Il fenomeno hacking è stato accompagnato da una serie di “imprese” da parte di individui che, per le azioni compiute, si sono guadagnati un posto nella “classifica” degli hacker più famosi della storia.

Il termine hacker ha subito nel tempo una sostanziale evoluzione, assumendo nelle società odierne una connotazione prettamente negativa. Si è visto, però, come in origine, il termine avesse tutt’altro significato e stesse a indicare tutte quelle persone che amavano “giocare” con i codici sorgenti dei software o spingere al massimo le prestazioni degli hardware.

Si trattava, quindi, di hacker che con le loro azioni non avevano interesse ad arrecare danni o a perpetrare truffe; questi erano, e ancora oggi sono, gli “white hackers”, decisamente lontani dai “black hackers”, vale a dire coloro che utilizzano le proprie competenze per compiere reati di vario tipo.

Scopriamo, quindi, le storie di cinque degli hacker più famosi della storia.

Hacker più famosi della storia: Gary McKinnon

Nato a Glasgow nel 1966, Gary McKinnon, conosciuto con il nickname “Solo”, inizia la sua carriera di hacker molto presto.

Già all’età di 14 anni, McKinnon era in grado di penetrare in reti sicure alla ricerca di informazioni sull’effettiva esistenza degli UFO. Un ricerca, questa, che lo accompagnerà per tutta la sua storia di hacker e che sarà alla base della sua azione più clamorosa, quella che gli ha consentito di guadagnare un posto nell’elenco degli hacker più famosi della storia.

Tra febbraio 2001 e marzo 2002, McKinnon portò a compimento un attacco spettacolare, violando ben 97 network dell’esercito americano (US Army, US Navy, US Air Force), oltre a quelli della NASA e del Pentagono.

Scopo dell’intrusione, secondo le testimonianze rilasciate dallo stesso “Solo”, era quello di trovare delle prove che confermassero l’esistenza degli UFO; durante la violazione dei siti della difesa americana, McKinnon sostiene di aver visionato delle immagini e dei documenti relativi a navi aliene ma di non aver potuto salvare i file in questione a riprova della veridicità delle sue affermazioni.

L’azione di hackeraggio perpetrata da McKinnon è una delle più famose della storia dell’hacking e questo non solo perché sono coinvolti alcuni dei più importanti e protetti siti al mondo, ma anche per la vicenda giudiziaria, ancora oggi in corso, che ne è seguita.

In seguito alla violazione dei network, McKinnon, che era solito lasciare una sorta di firma (“Your security is crap”), venne rintracciato e arrestato dalla National Hi-Tech Crime Unit della Gran Bretagna per poi essere sottoposto nel 2002 a giudizio dagli Stati Uniti che, nel 2005, hanno dato il via formalmente alla procedura d’estradizione, ancora oggi in corso.

McKinnon si è sempre opposto all’estradizione sia facendo appello alle proprie origini scozzesi sia affermando di aver compiuto il reato su suolo inglese e di aver già subito un processo in Gran Bretagna. Altro fattore che ne impedirebbe l’estradizione sarebbe la sindrome di Asperger di cui McKinnon soffre e che gli renderebbe impossibile “sopravvivere” al sistema detentivo americano (posizione ribadita recentemente da McKinnon con una lettera inviata al Governatore relativamente al caso di Lauri Love).

Per il momento, il governo inglese non sembra propenso a concedere l’estradizione, così Mckinnon continua la sua vita e la sua nuova professione, che lo vede nelle vesti di consulente seo per le imprese.

Hacker più famosi della storia: Kevin Mitnick

Kevin Mitnick, conosciuto anche con lo pseudonimo di “Condor”, ha guadagnato un posto di rilievo nella classifica degli hacker più famosi della storia, grazie a una serie di eccezionali intrusioni che gli sono valse l’appellativo, da parte del Dipartimento di Giustizia americano, “the most wanted computer criminal in United States history”.

La carriera di hacker di Mitnick inizia molto presto, ma le operazioni di intrusione più spettacolari risalgono agli anni Novanta, quando Condor riuscì a introdursi nei sistemi informatici di importanti aziende come Nokia, Fujitsu, Motorola, Sun e Apple sfruttando dei bug nei sistemi e impiegando soprattutto la tecnica della “social engineering”, grazie alla quale riusciva a carpire informazioni riservate direttamente dagli interessati semplicemente guadagnando la loro fiducia.

Le aziende interessate dall’attacco sollecitarono l’intervento dell’FBI che diede vita a una vera e propria “caccia all’hacker”, alla quale Mitnick riuscì a sfuggire per ben 14 anni sia spiando le comunicazioni del Federal Bureau of Investigation sia impiegando la tecnica dell’IP spoofing, grazie alla quale era in grado di rendere non rintracciabile il computer dal quale operava.

