse tecniche di proxy e caching, unite alla registrazione su
log files, consentono di ricostruire con elevatissimo grado di dettaglio tutta
l'attività svolta dagli utenti, concentrando in un unico punto una conoscenza
che sarebbe difficile ricostruire ripercorrendo in backtracking la sequenza di
siti visitati e costituendo un formidabile sistema di controllo e ispezione del
traffico sul web la cui efficacia persiste anche nel caso di connessioni
"sicure": il dato di traffico è infatti comunque disponibile, e può costituire
da solo il valore aggiunto dell'informazione.
Il problema dei log files e dei backup.
La registrazione di
eventi, caratteristica dei sistemi informatici per esigenze di diagnostica,
accounting, statistica e analisi del traffico, garantisce la possibilità di
trattamento dei dati acquisiti dai server web, usualmente registrati in log
files, in momenti successivi alla loro acquisizione. Tale trattamento riguarda
anche sistemi diversi dal web come quelli per la gestione della posta
elettronica. La proliferazione e la disseminazione di questi log files
costituiscono una miniera per l'estrazione di informazioni personali e per
l'affinamento dei profili comportamentali dell'utente. Benché siano disponibili
diversi sistemi per garantire un accesso controllato ai log files e la loro
integrità, come i sistemi di logging abbinati a firma digitale o a crittografia,
la loro diffusione e il loro corretto uso sono limitati. Allo stato attuale,
nella generalità dei casi gli utenti di Internet non hanno la possibilità di
controllare cosa venga registrato e chi abbia accesso alle registrazioni. Eppure
la normativa italiana ed europea è apprezzabilmente esplicita riguardo ai dati
di traffico e alle altre informazioni acquisibili o necessarie alla prestazione
di servizi di telecomunicazione, compresi quelli di rete: ogni dato acquisito
durante una qualsiasi comunicazione deve infatti essere cancellato o reso
anonimo al termine della comunicazione stessa o non appena non sia più
necessario all'erogazione del servizio. E' consentita la persistenza di questi
dati solo nel caso in cui essi rivestano una valenza contrattuale e solo per il
periodo di tempo entro cui, negli ordinamenti nazionali degli Stati membri
dell'Ue, tali dati possano essere oggetto di contestazione.
Non vi è poi
alcun motivo tecnico né giuridico che renda necessario procedere
all'indiscriminata tenuta dei log files dei principali servizi di rete.
L'attività di registrazione è però prassi comune per i fornitori di servizi,
essendo utile per documentare il funzionamento e le prestazioni di un certo
servizio.
Nel caso dei servizi di rete resi in ambito lavorativo, non
potendosi applicare l'obbligo di cancellazione o anonimizzazione dei dati che
grava invece sui fornitori o gestori di servizi offerti al pubblico, restano
fermi gli obblighi di informativa, i quali lasciano irrisolto il problema
dell'uso che nei rapporti di lavoro può essere fatto dei dati automaticamente
acquisiti. Un'accorta elaborazione dei log files può portare a realizzare forme
di controllo a distanza dell'attività, del comportamento e delle caratteristiche
della prestazione del lavoratore, esplicitamente vietate nel nostro ordinamento,
in particolare dall'art 4 della legge 300/1970, o Statuto dei lavoratori, che
precocemente poneva il problema del trattamento automatizzato dei dati
personali, seppure nel solo ambito dei rapporti di lavoro.
Un'ultima
osservazione riguarda la ulteriore persistenza dei log files, così come di altre
informazioni aventi il carattere di dato personale, che si realizza con
l'utilizzo dei sistemi di archiviazione off line come i sistemi di backup su
dispositivi magnetici od ottici. Le attività di backup, che sono state concepite
per garantire la protezione dei dati e la loro integrità, in assenza di
attenzione ai profili di privacy e sicurezza dei dati personali possono
ingigantire il volume e l'estensione temporale di tali dati personali raccolti
nell'esercizio di servizi di rete.
