Logistep, IP e la giustizia elvetica
Quinta, commentando la decisione della Corte di Giustizia, scova una notizia riguardante Logistep AG, l’azienda svizzera che ha supportato l'”indagine” Peppermint (e non solo). Ma la leggo un po’ diversamente da Stefano. Ho trovato qualcosa anche in questo forum.
Ma andiamo un po’ con ordine.
Step #1: L’IP e’ dato personale se rientra nella definizione del TU Privacy (gia’ osservato in altro post, pur con la discussione nei commenti). La Svizzera non e’ UE, pero’ ha una legislazione molto simile alla nostra (anche per ragioni di collaborazione gia’ esistenti). Una mano a capire bene ce la da’ l’Incaricato federale della protezione dei dati e della trasparenza (IFPDT) che dedica all’argomento file sharing una pagina molto significativa. QUI, in francese, notizie sul testo della legge di revisione appena entrata in vigore. La definizione di dati personali (art. 3) e’, invece, “dati personali (dati)1: tutte le informazioni relative a una persona identificata o identificabile” (QUI la legge completa).
Step #2: La stessa Logistep e’ sostanzialmente ammissiva sul punto e se ne fa vanto “The user identification in all P-2-P protocols is fully accurate” (fonte).
Step #3: L’attività di Logistep e’ certamente trattamento che puo’ essere lecito o illecito.
Step #4: I dati “anagrafici” degli utenti possono essere recuperati soltanto nella giustizia penale.
Step #5: Logistep, per aggirare la legge svizzera, cerca di sollecitare procedimenti penali, viene in possesso di certi dati e li impiega nel civile malgrado le accuse in penale siano destinate a cadere.
Step #6: Logistep pare neghi che un IP sia un dato personale (un po’ contraddicendosi, secondo me).
Gianni:
Gennaio 31st, 2008 at 20:27
Step #7: Gli utenti coinvolti “nell’intercettazione abusiva” [?] dei propri IP hanno titolo e/o hanno messo in pratica azioni legali per violazioni della Privacy nei confronti della Logistep ?
Perchè a me la questione “IP dato personale” sembra chiarissima: se sussistono le basi legali per chiamare in causa la Logistep per Violazione della Privacy riconducibile alla detenzione non autorizzata di indirizzi IP e orari di connessione, è palese che l’indirizzo IP figuri obbligatoriamente tra i dati sensibili, visto che permette (anche indirettamente) di tracciare le abitudini di navigazione.
Daniele:
Gennaio 31st, 2008 at 20:36
@Gianni
Ne parliamo, ma, secondo me, non si tratta di intercettazione.
. .:
Febbraio 1st, 2008 at 11:22
> secondo me, non si tratta di
> intercettazione.
Però: abbiamo un soggetto che, “fingendosi” interessato ad un’azione (asseritamente) illecita, partecipa alla stessa al solo (?) fine di “incastrare” il potenziale autore.
Resto convinto che sul piano oggettivo l’illecito non sussista (la trasmissione avviene verso un soggetto comunque autorizzato a riceverla), anche perché -in caso contrario- non vedo come l’harvester potrebbe sfuggire all’accusa di concorso nel fatto, non essendo agente provocatore autorizzato. Sorvoliamo sulla questione morale.
Ciò che resta, però, a mio avviso è una pratica concettualmente analoga al phishing: uso della social engineering per carpire informazioni che, se avesse avuto il quadro della situazione, l’utente non avrebbe mai fornito (nota: nel phishing “classico”, per quanto ne so, il soggetto viene talvolta adescato con la proposta di operazioni palesemente illecite).
Credo di scrivere alla banca, invece scrivo a un ladro; credo di mandare un file ad un amico, invece lo mando a un “nemico”.
A questo punto, mi sembra che il 617 c.p. si attagli abbastanza: <>.
Da tempo infatti sappiamo che l’elemento “fraudolento” non deve necessariamente consistere in un comportamento attivo: basta il “silenzio malizioso”.
Non si tratta comunque, giustamente, di vera e propria intercettazione, ma di comunicazione fornita in buona fede dall’ingannato al “destinatario apparente”…
Daniele:
Febbraio 1st, 2008 at 11:50
Aspetta . .
Se ci riferiamo al caso del P2P questo atteggiamento fraudolento non lo vedo. Mi spiego.
Io sono un utente P2P e metto in condivisione (nel senso che “metto in vetrina”) i miei file. Implicitamente, li rendo disponibili a chiunque. E quel chiunque puo’ essere anche Logistep. Poi, l’architettura del sistema rende naturalmente disponibili anche i dati che a Logistep interessano.
Questa la mia riflessioni: se, consapevolmente, ti esponi, non puoi lamentarti. L’utente P2P mette soltantoa disposizione, non compie alcuna azione aggiuntiva per consentire l’upload. Tutto il resto lo fa l’altro utente.
. .:
Febbraio 1st, 2008 at 12:26
> Tutto il resto lo fa l’altro utente.
Concordo in linea di massima (so che è una tesi al limite, e continuo a preferire le premesse di cui sopra), però su questo punto commetti un errore tecnico: il downloader fa una *richiesta* al sistema dell’uploader, ma concretamente è questo che “risponde” e spedisce i dati.
In sostanza, a mio avviso, la “frode” consiste nel non fornire al sistema informatico (che agisce in nome e sotto la responsabilità dell’utente) tutti i dati necessari per “decidere” se rispondere o meno.
