-----BEGIN PGP SIGNED MESSAGE-----

LEGGERE LE AVVERTENZE IN FONDO AL DOCUMENTO

ATTUALITA' Micro & Personal Computer 2/1995

(versione consegnata alla redazione)

SISTEMI TELEMATICI E POSTA ELETTRONICA: RESPONSABILITA' E RISERVATEZZA.

La raggiunta fase di maturita' della telematica personale ed alcuni recenti
episodi giudiziari hanno messo in luce un parziale vuoto legislativo:
quello sulla responsabilita' degli operatori di sistemi telematici per i
reati attraverso essi commessi, e del rispetto della segretezza della posta
elettronica, anche da parte degli operatori di sistema. Vediamo quali sono
le problematiche che si affrontano e le relative, possibili, soluzioni.

di Fabrizio Ruggeri

Il problema della responsabilita' degli operatori di sistemi telematici nasce
appena si consideri quanti reati (dalla diffamazione e ingiuria alla violazione
dei diritti d'autore allo scambio di informazioni riservate quali numeri di
carte di credito, e via di seguito) sia possibile commettere attraverso i
sistemi telematici (come d'altronde attraverso qualsiasi altro mezzo di
comunicazione personale o di massa).

Distinguiamo i reati commessi nelle aree pubbliche del sistema (aree programmi e
aree di dibattito pubblico) dai reati commessi attraverso le aree private (la
posta elettronica (PE) cioe` ogni comunicazione avente destinatari determinati).

REATI IN AREE PUBBLICHE

Ipotizziamo che l'utente Pinco Pallino scrivendo sul sistema diffami Mario
Rossi.

Se la diffamazione fosse avvenuta a mezzo stampa Mario Rossi avrebbe potuto
aggredire in giudizio non solo Pinco Pallino ma anche il direttore della
pubblicazione, il quale garantisce che attraverso la stessa non vengano commessi
reati.

Ma puo' il gestore di un sistema telematico essere equiparato a un direttore di
giornale? Sicuramente no per quanto riguarda gli aspetti penali (in mancanza di
una norma specifica, e non essendo applicabile nel campo penale l'analogia)
mentre potrebbe esserlo per quanto riguarda gli aspetti civili (risarcimento
danni).

Prendiamo allora un' altra ipotesi: in una trasmissione TV in diretta Pinco
Pallino diffama Mario Rossi. In questo caso la legge 223/90 ("Mammi'") non
attribuisce le responsabilita' del direttore di giornale in quanto non e`
materialmente esercitabile un controllo preventivo sulla liceita' di quanto
trasmesso.

Persino nel caso di pubblicazioni a stampa sono stati assolti direttori di
giornali per la pubblicazioni di annunci pubblicitari che celavano, di fatto,
attivita' di prostituzione (la cui pubblicita' e` vietata dalla legge). (1)

I giudici hanno cioe` ritenuto che la responsabilita' del direttore non potesse
spingersi fino al controllo, per ogni annuncio pubblicato, che la massaggiatrice
effettivamente svolgesse attivita' di massaggiatrice, e non di "massaggiatrice".
Non si e` certo ritenuto che in quel caso il direttore dovesse rinunciare alla
pubblicazione dell'inserto pubblicitario, come del resto in sede legislativa non
si e` ritenuto che le TV dovessero rinunciare alle trasmissioni in diretta.

Visto quanto sopra si ritiene da piu' parti (2) che l'operatore di sistema
non possa essere equiparato a un direttore di pubblicazione a stampa, non
possa cioe` essere ritenuto colpevole di non aver operato un controllo che,
di fatto, non era possibile operare.

I messaggi pubblici possono infatti essere anche centinaia al giorno, e non si
puo' pretendere che il gestore di un'attivita' spesso amatoriale come un sistema
telematico possa sobbarcarsi l'onere di leggerli e vagliarli tutti prima di
renderli pubblici. Cio' non solo ucciderebbe i sistemi amatoriali, ma anche
snaturerebbe le conferenze pubbliche privandole della loro caratteristica
immediatezza.

