Sicurezza, ICT e altro

Un’altra sentenza della Corte di Cassazione che aiuta a chiarire un altro punto interessante per la sicurezza informatica, ovvero il ruolo dei siti di indicizzazione P2P nei reati di violazione del diritto d’autore. Questa volta grazie a Interlex. Dice che il contributo del sito di indicizzazione è essenziale alla perpetrazione del reato, e che non è un contributo “agnostico”. Pian piano si cominciano ad avere delle sentenze che chiariscono un po’ la situazione.

E sempre riguardo al “chiarire la situazione” , dato che ho sentito delle interpretazioni un po’ semplicistiche della sentenza relativa alla detenzione di programmi illecitamente copiati, la sentenza non dice assolutamente che è lecito installare programmi abusivamente copiati, anzi, sembra suggerire che il giudice di primo grado avrebbe potuto approfondire meglio questo aspetto. In effetti, si potrebbe dire (mio pensiero, non della Corte di Cassazione) che installare un programma senza licenza rientri nella fattispecie della copia abusiva, che la sentenza non indica assolutamente come attività lecita. È solo la detenzione, presumibilmente a seguito di un’installazione fatta da altri, che non è illecita. Sicuramente è questo il caso trattato dalla sentenza, e bisogna sempre ricordare che anche le sentenze della Cassazione si riferiscono sempre a casi specifici, e che l’estensione dell’interpretazione a situazioni “simili” può essere del tutto sbagliata (lo è in generale).

Update: per evitare di nuovo fraintendimenti, la sentenza dice che se c’è stato reato, il sito di indicizzazione contribuisce. Non dice, mi pare, che un sito di indicizzazione commetta un reato per il solo fatto di indicizzare (ovvero, aggiungo io: il reato da parte del sito di indicizzazione c’è se effettivamente è stato provato lo scambio di  materiale in violazione della norma, ma su questo la sentenza non si è espressa).

È un periodo tutto sommato vivace. Il NIST ha selezionato gli algoritmi di hash per il secondo round, gli algoritmi crittografici usati nelle reti GSM hanno di nuovo problemi, è stata fattorizzata una chiave RSA di 768 bit, è stata trovata e poi corretta una vulnerabilità di SSL. Tutte cose interessanti, ma nessuna sconvolgente. Il punto interessante è proprio questo: contrariamente a quanto spesso si crede, la maggior parte dei cambiamenti nel campo della crittografia non sono improvvisi e drammatici, come spesso si vede nei film, in cui un genio improvvisamente scopre un sistema per leggere in tempo reale tutte le comunicazioni cifrate del mondo, e un gruppo di scienziati altrettanto rapidamente nel giro di una notte risolve tutto. Nella pratica, gli algoritmi ed i protocolli vengono indeboliti un po’ per volta, fino a quando diventa opprtuno passare ad altro prima che l’indebolimento sia tale da essere un problema.

Ed a proposito di percezione sbagliata della crittografia, segnalo questo interessante algoritmo di voto. È molto bello dal punto di vista crittografico (ma non bisogna farsi ingannare dal post: “sorveglianza ovunque” non vuole dire che il singolo votante non possa preparare il proprio voto libero da pressioni e osservatori ). Tuttavia, questi algoritmi mostrano come questo tipo di ricerca, con le sue ipotesi così assolute sul contesto, la complessità (non in senso computazionale) dei protocolli  e  le capacità computazionali dei singoli attori, sia ancora ben lontana dall’offrire soluzioni praticabili. La percezione che si ha spesso della crittografia è invece che applicando qualche algoritmo crittografico alle comunicazioni in un sistema di voto tradizionale si risolva qualcosa.

Una sentenza veramente interessante quella pubblicata a fine anno, soprattutto l’ultima parte, vedi ad esempio qui. La detenzione da parte di un privato di programmi abusivamente duplicati non è punibile (rimane punibile la duplicazione abusiva).

Forse vale la pena di spiegare la questione della normativa CEE, che trovate commentata qui, nella quale mi ero già imbattuto occupandomi di firma elettronica in ambito europeo con il progetto R4eGov. Si tenga presente che non sono un giurista, quindi qualche termine o concetto può essere impreciso. Ogni paese può emanare delle normative tecniche il cui rispetto è obbligatorio per l’offerta di beni e servizi sul suo territorio.  Ad esempio, una caldaia deve rispettare determinati requisiti tecnici ed avere determinate certificazioni che ne garantiscono la sicurezza. Tuttavia i criteri tecnici possono essere una “scappatoia normativa” per far passare delle regole restrittive della libera circolazione delle merci e dei servizi: un paese potrebbe imporre che tutte le caldaie vendute  rispettino dei requisiti, magari di certificazione, che possono essere di fatto rispettati solo da prodotti di quel paese, magari perché incompatibili con quanto viene fatto in tutti gli altri paesi. Per evitare questo rischio, le normative tecniche devono essere preventivamente sottoposte all’UE, che può anche eventualmente bloccarle. Per il contrassegno SIAE, a quanto pare questo non è stato fatto, e si potrebbe quindi ipotizzare che tale obbligo  sia restrittivo della circolazione delle merci e dei servizi. Conseguentemente, le norme che vi fanno riferimento non possono essere fatte valere.