5 I limiti alla libertà di ricerca ed espressione

Oltre ad introdurre degli impedimenti alla possibilità di sviluppo di software libero e non, il riconoscimento e la severa tutela legale delle “misure tecnologiche” a protezione del diritto d’autore (vedi sezione 4) pongono dei seri ostacoli alla libertà di espressione e di ricerca scientifica, specialmente nei campi della crittografia e della sicurezza informatica: come vedremo in questa sezione, viene impedita la libera circolazione di informazioni riguardanti tecniche, sperimentazioni o falle (bug) che possano in qualunque modo riguardare le suddette “misure tecnologiche”.

In apertura, l’EUCD accenna al fatto che la libertà di ricerca in campo crittografico dovrebbe essere tutelata, evitando che i divieti imposti dall’articolo 6 possano rivelarsi dannosi:

(48): Una siffatta protezione giuridica dovrebbe essere accordata alle misure tecnologiche che limitano in modo efficace atti non autorizzati dai titolari del diritto d’autore, dei diritti connessi o del diritto sui generis sulle banche dati, senza tuttavia impedire il normale funzionamento delle attrezzature elettroniche ed il loro sviluppo tecnologico. Tale protezione giuridica non implica alcuna obbligazione di adeguare i dispositivi, i prodotti, le componenti o i servizi a tali misure tecnologiche, purché detti dispositivi, prodotti, componenti o servizi non rientrino nel divieto di cui all’articolo 6. Tale protezione giuridica dovrebbe rispettare il principio della proporzionalità e non dovrebbe vietare i dispositivi o le attività che hanno una finalità commerciale significativa o un’utilizzazione diversa dall’elusione della protezione tecnica. Segnatamente, questa protezione non dovrebbe costituire un ostacolo alla ricerca sulla crittografia.

Il resto della direttiva, tuttavia, non contiene alcun riferimento né regolamentazione che possa scongiurare le interferenze tra il divieto di elusione delle “misure tecnologiche” e la libertà di ricerca sulla crittografia. Al contrario, la forma dell’articolo 6 pone insormontabili problemi in tal senso:

Articolo 6
Obblighi relativi alle misure tecnologiche

. . .

2

Gli Stati membri prevedono un’adeguata protezione giuridica contro la fabbricazione, l’importazione, la distribuzione, la vendita, il noleggio, la pubblicità per la vendita o il noleggio o la detenzione a scopi commerciali di attrezzature, prodotti o componenti o la prestazione di servizi, che:

a): siano oggetto di una promozione, di una pubblicità o di una commercializzazione, con la finalità di eludere, o
b): non abbiano, se non in misura limitata, altra finalità o uso commercialmente rilevante, oltre quello di eludere, o
c): siano principalmente progettate, prodotte, adattate o realizzate con la finalità di rendere possibile o di facilitare l’elusione di efficaci misure tecnologiche.

5.1 Le conseguenze

Gli studi sulla crittografia consistono essenzialmente nello sviluppo di nuovi sistemi di cifratura, e nella ricerca di nuovi metodi in grado di decifrare o aggirare quelli esistenti. Si tratta di uno specifico settore della scienza, identificato dal termine “crittologia,” che comprende una intera branca (la crittoanalisi) incentrata sullo studio dei sistemi di elusione degli algoritmi crittografici. Questa materia di studio non può avere una “finalità o uso commercialmente rilevante” diverso dalla ricerca e sviluppo di tecniche di elusione: tale ricerca costituisce il cuore della stessa materia di studio.

La maggior parte delle “misure tecnologiche” che regolano l’accesso a materiale digitale è implementata attraverso sistemi crittografici più o meno affidabili (come il già citato caso del DVD, vedi la sezione 4.1.1). Un lavoro crittoanalitico di studio e ricerca su tali algoritmi dovrebbe essere necessariamente finalizzato all’elusione — cosa che l’EUCD dichiara illegale. Le limitazioni imposte dall’articolo 6 diventano quindi evidenti ed inevitabili: impedire per legge lo studio dei sistemi di elusione significa di fatto bloccare la ricerca sulla crittografia, poiché qualunque progresso nella materia finirebbe per rappresentare una “facilitazione” all’aggiramento di “efficaci misure tecnologiche”.

Con lo stesso principio verrebbero bloccate tutte le attività di ricerca relative alla sicurezza informatica, che come la crittoanalisi sono basate sullo studio e superamento degli attuali sistemi di protezione. Il funzionamento di queste materie di studio è chiaramente illustrato da Bruce Schneier, nel suo intervento nella causa RIAA vs. Felten [29] (l’argomento è trattato nella sezione 9.2.1):

9: Unlike many academic disciplines, security is inherently adversarial. Researchers who invent security systems are always competing with those who break security systems. Due to the nature of how security works, it is impossible to categorically state that a security system is secure. It may be secure against all known attacks, but there is no guarantee that a successful attack will not be invented tomorrow. Despite not being able to prove security, it is quite possible to definitively show insecurity, by explaining how to break a system, or by publicly demonstrating one’s ability to do so. Since the presence of a negative result (break-in) shows that a security system is insecure, security can only be demonstrated by the lack of such results ⁵.

Con l’applicazione dell’EUCD, lo studio e l’analisi della resistenza alla compromissione di un sistema informatico diventerebbero illegali, poiché potrebbero agevolare l’aggiramento di “misure tecnologiche” a difesa del diritto d’autore implementate con strumenti insicuri o obsoleti. La diretta conseguenza di queste restrizioni sarebbe che, invece di avvenire alla luce del sole ed essere utile per tutto l’ambiente informatico come accade attualmente, lo studio dei problemi di sicurezza del software diventerebbe uno argomento sviluppato “sotterraneamente” e segretamente, utile solamente per le attività illegali che l’EUCD tenta di ostacolare.

