In seguito all’articolo di qualche giorno fa a firma del commissario Agcom Capitanio, ritengo doveroso fare alcune osservazioni a commento.
Innanzitutto, premetto che trovo sconcertante il modo con cui, in questi mesi, si sta approcciando la discussione su di un tema così complesso, e che avrebbe meritato più meditate e più serie riflessioni, viste le implicazioni in tema di libertà digitale e di servizio ai cittadini.
Critiche al Piracy Shield: non sono “fake news”
Decine e decine di esperti tecnici di informatica, di sicurezza, di telecomunicazioni, di privacy e protezione dei dati hanno sollevato, in vari momenti, critiche unanimi e tecnicamente inappuntabili al sistema denominato Piracy Shield, in ogni contesto in cui ciò è stato possibile. Purtroppo, a causa dei tempi e dei modi con cui sono stati adottati i provvedimenti oggetto di discussione, ed in mancanza di occasioni di confronto pubblico con le istituzioni tali critiche sono state per lo più sollevate sulla stampa o sui social media.
A più riprese, in questo articolo ed in passate dichiarazioni, il commissario ed altri membri dell’Autorità (oltre a consulenti a vario titolo e ad altre parti interessate) hanno inteso bollare tali commenti come (cito testualmente dall’articolo a cui rispondo) “una campagna di discredito”, di “anonimi utenti del web”, tesa a screditare una piattaforma che “forse funziona troppo bene”.
Devo ammettere che, di primo acchito, è stata forte la tentazione di chiederti di pubblicare questo mio commento anonimamente come “Lettera Firmata”, ma sono abbastanza abituato a collegare apertamente il mio nome ed il mio volto alle mie opinioni. Così come me, molti colleghi hanno apertamente e chiaramente criticato Piracy Shield. Derubricare il tutto ad “anonimi utenti del web” e a “fake news” pare inopportuno o quantomeno discutibile.
Ciò premesso, vorrei ribadire in modo semplice e chiaro alcuni elementi, riguardo a tre differenti argomenti che ritendo particolarmente importanti: il sistema Piracy Shield nella sua interezza, le problematiche dei blocchi IP, le dichiarazioni pubbliche dell’Autorità e delle considerazioni finali di opportunità.
I problemi del sistema “Piracy Shield“
Piracy Shield è un’idea sbagliata dalle fondamenta, che non può funzionare, e non può che fare danni: questa non è un’opinione, è un dato di fatto tecnologico.
È opportuno cominciare rilevando che Piracy Shield non ha nulla di speciale, avanzato o particolarmente innovativo: si tratta meramente di un semplice quanto brusco sistema di censura a livello nazionale. Il sistema prevede che un certo numero di società private (e di loro dipendenti) possano inserire, a loro totale ed insindacabile discrezione, senza alcuna forma di revisione o di garanzia da parte dell’autorità giudiziaria, un nome di dominio o un indirizzo IP (la norma ovviamente prevede che questi indirizzi siano collegati alla violazione del diritto d’autore, ma questa determinazione è lasciata completamente nella responsabilità di chi inserisce il dato). Fatto questo, la norma obbliga tutti gli ISP italiani a bloccare, entro 30 minuti, da tutto il territorio nazionale, l’accesso a tali risorse, senza concedere a tali ISP alcuna forma di controllo o possibilità di appello immediato (nemmeno in caso di evidenti errori, per dire).
Ora, da molto tempo vengono effettuati (anche se con maggiori garanzie e con più prudenza) blocchi a livello nazionale sui nomi di dominio: esistono ad esempio liste di siti bloccati per il contrasto alla pedopornografia, o per bloccare attività di scommessa online che non ottemperano alle norme relative ai monopoli di Stato. La pericolosa novità di Piracy Shield riguarda, oltre al fatto di essere eseguito con inusitata velocità e senza alcuna forma di controllo preliminare o di garanzia, il fatto di prevedere il blocco di specifici indirizzi IP.
Perché bloccare degli indirizzi IP è una pessima idea
Da almeno un decennio, a più riprese ed in occasione di vari interventi normativi, tutti gli esperti del settore hanno spiegato e rispiegato in ogni sede istituzionale e giudiziaria perché bloccare degli indirizzi IP sia una pessima idea, ma provo a riepilogarlo qui, nella speranza di risultare il più chiaro possibile.