Nel 1995, Condor venne arrestato (anche grazie alla collaborazione con l’FBI dell’informatico giapponese Tsutomu Shimomura) e dopo aver confessato una serie di crimini che gli venivano imputati giunse a un accordo con le autorità che lo portò a scontare 5 anni di carcere.

Rilasciato sulla parola nel 2000 (con l’obbligo di non utilizzare Internet sino al 2003), Mitnick è oggi amministratore delegato di una società che si occupa di sicurezza informatica, la Mitnick Security Consulting LLC.

La figura e la storia di Mitnick sono certamente particolari e non a caso hanno ispirato ben due film (Hackers 2), un documentario (Freedom Downtime The Story of Kevin Mitnick) e un libro, Takedown, scritto dallo stesso Shimomura con John Markoff.

Relativamente alle accuse che gli sono state rivolte di essere un hacker, Mitnick si è sempre difeso sostenendo che le sue non erano attività di hacking ma di social engineering; nonostante ciò si è certamente guadagnato un posto tra gli hacker più famosi della storia.

Hacker più famosi della storia: Stephen Wozniak

Nella lista degli hacker più famosi della storia, non si può non includere il nome di Stephen Wozniak, informatico statunitense “padre fondatore” insieme a Steve Jobs della Apple.

Wozniak, conosciuto anche con il nome di “Wizard of Woz”, è probabilmente uno degli esempi più significativi dell’hacker “vecchio stampo”, vale a dire di coloro che, nel corso della propria vita, si sono costantemente richiamati all’etica hacking.

“White-hat hacking” per antonomasia, quindi, Wozniak fu il protagonista, insieme a Jobs, del primo “phone-phreaking”, grazie alla realizzazione di un device, la blue box, che in sostanza consentiva di effettuare chiamate telefoniche su lunga distanza in maniera completamente gratuita, bypassando i sistemi telefonici.

Una “scoperta” di certo eccezionale in quanto grazie alla blue box non era solo possibile effettuare chiamate gratuite in ogni parte del mondo ma anche controllare l’intero sistema telefonico, utilizzando una tecnica abbastanza semplice ma altrettanto efficace e resa inutilizzabile solo a seguito delle modifiche del sistema telefonico americano e del resto del mondo (la modifica più importante è stata rappresentata dalla sostituzione dei vecchi sistemi di commutazione elettromeccanici con nuovi centralini elettronici, gli ESS-Eletronic Switching System).

Hacker più famosi della storia: Adrian Lamo

Nato a Boston nel 1982, Adrian Lamo si è guadagnato l’appellativo di “the homeless hacker” per l’abitudine consolidata di utilizzare caffè, internet point e librerie come base dei suoi attacchi informatici.

Sin dall’inizio, Lamo aveva dimostrato una grande capacità nel penetrare sistemi informatici, alla ricerca di vulnerabilità che poi era solito riportare alle stesse compagnie dei network violati.

Esperto di sicurezza informatica e “grey hat”, Lamo si è guadagnato un posto nella lista degli hacker più famosi della storia, grazie all’azione compiuta nel 2002 ai danni del New York Times.

Lamo, infatti, fu in grado di violare la rete intranet del noto giornale americano, avendo così accesso a informazioni riservate relative a soggetti di alto profilo e a informazioni private di ben 3000 persone, per la maggior parte collaboratori esterni del giornale, senza contare che fu addirittura capace di inserire il proprio nome nel database degli esperti del New York Time.

Un’azione certamente spettacolare che costò a Lamo due anni di galera, oltre al pagamento di una multa di circa 65mila dollari.

Oggi Adrian Lamo lavora come giornalista ed è salito nuovamente alla ribalta della cronaca per la vicenda WikiLeaks e per il “tradimento” perpetrato ai danni di Bradley Manning (oggi Chelsea Elizabeth Manning).

Nel 2010, infatti, fu proprio l’hacker Lamo (considerato come uno degli hacker più odiati d’America) a denunciare alle autorità militari Manning che, nel corso di una conversazione via chat, gli avrebbe confessato di aver passato informazioni riservate a Julian Assange.

Hacker più famosi della storia: Jonathan James

Jonathan James merita senza dubbio uno dei primi posti nella classifica degli hacker più famosi della storia e questo non solo per la “spettacolarità” dei suoi attacchi ma anche in virtù di un primato: quello di essere stato il primo a essere imprigionato per un cyber-crimine (era inoltre minorenne).

