21 minute read
Identiicazione e anonimato in rete
Lara Trucco
1. Le principali fasi “di identiicazione individuale”
Advertisement
Nell’esaminare il tema dell’“identiicazione e dell’anonimato in rete” è opportuno, in via preliminare, mettere a fuoco alcuni dei principali momenti che scandiscono l’attività di identiicazione1 , e cioè:
- la “fase del prelievo”: in cui si colgono le informazioni biometriche (isiche, ovvero somatiche/genetiche) dell’individuo;
- la “fase dell’assegnazione”: che vede l’attribuzione, all’individuo, dei propri dati identiicativi di tipo lato sensu anagraico (che rappresentano le coordinate giuridiche individuali).
I dati prelevati (ed attribuiti) costituiscono “il campione” (identiicativo), in genere destinato ad essere conservato in appositi “registri” e reso disponibile “alla bisogna” per le future attività identiicative individuali. È, quindi, in successivi momenti che si ha
- la “fase certiicativa” (necessaria): la quale comprende tutte le operazioni di riscontro, volte all’accertamento della corrispondenza dei (suddetti) dati “campione” (prelevati/attribuiti nelle precedenti fasi) ai caratteri biometrici (somatici/genetici) peculiari dell’individuo.
1 Per un qualche approfondimento di queste tematiche si rinvia, volendo, a L. Trucco, Introduzione allo studio dell’identità individuale nell’ordinamento costituzionale italiano, Torino, Giappichelli, 2004, 4 ss.; e Ead., Cards elettroniche tra testo unico sulla documentazione amministrativa e codice dell’amministrazione digitale: tecnologie e politiche a confronto, in www.federalismi.it/document/12062008150457.pdf del 1° aprile 2008, 1 ss.
A questo punto, si rende praticabile
- la “fase individuativa” (eventuale) del soggetto (“identiicato”): dal momento che lo stesso individuo risulta a questo punto “distinguibile” dagli altri e con ciò stesso “riconoscibile” e (potenzialmente) “reperibile”.
Di qui dunque la deinizione di - “identiicazione” (individuale) come quel processo di accertamento dell’identità individuale, con la veriica dell’aversi a che fare con un determinato soggetto e non con un altro, a cui è ricollegabile, in controluce, quella di “anonimato”, che in questa sede rileva, come condizione in cui il soggetto è invece “identitariamente ignoto”2 .
Ed è in questo senso che l’identiicazione si distingue da altre situazioni, parimenti note (anche) alle tecnologie informatiche e telematiche, e che paiono invece caratterizzarsi per un certo tasso di “anonimia” e cioè a dire:
- la “rilevazione” (individuale), che si ha quando ci si limiti a “rilevare” l’indeterminata presenza di qualcuno, la cui identità rimane incerta (ad es., un certo numero di collegamenti in una chat); e
- l’“autenticazione” (individuale), che si ha in quei casi in cui si presume che un certo dato sia riconducibile ad una persona la cui effettiva identità, tuttavia, non viene accertata (ad es., uso del bancomat, o, in rete, il combinato “user ID/password”).
Quanto da ultimo osservato ci porta all’ulteriore considerazione per cui le situazioni di anonimia si distinguono da quelle di identiicazione per il fatto determinante costituito dalla mancanza di operazioni di riscontro coi dati biometrici individuali. Ed infatti – e qui sta il punto – nel mondo “isico” così come in quello “elettronico”, la disponibilità delle informazioni biometriche riguardanti il soggetto costituisce un elemento dal quale non è possibile prescindere afinché il meccanismo identiicativo funzioni.
2 Sul concetto di anonimato v. A. Candian, Anonimato (diritto all’), in Enc. dir., II, Milano, 1958, ad vocem, e G. Finocchiaro (a cura di), Diritto all’anonimato. Anonimato, nome e identità personale, in Tratt. Galgano, XLVIII, Padova, 2008 (ora reperibile anche in https://computerscience.unicam.it/devivo/riservata/informatica1/diritto%20all’anonimato0002.pdf).
Se, poi, il dato biometrico prelevato viene confrontato con un “campione” solo di tipo biologico, si rende possibile la veriica della suddetta corrispondenza dei dati soltanto nel “mondo isico” (senza una qualche associazione, ad es., ad un nome); mentre è quando lo stesso “campione” si compone oltre che del dato biometrico anche con un qualche dato anagraico che risulta possibile collocarlo nel “mondo giuridico” (associandolo, invece, in questo caso, ad es., ad un nome).
