Profilazione massiva internet in Italia: Intervenga il Garante!

Posted in News at 22.01.2018

Con le operazioni di traduzione (NAT) si registrano tutte le connessioni dei vari indirizzi IP alla rete internet.

La legge italiana sulla data retention ha recentemente esteso la conservazione dei dati da parte delle compagnie di telecomunicazioni fino a 6 anni. Questi dati riguardano sia il traffico telefonico che quello legato ai collegamenti a internet e sono chiaramente in disaccordo con quanto previsto dai principi europei in materia di conservazione dei dati.

Oggi vengono registrati per 6 anni tutti i siti internet visitati dai cittadini italiani, portando una profilazione di massa paragonabile a quella praticata nelle più feroci dittature, ovviamente non realizzata in modo esplicito.

Già perché tramite i cosiddetti “metadati” di traffico telematico relativa alle operazioni di NAT (meglio spiegati in seguito) raccolti dagli operatori mobili e fissi, con una semplice analisi dati è possibile ricostruire tutta la vita digitale di ogni cittadino italiano. Fino a 6 anni indietro.

Persino il Garante italiano per la protezione dei dati personali, Antonello Soro, aveva sottolineato che c’è il rischio di mettere in atto una sorveglianza generalizzata e massiva, quando invece deve “fondarsi su requisiti individualizzanti, rivolgendosi cioè nei confronti di soggetti coinvolti, in qualche misura, in attività criminose.”

Il Centro Hermes richiede che il Garante per la Protezione dei Dati Personali effettui una puntuale verifica ed ispezione presso tutti i principali operatori mobili e fissi in relazione alle pratiche di raccolta dei dati di traffico telematico, rendicontando pubblicamente i risultati, per verificare quali siano gli effettivi elementi informativi raccolti ai fini dell’erogazione delle prestazioni obbligatorie di giustizia.

Per capire meglio di cosa si sta parlando dobbiamo prima guardare, da un punto di vista tecnico, il funzionamento e l’allocazione degli indirizzi IP da parte delle aziende di telecomunicazioni. In particolare dobbiamo fare riferimento alla pratica del Carrier-Grade NAT (CGN), un approccio utilizzato da tutte le aziende di telecomunicazioni — ed in particolar modo da quelle mobili — per gestire l’allocazione degli indirizzi IPv4.

A causa dello scarso numero di indirizzi IPv4 disponibili, infatti, si è reso necessario ricorrere alla assegnazione di indirizzi IP privati ai clienti che vengono poi tradotti in indirizzi IP pubblici attraverso una procedura di NAT (Network Address Translation) svolta da dispositivi connessi alla rete dell’operatore internet.

In questo modo, dietro ad un singolo indirizzo IP pubblico possono trovarsi svariati indirizzi IP privati, venendo quindi a mancare la diretta identificazione dell’intestatario univoco di chi in “quel giorno e a quell’ora” era assegnatario di quell’identificativo internet (in modo analogo ai numeri di telefono).

Questa pratica, però, secondo le dichiarazioni delle forze dell’ordine, complica le operazioni di identificazione dei soggetti che commettono reati, poiché dato un indirizzo IP pubblico possono esservi anche decine di diverse anagrafiche co-intestatarie.

Una pratica ampiamente utilizzata dagli operatori telefonici per far fronte alle richieste di identificazione da parte dell’autorità giudiziaria è quella della registrazione e la conservazione di tutte le operazioni di traduzione (NAT) fra indirizzi IP privati (dei suoi clienti) e indirizzi IP pubblici: in questo modo si registrano tutte le connessioni dei vari indirizzi IP alla rete internet.

Consapevoli della insostenibilità di questo approccio di conservazione massiva, la stessa Polizia Postale ha proposto molteplici soluzioni: dal passaggio al protocollo IPv6 che permetterebbe di avere per ogni singolo dispositivo connesso alla rete un indirizzo univoco alla riduzione del numero di utenti dietro NAT (il Belgio ha imposto l’obbligo del rapporto da 1:8 a 1:16).

Il 13 ottobre 2017, la Presidenza del Consiglio dell’Unione Europea e l’Europol hanno organizzato un workshop in cui hanno partecipato 35 policy-makers e ufficiali delle forze dell’ordine europee per parlare del “crescente problema relativo alla difficoltà di identificare i crimini a causa della diffusione delle tecnologie per la Carrier Grade Network Address Translation (CGN) impiegate dalle aziende che forniscono accesso ad internet.”

Abbiamo ottenuto tramite una richiesta FOIA all’Europol tutti i documenti e slide utilizzati in occasione del workshop, pubblicati sul nostro sito “Europol’s FOIA response on Data Retention with Carrier Grade NAT” .

Ci troviamo di fronte quindi ad una conservazione generalizzata e massiva di metadati di traffico e chiediamo che il Garante per la protezione dei dati personali avvii delle ispezioni presso le aziende di telecomunicazioni per analizzare i loro sistemi di conservazione dei dati.