L'obbligo di informare sui rischi della rete.
Nel caso dei
trattamenti accidentali, derivanti da condizioni eccezionali o non causati dal
fornitore dei servizi, dovendo essere salvaguardate le capacità di gestione
tecnica, si deve garantire il rilevamento e la gestione di condizioni anomale.
Compete però ai provider l'obbligo di informare gli utenti, ai sensi dell'art 3
comma 1 del dl 171/19989, che dovrebbero
essere messi al corrente delle potenziali compromissioni della privacy e della
riservatezza delle comunicazioni, venendo consigliati sugli accorgimenti da
adottare per limitare i pericoli. In più, il gestore dovrebbe cercare di
limitare a sua volta la quantità di dati acquisibili accidentalmente, per
esempio prevedendo che la diagnostica d'errore dei servizi di e-mail destinata
ai postmaster non includa il contenuto dei messaggi.
Riguardo
all'acquisizione e all'eventuale elaborazione sistematica di informazioni
personali, la legge 675/9610 prevede
l'obbligo del gestore di produrre una corretta informativa agli utenti sulle
modalità di acquisizione e trattamento dei dati, oltre che sulle finalità.
L'obbligo sussiste nel caso dei trattamenti inevitabili derivanti dall'uso dei
protocolli di rete o impliciti nel loro funzionamento. Nel caso di trattamenti
condotti per finalità diverse da quelle di gestione tecnica della rete è
necessario anche acquisire il consenso degli interessati. Per le fattispecie di
trattamento qui delineate gli obblighi informativi appaiono, a una prima
ricognizione, elusi dai principali gestori di servizi Internet. Non vi è traccia
di informativa sui rischi e i trattamenti accidentali nei contratti e nelle
condizioni proposte dai maggiori operatori per l'accesso ai servizi Internet di
connettività o di posta elettronica.
Il cammino per l'affermazione del
diritto alla tutela dei dati personali come diritto fondamentale della persona è
quindi ancora lungo e passa necessariamente attraverso un'opera di informazione
e diffusione che investa gli individui, le aziende, le istituzioni e che
promuova una deontologia dell'uso della rete. A tal proposito si rivela preziosa
l'azione in sede europea del gruppo di lavoro istituito dall'art 29 della
direttiva 95/46/Ce11, che agisce
come organo indipendente di consulenza dell'Unione europea per la protezione dei
dati e della vita privata e che ha prodotto e approvato nel novembre 2000 il
documento di lavoro "Tutela della vita privata su Internet - Un approccio
integrato dell'Ue alla protezione dei dati on line"12, prima
affermazione esplicita del diritto alla riservatezza e alla protezione dei dati
con specifico riferimento a Internet proveniente da un soggetto istituzionale
europeo.
Note
1 Rfc-2616, Hyper text transfer protocol - Http/1.1, giugno 1999.
2 Rfc-793, Transmission control protocol, settembre 1981.
4 Si vedano le raccomandazioni della Electronic frontier foundation in EFF's Top 12 ways to protect your online privacy http://www.eff.org/pub/Privacy/eff_privacy_top_12.html
6 Rfc-821, Simple mail transfer protocol, agosto 1981.
7 Rfc-2821, Simple mail transfer protocol, aprile p2001.
8 Rfc-1123 requirement for Internet hosts - application and support, ottobre 1989.
9 Disposizioni in materia di tutela della vita privata nel settore delle telecomunicazioni, in attuazione della direttiva 97/66/Ce del Parlamento europeo e del Consiglio, e in tema di attività giornalistica, 13 maggio 1998 (Gu n 127 del 3.6.1998).
10 Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali (Suppl. ord. alla Gu n 5 dell'8.01.1997)
11 Direttiva 95/46/Ce del Parlamento europeo e del Consiglio relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, 24 ottobre 1995 (Gu n 281 del 23.11.1995, pagg 31-50).
12 http://europa.eu.int/comm/internal_market/en/media