2. Identità “reale” vs. “identità virtuale” (e ritorno)
A differenza di un non lontano passato, quando poteva dirsi che, quanto meno nel mondo “naturale”, la possibilità di restare anonimi fosse “la regola” (ed il fatto di essere identiicati l’“eccezione”)3, ad oggi il paradigma di base risulta completamente mutato, essendo l’identiicazione (e l’identiicabilità) individuale a “farla da padrona”… pure sul terreno “virtuale”4. È, dunque, in un tale rinnovato stato di cose che si è innestato il fenomeno internettiano, portando, tra le altre cose, ad interrogarsi sulle analogie e differenze, pure con riguardo ad un siffatto proilo, tra il mondo virtuale e quello reale. Volendo soffermarsi per l’essenziale su quest’ultimo proilo, è possibile osservare come due principali “visioni” vadano confrontandosi sul punto. Così, da un lato, si trovano coloro i quali, muovendo da un approccio “romantico” ad Internet, tendono a mettere di questo in luce la capacità di consentire una più libera costruzione della personalità, grazie, tra l’altro, alla possibilità, offerta dalla natura stessa del mezzo, di assumere identità diverse e parallele per ciascuna delle inestre che si decide di aprire sul proprio computer in maniera anonima5. Un’identità, dunque, in questo senso, “anonima”: varia, variabile, intercambiabile, anche multilevel e luida, caleidoscopica, temporanea e “nomade”, in grado di consentire agli individui di esprimere liberamente le proprie opinioni, senza timori di essere identiicati6; ed invece da contrastare secondo chi ritiene che non di un arricchimento della personalità si dovrebbe parlare, ma piuttosto di un modo di mettere la stessa pericolosamente in gioco nel contempo a rischio persone e personalità altrui.
3 V., ad es., amplius, al riguardo S. Rodotà, Tecnopolitica, Roma-Bari, Laterza, 1997, passim.
4 Cfr., amplius, in argomento, G. Ziccardi, Internet, controllo e libertà. Trasparenza, sorveglianza e segreto nell’era tecnologica, Gravellona Toce, Raffaello Cortina ed., 2015, 33 ss.
Un approccio più “realistico” è invece seguito, dall’altro lato, da coloro i quali avvertono sull’immanenza del fenomeno identiicativo (anche) al mondo internettiano7, avvertendo, in particolare, di come il codice o l’architettura che individua il computer possa «ben essere arricchito da meccanismi che consentono l’identiicazione del parlante»8 .
Del resto, a ben vedere è l’ambiguità di fondo del mondo virtuale che porta a dare letture diverse del fenomeno, dato che, a dispetto del carattere “etereo” del mezzo, rileva la relativa facilità di rintracciare in questo una qualche “pista numerica” idonea a rivelare l’identità reale del cibernauta “non esperto”, a maggior ragione, poi, se “sprovveduto” (a meno che, s’intende, a nessuno interessi la cosa…). Insomma, lungi dall’essere effettivamente “virtuale”, il mondo internettiano si rivelerebbe, all'opposto, meglio incline, “strutturalmente”, verso l’anonimato “relativo” e “risalibile”. Laddove ad ulteriormente accentuarne una tale propensione sarebbero (al di là di quanto si dirà infra, ai §§ 3 e ss.) le svariate ipotesi in cui l’internauta è tenuto ex lege ad “identiicarsi”9 attraverso l’impiego delle relative
5 Cfr., ad es., in questo senso, J.D. Wallace, Nameless in Cyberspace. Anonymity on the Internet, Cato Institute Brieing Papers, n. 54, 1999, 4 ss. (ora reperibile anche in https://object.cato.org/sites/cato.org/iles/pubs/pdf/bp54.pdf).
6 Cfr., in tal senso, M. Betzu, Anonimato e responsabilità in internet, in http:// www.costituzionalismo.it/articoli/391/, 2.
7 Cfr., in tal senso, L. Lessig, Code and Other Laws of Cyberspace, New York, Basic Books, 1999, spec. 54 ss. (ora reperibile anche in http://codev2.cc/download+remix/ Lessig-Codev2.pdf).
8 Così M. Manetti, Libertà di pensiero e anonimato in rete, in Dir. informaz. inf., 2014, 139-140.
9 Cfr., amplius, sul punto, E. Pelino, L’anonimato su internet, in G. Finocchiaro (a cura di), Diritto all’anonimato. Anonimato, nome e identità personale, Padova, strumentazioni (irma digitale, Select Electronic Transation, PKI, liberty Alliance, open ID, Windows CardSpace…).
Specie in quest'ottica, centrale risulta il ruolo svolto dalle operazioni di bilanciamento tra le esigenze di identiicazione e quelle, altrettanto ineludibili, di tutela della sfera della privacy10. Versante, questo secondo, attiguo all’anonimato individuale (tanto da portare la Corte Suprema israeliana ad affermare «that in the realm of Constitutional Law – when a person seeks to maintain his right to anonymity on the internet, he enjoys two basic signiicant rights – the right to freedom of expression and the right to privacy»)11 .