Non sbaglia Carlo Sarzana di Sant'Ippolito (3) (uno dei padri della Legge 547/93
sui crimini informatici) quando dice che tale controllo e` "possibile", ma cio'
che e` tecnicamente possibile (e anche facile) puo' essere, ed e` questo il caso,
economicamente improponibile. Il sistema dovrebbe pagare persone per vagliare le
centinaia o migliaia di messaggi al giorno, e per giunta comporterebbe la
trasformazione delle conferenze in una cosa diversa da cio' che comunemente si
intende con questo termine.

E' sicuramente piu' logico invece aspettarsi un controllo preventivo dei
programmi inviati al sistema (in genere attuato spontaneamente anche per timore
dei virus).

ANONIMATO  E IDENTIFICAZIONE

Sembra dunque ai piu' che un operatore di sistema non sia equiparabile a un
direttore responsabile di pubblicazione a stampa, ma a condizione che l'OS renda
nota l'identita' di chi interviene nelle aree pubbliche. Se il gestore
permettesse l'acceso al sistema ad utenti anonimi e uno di questi diffamasse
Mario Rossi quest'ultimo potrebbe legittimamente denunciare il gestore per
diffamazione.

Sorge qui un problema molto delicato: quali procedure debba attuare il sysop per
potersi discolpare di fronte a Mario Rossi. Le attuali procedure abitualmente in
uso presso le BBS al momento dell'iscrizione (telefonata di controllo a casa
dell'utente, ricezione di fotocopia di un documento di identita') non
garantiscono una identificazione certa.

La certezza sarebbe data da una fotocopia autenticata (di un documento di
identita' o di una dichiarazione di iscrizione al sistema) ma e` noto come gli
utenti vadano e vengano dalle BBS, e se possono considerare giustificata la
spesa dell'autenticazione della fotocopia per iscriversi a uno dei pochi sistemi
a pagamento in Italia, possono benissimo non voler sostenere quella spesa per
ogni BBS amatoriale con la quale vogliano avere contatti saltuari. (Chi non ha
contattato almeno una trentina di BBS? Fa mezzo milione!).

Si sottolinea anche da piu' parti la necessita', da parte dei gestori, di tenere
dei registri delle connessioni attraverso i quali sia possibile risalire alle
azioni degli utenti all'interno del sistema. Si puo' osservare da un lato che
tali registri sono facilissimamente falsificabili (e il divieto ex art. 491-bis
CP rimarrebbe facilmente lettera morta, visto che un "log" e` falsificabile con
la stessa facilita' con cui io modifico questo articolo sul mio elaboratore, ed e`
impossibile rilevare l'avvenuta modifica) dall'altro e` pur vero che non e`
pensabile allo stato attuale della tecnologia imporre a un sistema amatoriale
l'uso di costosi supporti non riscrivibili (o meglio pensarlo significherebbe
decretare la fine dei sistemi amatoriali, che sono il 99% del totale).

E' dunque necessaria una legge che faccia chiarezza in materia specificando
quali procedure (di identificazione e di registrazione degli accessi) debba
attuare il gestore per non essere ritenuto responsabile dei reati commessi
tramite il sistema, procedure che siano pero' compatibili con la natura
amatoriale dell'attivita'.

REATI IN AREE PRIVATE

La risposta a questo problema e` intrinsecamente connessa al problema della
riservatezza della PE, ovvero alla questione se il sysop possa o meno leggere la
posta privata degli utenti.

Appare infatti evidente che se la PE e` coperta dal segreto epistolare il gestore
non puo' essere ritenuto in alcun modo responsabile dei reati commessi attraverso
di essa. Se invece il gestore puo' leggerla allora si potrebbe anche ipotizzare
un suo dovere di leggerla qualora abbia motivo di sospettare che si stia
commettendo un reato attraverso il sistema, e addirittura una sua responsabilita'
qualora si considerasse che abbia il dovere di controllarla. (Le considerazioni
svolte precedentemente rimarrebbero pero' in quest'ultimo caso egualmente
fattibili).