Conosciuto anche con il nome di “c0mrade”, all’età di appena 15 anni James fu in grado di hackerare un numero elevato di networks, inclusi quelli della Bell South e della scuola Miami-Dade.

Ciò che attirò l’attenzione dei federali fu però la violazione dei computer del Defense Threat Reduction Agency (DTRA), divisione del Dipartimento della Difesa statunitense, e della NASA.

In pratica, il giovanissimo James fu in grado di hackerare il sistema informatico della NASA, riuscendo ad avere accesso a informazioni come il codice sorgente, responsabile delle operazioni della Stazione Spaziale Internazionale.

Il valore complessivo di tutti i beni trasferiti era pari a ben 1.7 milioni di dollari, senza contare che la NASA fu costretta a chiudere la propria rete per ben tre settimane durante l’attività investigativa, sostenendo costi pari a $ 41,000.

In seguito all’intrusione, James venne identificato e incriminato nel 2000, riuscendo poi a giungere a un accordo che lo portò a scontare sei mesi di arresti domiciliari e a rimanere in libertà vigilata (che poi violò) sino alla maggiore età. James dovette anche scrivere delle lettere di scusa alla NASA e al Dipartimento di Difesa Americana e gli venne proibito l’uso del computer.

Una attività di hackeraggio, quella di James, di notevole portata soprattutto se commisurata alla sua giovane età e all’importanza dei soggetti interessati; come non assegnargli un posto tra gli hacker più famosi della storia?

A differenza dei nomi precedenti, la storia di Jonathan James ha avuto un epilogo alquanto triste.

Nel 2007, a seguito di numerosi attacchi malevoli ai network di importanti aziende, James venne sospettato di essere coinvolto. Dichiaratosi da subito innocente, “c0mrade” non fu in grado di sostenere queste nuove accuse e si suicidò nel 2008 con un colpo di pistola.

Il termine “hacker” viene oggi impiegato in una connotazione prevalentemente negativa, per indicare cioè tutte quelle persone che utilizzano le proprie competenze per violare i sistemi di sicurezza di server, pc, tablet e smartphone alla ricerca di dati, informazioni sensibili e credenziali da sottrarre, al fine di perpetrare reati o richiedere somme di denaro. I pericoli che possono derivare agli utenti in seguito a un cyber-attacco sono numerosi e non circoscritti alle situazioni precedentemente elencate, cosicché appare evidente come gli hacker siano visti nelle società odierne come dei nemici, dei veri e propri pericoli. Ma l’hacking ha sempre avuto questa connotazione? Una risposta a questa domanda, forse non così scontata, può venire da un’attenta analisi della storia dell’hacking, delle diverse fasi che hanno portato alla nascita, alla crescita e alla trasformazione di questo fenomeno nel tempo.

La storia dell’hacking e il significato di hacker

La storia dell’hacking ha inizio nei primi anni Sessanta presso il Tech Model Railroad Club (TMRC) del Massachussets Institute of Technology (MIT) di Cambridge, un club all’interno del quale cominciò a circolare per la prima volta il termine “hacker”.

In origine questa definizione aveva una connotazione del tutto positiva e stava ad indicare, nel gergo del tutto particolare usato dai membri del club, tutte quelle persone dotate di eccezionali capacità informatiche e capaci, quindi, di “spingere” i programmi al di là delle funzioni per le quali erano stati progettati.

Fu quindi proprio all’interno del panorama culturale del MIT che il termine “hacker” venne impiegato per la prima volta. Non solo, gli hacker divennero il centro dell’Artificial Intelligence Laboratory del MIT ed ebbero l’occasione, grazie alla realizzazione di ARPAnet (prima rete transcontinentale di computer ad alta velocità creata dal Ministero della Difesa Statunitense), di scambiarsi informazioni e di dare il via a quella collaborazione che consentì ai singoli gruppi di hacker di uscire dal proprio “isolamento” e di creare un gruppo su ampia scala.

Fu, inoltre, all’interno dell’Istituto, dove negli anni precedenti erano stati attivati i primi corsi di informatica indirizzati ai linguaggi di programmazione e dove erano giunti i primi mainfraime, che gli hacker, grazie ai membri del TMRC, ebbero l’occasione di poter operare per la prima volta direttamente sulle macchine (IBM 709, 7090, Tx-0, PDP-1).

Fu questa un’opportunità eccezionale (e un passo fondamentale nella storia dell’hacking) in quanto sino ad allora i computer erano stati utilizzati semplicemente per operazioni di calcolo scientifico, mentre gli hacker, grazie ai loro lavori (si ricordi ad esempio il gioco Spaceware del 1961), dimostrarono che le potenzialità dei computer andavo decisamente oltre.

