Prosegue la collaborazione editoriale tra Medialaws e il network online Key4biz, diretto da Raffaele Barberio. Questa settimana ripubblichiamo un articolo di Alessandra Talarico che spiega l’evoluzione registrata nel contesto statunitense rispetto alle proposte di legge mirate alla tutela del copyright in relazione ai problemi in materia di protezione della privacy.
Se approvata, la legge modificherebbe il National Security Act del 1947 per permettere al Governo di ottenere i dati degli utenti dai fornitori dei servizi internet o dai gestori dei siti web, se le informazioni fossero considerate una minaccia
Pochi mesi dopo le feroci polemiche che hanno portato il Governo Usa a ‘sospendere’ la ratifica delle due controverse leggi SOPA e PIPA – contro cui si erano schierati molti politici sia repubblicani che democratici e diverse tra le più importanti web company – un’altra legge sta scatenando le proteste dell’opinione pubblica e sollevando nuovamente timori per la privacy dei cittadini Usa.
Si tratta del Cyber Intelligence Sharing and Protection Act (CISPA) e stavolta il progetto di legge – presentato lo scorso novembre – gode del supporto delle principali aziende del settore hi-tech, da Microsoft a Facebook e IBM.
Sebbene il disegno di legge sia fondamentalmente diverso dal SOPA, lo stesso sta sollevando diversi dubbi.
Se fosse approvata, la legge modificherebbe ilNational Security Act del 1947 per permettere alle agenzie governative di ottenere i dati degli utenti dai fornitori dei servizi internet o dai gestori dei siti web, se queste informazioni fossero considerate unaminaccia alla cyber sicurezza.
Il progetto di legge fornirebbe dunque a ISP e governo uno strumento per condividere le informazioni ‘sensibili’ e combattere le cyber minacce.
Questi dati sensibili che il Governo potrebbe ottenere dagli ISP sono definiti nel testo come“informazioni nelle mani di un elemento della comunità di intelligence direttamente attinenti a una vulnerabilità, o a una minaccia, di un sistema o di una rete di un ente pubblico o privato, comprese le informazioni relative alla protezione di un sistema o di una rete da tentativi di degradare o distruggere; al furto o all’appropriazione indebita di informazioni private o del governo, proprietà intellettuale o dati personali”.
Il CISPA conta attualmente oltre 100 co-sponsor nel Congresso e 28 sostenitori tra le aziende del settore, ma gli attivisti sostengono che il progetto di legge sollevi gli stessi dubbi di SOPA e PIPA.
Le differenze, spiegano gli osservatori, ci sono e sono abbastanza chiare: CISPA permette alle aziende di condividere le informazioni relative a una possibile cyber minaccia col governo, se quest’ultimo ritiene che sia necessario in termini di prevenzione o repressione della criminalità informatica. SOPA dava alla Corte il potere di rimuovere un DNS se il sito ospitava informazioni protette da copyright.
Se, insomma, SOPA riguardava prettamente la proprietà intellettuale, CISPA riguarda la sicurezza.
A differenza di quanto successo con i due progetti di legge precedenti, le web company supportano CISPA perchè questo disegno sposta il problema di disciplinare gli utenti fuori dalla sfera aziendale: SOPA infatti richiedeva alle società internet di tenere traccia delle attività degli utenti e le riteneva responsabili per queste attività. CISPA, invece, trasferisce questa responsabilità su un ente governativo e fa sì che le aziende non siano perseguibili dagli utenti per aver condiviso le loro informazioni.
Motivando il sostegno di Facebook al CISPA, il responsabile Public Policy del social network, Joel Kaplan, ha sottolineato che la norma “rimuove regole onerose che attualmente possono inibire la protezione del cyber spazio e aiuta a fornire una struttura più stabile per la condivisione all’interno della comunità informatica, pur nel rispetto del diritto alla privacy e delle aspettative dei nostri utenti”.
“Attraverso la condivisione tempestiva delle informazioni sulle cyber minacce, sia enti pubblici che privati saranno in grado di combattere in modo più efficace le attività nocive nel cyberspazio e di meglio tutelare i consumatori”, ha aggiunto.
CISPA, insomma, trasferisce l’ingrato e gravoso compito di regolare i contenuti e le attività degli utenti a un ente governativo e questo semplifica di molto iol lavoro delle web company.
Se, ad esempio, un utente Usa posta su Facebook frammenti del codice di un attacco informatico, il Governo può richiedere le informazioni e Facebook, sempre su base volontaria, sarebbe in grado di consegnarle immediatamente. Se Facebook rispondesse no alla richiesta, il Governo dovrebbe trovare un’altra via per ottenere le informazioni.
Mentre SOPA, insomma, cercava di limitare i diritti degli utenti e di punire i siti che permettessero comportamenti illegali, CISPA rappresenta, dal punto di vista delle web company, un’opportunità per condividere le informazioni su un potenziale attacco con un ente governativo che possa adottare le adeguate contromisure.
Non sembra una cosa tanto orribile, ma gli attivisti ritengono che il testo contenga definizioni troppo vaghe che lasciano un margine di interpretazione tanto ampio da potere beatamente violare la privacy degli utenti internet.
Diverse associazioni, dunque, si sono schierate contro il CISPA.
Per la Electronic Freedom Foundation (EFF), il linguaggio vago utilizzato nel testo del CISPA lascerebbe la porta aperta agli abusi.
“Ad esempio – sottolinea l’associazione – secondo la normativa proposta, una società che protegge se stessa o altre società contro le ‘minacce alla sicurezza informatica’ può ‘utilizzare sistemi di sicurezza informatica per identificare e ottenere informazioni atte a proteggere i diritti e la proprietà’ della società in pericolo. Ma dal momento che l’affermazione ‘usare sistemi di sicurezza informatica’ è incredibilmente vaga, potrebbe essere interpretato nel senso di monitoraggio delle email, filtraggio dei contenuti o addirittura del blocco dell’accesso ai siti”.
“Una società che agisse in base a una ‘minaccia informatica’ sarebbe in grado di aggirare tutte le leggi esistenti, comprese le leggi che vietano alle telco il monitoraggio ‘di routine’ delle comunicazioni, purché essa abbia agito in buona fede’”, aggiunge l’associazione.
Riguardo la proprietà intellettuale, continua EFF, “…il linguaggio è così vago che un ISP potrebbe monitorare le comunicazioni degli abbonati per la potenziale violazione della proprietà intellettuale. Un ISP potrebbe anche interpretare questo disegno di legge come un ‘permesso’ per bloccare account privati o l’accesso a siti web come The Pirate Bay o per prendere altre misure consentite sostenendo che sono motivate da problemi di sicurezza informatica”.
Più o meno sulla stessa linea d’onda i commenti del gruppo Demand Progress secondo cui col CISPA si corre il rischio concreto di abolire “ogni residua parvenza di privacy online negli Stati Uniti”, mentre il Center for Democracy and Technology ribadisce il pericolo che la vaghezza del testo possa consentire al Governo di condividere le informazioni “per scopi diversi dalla sicurezza informatica”.