Ancora sugli Access point aperti ovvero sulla responsabilita’ individuale

Questo
e' un argomento importantissimo, IMHO. ci sono anche importanti
indicazioni provenienti da un Council meeting di fine novembre a
Bruxelles, come vedremo sotto…


ne ho discusso anche ieri con Francesco Sacco; personalmente penso che

  • ogni persona ha il diritto di non palesarsi se lo desidera
  • le reti possono essere usate per compiere reati e illeciti
  • gli organi di giustizia devono avere gli strumenti per identificare chi commette reati o illeciti

questo ci porta dritti dritti al tema dell'anonimato protetto:
l'individuo puo' essere anonimo ma ci deve essere qualcuno (scelto
dall'individuo stesso) che, se interrogato dagli organi di giustizia
(con le motivazioni fondate validate secondo le procedure gia'
consolidate nel mondo fisico), deve poter consentire di risalire
all'identità dell'individuo stesso.

a
questo punto l'obiezione solitamente e' che chi intende commettere
illeciti o reati non viene certo bloccato da una tale previsione.
Questo e' vero, ma riduce tali comportamenti a effetti di bordo. L'idea
che debba essere tutto a garanzia totale oppure e' inutile, a mio
avviso e' errata. Non vi è dubbio che un deliquente non ha problemi a
reperire un'arma, ma secondo me questo non e' un argomento sufficiente
per abolire il porto d'armi.

a questo punto l'obiezione
solitamente e' che la questione diventa un rapporto costo/beneficio con
elevato costo transazionale imposto ai piu' (onesti) per gestire i meno
(disonesti). La risposta e' che cio' e' cosi solo sulla base degli
schemi attuali perche' per Internet non vi e' stato impegno e sviluppo
nella direzione della riduzione del costo transazionale, come invece vi
e' stato nei cellulari. Il costo transazionale per consentire il
tracciameno dell'identita' nei cellulari e' l'identificazione una
tantum in fase di ottenimento della prima SIM. Non e' nullo, ma il
costo marginale per telefonata e' 0. 

il problema si sposta
sulla regolamentazione della gestione dell'anonimato protetto. IMHO
deve essere frammentato tra il maggior numero di soggetti privati
possibili con basse ma non nulle barriere all'ingresso (se fossero
nulle, estremizzando, i delinquenti si farebbero il proprio servizio di
anonimizzazione che casualmente si autodistruggerebbe al primo
accertamento). L'alternativa sarebbe l'anagrafe telematica pubblica ma
temo che arriverebbe alle calende cinesi.

Nella riunione del 27/28 novembre il Consiglio D'Europa ha invitato gli stati membri a

  • finding a solution to the problems caused by electronic networks
    roaming and by the anonymous character of prepaid telecommunication
    products;

L'identificazione arriva, ne sono certo. Se viene imposta con
attenzione solo alle esigenze delle forze dell'ordine, arrivera' senza
garanzie di anonimato protetto.

Personalmente mi adoperero' perche' ci sia l'anonimato protetto, con il minor costo transazionale possibile; auspicabilmente 0.

If you like this post, please consider sharing it.

11 thoughts on “Ancora sugli Access point aperti ovvero sulla responsabilita’ individuale”

  1. Per quanto riguarda l’accesso al wifi in ambiente accademico qualcosa di simile esiste già (e probabilmente lo conosci) http://www.eduroam.org/
    Qui sono le università a federarsi e a riconoscere come mutuamente valide le credenziali fornite da ognuna di esse.
    Questo può essere un buon approccio, nel caso di accessi a wifi pubblici bisonga tenere conto, secondo me, che alla base c’è sempre una transazione economica e questa tende a portare con se la creazione di credenziali, secondo me il discorso è di renderla semplice e di non obbligare il gestore dell’hotspot a tenere i log del traffico (quelli sono reperibili presso l’isp se non erro) che secondo me sono la cosa che alza davvero i costi
    Scusa il commento prolisso.

  2. scusa, ma il discorso non potrebbe essere analogo a quello sul P2P/crittografia? Ad esempio:
    http://blog.quintarelli.it/blog/2009/10/il-servizio-segreto-inglese-contro-il-tre-botte-e-via.html
    imporre per legge l’anonimato protetto lascia ai malintenzionati un’unica strada percorribile, che è quella dei servizi di anonimizzazione ospitati in uno stato straniero, dove tali servizi sono legali (ammesso che in Italia non lo siano, che non ne sono certo).

