Hadopi perde i dati di navigazione degli utenti

di Michele Contartese   E’ di pochi giorni fa la notizia che Hadopi, l’ente francese che ha la funzione di monitorare la Rete per tracciare i download illegali da parte degli utenti del web, ha subito la perdita di dati sensibili dovuta all’incuria dei server e dei sistemi di sicurezza adottati. La conseguenza di tale azione è stata quella di una sospensione coatta delle attività di monitoraggio per consentire il ripristino delle attività con procedure che garantissero la privacy degli utenti e della sicurezza dei dati trattati. La vicenda ha origine con la scoperta di un problema sui server Trident Media Guard (TMG), l’azienda privata che ha il compito di svolgere il monitoraggio per conto dell’agenzia anti-pirateria Hadopi. Il sistema su cui si basa tale monitoraggio è quello dei “tre strikes”, per cui prima viene inviato un avvertimento via mail, poi un’ammonizione via posta ed in caso di recidiva l’espulsione dalla Rete, ovviamente con la collaborazione dell’ISP di riferimento, oltre ad una sanzione pecuniaria. Ma Cosa è accaduto? L’Hadopi ha avuto un problema di sicurezza perché alcuni files sono stati estratti dai server TMG ed hanno portato alla luce indirizzi IP coinvolti nel monitoraggio effettuato dall’azienda, inoltre, parte delle informazioni raccolte da TMG risultavano liberamente accessibili su uno dei server dell’azienda. I server, dunque non sono stati attaccati da hackers, ma l’azienda stessa ha commesso la leggerezza di non predisporre un adeguato sistema di sicurezza e così ha permesso a qualunque utente, anche all’utente che non dispone di approfondite conoscenze informatiche, di poter accedere a dati ed informazioni che dovevano essere protette. Gli utenti che hanno avuto possibilità di accedere a tali informazioni le hanno immediatamente diffuse in rete. Tali informazioni rese accessibili da questa non messa in sicurezza di uno dei server consistevano nei rilevamenti fatti da TMG che permettono di collegare un indirizzo IP con i files illegalmente scaricati tramite reti p2p; era, dunque, possibile per qualunque utente sapere quale indirizzo IP, quindi quale pc stesse scaricando cosa e in che momento. Questa fuga di dati ha sollevato preoccupazione da parte sia di Hadopi che della CNIL – Commission Nationale Informatique et Liberté – che ha autorizzato TMG a procedere alla raccolta dei dati degli internauti, nonché numerose critiche da tutti quei settori che si oppongono ad Hadopi. Sia l’Autorità che la CNIL hanno subito preso le proprie contromisure; la prima convocando i vertici di TMG per ottenere dei chiarimenti in ordine al funzionamento delle loro procedure e sospendendo l’interconnessione dei suoi servizi con TMG, la seconda avviando un’inchiesta sull’attività dell’azienda. TMG si è, comunque, difesa affermando che i dati pubblicati su internet sono stati presi da un server di prova, privo quindi di legame con le informazioni trasmesse ad Hadopi, e aggiungendo che nessun dato personale è stato rivelato. Tuttavia la debole difesa dell’azienda e la superficialità che ha caratterizzato il suo lavoro pongono seri dubbi sull’attività dell’Autorità nel prossimo futuro e con essa sulla efficacia della lotta alla pirateria digitale. Al momento, infatti, la sospensione della connessione informatica tra Hadopi e TMG è di quindici giorni (termine massimo per la conservazione dei dati da parte TMG), ma se essa dovesse protrarsi l’intero sistema sarà paralizzato. Va detto anche che sul server di prova della TMG non vi erano contenuti solo i rilevamenti dell’azienda, ma anche una copia del software da essa utilizzato per sorvegliare le reti p2p e per tracciare l’attività degli indirizzi IP, nel quale erano codificati dei falsi profili impiegati dall’azienda su queste reti. La diffusione di questo software in rete permette l’elaborazione di programmi in grado di aggirarne il funzionamento, minando così l’efficacia dello stesso nonché di