Queste limitazioni alla libertà di ricerca derivano direttamente dall’approccio dell’EUCD, che nel caso delle “misure tecnologiche” rende illegale l’elusione “in sè”, indipendentemente dal fine per cui essa è svolta. Una legislazione equilibrata dovrebbe prevedere delle sanzioni per le effettive violazioni del diritto d’autore, e non per qualunque mezzo o azione potenzialmente in grado di agevolarle.

Inoltre, l’ambito dei divieti del succitato articolo 6 dell’EUCD comprende una espressione («prestazione di servizi . . . con la finalità di rendere possibile o di facilitare l’elusione di efficaci misure tecnologiche») che resta indefinita in tutto il corpo della direttiva. Da una lettura globale dell’EUCD e dal suo ambito di applicazione si può presumere che come “prestazione di servizi” si intendano per lo meno i “servizi della società dell’informazione” definiti in varie direttive (tra cui la 2000/31/CE [4] che citeremo più avanti) — ovvero «qualsiasi servizio prestato dietro retribuzione, a distanza, per via elettronica, mediante apparecchiature elettroniche di elaborazione . . . e di memorizzazione di dati, e a richiesta individuale di un destinatario di servizi». È tuttavia difficile giungere ad un ulteriore approfondimento e chiarimento riguardo l’ambito dei “servizi”, che restano generici.

Al di là delle ambiguità interpretative, l’EUCD rende sicuramente illecita la descrizione di un procedimento di elusione, o l’offerta di informazioni che possano facilitare tale operazione, attraverso Internet. Una interpretazione più vasta dell’articolo 6 (resa valida dalla genericità dei termini utilizzati) renderebbe inoltre illegale qualunque tipo di diffusione di informazioni, tramite qualunque mezzo, che possa essere in grado di agevolare l’elusione di una “efficace misura tecnologica”: infatti la diffusione di notizie in generale (per esempio mediante seminari, convegni, stampa...) rappresenta necessariamente l’offerta di un “servizio”.

Questo tipo di limitazione colpisce nuovamente la possibilità di ricerca sulla crittografia e sulla sicurezza informatica: il processo che spinge all’aumento della sicurezza dei programmi, dei dati e dei servizi, oggi basato sulla libera diffusione e condivisione di dati e notizie, verrebbe di fatto bloccato, a causa del rischio che una informazione su una falla di un programma possa in qualche modo agevolare l’elusione di una qualsiasi “misura tecnologica”. La circolazione di informazioni su crittografia e sicurezza è stata fino ad ora pratica comune su mailing-list, newsgroup, siti web ecc. da parte di ricercatori, studiosi, sperimentatori, sviluppatori o semplici appassionati impegnati in attivita’ accademiche o hobbistiche, e rappresenta un efficacissimo strumento di confronto e avanzamento di consocenze in campo informatico.

Anche la produzione di software libero subirebbe delle conseguenze negative, dato che la libertà di comunicazione e collaborazione in materia di sicurezza informatica è stata fino ad oggi fondamentale per il suo sviluppo.

Inoltre, la censura delle informazioni si ripercuoterebbe necessariamente sulle garanzie per gli utenti: impedendo la diffusione di dati riguardanti i problemi di sicurezza del software si rimuoverebbe la spinta al suo miglioramento, con grande vantaggio delle aziende non più costrette alla correzione dei problemi dei propri programmi. Invece di essere ampiamente documentati ed analizzati come avviene attualmente, i difetti dei programmi sul mercato diventerebbero semplicemente sconosciuti per la maggioranza delle persone.

Infine, il punto più importante: le limitazioni alla diffusione di informazioni non possono che costituire una restrizione alla libertà di espressione. L’EUCD prevede che notizie o dati che potrebbero agevolare un comportamento ritenuto illegale vengano di fatto censurati, e che chiunque li diffonda venga punito. Questo renderebbe perseguibile, per esempio, l’autore di un articolo che critichi la condotta di una azienda produttrice di software elencando i problemi di sicurezza dei programmi prodotti: tali informazioni potrebbero infatti agevolare l’aggiramento delle “efficaci misure tecnologiche” implementate nei programmi stessi. Oppure diventerebbe perseguibile chiunque fornisca qualunque istruzione sull’aggiramento di una “misura tecnologica” ritenuta lesiva dei diritti degli utenti (si veda l’esempio dei DVD nella sezione 4.1.1). In tutti questi casi, i “colpevoli” verrebbero puniti anche se essi non avessero mai compiuto una effettiva violazione dei diritti d’autore su una qualsiasi opera.

Lo scenario diventa ancora più inquietante se si considera che, oltre a permettere questo tipo di intimidazione legale, le norme dell’EUCD finora illustrate possono essere utilizzate dai colossi dell’editoria o del software per censurare articoli e documenti considerati “scomodi,” attraverso una semplice comunicazione privata, e senza neppure dover richiedere l’intervento di un tribunale. Questo argomento verrà affrontato nella sezione 6.

Queste conseguenze della messa in pratica dell’EUCD derivano dalla linea intrapresa nella stesura della direttiva, che come già detto prevede la restrizione di attività oggi perfettamente lecite e considerate diritti basilari, solo sulla base di alcune loro possibili conseguenze. Un principio di questo tipo applicato alla regolamentazione della libertà di parola e stampa non può che essere in conflitto con i più elementari diritti civili: è ben difficile immaginare un qualsiasi tipo di informazione che non possa essere potenzialmente sfruttata per agevolare delle pratiche ritenute illecite, e l’EUCD prevede che tale ipotesi venga legalmente utilizzata come strumento di censura.