Un simile comportamento può (e deve) essere tenuto dalle FdO là ove siano a ciò espressamente autorizzate (agente provocatore), ma non da un privato.
Ora, il fatto è che i computers agiscono in modo apparentemente automatico, ma in realtà fanno ciò per cui sono stati (più o meno consapevolmente) istruiti: nulla vieterebbe (e invero esistono estensioni apposite) di programmare il sw per non rispondere in determinate occasioni. Ma se chi fa la richiesta non si qualifica, il discorso salta. Ritengo tuttavia che chi tace una circostanza rilevante, “contando” sul fatto che gli altri lo scambieranno per un utente normale, sia in dolo omissivo (è il discorso della concussione ambientale).
Infine, è vero che chi condivide si espone: ma ciò non “sana” comunque eventuali azioni illecite altrui. E di questo stiamo discutendo: se l’azione sia o non sia in sé lecita, quindi il fatto che l’utente si sia esposto, IMHO, non cambia i termini del problema.
La responsabilità dell’harvester, cioè prescinde dalla responsabilità dell’uploader: tant’è che l’indagine potrebbe non rivelare alcun upload illecito, e ciò non di meno essere illecita essa stessa…
Daniele:
Febbraio 1st, 2008 at 13:35
Mi sembra che sia come quello che mette della coca su un banchetto per i suoi clienti. Poi passa uno, la prende (lasciamo perdere che non e’ un poliziotto, non e’ pertinente ora) e l va a denunciare.
. .:
Febbraio 1st, 2008 at 14:38
Esatto: il punto è che chi si procura droga commette un illecito (non penale se per uso personale, ok, ma sempre illecito) e la riserva mentale non ha alcun peso. Solo il poliziotto, se debitamente autorizzato, è scriminato. Non me lo vedo il tossicodipendene a racconterebbero di aver acquistato solo per denunciare il pusher 🙂
(per non parlare di chi si trova in cache qualcosa di compromettente)
Perciò, chi “uploada” è in torto, ma anche chi “scarica per accusare” lo è.
(per inciso, credo che ciò varrebbe anche se fosse un membro delle FdO perché, per quanto ne so, le indagini sulle violazioni del diritto d’autore non autorizzano l’utilizzo di agenti provocatori)
Aggiungiamo un tassello: l’harvester non si limita a portar via, ma fa una specifica richiesta al client. L’iniziativa, consapevole, del fatto proviene dallo scaricatore: perciò -e qui sta l’agente provocatore- così stando le cose, ENTRAMBI dovrebbero rispondere, in concorso, del reato. Anzi, forse le cose sono un po’ più complesse (chi ci dice che senza la sua richiesta l’altro non avrebbe mai uploadato nulla?), ma sorvoliamo.
La butto lì: se poi viene fuori che l’uploader non era consapevole della natura (c) del file (47 primo o terzo comma) non si potrebbe anche discutere del 48? In fondo chi fa questi monitoraggi punta proprio sul fatto che la maggior parte dei peers è inconsapevole di ciò che fa.
Ok.
C’è un “ma”: nel nostro ordinamento, prevale il fatto, e le scriminanti operano anche se non conosciute dall’agente. Se sottraggo un oggetto ignorando il conseso del proprietario, non commetto furto. Chi uploada un file ad un soggetto legittimato a richiederlo (in quanto detentore dei diritti), IMHO, idem.
L’unico modo per provare un upload, a mio avviso, è effettuare l’intercettazione a cavallo fra due peers…
Daniele:
Febbraio 1st, 2008 at 16:22
Aspetta, stiamo un po’ mischiando le cose (come avevo avvertito). Stavamo parlando di un acquisto fraudolento dei dati. L’acquisto illegittimo dell’opera scaricata e’ un altro aspetto della vicenda (sulla quale, comunque, vorrei riflettere).
Gianni:
Febbraio 1st, 2008 at 17:54
Ok, allora mettiamo che non sia “intercettazione” nel senso tecnico del termine (sicuramente lo è nel senso comune).
Si parla pur sempre di acquisizione e schedatura di massa (non autorizzata dall’autente schedato…) di dati potenzialmente sensibili (come l’IP) che in modo indiretto (come dice la legge) pemette a chi ne ha i mezzi (…) di risalire al titolare della linea (che poi, a ben vedere, potrebbe anche non essere il condivisore di fatto e quindi ingiustamente “schedato”…).
Ora sempre per parlare di acquisto fraudolento dei dati: cosa accadrebbe se io, domani, in possesso di un IP, decidessi di utilizzare mezzi illeciti per risalire all’intestatario della linea per schedare le sue abitudini in rete ?
Di fatto l’IP è come la targa di un’auto: accedendo ai registri degli ISP (il PRA internettiano) si risale al “legittimo proprietario”.
Che poi, al momento, non sia possibile per un privato richiedere una “visura” formale è altra faccenda.
Di fatto l’IP permette l’identificazione di un soggetto e la schedatura delle sue abitudini di navigazione.
Mi sembra palese che si tratti quindi di un dato personale e vada gestito come tale.
Gianni:
Febbraio 1st, 2008 at 17:56
*AGGIUNGO*:
E’ lecito prender nota della targa di un auto, seguirne gli spostamenti e annotarsi le abitudini di vita del proprietario, risalendo poi al nome, cognome, indirizzo, etc… ripetendo poi questa procedura per centinaia e migliai di volte fino ad avere un database da far invia ai Servizi Segreti ?…