  3. no. stiamo parlando di accesso alla rete, non di fruizione di un servizio.
    ripeto che e’ una questione ch rigarda essenzialmete il wifi, in quanto accesso aperto; per gli accessi da abbonamenti adsl l’anonimato non esiste gia’ piu’ (senza esplicite previsioni di garanzie).
    se il sistema e’ smeplice e non oneroso, solo chi intende commettere illeciti avra’ un incentivo a violare l’autenticazione di un wifi per non farsi beccare. e la cosa si riduce ad effetto di bordo.
    L’idea che debba essere tutto a “garanzia totale” oppure e’ inutile, a mio avviso e’ errata. Non vi è dubbio che un deliquente non ha problemi a reperire un’arma, ma secondo me questo non e’ un argomento sufficiente per abolire il porto d’armi.

  4. Ai premessi 3 punti iniziali aggiungerei che:
    – e’ SEMPRE possibile avere una [introdurre procedura tecnica a piacere per i mainstream media o per i convegni di confindustria] che permette il completo anonimato.
    Non ho capito se l’intento criminale che si voglia colpire sia:
    – frode a servizi specifici (che non hanno nessun problema a tagliare completamente tutta la fruizione anonima come commercio online, banche, et simila)
    o
    – comportamento illecito ‘indipendente’ (connessioni utente/utente, accesso a servizi non legali/permessi)
    A mio (H) parere queste sono le premesse per affrontare la questione.
    Che poi i ragionamenti conseguenti chiudano ogni possibilita’ di dialogo o di trovare una soluzione accettabile e’ lapalissiano.
    Tendo ragionare da tecnico e tendo a vedere (e a cercare di far vedere agli altri) le cose per quelle che sono.
    Aggiungo che per una pagnotta di pane posso dimostrare tutto e il suo contrario per sostenere qualsiasi tesi (letteralmente una pagnotta di pane 🙁 )
    Buona Domenica

  5. quello che volevo dire è che introducendo una misura preventiva esplicita (come, più o meno, è il “3 botte e via” con la legge sul copyright), il rischio è che si vada a colpire qualche reato minore (mi viene in mente roba come la diffamazione o il download di materiale protetto), mentre si incentivano forme di “prevenzione al contrario” nei malintenzionati veri, che si vedranno costretti a usare qualche forma di anonimizzazione.
    fra l’altro, mi chiedo se esistano statistiche sul numero di illeciti commessi tramite access point aperti.

  6. Stefano su questo argomento procede dando evidentemente per condivisa da tutti la premessa implicita che lo Stato debba poter identificare con fatica nulla o quasi chiunque venga sospettato di aver commesso un qualsiasi atto illecito.
    Dove i punti chiave sono: “fatica zero o quasi”, “sospettato” e “qualsiasi atto illecito”.
    Se si accetta la premessa, discendono logicamente molte cose.
    Molte persone, pero’, trovano errata una premessa formulata in maniera cosi’ ampia.

  7. JC, in italia mi risulta ci sia l’obbligo di portare un documento di identita’ e di esibirlo a semplice richiesta delle autorita’ e, in caso di indisponibilita’, autorizza che il desso sia trattenuto per accertamenti.
    nel fisico, oggi lo Stato puo’ identificare con fatica nulla o quasi chiunque è sospettato di avere commesso un qualsiasi atto illecito. (e’ vietato girare mascherati)
    pero’ e’ un giudice a disporre gli accertamenti e ci sono tre gradi di giudizio.
    qualcuno sta facendo lobby per consentire di girare mascherati e non avere documenti di identita’ ?
    dire “fatica nulla o quasi” è pero’ fuorviante.
    nel mondo fisico, per complicare la vita alle forze dell’ordine, ti occulti mascherandoti; nel mondo online usi TOR. Non e’ detto che si faccia “fatica nulla o quasi”.
    per essere precisi il mio punto e’ esattamente che solo un magistrato possa disporre un accertamento di identita’ di una persona sospettata, online.
    ti racconto un episodio. si identifica l’IP address di qualcuno che ha commesso un reato grave. si cerca di risalire e si trova che in quel momento una dozzina++ di persone condividevano quell’IP address.
    la polizia all’alba entra in tutte le abitazioni dei possibili rei e ferma tutti quelli che ci stavano e perquisisce tutte le case.
    beccano il colpevole che viene processato e condannato.
    ora, pensa per un attimo se uno degli innocenti sottoposti a mandato di perquisizione fossi stato tu o tua zia, che alle 5 di mattina circondano casa, svegliano tutto il condominio, ti mettono sottosopra la casa e passano al microscopio i tuoi computer; pensa ai tuoi condomini ed alla prossima riunione di condominio; pensa se hai un bambino che va a scuola e quello che dicono e come si comportano gli altri bambini. Pensa a come ti guarda il fruttivendolo o il panettiere.
    beh, io penso che se, [solo] su ordine del magistrato, fosse stato possibile accertare che quella (dozzina++)-1 non c’entravano nulla, beh, sarebbe meglio.