Contemporaneamente alla nascita di ARPAnet, in New Jersey Ken Thompson, hacker dei Laboratori Bell, inventò il sistema Unix, mentre Dennis Ritchie, altro hacker, aveva progettato un nuovo linguaggio denominato “C”, il cui scopo era quello di essere flessibile e semplice da utilizzare.

La collaborazione tra i due sfociò nella realizzazione di quello che oggi si potrebbe definire come sistema di office-automation, sebbene le ambizioni dei due hacker andavano decisamente oltre. Thompson e Ritchie avevano infatti capito che era ora possibile scrivere un intero sistema operativo in C, intuizione che aprì la strada a una rivoluzione senza precedenti.

Se Unix, infatti, era capace di presentare le stesse funzionalità e la medesima interfaccia su macchine diverse, allora poteva anche fungere da ambiente software comune, il che implicava che gli utenti non avrebbero più dovuto acquistare software nuovi ogni volta che una macchina diventava obsoleta.

Oltre a questo sia Unix che C erano stati improntati alla semplicità e alla portabilità il che li rendeva utilizzabili su una vasta gamma di macchine. Ben presto, anche grazie ad una propria rete (la Unix-to Unix Copy Protocol) si ebbe la nascita di una vera e propria rete parallela tra le postazioni Unix, la Usenet board, che crebbe rapidamente sino a superare in grandezza ARPAnet e all’interno della quale la comunità hacker crebbe a sua volta.

La nascita di Unix e di C portò, però, anche a una contrapposizione all’interno degli ambienti hacker; da un lato gli inventori e i fans di Unix, dall’altro gli hacker di PDP-10 e di ARPAnet che consideravano i primi come dei “principianti”.

Storia dell’hacking: L’Homebrew Computer Club

Nel frattempo la comunità hacker gravitante attorno al MIT proseguì nella sua attività aprendo la strada a una serie di eccezionali scoperte fatte da altri hacker (spesso giovanissimi) che riuscirono, con pochi e rudimentali mezzi, a portare avanti progetti innovativi e  a “forzare” sempre di più le capacità delle macchine allora disponibili. La storia dell’hacking stava evolvendo e avrebbe conosciuto nuovi sviluppi.

Ben presto l‘interesse degli hacker cominciò a spostarsi anche sull’hardware, determinando l’insorgere di una nuova esigenza: quella di diffondere i computer tra le masse, creando, in sostanza, una nuova relazione tra l’uomo e la macchina.

In questo senso, gli hacker furono dei veri e propri pionieri in quanto sino ad allora l’hardware non era stato mai diffuso tra le persone comuni (si pensi all’IBM che aveva sempre rifiutato di costruire personal computer); per queste ragioni, i membri del Homebrew Computer Club decisero di assemblare da sé i primi personal computer.

Tra i tanti componenti del Homebrew Computer Club, due nomi meritano certamente di essere ricordati; quello di Steve Wozniak (Oak Toebark) e di Steve Jobs (Berkeley Blue) che nel 1972 crearono le prime “blue box“,vale a dire dei device utilizzati per infiltrasi nei sistemi telefonici.

Solo un paio di anni prima, nel 1970, John Draper, noto come Captain Crunch (nome derivato da una marca di cornflakes), riuscì a effettuare una chiamata a lunga distanza in maniera del tutto gratuita, utilizzando un espediente davvero particolare.

Droper scoprì che il  fischietto, dato in omaggio con una confezione di cornflakes, emetteva una frequenza di 2600 hertz che, quando una linea telefonica era inattiva, veniva inviata da un capo all’altro rendendo quindi possibile effettuare delle chiamate gratuitamente. Era questo il principio delle blue, black e red box che negli anni successivi avrebbero riprodotto le stesse funzioni e sarebbero state utilizzate per eludere il sistema telefonico americano.

Il phone-phreaking muoveva i primi passi.

Storia dell’hacking: la confluenza nella Silicon Valley negli anni Settanta

Verso la metà degli anni Settanta si assistette a un fenomeno di grade portata nella storia dell’hacking, quello della migrazione delle migliori menti hacker verso la Silicon Valley, anche grazie al sostegno delle più famose multinazionali del settore che compresero le enormi potenzialità dei giovani hacker (buona parte dei quali provenienti dal MIT).

Fu in questo nuovo contesto che si ebbe nel 1977 la fondazione di Apple I (Microsoft era stata fondata appena un anno prima da Bill Gates e da Paul Allen) e che cominciarono a mostrarsi le prime spaccature all’interno di un movimento non più in grado di controllare il fenomeno che aveva generato.