È anche e soprattutto in questo senso, dunque, che la questione dell’anonimato in rete – pur distinguendosi concettualmente dal trattamento dei dati personali (riferentesi, come tali, per deinizione, ad una persona identiicata o identiicabile) – rientra e può essere affrontata nel quadro del (più ampio) tema della privacy12. Ed è in questa stessa prospettiva che, come vedremo (infra, al §5), i Garanti europei della privacy si sono dimostrati da tempo ed in varie occasioni attenti alla problematica, anche nel senso di informare della necessità di preservare il nostro anonimato in rete a protezione dei dati personali che ci riguardano e più ampiamente della nostra privacy individuale13 .
CEDAM, 2008, 296 ss.; e C. Nicoll, J.E.J. Prins-M.J.M. Van Dellen, Digital Anonymity and the Law, The Hague, Asser Press, 2003, passim.
10 V., ad es., Israel Supreme Court, dec. del 2010, Rami Mor v. Barak E.T.C the Company for Bezeq International Services Ltd., reperibile in weblaw.haifa.ac.il/ en/.../mor-synopsis%20-%20inal.doc; e U.S. District Court for the Western District of Washington, dec. del 20 aprile 2001, case n. C01-453Z, John DOE, Plaintiff.
11 V., al proposito, la precedente nota.
12 Cfr., ad es., sul punto, in dottrina G. Resta, Anonimato, responsabilità, identiicazione: prospettive di diritto comparato, in Dir. informaz. inf., 2014, 178 ss.
13 Così, da ultimo, pure il Reg. (UE) 2016/679 del 27 aprile 2016 «relativo alla protezione delle persone isiche con riguardo al trattamento dei dati personali» si è posto nell’ottica di considerare l’anonimato (relativo) in rete come un particolare aspetto della tutela dei dati personali (v. il §26).
3. L’(inevitabile?) incrocio tra identità virtuale e reale
È opportuno ora osservare come una prima ed “originaria” commistione tra dati identiicativi (partic. biometrici) “reali” con quelli “virtuali” avvenga all’atto del nostro “ingresso” nel mondo internettiano, segnatamente, al momento di sottoscrivere un contratto di accesso ad Internet con un Internet Service Provider (ISP), e cioè a dire quel soggetto che, per l’appunto, fornisce agli utenti che hanno stipulato un contratto con il provider stesso l’accesso ai servizi Internet14. È noto, infatti, come, di norma (partic. nel nostro Paese) il contratto venga effettuato esibendo la propria carta d’identità, per cui l’ISP entra in possesso di informazioni fondamentali per operare quell’incrocio tra dati reali e virtuali idonei a rivelare l’identità del cibernauta, infrangendone così l’anonimato in rete15. Di qui, dunque, il suggerimento, al ine di salvaguardare il proprio “anonimato in rete” da possibili “interferenze” (per non dire vere e proprie “aggressioni”), di usufruire di “porte di accesso” “altrui”, ad es. di “reti pubbliche”, s’intende, usufruibili in maniera anonima16 .
Più nello speciico, l’ISP con il contratto di accesso ad Internet si obbliga a rendere possibile all’utente il collegamento (regolare) con la rete (l’accesso effettivo si realizza quando l’utente entra online, mettendosi nella condizione di poter reperire – e fornire – informazioni in rete). Tecnicamente, ciò avviene (anche) attraverso l’assegnazione (da parte, per l’appunto, del fornitore di accesso alla rete) del protocollo di comunicazione che consente al nostro sistema di dialogare in/con la rete, e, cioè, l’Internet Protocol Adress (o indirizzo
14 Cfr., amplius, in argomento, A.M. Gambino, I contratti di accesso ad internet, in https://www.dimt.it/2015/02/21/i-contratti-di-accesso-ad-internet/.
15 A proposito della «prima decisione di una Corte suprema europea [quella olandese] in merito all’obbligo di un ISP di fornire ad un soggetto privato i dati identiicativi di un suo utente», v. P. Balboni, Cenni giurisprudenziali e rilessioni sul quadro normativo italiano, in Diritto all’anonimato, cit., 321 ss.
16 Al proposito, più di un qualche problema è stato posto, in Italia, dal d.l. 27 luglio 2005 n. 144, conv. nella legge 31 luglio 2005, n. 155 (c.d. decreto Pisanu). Cfr., amplius, al proposito, S. Bisi, Internet e anonimato: rilessioni in tema di libertà e controllo, Milano, Narcissus, 2012, 23 ss.
