[Flug] convegno @IIP su "Data Retention: norme, privacy, sicurezza e aspetti tecnici"

Marco A. Calamari marcoc@winstonsmith.info
Mar 14 Feb 2006 19:51:41 CET


Sono riuscito a partecipare al convegno in oggetto,
molto interessante e ben partecipato.

Come e' mia quasi solitaria abitudine, ne tento un riassunto
ad edificazione ed utilita' di tutti, cercando scremare
i dettagli, di riferire i fatti importanti e di separarli
nettamente da alcune opinioni.

Il convegno durava l'intera giornata, con la classica
tavola rotonda finale, di cui ho perso l'ultima parte
per esigenze ferroviario-valentiniane.

Erano presenti attori di rilievo, Joy Marino, Paolo Nuti
ex o di @IIP, Domenico Vulpiani e Sergio Mariotti della Polizia
delle Comunicazioni, vari rappresentanti di alto livello di 
FastWeb, Wind ed altri ISP, della Fondazione Ugo Bordoni,
Clusit ed Aipsi, ed il segretario generale dell'Autorita'
Garante della Privacy.

Ha iniziato a relazionare un rappresentante di Fastweb,
spiegando come loro cerchino di adempiere alle richieste
di data retention del decreto Pisanu, anzi ovviamente
della loro interpretazione del decreto che come molti
sanno, sia come formulazione che per mancanza a tutt'oggi
di un protocollo attuativo o di una norma tecnica,
e' realmente  di difficile applicazione, ammenonche'
non lo si interpreti estensivamente, cosa che sembra
succedere almeno nei casi illustrati.

Fastweb, per risolvere il problema di quali protocolli e
quali informazioni debbano essere archiviati, 
memorizza intestazioni e durate di tutte
le sessioni TCP dirette e/o provenienti dall'esterno.
Memorizza altresi' informazioni sui pacchetti UDP, producendo
informazioni equivalenti a quelle di una sessione, con
metodi non meglio esposti. Non archivia informazioni
particolari sui protocolli, anche se e' altamente
probabile che per il Voip e lo streaming che fornisce
abbia gia' archiviate le informazioni tecniche che 
tracciano i suoi stessi servizi. A domanda precisa
risponde che non producono ticket particolari per
le chiamate Voip generate a livello applicativo
(come Skype, e c'e' invece chi lo fa!).

Ad altra domanda precisa riferisce di non memorizzare
i dati delle comunicazioni interne di Fastweb
per impossibilita' tecnica, affermando che e'
in questo caso in grado di essere molto efficace,
in compenso, nel supportare gli investigatori
durante le fasi di intercettazione.

Si duole delle risorse e dei volumi informativi
generati, e della mancanza di una compensazione
economica. Sottolinea che dato il volume e l'atomicita'
dei dati memorizzati, richieste generiche come quelle
oggi provenienti dall'autorita' giudiziaria non possono
essere svolte in tempi ragionevoli ed in modalita'
efficente in queste condizioni.

Il rappresentante di Wind (e quindi Libero e compagnia) 
sottolinea  il ruolo di fornitore di vari tipi di
servizio separati, connettivita', hosting web e posta.

Dettaglia il tipo di informazioni che vengono archiviate,
molto piu' compatte di quelle di Fastweb, divise per
protocollo e servizio. Per la posta dettaglia i campi
archiviati, affermando che ovviamente i contenuti sono
esclusi. Nell'elenco pero' compare l'oggetto di ciascun
messaggio. Dal pubblico (indovinate...) parte l'osservazione
che l'oggetto del messaggio e' un contenuto, anzi un
distillato del contenuto, quindi fuori campo Pisanu.
Momento vivace nel dibattito; il Garante fornisce un parere
di metodo, che non mi e'rimasto chiaro in termini di risposta.
Un altro componente di Wind asserisce che tutto quello che
non e' contenuto in senso stretto, quindi tutti gli header
RFC sono non-contenuto, e quindi memorizzabili
Marino centra l'argomento sintetizzando che, visto che
si devono memorizzare solo i sati di traffico, si dovrebbero
memorizzare solo i comandi SMTP (MAIL FROM:
e RCPT TO:) perche' quella e' la busta, mente tutti gli
header a RFC sono contenuto del messaggio, incluso
a maggior ragione il soggetto.

L'intervento successivo e' stato della Polizia delle
Comunicazioni. Molto significativo l'inizio in cui,
fornendo il suo parere sulla questione dell'oggetto
delle mail, sosteneva che questo e' evidentemente
un contenuto e quindi da non memorizzare.
Sottolineava pure come ai fini investigativi in realta'
i contenuti non siano molto importanti, perche' eventualmente
ottenibili con metodiche non informatiche, mentre
lo sono moltissimo i dati sulle reti di relazione
individuali, che i dati sul traffico permettono
di dedurre. Elenca e fornisce particolari sugli
aspetti informatici di alcune recenti indagini criminali.
Sottolinea che la difformita' dei termini di conservazione
dei dati telefonici rispetto a quelli telematici
(6+6 mesi rispetto a 24+24) rende inutile
il termine piu' lungo visto che impedisce di percorrere
la relazione dati di "accesso alla rete -> dati di
scambio di messaggi". Ne chiede ovviamente il livellamento
in alto.