Tutti i componenti del Homebrew Computer Club si trovarono dinnanzi alla scelta di “darsi” agli affari o di continuare ad hackerare come “da tradizione”, con il conseguente venir meno di tutti quei principi (la condivisione delle tecniche e la non segretezza) che erano stati alla base del movimento stesso.

L’Homebrew Computer Club si indebolì progressivamente, così come tutti i piccoli circoli di hacker che vi gravitavano attorno, determinando una nuova svolta nella storia dell’hacking.

Storia dell’hacking: le nuove logiche del mercato negli anni Ottanta

Gli anni Ottanta videro l’affermazione di una nuova generazione di hacker (Software Superstar), molto abili nella programmazione ma distanti da quelli che erano stati i principi dei loro predecessori. La storia dell’hacking stava mutando.

Da una parte gli hacker cominciarono ad adeguarsi alla logica di mercato e a sfruttare le proprie capacità per sviluppare prodotti per le multinazionali (gli anni Ottanta furono per eccellenza gli anni dei giochi), mentre dall’altro veniva definitivamente meno il principio della condivisione e della partecipazione e ogni software veniva considerato come un prodotto commerciale da tutelare.

Il modello di “software proprietario” divenne il marchio della Microsoft che per prima decise di non pubblicare il codice sorgente e di introdurre delle limitazioni nella diffusione dei software (le licenze d’uso).

Ma gli Ottanta furono anche gli anni in cui il fenomeno hacking assunse alcune delle “connotazioni” ancora oggi esistenti.

Nel 1980, infatti, un gruppo chiamato “414s” riuscì a effettuare un’intrusione su ben 60 computer, attirando l’attenzione dell’FBI e dei Servizi Segreti (che nel frattempo avevano visto estendere la propria giurisdizione anche alle frodi informatiche).

L’hacking restava tuttavia un fenomeno ancora poco noto e i gruppi hacker erano ancora considerati come elitari ed esclusivi.

In questi anni vennero fondati “Legion of Doom” negli USA, ”Chaos Computer Club” in Germania, due storici gruppi ancora oggi attivi, e “2600:The Hacker Quartely” una “zine”, o rivista hacker, molto importante nella comunità e per la storia dell’hacking.

Nei primi anni Ottanta all’interno della comunità hacker era quindi possibile individuare tre filoni diversi; i seguaci di PDP-10 e ARPAnet, quelli di Unix e la nuova generazione legata ai microcomputer e alla volontà di diffonderli tra la gente.

Il primo gruppo andò progressivamente ad indebolirsi (la tecnologia PDP-10 legata a ITS cominciava ad essere obsoleta) e Unix divenne il sistema preferito degli hacker mentre cresceva la consapevolezza che i microcomputer sarebbero stati il futuro.

Fu in questi anni che Richard Stallman, personaggio rilevante nella storia dell’hacking, (noto anche come RMS) fondò la Free Software Foundation che aveva lo scopo dei creare software gratuiti di alta qualità, inaugurando, dunque, il primo nucleo dei movimenti per l’open source che volevano opporsi alla logica del software proprietario che nel frattempo si stava affermando.

Nel frattempo, Stallman si era dedicato anche alla costruzione di un “clone” di Unix scritto in C da rendere disponibile gratuitamente (GNU acronimo per Gnu’s Not Unix), mentre nel 1982 un gruppo di hacker Unix di Berkeley aveva dato vita a Sun Microsystems con l’intento di realizzare delle workstation capaci di far funzionare Unix su un hardware con base 6800 ad un prezzo relativamente contenuto(almeno per le grandi aziende e per le università). Una intuizione giusta che si tradusse in realtà e portò alla nascita di una nuova rete di computer, uno per utente, che andò a soppiantare i vecchi sistemi.

In questo scenario, intorno al 1984, Unix divenne un prodotto commerciale e la comunità hacker si divideva in due fazioni; da un lato un gruppo legato a Internet e Usenet e votato ai minicomputer o alle workstation Unix e dall’altro un vasto ma disorganizzato gruppo fan dei microcomputer.

Storia dell’hacking: la svolta di Torvalds negli anni Novanta

Nella storia dell’hacking, gli anni Novanta si aprirono con un progressivo indebolimento delle workstation del decennio precedente e con una rapida diffusione dei nuovi personal computer, contraddistinti da un costo contenuto e basati su chip Intel 386.

Ogni hacker aveva quindi la possibilità di utilizzare a casa una macchina dotata delle medesime caratteristiche dei mini computer, in grado quindi di comunicare con Internet e di avere un ambiente di sviluppo completo.