IP)17. Quest’ultimo, com’è noto, consiste in una serie numerica, che normalmente viene “tradotta” in un’espressione linguistica, il domain name (DNS), che identiica un dispositivo (detto host) collegato ad una rete informatica (che in questi casi viene denominato client), il quale, per l’appunto, utilizza l’Internet Protocol come standard di rete. Pertanto, è in quest’ottica che l’IP è stato deinito come «una sequenza di numeri binari che, assegnata a un dispositivo (un computer, un tablet o uno smartphone), lo “identiica” e gli consente di accedere alla rete di comunicazioni elettroniche»; considerando, altresì, che «Detto dispositivo, per collegarsi a Internet, deve utilizzare la sequenza numerica assegnata dai fornitori del servizio di accesso alla rete», per cui l’«indirizzo IP viene trasmesso al server in cui è memorizzata la pagina web oggetto di consultazione»18 .
Nel loro insieme, il Protocollo usato ed il Domain name costituiscono l’Universal Resource Locator (URL), ovvero la sequenza di caratteri che viene digitata sulla barra degli indirizzi del browser utilizzato dall’utente e che identiica univocamente l’indirizzo di una risorsa web. Ogni dispositivo (così, ad es., oltre a quelli già più sopra menzionati: router, computer, server di rete, stampanti, palmari, ma anche elettrodomestici all’uopo predisposti…) è dotato, quindi, di un “suo indirizzo” ed in questo senso si può dire che l’indirizzo IP è ciò che consente di rilevare la presenza del terminale in rete. Per la precisione, esso assolve essenzialmente alle funzioni di identiicare un dispositivo sulla rete (inanco localizzandolo geograicamente) e di fornire il percorso per essere raggiunto da un altro terminale o dispositivo di rete in una comunicazione dati a pacchetto.
17 Non si ha modo, peraltro, di approfondire qui il delicato tema della c.d. internet governance, nell’ambito della quale rientrano, tra le altre cose, proprio le regole di creazione e distribuzione dei ranges di indirizzi IP pubblici e privati da parte dell’ICANN (americana), se non per osservare come alcuni abbiano individuato proprio in un tale ente un possibile “gestore” globale dei nomi e delle identità online, paragonabile (fatte le dovute differenze del caso) ad un’anagrafe internettiana mondiale (cfr., sul punto, ad es., O. Iteanu, L’identité numerique en question, Paris, Eyrolles, 2008, 118 e ss.; inoltre, v., amplius in argomento, P. Costanzo, La governance di internet in Italia, in E. Bertolini, V. Lubello, O. Pollicino (a cura di), Internet: regole e tutela dei diritti fondamentali, Roma, Aracne, 2013, 41 ss.).
18 Così l’Avv. gen. M. Campos Sánchez-Bordona nelle Conclusioni del 12 maggio 2016, in C 582/14, Patrick Breyer, §1.
Interessante è notare come nella giurisprudenza più sopra menzionata, prendendosi le mosse dal quanto affermato dalla Corte di Giustizia nel caso Scarlet Extended19, si sia arrivati a dire (senza essere in seguito contraddetti dallo stesso Giudice eurounitario) che gli indirizzi IP “dinamici”, in un contesto in cui la loro raccolta ed identiicazione vengano effettuate da un fornitore di contenuti (come nel caso di specie) oltre che dal fornitore di accesso alla rete (secondo quanto chiarito nel caso Scarlet) «costituiscono dati personali protetti, in quanto consentono di identiicare in modo preciso i suddetti utenti». Nell’occasione è stato pertanto seguito l’approccio c.d. oggettivo, propenso (a differenza di quello c.d. relativo) a parlare di vera e propria “identiicabilità” del cibernauta tramite l’IP (nonostante, come si è detto, in questi casi un tale dato necessiti di accompagnarsi ad informazioni aggiuntive, in vista di svelare l’effettiva identità dell’individuo). Pertanto, sebbene la persona alla quale si riferiscono le suddette informazioni non sia una «persona isica identiicata» (dato che la «data e l’ora di un collegamento, al pari della sua origine numerica, non rivelano, né direttamente né indirettamente, chi sia la persona isica cui appartiene il dispositivo dal quale viene consultata la pagina web, né l’identità della persona che lo utilizza»), tuttavia «un indirizzo IP dinamico, nella misura in cui aiuti – di per sé o unitamente ad altri dati – ad accertare chi sia il titolare del dispositivo utilizzato per l’accesso alla pagina web, può essere considerato un’informazione su una “persona identiicabile”» che, peraltro, si dovrebbe «presumere che, salvo prova contraria […] sia quella che ha navigato su Internet e consultato la corrispondente pagina web» (§§52 e ss.).
