Le VPN (Virtual Private Network) sono reti private virtuali che consentono agli utenti di navigare su Internet in modo sicuro, crittografando i dati e instradando il traffico attraverso server remoti. Si tratta di soluzioni preziose, che permettono in primis di proteggere i propri dati mentre si utilizzano connessioni gestite da soggetti terzi (si pensi al classico access point WiFi pubblico o aperto).
Ampiamente utilizzate in ambito business, gli amministratori IT configurano server VPN per consentire al personale aziendale di connettersi in modo sicuro alla rete locale dell’impresa in modalità remota.
Da tempo, non si contano tuttavia anche i fornitori di servizi VPN che offrono agli utenti l’opportunità di difendere la propria privacy online. In questi casi, il server VPN è fornito da aziende specializzate e gli utenti possono generalmente scegliere il “server di uscita”, utile ad esempio per presentarsi con un indirizzo IP pubblico completamente diverso da quello assegnato dal provider locale. Oltre a mascherare l’indirizzo IP reale dell’utente, i principali servizi VPN permettono di aggirare la censura online, superare le limitazioni geografiche e proteggere i dati in transito.
AGCOM chiama a raccolta i fornitori di servizi VPN: ecco perché
Le modifiche recentemente apportate sul contenuto della legge 14 luglio 2023, n. 93 (“Disposizioni per la prevenzione e la repressione della diffusione illecita di contenuti tutelati dal diritto d’autore mediante le reti di comunicazione elettronica“) prevedono che AGCOM (Autorità per le Garanzie nelle Comunicazioni) svolga un’azione di monitoraggio e repressione dei reati consumati online e relativi alla violazione dei contenuti protetti dalla normativa a tutela del diritto d’autore.
A tale proposito, si parla non soltanto di sanzioni amministrative e penali per chi diffonde contenuti soggetti a copyright senza averne diritto ma anche di multe automatiche e salate per chi fruisce dei contenuti piratati (fino a 5.000 euro).
Non è una novità che tanti utenti si servano dei servizi VPN per nascondere la propria identità (se l’indirizzo IP cambia è difficile risalire a quello reale, specialmente se il gestore della VPN non collabora, non conservando alcun tipo di log delle connessioni…) e accedere ai contenuti illecitamente diffusi.
Le modifiche apportate al testo normativo (pubblicate in Gazzetta Ufficiale e visibili anche su Normattiva) prevedono che AGCOM possa ordinare non solo ai provider (ISP) ma anche ai gestori di VPN e DNS pubblici di disabilitare l’accesso ai contenuti diffusi abusivamente mediante blocco dei nomi di dominio e degli indirizzi IP (indicati dalla stessa Autorità su segnalazioni degli aventi titolo). La prescrizione si estende inoltre a tutti i “prestatori di servizi” digitali quindi alla stragrande maggioranza delle figure con cui utenti privati e aziende si interfacciano ogni giorno: dal motore di ricerca al provider di posta elettronica, dal fornitore di spazio cloud alla piattaforma di messaggistica, dalla suite per l’ufficio online a qualunque soluzione per la collaborazione e la produttività.
La responsabilità dei fornitori di servizi VPN e degli altri prestatori di servizi online
Un’ulteriore modifica applicata alla legge sul copyright, sancita con l’introduzione del nuovo art. 174-sexies (legge 7 ottobre 2024, n. 143, qui il testo in Gazzetta Ufficiale), prevede che un’ampia schiera di soggetti (ad esempio tutti quelli citati in precedenza, compresi motori di ricerca, fornitori VPN e gestori di resolver DNS) è d’ora in avanti tenuta a segnalare all’Autorità giudiziaria o alla Polizia giudiziaria “condotte compiute o tentate condotte penalmente rilevanti” rilevate durante l’utilizzo dei loro servizi.
Nel caso delle VPN, queste prescrizioni minano le fondamenta dei servizi stessi. In altre parole, leggendo (neanche troppo) tra le righe, i provider sono chiamati a monitorare il comportamento degli utenti, denunciando condotte lesive dei diritti altrui o potenzialmente tali. Buona parte dei servizi VPN, però, non conserva i log delle attività svolte dagli utenti. Fare diversamente significherebbe violare la privacy degli utenti e calpestare quelle stesse promesse che costituiscono la spina dorsale delle VPN.
La violazione delle nuove disposizioni, comporta l’irrogazione di una sanzione penale che può arrivare fino a un anno di reclusione.