tutta la strategia della risposta graduata ( uno dei vanti della politica del Presidente Sarkozy). A seguito di questo imbarazzante evento il Segretario Generale Hadopi, Eric Walter ha deciso che fosse opportuno interrompere ogni attività, così ha deciso di arrestare il monitoraggio degli IP in attesa dei necessari chiarimenti. Tuttavia, la situazione non è ancora del tutto chiara poiché non si conosce la natura degli IP trafugati, né si conosce il livello di sicurezza con cui la Trident Media Guard opera ed archivia il risultato del proprio lavoro. Opportuna è stata, invece, la scelta di interrompere momentaneamente le attività di controllo al fine di rivalutare la situazione e rimettere in piedi il sistema in modo più sicuro. Anche perché l’Hadopi veniva vista dagli altri paesi come un sistema da riprodurre. Il Président-directeur général di TMG a tutela dell’immagine della propria azienda ha sporto denuncia contro i presunti autori del “furto” dei dati dal server di prova dell’azienda. Il problema, infatti, è il trattamento delle falle di sicurezza e, in particolare, il se e il come esse devono essere rivelate alle aziende stesse ed eventualmente rese note al grande pubblico. La comunità informatica è divisa al suo interno e due sono gli orientamenti che si contrappongono: l’uno sostiene la pubblicazione integrale dei meccanismi della falla di sicurezza, mentre l’altro una pubblicazione parziale, in attesa della correzione del problema. TMG, invece, ritiene che la scoperta della falla e la seguente pubblicazione dei dati dell’azienda sia da considerarsi come una vera propria intrusione informatica e, dunque, un atto di pirateria digitale. Questa vicenda solleva numerosi problemi sotto il profilo giuridico. In primo luogo si deve valutare la tutela della privacy degli utenti, in quanto TMG non è autorizzata a conservare gli indirizzi IP degli utenti, poichè CNIL ha autorizzato TMG a raccogliere gli indirizzi IP e a trasmetterli ad Hadopi, non a conservarli a tempo indeterminato. Infatti, alla luce delle disposizioni di legge francesi, TMG può conservare i dati raccolti per un tempo massimo di quindici giorni. In secondo luogo, TMG dovrebbe essere controllata ogni tre mesi, in realtà a distanza di 9 mesi dall’entrata in funzione di Hadopi, non è stato ancora fatto alcun controllo sull’attività dell’azienda Infine, c’è il problema del trattamento per i soggetti che segnalano la presenza di falle informatiche. Su questo punto la giurisprudenza francese non ha trovato una soluzione condivisa. Il problema che si è immediatamente posto è che Hadopi non ha funzionato come si aspettava, ed avendo l’attuale Presidente investito moltissimo su tale ente, trapelano volontà di provvedere a sostanziali modifiche alla Loi création et internet. Vi è anche da dire che il Report delle Nazioni Unite del 2011 è intervenuto in maniera estremamente critica nei confronti di Hadopi. Tale rapporto fonda le proprie ragioni sulla Convenzione ONU sui diritti civili e politici del 1966 con particolare riferimento alla rete Internet, e ha raccomandato che gli Stati pongano attenzione agli strumenti di inibizione dei cittadini dai contenuti presenti sulla rete per motivi politici e di libertà, ma anche, e il rapporto lo dice espressamente, nel settore del copyright. La critica è rivolta ad Hadopi in ordine ai sistemi di disconnessione dei cittadini da Internet per violazioni legate alla proprietà intellettuale e poi contro il sistema del Digital Economy Act del Regno Unito Per le Nazioni Unite il diritto di connessione rientra nella categoria dei diritti inalienabili. Dunque, l’Onu condanna la legge francese Hadopi e l’analoga normativa inglese (Digital Economy Act) che sottopongono la connessione Internet all’arbitrio della tutela del copyright. Il Rapporto delle Nazioni Uniti chiede, infatti, ai paesi di cancellare o cambiare “le leggi a protezione del copyright che permettano di disconnettere gli utenti dall’accesso internet“.