Sicché pare possibile, allo stato, concludersi che quando il dato messo in rete contiene informazioni personali “reali”, specialmente di tipo biometrico, allora, per le ragioni che si son si viste (supra, al §1), esso rende possibile procedere all’“identiicazione diretta” del soggetto riguardato, mentre si parla di “identiicazione indiretta” in tutti quei casi (come quello da ultimo richiamato) in cui il dato di per se stesso non sia di tipo biometrico epperò contenga delle informazioni personali idonee, cumulate ad altre, a risalire comunque all’identità reale della persona. 19 V. Corte giust., sent. 24 novembre 2011, in C-70/10, Scarlet Extended SA
4. L’(inevitabile?) incrocio tra app e strumenti
Da quanto si è sin qui osservato risulta confermato, ci pare, come il tema dell’anonimato in rete (“chi” siamo in Rete?) vada viepiù intersecandosi con quello della circolazione delle nostre informazioni personali quando navighiamo (“cosa ne è di ciò che immettiamo in Rete”?). In questo senso, è opportuno ora considerare invece la dificoltà – che per il cibernauta medio tende a farsi vera e propria impossibilità – di non cedere o farsi “prelevare”, prima o poi, durante la navigazione, informazioni personali che lo riguardano (anche in circostanze in cui non sia a stretto rigore necessario…). In un simile ordine di idee, si è avuto modo di osservare ormai da tempo, come l’«informatique est une dévoreuse d’identité, elle capte l’individu sous toutes ses facettes et porte au grand jour des aspects qu’il couhaiterait conserver secrets20», mentre «pour y parvenir dans les réseaux numériques, il faut déployer quantité de ruses et d’efforts» (senza, peraltro, alcuna garanzia di risultato)21. Si pensi, al proposito, anche al di là di quanto si è per l’innanzi osservato (con riguardo all’IP), a come tracce idonee ad incrociare la nostra identità virtuale con quella reale possano rinvenirsi, anche per chi navighi facendo attenzione a preservare un certo anonimato, nello stesso DNS, ma anche nell’impiego di “avatar” e inanco di pseudonimi e nicknames, nella misura in cui questi non risultino del tutto “sconnessi” da riferimenti all’identità reale del cibernauta. Per diverso proilo, si rileva l’importanza del browser, ed alle opportunità connesse alla possibilità di navigare con identità multiple, ma anche e più ampiamente di usare estensioni “Do Not Track” e/o di cifrare i dati in arrivo ed in uscita dal PC, in modo che nemmeno il provider possa intercettarli (o, per meglio dire, in modo che l’ISP entri in possesso dello stretto essenziale).
È necessario poi considerare la possibilità, altresì, attraverso lo stesso protocollo di comunicazione, di svolgere tutta una serie di altre attività, pure tramite appositi software ed app, almeno altrettanto capaci di (rin)tracciarci. Si pensi, al proposito, solo per fare qualche esempio, al fatto stesso di ascoltare e scaricare musica e ilm, all’e-commerce ed alla relativa “moneta elettronica”, nonché a tutti i servizi di e-government e inanco di e-democracy. Soprattutto, si deve tener conto delle innumerevoli tracce che lasciamo durante la navigazione (che nel loro insieme compongono i c.d. log iles), e del fatto che queste sono solitamente detenute e conservate – insieme, come si è visto, all’IP – nei server degli stessi fornitori di Internet e particolarmente, dei grandi operatori delle comunicazioni elettroniche (v. Corte di giustizia, caso “Digital Ireland”, per l’appunto, sulla c.d. data retention)22 . Estremamente problematico, da questo punto di vista, risulta (oltre che l’incrocio, anche) l’enorme assemblaggio di dati reso possibile dai motori di ricerca – i quali stanno gestendo tutte le informazioni del mondo virtuale, specie e proprio in quei casi in cui una tale attività conduca alla proilazione di “identità individuali”…23 .
20 Così D. Pousson, L’identité informatisée, in L. Pousson-Petit (éd.), L’identité de la personne humaine, Bruxelles, Bruylant, 2002, 373-374.
21 V.M. Untersinger, Anonymat sur Internet: protéger sa vie privée, Paris, Eyrolles, 2014, spec. 180 ss. e 199 ss.
Per non dire poi della possibilità che questo tipo di esiti non risultino più attuali (v., al proposito, il delicato proilo del diritto all’anonimizzazione dei dati giudiziari), ovvero che facciano ormai parte del “passato”, avendovi inciso altri, successivi, accadimenti della vita. In questi casi, infatti, è stata la stessa Corte di giustizia a riconoscere l’esistenza e la possibilità del soggetto riguardato di rivendicare il proprio “diritto all’oblio” nell’ambito del famoso “caso Google”24 .
