Che Hadopi si stesse progressivamente trasformando in una figlia rinnegata dal proprio padre non è certo un mistero. Le dichiarazioni rilasciate dal presidente francese Sarkozy, il padre della dottrina che porta il suo nome, fondata sui three strikes che realizzano la c.d. risposte graduée, rivelavano la volontà di ripensare al funzionamento dell’Autorità – considerata ora troppo repressiva – e facevano presagire una possibile riforma dell’attuale strategia di lotta alla pirateria digitale che vede proprio in Hadopi il suo fulcro, nonché il suo tratto distintivo. La risposta graduata, salutata dall’intera industria dell’intrattenimento come la panacea a tutti i mali del file sharing e del direct download e che sembrava destinata ad essere esportata e adottata da molti ordinamenti (anche se piuttosto clamorosa è stata la bocciatura in Nuova Zelanda), pare già aver fatto il suo tempo, almeno nella sua formulazione originaria. Sicuramente gli avvenimenti della scorsa settimana non hanno aiutato Hadopi a uscire da questa situazione di empasse in cui l’ha gettata il suo stesso creatore. Anche volendo mettere da parte per un attimo le parole di Sarkozy, dettate forse più da strategie elettorali (il prossimo anno si terranno le presidenziali) che non da un organico progetto di riforma, è un dato di fatto che Hadopi si è rivelata piuttosto deludente nei risultati e macchinosa nel suo funzionamento (sul punto si rimanda al post del 2 gennaio). Anche la sua incidenza sulle attività di download dei netizen francesi è stata piuttosto debole, non avendo sensibilmente modificato le loro abitudini e il loro utilizzo di piattaforme p2p; al massimo li ha portati a scoprire streaming e direct download! Trident Media Guard (TMG) – l’unica azienda incaricata da Hadopi di monitorare il traffico dati alla ricerca di presunte e possibili violazioni del copyright – ha rivelato negli scorsi giorni una falla macroscopica nel proprio sistema di sicurezza (o non sicurezza, sarebbe più appropriato) e, per quanto al momento sia prematuro trarre conclusioni, è indubbio che abbia assestato un colpo alla già malandata salute dell’Autorità.
Iniziamo però dall’inizio, partendo dalla notizia, apparsa sui giornali lunedì 16 maggio, secondo cui parte delle informazioni raccolte da TMG erano liberamente accessibili su uno dei server dell’azienda. I server, dunque, non sono stati attaccati da non meglio definibili hackers, semplicemente è stata l’azienda stessa ad aver lasciato la porta aperta a qualunque utente, anche all’utente medio che non dispone di approfondite conoscenze informatiche. Gli autori di questo “non attacco” hanno provveduto immediatamente a diffondere queste informazioni in rete. Le informazioni rese accessibili da questa non messa in sicurezza di uno dei server consistevano nei rilevamenti fatti da TMG che permettono di collegare un indirizzo IP con i files illegalmente scaricati tramite reti p2p; in sostanza, dunque, era possibile per qualunque utente sapere quale indirizzo IP, quindi quale pc, stesse scaricando cosa e in che momento. Compito di TMG è proprio quello di collegarsi alle reti p2p al fine di reperire indirizzi IP per conto degli aventi diritto e di trasmetterli poi ad Hadopi che deciderà si dare avvio alla procedura dei tre avvertimenti o meno. Inutile rilevare come questa fuga di dati abbia sollevato preoccupazione da parte sia di Hadopi che della CNIL – Commission Nationale Informatique et Liberté che ha autorizzato TMG a procedere alla raccolta dei dati degli internauti – nonché numerose critiche da tutti quei settori che si oppongono ad Hadopi. Sia l’Autorità che la CNIL hanno subito preso le proprie contromosse; la prima convocando i vertici di TMG per ottenere delucidazione ulteriori sul funzionamento delle loro procedure e sospendendo l’interconnessione dei suoi servizi con TMG, la seconda aprendo ufficialmente un’inchiesta sull’attività dell’azienda. Dal canto suo, TMG si è difesa sostenendo che i dati pubblicati su internet sono stati presi da un server di prova, privo quindi di legame con le informazioni trasmesse ad Hadopi, e aggiungendo che nessun dato personale è stato rivelato.