La Costituzione all' art. 15 stabilisce che "La liberta' e la segretezza della
corrispondenza e di ogni altra forma di comunicazione sono inviolabili. La loro
limitazione puo' avvenire soltato per atto motivato dell'autorita' giudiziaria con
le garanzie stabilite dalla legge".

E' pacifico in dottrina che siano coperte dal segreto epistolare anche le
comunicazioni facilmente intercettabili (quali le comunicazione telefoniche
trasmesse via radio dagli aerei), essendo cio' che le rende segrete la mera
intenzione da parte di mittente e destinatari di non divulgarle a terzi usando
un canale di comunicazione che raggiunge destinatari determinati.

Esistono pero' casi (Fidonet il piu' eminente) in cui l'utente "accetta" le
condizioni "di contratto" con la rete, fra le quali la non segretezza della
corrispondenza privata (c.d. "Netmail" o "Matrix"). I sysop Fidonet possono
secondo il loro regolamento leggere la corrispondenza privata per accertarsi che
non abbia carattere commerciale. Il costo di Fidonet e` infatti sostenuto dai
sysop che non vogliono, offrendo gratuitamente il servizio agli utenti,
veicolare traffico commerciale, cioe` pagare la bolletta Telecom a professionisti
e imprese.

L'art. 616 del codice penale, che punisce (pesantemente) la "Violazione,
sottrazione e soppressione di corrispondenza" dice all'ultimo comma che "agli
effetti delle disposizioni di questa sezione per "corrispondenza" si intende
quella epistolare, telegrafica, telefonica, informatica o telematica, ovvero
effettuata con ogni altra forma di comunicazione a distanza", e l'art. 623-bis
(Altre comunicazioni e conversazioni) dice che "Le disposizioni contenute nella
presente sezione, relative alle comunicazioni e conversazioni telegrafiche,
telefoniche, informatiche o telematiche, si applicano a qualunque altra
trasmissione a distanza di suoni, immagini od altri dati".

I due articoli quindi estendono la tutela penale della corrispondenza (616) e
delle altre forme di comunicazione (623-bis) non solo alle comunicazioni via
telefono, fax, modem, ma a qualsiasi altro mezzo il presente o il futuro possano
offrire, attuando pienamente il dettato costituzionale.

Sorge spontaneo il quesito se Fidonet, offrendo all'utente un servizio (Matrix)
che non puo' considerarsi altrimenti che di corrispondenza privata e come tale
tutelato dall'art. 15 Cost. e dal CP, possa poi "per contratto" limitarne (come
abbiamo visto) la segretezza, contro il dettato costituzionale e penale, e la
risposta e` no.

Se la "matrix" e` "corrispondenza", allora e` sicuramente coperta dal segreto
epistolare. E' corrispondenza perche' e` comunicazione da persona determinata a
persona/e determinata/e, e d'altro canto e` chiaramente ricompresa tra le forme
di corrispondenza tutelate dall'art. 616. Pareri questi confortati da quelli ben
piu' autorevoli di Vincenzo Zeno-Zencovich (avv. e professore dell'Universita' di
Sassari) (2) e di Carlo Sarzana di Sant'Ippolito (illustrato nel seguito).

Tornando alla responsabilita' dei gestori, Carlo Sarzana di Sant'Ippolito sostiene
(4) che "il sysop, al fine di esercitare il suo legittimo controllo sulla
regolarita' del servizio, deve riservarsi esplicitamente il diritto di penetrare,
nei casi sospetti, nell'interno delle singole caselle e controllare quindi il
contenuto dei messaggi esistenti avvalendosi della disposizione di cui all'art.
51 del Codice Penale [l'esercizio di un diritto o l'adempimento di un dovere
escludono la punibilita']". E piu' oltre: "Il sysop dovrebbe avere il diritto di
controllare, in casi dubbi, anche la posta elettronica. Questo diritto,
peraltro, potrebbe gia' nel sistema vigente essergli concesso, mediante accordo
contrattuale tra BBS e utenti."