Una trattazione a parte meriterebbero poi tutte quelle forme – che, peraltro, è talvolta viepiù dificile ricondurre in modo univoco tra le forme di corrispondenza e comunicazione (di cui all’art. 15) o a quelle di manifestazione del pensiero (di cui all’art. 21 della nostra Costituzione) – che svolgiamo in ampia parte attraverso la posta elettronica, i fax telematici ed i servizi di messaggistica, incluse le chat, e che, sul piano pratico, secondo alcuni sarebbe più facile “mettere in chiaro” rispetto ai sistemi tradizionali25. Il pensiero va, in particolare, alle piattaforme in rete come Whatsapp e Skype, delle quali, mentre si apprezza l’attenzione nel garantire una qualche cifratura dei messaggi, vanno messe altresì in luce le problematicità derivanti soprattutto dai legami con la Microsoft, tenuto anche conto delle caratteristiche non open sources dei codici informatici (risultandone dunque la dificoltà di conoscere gli effettivi meccanismi di funzionamento) dei relativi sistemi.
22 V. Corte giust., sent. 8 aprile 2014, in C-293/12 e C-594/12, Digital Rights Ireland Ltd.
23 Cfr., al riguardo, P. Costanzo, Motori di ricerca: un altro campo di sida tra logiche del mercato e tutela dei diritti?, in Diritto dell’internet, 2006, 545 ss.
24 V. Corte giust., sent. 13 maggio 2014, in C-131/12, Google Spain SL.
25 Così, ad es., «Il est bien plus facile […] de surveiller quelqu’un via ses e-mail que via son télephone [ixe]» (cfr. M. Untersinger, Anonymat sur Internet: protéger sa vie privée, cit., 200); cfr., amplius, in argomento, P. Costanzo, Libertà di manifestazione del pensiero e “pubblicazione” su Internet, in Il diritto dell’informazione e dell’informatica, 1998, 370 ss.
Ancora, si pensi agli enormi incroci di informazioni resi possibili da quei social network programmati proprio al ine di consentire ai cibernauti di “dar notizia” di sé e degli altri (come Twitter, Facebook, LinkedIn, solo per citare i più noti). Ed alle applicazioni create appositamente a ini identiicativi (come ad es. FindFace, che usa dei database fotograici per confrontare le immagini e rivelare i nomi delle persone e viene pubblicizzata proprio come “l’applicazione per scoprire il nome delle persone”…(!)) e di conservazione delle informazioni (c. ad es. tutto il sistema Clouds). Senza poi dire delle informazioni e dei dati condivisi e conservati dagli stessi social (da ultimo, pare, tra Facebook e Whatsapp…)26 e dalle varie occasioni (che anche questi ultimi rendono possibili) di geolocalizzazione individuale27 .
Ma a segnare l’ulteriore “salto di qualità” dell’identiicazione in rete è stata l’espansione pressoché globale dei cellulari – segnatamente, smartphone e tablet – ovvero delle tecnologie voice and touch.
L’uso di questo tipo di strumentazioni ha reso infatti possibile il compimento di quello “step” che ancora si frapponeva alla “rivelazione diretta” dell’identità dell’utilizzatore del terminale, data l'impossibilità, come si è visto, di instaurare un collegamento univoco tra cibernauta e terminale, rendendo ora possibile, invece, l’incrocio diretto delle informazioni immesse in rete coi dati personali di tipo anagraico e, soprattutto, biometrico – voce, impronte digitali, volto… – di chi li immette e inanco la sua geo-localizzazione in tempo reale. Per non dire poi della possibilità di creare collegamenti a distanza estendendone le funzioni ad ulteriori strumenti in grado,
26 V., al proposito, Corte giust., sent. 6 ottobre 2015, in C-362/14, Maximillian Schrems (meglio noto come “caso Facebook”).
27 Cfr., in argomento, P. Costanzo, Note preliminari sullo statuto giuridico della geolocalizzazione (a margine di recenti sviluppi giurisprudenziali e legislativi), in Dir. informaz. inf., 2014, 331 ss.
Nodi virtuali, legami informali: Internet alla ricerca di regole a loro volta, di memorizzare dati personali (RFID e gli NFC) e, più in generale, di identiicare non solo l’“utilizzatore” del terminale ma anche le persone che gli stanno accanto, secondo rinnovate forme di “monitoraggio diffuso”.