  8. Davvero sono così gravi i reati che è possibile compiere in Rete da giustificare un’intervento fisico del genere ?
    Tutt’ora mi chiedo quali “orribili” reati si possano compiere tramite semplice scambio di bit.
    Se esistono allora è strettmente necessario un metodo di identificazione millimetrica in tempo reale di tutti i soggetti connessi. Quindi il decreto Pisanu va esteso a legge definitiva e non più una cosa temporanea da prorogare di anno in anno.

  9. ad esempio rubare danaro, alterare profili di credito di persone, cambiare le temperature di apertura delle valvole delle ciminiere, alterare le mescole di preparati alimentari, provocare disruption in alcuni sistemi di regolazione di certi tipi di traffico, ecc. ecc.
    Anche Gio’ in un commento qui http://is.gd/57VPa
    scrive: Anche un mio cliente controlla via rete l’operatività del pastorizzatore di birra di una notissima azienda internazionale
    tra il nulla e il controllo in tempo reale millimetrico ci sono delle vie di mezzo.
    e poi, perche’ tutti si incaponiscono sul fatto di beccare i cattivi e non di scagionare gli innocenti ? (commento precedente al tuo, fatto vero)

  10. Lo status quo nel mondo fisico non rappresenta il migliore dei mondi possibili (men che meno in Italia) e quindi non lo prenderei come riferimento senza ampie dosi di vaglio critico.
    La carta d’identita’ obbligatoria nazionale, per esempio, in alcuni paesi a forte tradizione liberale non esiste e mi sembra che la criminalita’, anche organizzata, la combattano come, se non meglio, che da noi. E la polizia non puo’, per divieto costituzionale, fermare i cittadini senza motivo, cosi’, solo perche’ cosi’ garba all’agente di turno. E non bisogna esibire la carta d’identita’ per dormire in un agriturismo/albergo/ostello. E potrei andare avanti con l’elenco.
    La realta’ e’ che in Europa siamo spesso eredi di stati tendenzialmente polizieschi, quando non dittatoriali, e di cio’ rimangono consistenti tracce nelle prassi e negli ordinamenti.
    Col passaggio al digitale, pero’, i rischi connessi a tale mentalita’ sono ancora piu’ grandi che in passato, perche’ la tecnologia rende possibile apparati di sorveglianza automatizzata e integrata senza precedenti nella storia. Apparati che – che nessuno si illuda – una volta realizzati verranno SICURAMENTE utilizzati anche per fini diversi da quelli originariamente previsti. La storia dimostra infinite volte la validita’ della legge delle “unintended consequences”.
    Quanto al tuo esempio, Stefano, da una parte mi piace metodologicamente perche’ e’ un tentativo di provare a illustrare i pro e i contro delle diverse soluzioni sul tavolo. E’ senz’altro cosi’ che bisogna procedere.
    Dall’altra parte, pero’, e’ un esempio troppo smaccatamente di parte, perche’ hai tratteggiato uno scenario da retata all’alba che piu’ estremo non potevi: mancano solo i cani lupi abbaianti e i bambini piangenti :-).
    E ti chiedo solo, anche per limiti di tempo e di spazio: ma in tutti gli altri paesi del mondo – Israele incluso, tanto per fare un esempio eclatante – dove l’accesso a Internet è senza identificazione, come fanno a sopravvivere se hai ragione tu? Non e’ che semplicemente l’imposizione del vincolo dell’identificazione ha un rapporto costi-benefici orribile?
    A me pare proprio di si’.

  11. JC, lo scenario descritto, non e’ ipotetico…
    proprio perche’ possiamo innovare, considera quanto segue (che avevo messo in un altro commento ad altro post, cut&paste)…
    chi si sofferma sul dire “no autenticazione” quando le indicazioni del Consiglio d’Europa sono di andare verso l’identificazione, non si lamenti poi se l’autenticazione fatta da terze parti non fosse possibile. mi spiego:
    immagina l’accesso wireless ad un ISP con autenticazione fatta da una terza parte (chiamiamo AUT) per accedere a contenuti erogati dal Content Provider CP
    ISP non sa chi e’ l’utente, ma sa dove va e da dove viene
    AUT non sa dove va l’utente ne’ da dove viene, ma sa chi e’
    CP non sa chi e’ l’utente, ne’ da dove viene, ma sa dove va.
    nessuna persona tecnica di uno dei soggetti puo’ ricostruire
    ma combinando i tre un magistrato puo’ ricostruire tutto.
    penso che questo schema sia persino meglio (dal punto di vista della garanzia della tutela dei diritti) della situazione attuale in cui ISP sa chi sei, da dove vieni e dove vai.
    a questo punto, il nocciolo e’ prevedere un sistema di anonimato protetto che consenta che l’autenticazione sia svolta da uno o piu’ soggetti terzi al fornitore di accesso e di contenuti.

Leave a Comment

Your email address will not be published. Required fields are marked *