Le macchine Unix commerciali, però, continuavano ad avere un costo ancora troppo elevato e tutti i tentativi di commercializzarle non davano i frutti sperati, mentre, il progetto di RMS di un kernel Unix gratuito si era “arenato”. Ciò permise alla Microsoft di farsi largo nel mercato con il sistema operativo Windows e in molti credettero che l’epoca di Unix (e del clan degli hacker ad essa legata) stesse per terminare.

Una svolta si ebbe nel 1991 con Linus Torvalds, uno studente dell’Università di Helsinki, che cominciò a sviluppare un kernel gratuito e libero che avrebbe battezzato con il il nome di Linux. La peculiarità di Linux stava non tanto nelle sue caratteristiche tecniche quanto nelle modalità che avevano portato alla sua creazione; molti hacker furono attratti dall’idea di Torvalds e contribuirono alla sua realizzazione proponendo idee, modifiche e interventi agli sviluppatori in maniera del tutto libera e senza rispettare alcuna gerarchia(i codici sorgenti erano aperti).

Il risultato fu ottimo e Linux fu in grado di competere con gli Unix commercializzati, a estendersi al di là del panorama circoscritto dei programmatori e ad attirare le attenzioni delle applicazioni software commerciali.

La comunità hacker non era quindi giunta al copolinea, al contrario stava cominciando ad assumere un ruolo centrale nel mondo del software commerciale, aprendo una nuova fase nella storia dell’hacking.

Storia dell’hacking: la diffusione del WEB

La creazione di Linux coincise anche con la progressiva diffusione di internet al pubblico, ben segnalata dal crescente sviluppo di numerosi internet provider che fornivano la connessione alla rete.

Un “settore”, questo, nel quale anche molti hacker della generazione ottanta e novanta si lanciarono convertendosi in “Internet Service Provider”. La comunità hacker crebbe in rispetto e riconoscimento e la sua attività fu particolarmente utile per bloccare i tentativi di censura su Internet. Furono gli hacker, infatti, a far naufragare il “Communications Decency Act” (CDA) con il quale si cercava di mettere sotto il controllo del governo un metodo di codifica.

Storia dell’hacking: i principi dell’etica hacker

Quanto illustrato sino ad ora, nel descrivere la storia dell’hacking, consente quindi di delineare alcuni principi fondamentali della comunità hacker, principi che non sono mai stati codificati ma che si sono consolidati nel comportamento stesso degli hacker.

Il primo di questi era sicuramente la libertà di accesso alle macchine, completa e illimitata, da associare alla totale condivisione delle conoscenze e a un’assoluta fiducia negli altri membri della comunità stessa.

L’atteggiamento prevalente all’interno della comunità era quello meritocratico che portava a esaltare tutti coloro che erano in grado di far crescere lo stato dell’hackeraggio. Parallelamente a questi principi di lealtà e collaborazione, gli hacker nutrivano una forte “repulsione” per la burocrazia in tutte le sue forme che, con le sue regole, limitava la libera espressione e sperimentazione, mentre la finalità di ogni hacker era quella di migliorare la vita umana.

Molti sono i casi che nella storia dell’hacking hanno ribadito il legame a questi principi di base. Come dimenticare la dura “polemica” tra Bill Gates, allora studente diciannovenne, e l’Homebrew accusata in una lettera di “furto” per aver “piratato” e distribuito, ancor prima dell’uscita ufficiale, un programma realizzato proprio da Gates. Emblematico anche il caso della Apple computer Inc. e in particolare di Wozniak che, nel rispetto dell’etica hacker, fece in modo che la Apple non avesse segreti in modo da non impedire la libera partecipazione di tutti.

Storia dell’hacking: quando l’hacker diventa cattivo

Abbiamo visto come, nella storia dell’hacking, gli anni Ottanta furono il periodo di affermazione e di consolidamento della comunità hacker, ma furono anche gli anni in cui cominciarono ad affermarsi una serie di gruppi che perpetravano attacchi a sistemi informatici e telematici per scopi del tutto personali.

Fu proprio l’insorgere di questi “criminali informatici” che pose le basi per la progressiva trasformazione del termine hacker da positivo a negativo.

Ci sono state molte linee di interpretazione per questa transizione nella complessa storia dell’hacking.

