Censura di Stato sul Web in Italia, caos di provvedimenti: un sondaggio
Gli operatori di rete che offrono un servizio di DNS hanno l’obbligo
di manipolare le risposte alle domande di quei calcolatori che
richiedano un sito inibito, così da indirizzarli verso pagine predisposte
dalle autorità.
Ora capiamo quanto queste misure siano applicate negli uffici pubblici e quanto migliorerebbe la sicurezza se ci fosse una gestione centralizzata del
servizio
19 Gennaio 2016
Antonio Prado, architetture di rete e sistemi, Città di San Benedetto del Tronto
Nell’ordinamento italiano è stabilito che gli operatori di rete debbano inibire l’accesso di tutti gli utenti a numerose risorse Internet e tra le mille incombenze dei CED delle PA c’è (da circa dieci anni) anche quella di far sì che l’uso di Internet da parte dei colleghi sia conforme alla legge. I modi per farlo sono due: da una parte evitare che il contenuto vietato sia diffuso on-line (o oscurandolo nel caso in cui sia già stato pubblicato), dall’altra inibire la navigazione gli utenti.
Le cosiddette black list formulate da CNCPO, ADM, AGCOM e da alcuni decreti dell’Autorità giudiziaria devono essere utilizzate per reindirizzare la navigazione degli utenti verso apposite pagine contenenti un testo esplicativo del motivo dell’inibizione. Lo strumento indicato è il DNS, domain name system, che è un servizio di traduzione dei nomi a dominio di Internet in indirizzi numerici (IP), identificativi univoci dei calcolatori presenti su Internet.
Ed è proprio in questo meccanismo che il legislatore ha deciso di interferire per l’applicazione della censura. Quindi gli operatori di rete che offrono un servizio di DNS hanno l’obbligo di manipolare le risposte alle domande di quei calcolatori che richiedano un sito inibito così da indirizzarli verso pagine predisposte dalle autorità.
Ho voluto indagare se e quanto queste misure siano applicate negli uffici pubblici attraverso un questionario sottoposto, nel mese di dicembre 2015, agli operatori ICT degli enti pubblici italiani.
L’indagine
Oltre cinquecento operatori ICT della pubblica amministrazione che hanno risposto al questionario. Questa inaspettata partecipazione ha reso il campione sufficientemente diversificato: enti locali (64,1%), scuole (32,05%), aziende sanitarie (1,6%), ministeri (0,64%) e camere di commercio (1,6%).
La rilevazione si è basata su ventisei domande ciascuna delle quali necessitava una azione da compiere su un calcolatore appartenente alla rete interna dell’ente pubblico. Innanzitutto occorreva indicare con quale indirizzo IP ci si presenta su Internet, poi quale server DNS si utilizza per risolvere i nomi a dominio. Seguiva una serie di questioni sulla capacità, del calcolatore utilizzato, di visualizzare le pagine di determinati nomi a dominio sottoposti a censura. Risultati Le risposte sono state quasi tutte coerenti (giusto il 3% infatti non è stato preso in considerazione) e hanno rivelato la presenza di scenari preoccupanti. Solo il 23% di chi ha risposto dimostra una soddisfacente aderenza al rispetto delle prescrizioni precedentemente illustrate.
Il restante 66% ha messo in luce un contesto disastroso. Ma ecco i dettagli suddivisi in tre gruppi:- Enti che usano DNS interni: il 34% ricorre a DNS interni all’ente pubblico erroneamente gestiti. Una delle peggiori fattispecie possibili poiché non tiene conto di alcuna black list.
- Enti che usano DNS esterni di Telecom Italia e Fastweb: il 31% usa DNS forniti dagli operatori di rete individuati nella vigente convenzione CONSIP e che erogano la connettività alle P.A. in questione. Le black list vengono generalmente onorate.
- Enti che usano altri DNS esterni: il 32% usa DNS di piccoli fornitori o di società estere come Google Public DNS e Cisco OpenDNS. Stando ai dati raccolti quasi mai si rispetterebbero le inibizioni imposte dalle norme.