Dopo un intervento della Fondazione Ugo Bordoni sulle
certificazioni in ambito sicurezza ed un altro
sull'importanza delle cetificazioni di sicurezza
in ambito conservazione dati, su cui non sono
abbastanza preparato e quindi non sono in grado
di relazionare, c'e' stata la tavola rotonda.

Partecipanti Vulpiani, Marino, Monti, Nuti ed altri.

Ha preso la parola Monti che ha esemplificato il
punto di vista legale e della magistratura sulla
qualita' ed utilizzabilita' delle attuali leggi
sulla prova informatica.
Sintetizzando in maniera brutale, ha detto che l'utilizzo
della prova informatica e' ancora alla preistoria e
che usualmente nessun giudice e nessun avvocato difensore
contestano una prova telematica, nemmeno se fornita
a livello di pezzo di carta stampato; la conservazione
e l'integrita' tecnica e legale dei dati di log e' ancora
un non-argomento, e 15 anni di attivita' legale non
hanno prodotto, in merito, nessuna giurisprudenza che
possa fare prassi e fornire linee guida. Aumentando le
richieste la situazione e' destinata a peggiorare,
con allungamento dei processi e peggioramento
qualitativo delle attivita' giudiziarie.

Ha preso la parola Vulpiani, e non e' semplice
sintetizzare in poche parole la sua esposizione.
Sottolinea l'importanza di una collaborazione tra 
investigatori e detentori dei dati (ISP, sistema bancario,
compagnie telefoniche, fornitori di servizi non
telematici) spiegando che nella realta'
le attivita' investigative sono una sinergia
di diversi fattori, che avvengono su piani diversi
di cui la rete e' solo uno, mentre gli altri
sono tradizionali ed appartengono alla realta'
materiale.
Ha anche affermato che la fiscalita' degli obblighi
di legge in materia di data retention non e' 
tra gli obbiettivi degli investigatori, cercando
forse di "sdrammatizzare" le preoccupazione della
maggioranza dei partecipanti, che erano ovviamente ISP.

Purtroppo a questo punto ho dovuto abbandonare il
convegno, e quindi non ho potuto seguire il resto
della discussione. Se qualcuno dei partecipanti che leggono
la lista volesse integrare la parte finale mancante
o fare precisazioni o correzioni a quanto da me 
esposto, sarebbe il benvenuto. Soprattutto se
avessi involontariamente travisato il pensiero
o mal sintetizzato l'esposizione di qualcuno.

Come commento finale da parte mia, e quindi dal
punto di vista di chi ha il focus sul sostenere
i diritti civili in Rete, devo dire che, a parte
il grande valore informativo del convegno, sono
preoccupato della totale assenza di questo argomento
in tutti gli interventi e nella discussione 
successiva.

Se da una parte e' naturale che in un contesto
in cui addetti ai lavori di due parti  si confrontano
sulle questioni pratiche di business (economico per
gli ISP, operativo per polizia e magistratura) e'
per me preoccupante che una istanza al contorno
di questo livello venga ritenuta cosi' poco
importante da non essere quasi mai menzionata.

La stessa Autorita' Garante, molto presente a
livello di dettagli procedurali e di orientamenti
normativi, non e' intervenuta o non ha colto l'occasione
di sottolineare i principi costituzionali sottostanti
a qualsiasi legge, ed i principi di proporzionalita'
e di minimo accesso necessario che ispirano la 196/2003
per quanto riguarda il trattamento dei dati personali.

E' pur vero che i dati giudiziari vengono trattati
in maniera diversa e piu' "libera", ma la DR preventiva
di massa, pur limitata nel tempo, ritengo richiedrebbe
di riunificare le questioni per valutarle nel complesso.

Per concludere con una battuta; bell'evento, informazioni
utili ed interessanti, ma i diritti civili in Rete, anche in
questo contesto erano totalmente orfani.


Un saluto.   Marco Calamari

-- 

+--------------- http://www.winstonsmith.info ---------------+
| il Progetto Winston Smith: scolleghiamo il Grande Fratello |
| the Winston Smith Project: unplug the Big Brother          |
| Marco A. Calamari marcoc@marcoc.it  http://www.marcoc.it   |
| DSS/DH:  8F3E 5BAE 906F B416 9242 1C10 8661 24A9 BFCE 822B |
+ PGP RSA: ED84 3839 6C4D 3FFE 389F 209E 3128 5698 ----------+

-------------- parte successiva --------------
Un allegato non testuale è stato rimosso....
Nome:        non disponibile
Tipo:        application/pgp-signature
Dimensione:  307 bytes
Descrizione: This is a digitally signed message part
URL:         <http://lists.linux.it/pipermail/flug/attachments/20060214/673e79c0/attachment.pgp>


Maggiori informazioni sulla lista flug