Da una parte in molti, come il giornalista Steven Levy, fecero notare come alla connotazione negativa degli hacker contribuì la risonanza data dai mass media a una serie di arresti di giovani che avevano violato sistemi governativi (“il problema cominciò con arresti molto pubblicizzati di adolescenti che si avventuravano elettronicamente in territori digitali proibiti…Era comprensibile che i giornalisti che riportavano queste storie si riferissero ai giovani scapestrati come a degli hackers, dopotutto si facevano chiamare così. Ma la parola divenne rapidamente sinonimo di ‘trasgressore digitale’ … con la comparsa dei virus informatici, l’hacker fu letteralmente trasformato in una forza del male”). Dall’altra si osservò come l’associazione hacker-criminale non poteva limitarsi esclusivamente a una errata o parziale interpretazione da parte della stampa, all’appropriazione del termine da parte di alcuni che usavano le proprie capacità per scopi personali o al progressivo affermarsi di leggi che contrastavano con l’etica hacker, ma dovesse ricondursi anche alla natura stessa del fenomeno.

L’etica hacker si era fatta portatrice di principi quali la libertà d’informazione, la condivisione e la lecita esplorazione che non ammettevano barriere. Negli anni Sessanta e Settanta, quando i concetti di proprietà e di privato non erano ancora applicati al cyberspazio e quando i computer non avevano ancora avuto una diffusione capillare, l’etica hacker non veniva percepita come “crimine”, mentre a partire dagli Ottanta-Novanta, con la crescita della società d’informazione e con i computer divenuti preziosi depositi di dati e informazioni sensibili, ogni “intrusione” veniva classificata come una violazione condannabile.

Sempre in relazione all’etica hacker è bene sottolineare come l’accesso abusivo a risorse fosse considerato lecito ma sempre nel rispetto di due elementi altrettanto fondamentali, vale a dire la non sottrazione di denaro e la non creazione di danni. E’ proprio in relazione a questi aspetti che tutti coloro che si identificano negli hacker “originali”  sono soliti etichettare i cyber-criminali come “crackers” (nota anche la definizione di dark side hacker riferita a tutti coloro ai quali si riconoscevano delle capacità ma che non rispettavano l’etica hacker)

Storia dell’hacking: il significato dell’hacker

Il fenomeno e la storia dell’hacking sono estremamente complessi e finiscono con il mescolare una serie di elementi spesso contrapposti. Quello che emerge dalla panoramica delineata sono una serie di principi dell’hacking che vanno a contrastare con l’idea che oggi si ha della figura dell’hacker.

A tal proposito non si possono non ricordare una serie di associazioni e di gruppi hacker creati per difendere i principi di privacy e di libertà di espressione, come l’Electronic Frontier Foundation da sempre impegnata nel “proteggere le libertà civili fondamentali nel mondo digitale”. Non bisogna infatti dimenticare che nella storia dell’hacking la libera circolazione delle informazioni è sempre stata una priorità e come le sole informazioni da tutelare con l’anonimato o la privacy siano quelle di carattere personale.

Chi sono, quindi, gli hacker?

Forse non si può dare una risposta univoca a questa domanda, in quanto il termine hacker è stato e continua ad essere in costante trasformazione, assumendo connotazioni e significati differenti in base al contesto.

Per alcuni hacker è sinonimo di pirata informatico, per altri l’hacker è colui che esplora e mette alla prova le capacità dei sistemi informativi, per altri ancora l’hacker è colui che condivide e lavora per la condivisione delle conoscenze e delle risorse.

Solo qualche anno fa, dimenticare “situazioni” imbarazzanti come un lungo sfogo dopo una brutta giornata o una foto particolarmente mal riuscita era abbastanza semplice, ma con l’avvento dei social network è diventato molto più complesso. Tutto ciò che scriviamo o postiamo in rete resta, così che risulta complicato controllare la propria immagine sul web. Come gestire la reputazione online?

Oggi esistono moltissime aziende che a pagamento offrono una serie di strumenti per la gestione della reputazione online, ma è possibile anche fare da sé, utilizzando una serie di accorgimenti del tutto gratuiti.

Come gestire la reputazione online: ricerca in rete

La buona gestione della reputazione online inizia con un’attenta ricerca di tutto ciò che in rete, sia positivo che negativo, si dice sul proprio conto.

Questo significa che è necessario fare una ricerca approfondita sul web (su Google e altri browser, sui social network, sui forum etc.), utilizzando come chiave il proprio nome, il proprio nickname, eventuali errori di digitazione del proprio nome, alla ricerca di tutte quelle informazioni che ci riguardano.

Questa fase di ricerca deve essere molto scrupolosa e includere, quindi, anche tutti i blog, i social e i forum che solitamente si frequentano alla ricerca di post dannosi o di foto delle quali ci si era dimenticati.