Conclusioni
Il quadro che emerge è a fosche tinte: la disorganizzazione del peculiare àmbito trattato appare endemica come frutto di un coordinamento latitante sia degli alti livelli della dirigenza dello Stato sia degli organismi preposti alla guida e alla regolamentazione anche di questi aspetti dell’Italia digitale. Dato il ruolo centrale e determinante del DNS, non può e anzi non deve essere un servizio delegato a una gestione locale della singola Pubblica amministrazione, né lasciato in balìa della discrezionalità degli operatori ICT degli enti che, o per imperizia o per comodità esternalizzano il servizio anche a fornitori che non sono tenuti a osservare le norme italiane. Posto che la Pubblica Amministrazione debba attingere ai servizi di connettività disponibili in apposite convenzioni tra CONSIP e gli operatori di rete, occorre pensare a una gestione centralizzata del servizio DNS. In questo modo si conseguirebbero facilmente obiettivi importanti come sicurezza, robustezza, affidabilità, tempismo. Quanto al momento di produzione e diffusione delle black list sono persuaso che sia necessaria la costituzione, in seno per esempio ad AgID, di un punto unico di accesso per gli operatori di rete. Cioè per facilitare, normalizzare e livellare l’applicazione delle inibizioni che lo Stato impone agli Internet Service Provider, tutti gli attori coinvolti dovrebbero essere coordinati nei formati da utilizzare, nei tempi di aggiornamento. Lo Stato potrebbe facilitare l’auto-valutazione della conformità alle norme di inibizione così da poter diffondere una corretta consapevolezza della questione, sia agli operatori ICT in servizio presso la Pubblica Amministrazione, sia alle aziende, sia ai privati. Dovrebbe per questo realizzare uno strumento per verificare la corretta e tempestiva applicazione delle black list. Infine, finché permarranno disposizioni di censura emanate da più nazioni dell’Unione europea, sarebbe auspicabile un coordinamento transnazionale per l’applicazione dei criteri di restrizione nella navigazione delle pubbliche amministrazioni dei Paesi coinvolti.
Quadro normativo
- Legge 38 del 6 febbraio 2006: questa legge istituisce il Centro nazionale per il contrasto alla pedo-pornografia su Internet (CNCPO) presso il Servizio Polizia postale e delle comunicazioni del Dipartimento della Pubblica Sicurezza. La struttura ha il compito di condurre una continua sorveglianza alla ricerca di siti web e frangenti che possano costituire un pericolo per i ragazzi, come commercio on-line di immagini o filmati di minori abusati sessualmente. Produce e mantiene una black list.
- Agenzia delle dogane e dei monopòli, Decreto direttoriale del 2 gennaio 2007: la norma è pensata per tutti quei siti web che, senza autorizzazione, offrono la possibilità di effettuare giochi, scommesse o concorsi pronostici on-line con vincite in denaro. L’elenco costituisce un’altra black list.
- Autorità per le garanzie nelle comunicazioni, Delibera 680/13/CONS del 12 dicembre 2013: il regolamento definisce le modalità di accertamento e di cessazione delle violazioni del diritto d’autore e dei diritti connessi. Anche l’AGCOM produce una sua black list.
- Decreti dell’Autorità giudiziaria: in qualsiasi momento è possibile che una Procura della Repubblica emani un decreto di sequestro preventivo di una risorsa Internet non solo nelle modalità già illustrate, cioè sequestrando i server che erogano i contenuti oppure ordinando ai fornitori di accesso a Internet di inibire l’accesso a determinati contenuti per tutti i loro utenti.
- Dipartimento della Funzione Pubblica, Direttiva 2 del 26 maggio 2009: raccomanda alle amministrazioni di dotarsi di software idonei a impedire l’accesso a siti Internet aventi contenuti o finalità vietati dalla legge. In altre parole, ai dipendenti pubblici non solo si deve applicare la specifica inibizione comune a tutti i cittadini italiani, ma anche una ulteriore e discrezionale censura su tutte le risorse Internet eccetto su quelle necessarie per espletare l’attività lavorativa.
Qui è possibile consultare la ricerca in formato integrale.