Cos’è (davvero) un indirizzo IP
Per chi ha una conoscenza superficiale dell’informatica e delle reti, su Internet un indirizzo IP corrisponde a “un computer”. Lo spieghiamo spesso così, per semplificare: “è un po’ come se fosse un numero di telefono, che identifica il tuo computer su Internet”. Questa spiegazione un po’ semplicistica permea la norma relativa a Piracy Shield, e permea anche molte delle dichiarazioni in materia.
Purtroppo, la realtà è un po’ diversa, come qualunque esperto di settore non solo avrebbe potuto spiegare, ma come abbiamo spiegato e rispiegato per anni: nella rete Internet dei giorni nostri, un indirizzo IP può corrispondere (e spesso corrisponde) a centinaia di migliaia di server, di tipo completamente diverso tra loro. Ad esempio, esistono una serie di architetture (quelle dei cloud service provider) che utilizzano indirizzi che “ruotano” tra un gran numero dei loro clienti. Cosa ancora più rilevante specificamente per il caso di Piracy Shield, esistono sistemi di cosiddette Content Delivery Network (CDN), ad esempio quelle di Cloudflare o di Akamai (giusto per menzionare i due principali fornitori), che usano indirizzi IP condivisi da migliaia e migliaia di siti. Alcuni fornitori di connettività domestici utilizzano singoli indirizzi IP dietro i quali sono collegate molte centinaia di migliaia di clienti finali. Quasi tutti gli indirizzi IP usati per connessioni “domestiche” sono temporanei, e quindi vengono riassegnati a persone diverse in momenti diversi.
Bloccarne centinaia per colpirne uno: il frutto di una scelta tecnica sbagliata
Questo elenco potrebbe continuare a lungo, anche se spero che gli esempi bastino a chiarire: il concetto fondamentale che pare non essere stato ancora assimilato è che è del tutto inevitabile che “bloccare un indirizzo IP” coinvolga potenzialmente centinaia di migliaia di innocenti, insieme ad un singolo sito ritenuto responsabile della diffusione illecita di contenuti.
Questa cosa è inevitabile, non esiste un modo per evitarla e non esiste un modo “giusto” per praticare questo tipo di blocco: un indirizzo IP non corrisponde né ad un utente, né ad un sito, né ad una specifica attività, a meno di rari (e francamente improbabili) casi episodici. Internet non è fatta così. Nel momento in cui si decide di “bloccare indirizzi IP” questa cosa succederà sempre.
Lo sapevamo da prima che esistesse Piracy Shield, continuiamo da anni a ribadire lo stesso concetto e, nonostante talune dichiarazioni passate sui media, assicuro che non lo stiamo dicendo ora per fare un dispetto: io stesso l’ho spiegato nei tribunali, ai parlamentari e anche a precedenti commissari di AGCOM in passato, perché non è che questa idea sia particolarmente nuova. Come tante pessime idee relative a come normare la Rete, si ripresenta periodicamente.
Quindi, il fatto che siano stati bloccati uno, due, centinaia di migliaia di sistemi innocenti non è “un errore”, ma il risultato inevitabile di una scelta tecnologicamente e giuridicamente sbagliata.
Peraltro, come è ovvio,i distributori di contenuti illeciti non continueranno immobili ad utilizzare IP che sono stati bloccati, ma semplicemente cambieranno indirizzo. Ma per come è stata progettata la norma sottesa a Piracy Shield l’indirizzo bloccato invece rimarrà tale, per un tempo indefinito.
Ovviamente, tale indirizzo prima o poi verrà riassegnato a qualcuno (o a qualche centinaio di migliaia di siti) che si ritrovera(nno) bloccati, per nessun motivo. Di nuovo, non si tratta di un’ipotesi: è già successo nei giorni scorsi ad almeno un utente che ha protestato pubblicamente.