5. Tra anonimato ed identità “infranti”
Secondo alcuni (partic. Enik Enikson) non ci sarebbe «punizione più atroce dell’essere “insentiti” […] del trovarsi in una società dove si sia del tutto trascurati o addirittura esclusi»: «ben più atroce» ci fanno notare altri (James) «delle torture corporali, poiché queste, per quanto dolorose, ci fanno pur sempre capire di non essere naufragati al punto da risultare indegni di alcuna attenzione …»), specie da parte di quelli che per noi «contano»: («inner assuredness»). Quella che Erving Goffman ha deinito la “disattenzione civile” mal si concilierebbe, infatti, con «l’esigenza dell’uomo moderno all’attenzione reciproca intesa in senso non solo percettivo ma soprattutto normativo», la quale implica e presuppone la possibilità di godere, tra l’altro, di quel «rituale interpersonale più pervasivo nel rapporto fra individui in società »: il fatto, cioè, proprio, di essere riconosciuti e considerati (dagli altri).
Ebbene, le ICT – e tra queste Internet – paiono porsi in controtendenza rispetto a questo tipo di dinamiche (di qui, forse, una delle tante ragioni della loro diffusione) in forza della loro idoneità a favorire l’instaurazione di collegamenti “plurilaterali” e la loro moltiplicazione esponenziale … creando così una “rete” inestricabile di “identità reali” e “digitali”, nella quale mentre ci è dato forse modo di affermare noi stessi nei rapporti con gli altri, risulta anche, nel contempo, sempre più concreta la possibilità di perdere il controllo delle informazioni che ci riguardano. Insomma, mentre da un lato ci troviamo irrefrenabilmente indotti a svolgere la nostra personalità individuale in rete, dall’altro, siamo pure consapevoli di come la preservazione di una certa quota di libertà individuale richieda di non esporci personalmente sul web28 .
28 Non si considerano, peraltro, qui i proili di rilievo penale, inclusi i vari tipi di “furti d’identità” in rete.
Le istituzioni eurounitarie – specialmente, oltre alla Corte di Giustizia29, la Commissione EU ma anche, dal canto loro, i Garanti europei della privacy – sembrano avere colto il carattere ambivalente della situazione, dimostrando una particolare attenzione per il tema dell’anonimato in rete, col promuovere, nel quadro delle c.d. privacy enhancing technologies, l’impiego di strumenti c.d. anonimizzatori (per la precisione, anonimizzatori c.d. soft, utilizzabili pure dai cibernauti non esperti)30, idonei a ridurre, per l’appunto, il tasso di informazioni personali circolanti sul web, al ine, in ultima analisi, di valorizzare le enormi opportunità che la medesima navigazione in rete presenta31. Inoltre, è in una tale prospettiva che può guardarsi alla regolamentazione dell’uso dei cookie sui siti web (v. la Direttiva 2009/136/EG, recepita da noi nel quadro delle più ampie modiiche apportate ai “Codici” delle comunicazioni elettroniche e della privacy da parte dei d.lgs. n. 69 e n. 70 del 2012). Materia, questa, su cui è intervenuto a varie riprese lo stesso Garante per la protezione dei dati personali, risultandone ad oggi la necessità dell’acquisizione del consenso da parte degli utenti prima dell’utilizzo dei c.d. cookies di proilazione, oltre che, più in generale, alle c.d. accettazioni delle “informative sulla privacy”32 .
Oltre agli strumenti di anonimizzazione “soft” esistono anche anonimizzatori c.d. hard, i quali consistono (più che in “strumentazioni”) in vere e proprie “sovra/sotto strutture” della rete Internet, usufruibili solo da chi possiede speciiche competenze33 ed in
29 V., ad es. Corte giust., ord. 13 gennaio 2016, in C 517/15 P R, AGC Glass Europe SA.
30 Segnatamente, software di protezione dei terminali (come ad es. antivirus, antimalware, irewall, remailing, suicide machines), adozione di browser rispettosi delle norme europee sui dati personali, nonché trasmissione anonima di informazioni via virtual private network (VPN).
31 V., ad es., tra i primi doc., la Racc. 3/97 del Gruppo di lavoro per la tutela delle persone isiche con riguardo al trattamento dei dati personali, sull’“anonimato su Internet”).
32 Per alcune prime considerazioni sul punto cfr. D. Pousson, L’identité informatisée, cit., 407 ss.; nonché, più di recente, M. Untersinger, Anonymat sur Internet: protéger sa vie privée, cit., 67 ss.
33 Così, ad es., una delle “strutture” più note è quella che, collegando l’IP del terminale di chi naviga (c.d. ping) con l’IP di un altro terminale (c.d. Proxy), fa apparire questo secondo come client, rendendo più dificoltoso per i fornitori di accesso alla rete ricostruire/individuare i reali responsabili di quanto viene com- grado di garantire (loro), a determinate condizioni, un anonimato assoluto (ovvero un’identità individuale non risalibile). Peraltro, si deve subito osservare come un tale versante tenda a fuoriuscire dai binari strettamente “giuridici” e “statali”, per farsi di tipo “politico” e “globale”, rilevando nelle migliori delle ipotesi come strumento di autodifesa o di ribellione e comunque, come è stato puntualmente osservato, “in rapporto ai concetti di dissenso politico e di democrazia”34 . piuto online (va da sé che più i c.d. ping sono numerosi ed in diverse parti del mondo, e più è dificile risalire allo user “reale” iniziale).