La debole difesa dell’azienda così come l’estrema superficialità che ha caratterizzato il suo lavoro pone seri dubbi sull’attività dell’Autorità nel prossimo futuro e con essa sulla efficacia della lotta alla pirateria digitale. Al momento, infatti, la sospensione della connessione informatica tra Hadopi e TMG è di quindici giorni (termine massimo per la conservazione dei dati da parte TMG), ma se essa dovesse protrarsi l’intero sistema sarà paralizzato. Inoltre, sul server di prova della TMG non erano solo contenuti i rilevamenti dell’azienda, ma anche una copia del software da essa utilizzato per sorvegliare le reti p2p e per tracciare l’attività degli indirizzi IP, nel quale erano codificati dei falsi profili impiegati dall’azienda su queste reti. La diffusione di questo software in rete spalanca le porte all’elaborazione di programmi in grado di aggirarne il funzionamento, minando così l’efficacia dello stesso nonché di tutta la strategia della risposta graduata.
A momentanea conclusione della vicenda è da segnalarsi poi come il Président-directeur général di TMG abbia sporto denuncia contro i presunti autori del “furto” dei dati dal server di prova dell’azienda. Il punto nodale qui in discussione riguarda il trattamento delle falle di sicurezza e in particolare il se e il come esse devono essere rivelate alle aziende stesse ed eventualmente rese note al grande pubblico a mo’ di case study. La comunità informatica è alquanto divisa al suo interno e due sono gli orientamenti che si contrappongono: l’uno sostiene la pubblicazione integrale dei meccanismi della falla di sicurezza, mentre l’altro una pubblicazione parziale, in attesa della correzione del problema. Secondo TMG, la scoperta della falla e la seguente pubblicazione dei dati dell’azienda è da considerarsi come una vera propria intrusione informatica e dunque un atto di pirateria digitale.
Questa vicenda solleva numerosi problemi sotto il profilo giuridico.
Innanzitutto ritorna prepotentemente in primo piano la questione della privacy dei dati degli utenti. In particolare, non è chiaro chi abbia dato a TMG l’autorizzazione a conservare gli indirizzi IP degli utenti. La CNIL han autorizzato TMG a raccogliere gli indirizzi IP e trasmetterli ad Hadopi, non a conservarli a tempo indeterminato.. Secondo infatti le disposizioni di legge, TMG può conservare i dati raccolti per un tempo massimo di quindi giorni. Inoltre, nonostante le pretese dell’azienda secondo cui la fuga di dati non abbia compromesso alcun dato personale, non è così pacifico che un indirizzo IP non sia rubricabile nella categoria dati personali, questo almeno secondo l’orientamento della CNIL. Ne consegue dunque che, essendo un indirizzo IP un dato personale, esso deve essere sottoposto a particolare protezione, protezione che al momento è assolutamente adeguata e insufficiente.
Secondariamente un problema molto più generale di controllo, sia da parte di Hadopi che della CNIL. Secondo la legge, infatti, TMG deve essere controllata ogni tre mesi. Ma a circa otto mesi dall’entrata in funzione di Hadopi e della risposta graduata (che bisogna però precisare non sono ancora a regime) ancora nessun controllo è stato fatto sull’attività dell’azienda e sui suoi strumenti di scurezza (recte, non sicurezza, visti i fatti). TMG aveva ottenuto dalla CNIL l’autorizzazione per poter procedere alla raccolta degli indirizzi e poi trasmetterli all’Autorità, ma tale autorizzazione era stata rilasciata con riserva. Nel suo rapporto iniziale la CNIL rilevava come il volume dei dati raccolti da TMG – 150 mila al giorno a regime, alcune migliaia attualmente – fosse tale da rendere il lavoro di verifica da parte dell’Autorità troppo complesso e laborioso. A questo punto, di fronte alla conclamata inadeguatezza dell’azienda, è altamente probabile che la CNIL ritiri la propria autorizzazione o che comunque la “congeli”, sottomettendone il rinnovo all’adozione di ulteriori misure di sicurezza.