Tali considerazioni sembrano in netto contrasto con quanto espresso dallo
stesso Sarzana nella stessa relazione, dove correttamente sostiene che "Le
"caselle postali elettroniche" sono quelle gestite nell'ambito delle reti
BBS; questo tipo di corrispondenza telematica deve, a mio avviso,
considerarsi chiusa, nel senso di cui all'art. 616 del Codice Penale,
perche' la zona in cui e` contenuto il messaggio puo' essere normalmente
raggiunta solo dal titolare della casella".

E' banale osservare che, se la corrispondenza e` "chiusa", allora
sicuramente beneficia della tutela penale e costituzionale e puo' essere
aperta solo con atto motivato del magistrato, non dunque per iniziativa
autonoma delle forze di polizia, meno che meno del sysop!

CONCLUSIONE: Nonostante il vuoto legislativo sembra potersi dire che il
gestore non sia responsabile di reati commessi nelle conferenze pubbliche,
per impossibilita' ad effettuare un controllo, purche' identifichi gli
utenti. E' invece probabilmente responsabile in caso di programmi protetti
da diritti di copia presenti nel suo sistema (questi sono in genere
facilmente identificabili), o di reati commessi da utenti anonimi. Non e`
responsabile in alcun caso per reati commessi tramite la posta privata, che
anzi non e` autorizzato a leggere. Rimane da stabilire il grado di
accuratezza della procedura di identificazione degli utenti e della
registrazione degli accessi.

(1) Avv. Giovanna Corrias Lucente, intervento alla "tavola rotonda"
organizzata da Agora' Telematica a Roma il 27 giugno 1994 e avente per tema
SISTEMI TELEMATICI E DIRITTO. Un resoconto sommario e` disponibile su
Agora' Telematica (06/69920412-69200112-6990851-6990532, Telnet su
agora.stm.it, o LUR http://www.agora.stm.it), in conferenza Community
Network, testo n. 508.

(2) Si vedano ad esempio gli interventi dell'avv. Giovanna Corrias Lucente
e del magistrato Giovanni Buttarelli (uno dei padri della Legge 547/93)
alla tavola rotonda di cui alla nota 1. Buttarelli ha ribadito questa
opinione nell'intervento radiofonico al programma DUEMILA in onda su RaiTre
il 13 dicembre 1994.

(3) Intervento alla tavola rotonda di cui alla nota 1.

(4) Intervento al convegno annuale del Club sul Computer Crime svoltosi a
Roma il 28 e 29 novembre 1994.

- ---------------------------------------
AVVERTENZE:

Questo file e` reperibile sul sistema telematico MPnet (Tel: 06/82000829)
nella libreria TEXT nome file DIR95_2.TXT, e in Internet con LUR:
http://www.agora.stm.it/F.Ruggeri/home.htm

La distribuzione di questo file attraverso sistemi telematici, CD-ROM,
Internet, e il richiamo da altre pagine della ragnatela sono permessi ed
incoraggiati, purche' gratuitamente ed integralmente, e purche' siano
citati autore ed estremi della testata e volume di pubblicazione. L'autore
ne mantiene comunque tutti i diritti.

Per qualsiasi uso al di fuori di quelli sopra consentiti, o per qualsiasi
esigenza, l'autore puo' essere contattato per Posta Elettronica ai seguenti
indirizzi:

Internet: F.Ruggeri@agora.stm.it
Fidonet: Fabrizio Ruggeri presso Mercurio BBS (2:335/326)

Chiave PGP disponibile sui serventi pubblici
- ----------------------------------------


-----BEGIN PGP SIGNATURE-----
Version: 2.6.3i
Charset: cp850

iQCVAgUBMgsptB/6QWn+pXcRAQEHAAQAm8ZfLCe2I4vk2xe/diCxjeq9/6GqQsyF
P/BIReIkRVxfI2Hf0ZozSoaJ2+gAsL6FzfTD68OS8lkstSGRW9aij79KLhjX/MHJ
85ADHszgjmMXIU4JeIhjvEOxg4O9N/sLtx/mT0sX2uTOssx5kH7XjsEqNgGJQSpg
oKWDX2VUyVE=
=50I5
-----END PGP SIGNATURE-----