Del resto, l’idea stessa di rivolgere le tecnologie contro il potere precostituito non è certamente nuova … la novità sta forse nel fatto che oggi essa può dirsi parte anche di quel substrato culturale e politico (meglio noto come hacktivism) in cui è sorto anche Wikileaks, e cioè a dire quella piattaforma tecnologica ideata da Julian Assange, (con lo pseudonimo di Mendax) sostenuta da soisticati algoritmi di crittograia, grazie alla quale chiunque aveva ed ha la possibilità di depositare, in modo per l’appunto totalmente anonimo, dati riservati in una “buca delle lettere virtuale” che può essere decifrata solo da chi ne conosce i meccanismi di funzionamento.
Pare, poi, che si debba allo stesso governo americano il inanziamento del “progetto TOR” (The Onion Routers), con l’obiettivo proprio di precostituire un canale di comunicazione “sicuro” anche in quanto “anonimo” (v. ad es. l’impiego di questo tipo di tecnologie nei territori palestinesi e siriani).
Tuttavia, l’anonimato che pure si riesce così a garantire in rete può risultare “risalibile” in quei casi in cui l’individuo sia stato comunque identiicato nell’ambito e da parte del proprio ordinamento giuridico di appartenenza. Laddove affatto differente risulta, invece, a ben vedere, la situazione per i soggetti appartenenti a gruppi che non hanno fatto propri gli schemi organizzativi statuali basati sull’anagrafe e/o comunque su strutture di prelievo e registrazione dell’identità degli individui (v., al proposito, supra, il §1)35 .
34 Cfr., sul punto, M. Cuniberti, Democrazie, dissenso politico e tutela dell’anonimato, in Dir. informaz. inf., 2014, spec. 122 ss.; e G.E. Vigevani, Anonimato, responsabilità e trasparenza nel quadro costituzionale italiano, ivi, 207 ss.
35 Cfr., sul punto, ad es. S. Bisi, Internet e anonimato, cit., 8.
In tali circostanze, infatti, a quell’esito di anonimato assoluto in rete conseguito da noi con tanti e defatiganti “artiici tecnologici” è dato di arrivare in maniera, si direbbe “più naturale” e “diretta”. Aprendosi, con ciò, un ulteriore capitolo relativo agli standards di identiicazione ed anonimato sul piano internazionale, ancora tutto da scrivere.
L’identità personale alla prova del web. Prime osservazioni sul nuovo Sistema pubblico di identità digitale (SPID)
Mimma Rospi
1. Introduzione
Il web genera “nodi virtuali” ovvero rapporti interpersonali che si basano su un nuovo modo di interfacciarsi con l’altro più celere, più immediato. Tra i nodi virtuali non è certo esente il rapporto tra pubbliche amministrazioni e cittadini, tanto da indurre l’UE e gli Stati membri ad avviare un processo di digitalizzazione della p.a., al ine di garantire un eficientamento dei servizi resi ai cittadini. In ciò si inserisce il nuovo sistema di identità digitale, che trae avvio dal regolamento europeo n. 910 del 23 luglio 2014, c.d. eIDAS, entrato in vigore il 1 luglio 2016, e, in Italia, con la realizzazione dello SPID, previsto nel d.lgs. n. 82, del 7 marzo 2005 e successive modiiche (da ultimo il d.lgs. 26 agosto 2016, n. 179), e a cui è stato dato attuazione con il d.p.c.m. 24 ottobre 2014.
Il sistema SPID, in vigore già dall’aprile 2016, è un sistema federato di gestione dell’identità digitale che consente ai soggetti giuridici, persone isiche e giuridiche, di utilizzare le medesime credenziali per l’accesso ai servizi in rete forniti da diversi fornitori sia privati, che pubblici, perseguendo gli obiettivi che già erano stati posti nel CAD. Si prevede, inoltre, l’obbligo per tutti i soggetti qualiicati dall’art. 3 del decreto ministeriale come “partecipanti allo SPID” di aderirvi, posto che le pubbliche amministrazioni sono obbligate a prendere parte al sistema SPID entro 24 mesi dall’accreditamento del primo gestore dell’identità digitale, peraltro già avvenuto con delibera di Accredita del 28 giugno 2016.
