Tra una bomba e l’altra, abbiamo sentito delle norme antiterrorismo volute dal ministro dell’interno Pisanu e approvate più o meno da tutti i partiti. Tra queste norme, si è sentito dire che “i provider dovranno tenere per due anni tutti i messaggi di posta elettronica”. Beh, non è esattamente così, almeno da quello che si può leggere nel testo del decreto.
Premessa: io non ho studi di legge, e posso solo parlare dal punto di vista informatico. Non prendete insomma le mie parole per oro colato. L’articolo in questione è il 6, comma 1, e recita così:
A decorrere dalla data di entrata in vigore del presente decreto e tino al 31 dicembre 2007 è sospesa l’applicazione delle disposizioni di legge, di regolamento o dell’autorità amministrativa che prescrivono o consentano la cancellazione dei dati del traffico telefonico o telematico, anche se non soggetti a fatturazione, e gli stessi, esclusi comunque i contenuti delle, comunicazioni, e limitatamente alle informazioni che consentono la tracciabilità degli accessi e dei servizi, debbono essere conservati fino a quella data dai fornitori di una rete pubblica di comunicazioni o di un servizio di comunicazione elettronica accessibile al pubblico, fatte salve le disposizioni vigenti che prevedono un periodo di conservazione ulteriore. I dati del traffico conservati oltre i limiti previsti dall’articolo 132 del decreto legislativo 30 giugno 2003, n. 196, possano essere utilizzati esclusivamente per le finalità del presente decreto legge, salvo l’esercizio dell’azione penale per i reati comunque perseguibili.
A parte l’uso creativo delle virgole, è abbastanza chiaro leggere che il contenuto delle comunicazioni è escluso. Quindi si può immaginare che quello che si dovrà conservare per due anni sono i log dei server: data e ora del contatto, sito remoto, mittente e destinatario dell’envelope, cioè la “busta” del messaggio, che non sono necessariamente gli stessi di quelli che vediamo noi. Per fare un esempio banale, se io invio un messaggio in ccn: al mio amico pippo@example.com, il server di posta di example.com vedrà nell’envelope che il destinatario è pippo@example.com, ma nel testo nel messaggio non ci sarà traccia di Pippo. Attenzione: il titolo del messaggio non appare nell’envelope ma nel corpo del messaggio, come pure la dimensione del messaggio stesso, e sarebbe bello sapere cosa vuole fare il ministro di quei dati.
La cosa non è stupida come può sembrare a prima vista: non è poi così difficile ricavare utili dati anche soltanto dai log, come ben sa chiunque si sia divertito su Usenet a sgamare un finto “nuovo” utente. I dati che ho indicato sopra possono essere compattati in una cinquantina di byte: per dieci milioni di messaggi al giorno fanno mezzo giga, meno di un CD e una frazione di DVD.
Passiamo adesso alle note dolenti, e ce ne sono. Innanzitutto lo spam. Se le stime che dicono che oggi un messaggio su dieci non è spam, quei dati sono da decuplicare, e già diventa più difficile. Vorrà dire che cominceranno ad esserci algoritmi antispam molto più aggressivi che non accettano nemmeno i messaggi sospetti: se non li si prende, non li si deve nemmeno salvare… La cosa potrebbe anche essere simpatica, se non fosse che comincerà a ridursi la certezza della spedizione del proprio messaggio.
Altro punto da considerare è la definizione di “contenuti”. Le header di un messaggio, quelle con il titolo, la data di spedizione, ma anche il programma usato per spedirle e la codifica del messaggio stesso, non sono effettivamente “contenuto”, e danno informazioni molto utili ai detective. Quindi potrebbe essere necessario salvare anche questi dati: risultato, di nuovo un fattore 10 di dimensioni in più.
Infine, la parte più dolente. Chi deve salvare tutti questi dati? Pensiamo un attimo: il nostro terrorista in erba può tranquillamente usare un suo server mail personale, saltando quindi quello del suo provider, e non si sogna certo di tenersi i log; quindi questi devono anche essere salvati da chi riceve posta. È vero che di per sé si può anche avere su un server per ricevere posta, ma questo è più raro. In questo caso occorrerebbe mettersi a sniffare il traffico sulla rete e vedere quello SMTP, cosa non troppo complicata ma sicuramente costosa. L’altra possibilità è vietare di usare la porta 25 agli utenti comuni: in fin dei conti lo si sta già facendo abbastanza spesso per bloccare lo spam che proviene dai PC con ADSL cui gli spammatori hanno fatto il lavaggio del cervello prendendo loro possesso. Però garantisco che a me la cosa non piacerebbe affatto.
Detto tutto questo, resta il punto fondamentale. Io uso Gmail via webmail. Se scrivo ad Anna che legge i suoi messaggi su Hotmail via webmail il mio testo non passa da un server italiano, quindi non se lo salverà nessuno (ok, sono ragionevolmente certo che se lo salvano gli americani senza dirci nulla, ma non è questo il punto). Quindi tutto il decreto non serve a nulla. Carino, no?
Ultimo aggiornamento: 2005-07-24 17:52