Va detto, a parziale discolpa di chi ha implementato Piracy Shield, che l’idea sbagliata è proprio nella norma, che parla di “blocco… [de]gli indirizzi IP univocamente destinati ad attività illecite”: ma non esistono indirizzi IP univocamente destinati a nulla, tantomeno ad attività illecite. Questa definizione, semplicemente, non ha alcun senso (o meglio, fondamentalmente dice che non va bloccato alcun indirizzo IP, per assurdo). Ma anche supponendo sia una definizione sensata, sarebbe ipso facto evidente che Piracy Shield non implementa correttamente la norma (avendo già bloccato, e continuando a bloccare in futuro, indirizzi e sistemi che non avevano, hanno o avranno nulla di illecito).
Le dichiarazioni pubbliche dell’Autorità
Per questi motivi, che mi paiono non solo solidi ma anche ineludibili, ho detto e continuo a ribadire che l’unico modo per risolvere i problemi collegati a Piracy Shield è semplicemente di spegnerla (almeno nella pericolosa ed insalvabile componente di blocco agli indirizzi IP).
Di fronte a tutte queste osservazioni (che non solo mi sembrano tecnicamente inattaccabili, ma che sono state fatte in totale trasparenza nel passato recente e remoto, sia in sedi istituzionali, che sui giornali, che sui social media, da decine e decine di esperti del settore) la risposta di AGCOM è stata, in primis, financo di negare che gli episodi di blocco erroneo fossero accaduti.
Lo stesso commissario Capitanio infatti dichiarava alla stampa, proprio nell’immediatezza del fatto: “Sono notizie assolutamente fasulle e infondate… dall’avvio della piattaforma nessun titolare di DNS o indirizzo IP ha fatto, come prevede la legge, richiesta ad AGCOM perché gli venisse riabilitato un sito.”
Nell’articolo a cui sto rispondendo, fortunatamente, pare che abbia preso atto che invece questi episodi ci sono stati (anche se li derubrica a “un indirizzo IP”, mentre i casi segnalati sono molteplici).
Purtroppo le buone notizie, in termini di presa d’atto della realtà, finiscono qui: infatti, nel pezzo che sto commentando si stigmatizzano non i problemi, ma piuttosto il rilievo dato alla notizia, incolpando come spesso accade il messaggero. Più gravemente, viene sottolineata la responsabilità del fornitore di servizio che “anche inconsapevolmente” fa transitare dati leciti e non leciti insieme, e che in qualche modo sarebbe la causa del danno ai suoi utenti “legittimi”, per un peccato di omissione. È davvero sorprendente, e deludente, vedere trattata con tanta leggerezza una complessa questione giuridica (quella del livello di responsabilità dei mere conduit sulla rete) su cui si discute da due decenni e l’analisi della quale trascende lo scopo di queste mie note.
Una norma di legge non può cambiare la realtà
Non mi soffermerò neppure sui toni utilizzati nei confronti di uno specifico provider, limitandomi ad essere perplesso nel leggerli in uno scritto di un commissario di un’autorità di garanzia. Mi colpisce, invece, che si ritengano le CDN e i “DSN aperti” (sic, probabilmente si intendeva DNS), cito testualmente, “servizi che rendono più difficile l’individuazione dei siti pirata o che nascondano il luogo da cui si connette l’utente al fine di aggirare i blocchi”, anziché più realisticamente servizi necessari al funzionamento di Internet nel 2024. La norma di legge non può modificare il modo in cui funziona la realtà: possiamo scrivere nella norma che gli asini debbano volare, ma difficilmente questi spiccheranno il volo per semplice dettato normativo. Scrivere regole che non prendono in considerazione il modo in cui funziona, e non può che funzionare, la tecnologia alla base ricorda più le grida di memoria manzoniana che un “vanto” di innovazione tecnologica del Paese.
Viene poi usato, un po’ come straw man, l’incidente della diffusione di alcuni pezzi di codice di Piracy Shield, per affermare che quest’ultima non sia stata “hackerata”, né sia stata realizzata in maniera amatoriale. A parte il fatto che se i pezzi di codice diffusi sono effettivamente parte della piattaforma in oggetto si potrebbero correggere numerosi errori da matita rossa e blu, il problema di Piracy Shield non è come sia stata realizzata. Anche perché si tratta di un banale sistema di ticketing come ne esistono tanti, peraltro non dotato di funzioni particolarmente sofisticate: qualcuno inserisce un IP da bloccare, i provider lo bloccano. Non arriverò a dire che per realizzare questa cosa bastasse condividere un file di testo su un provider di storage in cloud, ma non si tratta di qualcosa di molto più complesso di così. Semmai, il problema tecnologico ed implementativo vero lo hanno sopportato i provider stessi per riuscire ad adempiere a questi blocchi nei tempi previsti sulle proprie ampie e complesse infrastrutture, ma questa discussione trascende gli scopi di queste mie note.