Diego Ciulli, Head of Government Affairs and Public Policy Google Italia, ha fatto presente quanto segue: “il Senato ha approvato una norma che obbliga le piattaforme digitali a comunicare all’Autorità giudiziaria tutte le violazioni di diritto d’autore – presenti, passate e future – di cui vengano a conoscenza. Lo sapete quante sono nel caso di Google? Al momento, 9.756.931.770. Insomma, il Senato ci chiede di inondare l’Autorità giudiziaria di quasi 10 miliardi di URL, e prevede il carcere se manchiamo una sola notifica. Se la norma non viene corretta, il rischio è di fare il contrario dello spirito della legge: ingolfare l’Autorità giudiziaria, e togliere risorse alla lotta alla pirateria“.
No, le VPN non sono vietate in Italia
Mentre AGCOM convoca, o quanto meno prova a convocare, i rappresentanti dei principali gestori di servizi VPN al suo Tavolo Antipirateria, sono tanti i dubbi che aleggiano intorno alle disposizioni di legge di recente approvazione.
Innanzi tutto, il legislatore precisa che i prestatori di servizi online (compresi i gestori VPN) tenuti a rispettare la norma sono tutti coloro che offrono i loro strumenti anche in Italia, “ovunque residenti e ovunque localizzati“.
Il fatto, come abbiamo ripetutamente evidenziato, è che gran parte dei servizi VPN ha sede legale in Paesi extraeuropei. È un po’ una chimera pretendere di applicare una disposizione italiana a una giurisdizione completamente differente. Addirittura, l’art. 174-sexies prevede che “i soggetti (…) non sono stabiliti nell’Unione europea e che offrono servizi in Italia devono designare per iscritto, notificando all’Autorità il nome, l’indirizzo postale e l’indirizzo di posta elettronica, una persona fisica o giuridica che funga da rappresentante legale in Italia e consenta di comunicare direttamente, per via elettronica, con l’Autorità medesima ai fini dell’esecuzione della presente legge“.
Quante sono le probabilità che i gestori di una VPN, di un DNS pubblico o di un qualunque altro servizio online con sede extra-UE si attivino per ottemperare alle prescrizioni di un Paese come l’Italia? A nostro avviso, zero.
Certo, c’è sempre lo strumento della censura di Stato. L’Autorità può ad esempio disporre, nei casi più gravi, di impedire l’utilizzo di un servizio da parte degli utenti nel nostro Paese. Ma davvero si pensa di avere gli strumenti per impedire l’utilizzo di uno strumento come una VPN, per sua natura dinamica nella struttura ed estremamente mutevole?
In ogni caso, no. Le VPN non sono vietate in Italia e, soprattutto, vale la pena ricordarsi che sono soltanto un mezzo di comunicazione, come tanti altri.
La pirateria non si combatte ponendo pesanti obblighi sui distributori dei pacchetti dati
La rete Internet è la rete a commutazione di pacchetto per eccellenza. E per un provider tutti i pacchetti dati sono uguali. Non si dovrebbe pretendere di imporre regole da regimi totalitari per imporre di verificare cosa c’è dentro quegli stessi pacchetti.
Una lotta alla pirateria seria si concentra sull’erogazione dei contenuti, non sui soggetti che cooperano a vari livelli per distribuire quei contenuti. E vogliamo chiederci da dove arrivano i contenuti piratati? Da chiavi di decodifica utilizzate dai “pirati” che permettono di acquisire il flusso multimediale direttamente sui server delle piattaforme di streaming.
E invece si preferisce bloccare un numero potenzialmente spropositato di indirizzi IP pubblici, con il rischio di causare danni ad attività perfettamente lecite che dovessero sciaguratamente condividere il medesimo indirizzo usato per diffondere contenuti non autorizzati.
Il testo modificato della legge 14 luglio 2023, n. 93 sostituisce il precedente avverbio “univocamente” con “prevalentemente”: “AGCOM (…), con proprio provvedimento, ordina ai prestatori di servizi, compresi i prestatori di accesso alla rete, di disabilitare l’accesso a contenuti diffusi abusivamente mediante il blocco della risoluzione DNS dei nomi di dominio e il blocco dell’instradamento del traffico di rete verso gli indirizzi IP prevalentemente destinati ad attività illecite“.
Se allo stesso indirizzo IP risponde il sito di un’azienda o di un’associazione senza scopo di lucro ma anche una piattaforma che distribuisce contenuti “piratati” qual è l’utilizzo prevalente? E chi paga per le interruzioni del servizio indebitamente subìte da chi esercita un’attività assolutamente lecita?
Credit immagine in apertura: iStock.com – Viktor Gl