Da ultimo, la questione del trattamento per coloro che segnalano delle falle informatiche. Sul punto la giurisprudenza francese è piuttosto controversa e incerta, per non dire “fluttuante”. Tradizionalmente i tribunali erano solito non condannare la segnalazione di falle informatiche quando l’internauta agiva in buona fede e quindi allertava l’azienda e la comunità informatica a titolo puramente informativo. Generalmente, l’intrusione ha luogo solo se l’internauta ha dovuto aggirare delle misure di sicurezza e protezione per poter accedere ai dati. In alcuni casi, però, i tribunali considerano vi sia stata una intrusione anche nel caso in cui i dati non siano protetti ma colui che ha scoperto la falla ha comunque utilizzato mezzi non alla portata dell’utente medio. L’orientamento giurisprudenziale secondo cui la segnalazione della falla a titolo puramente informativo non è reato – definita “giurisprudenza Kitetoa” – è stato recentemente messo in discussione dal Tribunale di Parigi (sia in primo che in secondo grado). Nel caso Kitetoa, del 2001, il sito specializzato in sicurezza informatica fu citato in giudizio dal gruppo Tati per aver rivelato che il sito dell’azienda non era sicuro. Dopo una condanna in primo grado, il sito era stato assolto in appello, in quanto, secondo la Corte era «inenvisageable d’instaurer une jurisprudence répressive (…) pour les internautes, certes avisés, mais de bonne foi, qui découvrent les failles de systèmes informatiques manifestement non sécurisés». Il rischio era dunque quello che gli internauti che venissero per caso a conoscenza di falle di sicurezza cessassero di segnalarle per timore di un perseguimento da parte dell’autorità giudiziaria, finendo così per lasciare i siti alla mercé di utenti malintenzionati. La “giurisprudenza Kitetoa” è stata messa in discussione lo scorso anno dal Tribunale di Parigi. Il caso era sostanzialmente analogo: il sito Zataz.com, specializzato anch’esso in sicurezza informatica, verifica, su segnalazione di un internauta, l’esistenza di una falla di sicurezza sul sito dell’azienda Forever Living Products e glielo segnala via mail; l’azienda corregge l’errore e ringrazia il sito; poco dopo, Zatac.com pubblica un articolo descrivendo il problema e viene citato in giudizio dall’azienda stessa con l’accusa di diffamazione e di essersi introdotto illegalmente nei suoi server. Dall’accusa di diffamazione Damien Bancal (gestore del sito) è stato assolto in primo grado in quanto avrebbe agito «de bonne foi»; circa la seconda accusa, è stato condannato in primo e in secondo grado per «trouble manifestement illicite». In poche parole, il Tribunale di Parigi ha giudicato Bancal colpevole di essersi introdotto illegalmente nel server della Forever Living Products; come spiega il suo avvocato: «Le tribunal a considéré qu’il s’agissait de piratage parce qu’il avait utilisé un moteur de recherche spécialisé. Il a bien utilisé un moteur de recherche spécialisé pour accéder à ces données, mais c’est un outil accessible à n’importe quel internaute. Si les données avaient été protégées, jamais il n’y aurait eu accès». Resta dunque da vedere come si comporterà in sul caso TMG il Tribunale di Parigi e a quale dei due orientamenti si conformerà e soprattutto con quali motivazioni.
La telenovela Hadopi si arricchirà sicuramente nei prossimi giorni di un altro episodio, probabilmente destinato, se non ad affossare, almeno ad assestare un colpo molto pesante alla risposta graduata che porterà a un necessario ripensamento – sicuramente prima di quanto lo stesso Sarkozy pensasse – delle modalità di enforcement del diritto d’autore in rete.