Il problema non è se i pochi pezzi di codice del sistema di ticketing siano ben realizzati o meno, il problema è che Piracy Shield (almeno nella componente di blocco di indirizzi IP) è, fondamentalmente, un’idea sbagliata, e che non esiste un modo “giusto” per implementarla, a parte non farlo.
Considerazioni di opportunità
La mia ultima osservazione forse potrà apparire strana, a prima vista: per ben due volte, nell’articolo che sto commentando, viene vantato il fatto che siano stati “chiusi” ben 3032 indirizzi IP “illegali” in soli due mesi, “un numero mostruoso che meriterebbe titoli ad otto colonne”.
In effetti è vero, però i titoli in questione non sarebbero gratificanti, temo.
Il modo corretto di leggere questo dato è l’esatto opposto di quanto pensato dall’autore: in soli due mesi, questo approccio completamente erroneo ha condotto al blocco permanente di 3032 indirizzi (ormai sicuramente non più usati per attività illegali, se mai lo erano stati in precedenza). Questo non è un vantaggio, non è un titolo di merito ma solo un costo: ogni indirizzo IP bloccato ha il potenziale di creare problemi nel futuro, e danneggia la rete perché gli indirizzi IP sono una risorsa scarsa e già in gran parte esaurita. Cosa ancora più importante, come saprebbe anche uno studente alle prime armi nel mondo della sicurezza, il fatto di dover bloccare un numero mostruoso e crescente di oggetti non è un vanto, ma denota l’inefficacia dell’approccio, che proprio per questo è “un unicum” (negativo) nel panorama mondiale.
L’unico modo per dimostrare l’efficacia del sistema di Piracy Shield (o di qualsiasi altro sistema di tutela del diritto d’autore) sarebbe un’analisi economica, che dimostri significativi effetti positivi sul “mancato fatturato” lamentato dagli operatori di settore. Allo stato non mi risulta che tale analisi esista, e tantomeno che sia stata diffusa (peraltro, in tutti questi anni di dibattito, non mi risulta che siano state effettuate analisi scientificamente valide sull’impatto dei vari meccanismi di protezione del copyright).
Conclusioni
Chiudo con un commento di natura etica, e non tecnica. Le autorità pubbliche devono sentire la pressante la responsabilità di essere al servizio dei cittadini e del Paese, tenendo bene a mente il dettato dell’art. 54 della Costituzione che ricorda, ai “cittadini cui sono affidate funzioni pubbliche”,“il dovere di adempierle con disciplina ed onore”.
Disciplina ed onore richiedono, a mio avviso, che, di fronte a lamentele dei cittadini e ad errori o problemi, le autorità pubbliche in primo luogo non neghino l’evidenza. Richiedono anche che vi sia un dibattito pubblico ed istituzionale in cui si affrontino gli argomenti nel merito, senza ricorrere ad artifici retorici. A mio avviso, le autorità pubbliche non dovrebbero esprimersi a mezzo stampa, quanto a mezzo dei propri atti, ed aprendo confronti in opportune sedi istituzionali.
La responsabilità delle autorità pubbliche, in particolare quelle investite di alte funzioni indipendenti di garanzia, è in primo luogo verso i cittadini e lo Stato, non verso operatori privati di alcun tipo. Ed il primo ruolo di tutti coloro che servono lo Stato è di tutelare le libertà fondamentali dei cittadini, tra le quali quella di comunicare.
La giusta e doverosa tutela della proprietà intellettuale e dei diritti economici di aziende private (lo ribadisco: giusta e doverosa) non può prevalere rispetto alla tutela dei diritti fondamentali dei cittadini. La tutela dei diritti si assicura mediante processi che prevedano il vaglio opportuno della magistratura, ed il giusto punto di equilibrio tra esigenze divergenti non può che essere trovato nel contraddittorio della discussione pubblica, sperabilmente finalmente nelle sedi istituzionali.