Molto utile, in questa fase, è anche fare ricorso a “Wayback Machine” grazie al quale è possibile verificare se tutti gli account cancellati sono stati effettivamente rimossi o continuano a vivere sotto forma di cache in Internet.

Come gestire la reputazione online: rinforzare le impostazioni sulla privacy

Nel caso in cui, grazie all’attività di ricerca, siano stati trovati dei link, delle foto, dei post che si preferisce “nascondere”, si può cercare di cancellarli o, se questo non risulta possibile, almeno di renderli privati.

Su Facebook è possibile farlo aprendo il menu “Privacy” e cliccando su “See more settings”; a questo punto cliccando su “Limit Past Posts” è possibile rendere i messaggi passati visibili solo ai propri amici, senza quindi la necessità di limitare singolarmente la visibilità di ogni post. Cliccando su “Limit Old Post”  e poi su “Confirm” è quindi possibile rendere privati tutti i post passati.

Su Twitter il meccanismo è simile. Aprendo il menu “Setting” e cliccando su “Security and Privacy” , sotto la voce “Privacy” c’è l’opzione “Tweet privacy” grazie alla quale tutti i tweet sono resi privati e visibili solo ai propri followers.

Proteggere i propri account social è importante ma potrebbe non essere sufficiente. Ad esempio se vi è una foto che si vuole non venga vista, allora è buona regola eliminarla o chiedere al proprio amico che l’ha postata di rimuoverla. Si consiglia anche di rimuovere il tag al proprio profilo e nel caso in cui la foto non scompaia di rivolgersi direttamente a Google per richiedere la rimozione delle proprie informazioni personali dai risultati di ricerca.

Come gestire la reputazione online: cambiare il proprio nome

Con cambiare il proprio nome non si intende, ovviamente, modificarlo legalmente ma semplicemente considerare di utilizzarne uno diverso per scopi professionali, così da mantenere la propria vita privata sul web separata dalla propria vita lavorativa.

Se si ha un nome abbastanza comune, che in rete può facilmente essere utilizzato da troll o da profili fake, è consigliato aggiungere un secondo nome o utilizzare delle iniziali per il proprio profilo professionale così, nel caso di ricerche da parte di un futuro datore di lavoro o di colleghi, appariranno solo risultati veritieri e non post o profili riconducibili a impostori.

Nel caso in cui si voglia mantenere distinta la propria vita privata da quella personale, è buona norma cambiare il nome di tutti i profili che si legano all’una o all’altra presenza sul web, così da mantenerle distinte. Questo non significa usare degli pseudonimi, ma utilizzare, ad esempio, un secondo nome per gli account personali e un terzo nome o il cognome per quelli personali; in questo modo se qualcuno cerca informazioni lavorative sul nostro conto vedrà nei risultati di ricerca solo determinate informazioni e non quelle che si riferiscono alla nostra sfera privata.

Come gestire la reputazione online: costruire un brand

Gestire la reputazione online significa non solo nascondere parti del proprio passato ma anche concentrarsi sul futuro.

Aggiungere nuovi post, articoli, profili o forum post può essere utile per rafforzare la propria reputazione lavorativa facendo “scivolare” (nei risultati di ricerca) tutti quei link o foto che si desidera nascondere.

Questa tecnica è particolarmente utile in quanto gli algoritmi utilizzati per indicizzare i contenuti in rete apprezzano molto i nuovi contenuti; così un blog nuovo con contenuti freschi ed attuali sarà certamente preferito nei risultati di ricerca a una vecchia foto o a un profilo social ormai datato.

Ci sono molte strategie per costruire il proprio brand online.

In primo luogo, si può iniziare a curare un proprio blog o sito, non necessariamente professionale ma anche di carattere strettamente personale. Si può scrivere di tutto l’importante è farlo in maniera professionale e magri pensare anche di acquistare un dominio con il proprio nome e cognome.

In secondo luogo è possibile creare dei profili social separati per la sfera privata e per quella lavorativa. Ai profili social di stampo professionale andranno ovviamente aggiunti il proprio datore di lavoro e i colleghi e si dovranno postare solo contenuti di stampo professionale. Se non si possiede alcun account è consigliato registrarsi a piattaforme dedicate come Linkedin, ma anche ad altri siti come Yelp e Amazon.

Nel caso in cui ci si possa “classificare” come esperti in un determinato comparto è bene cercare di ottenere la pubblicazione di propri articoli in riviste e magazine del settore o di diventare una “fonte autorevole” per giornalisti che si occupano di un preciso argomento (utili sono siti come Help a Report Out e MediaDiplomat).

Al contrario se non si è ancora un esperto è possibile far crescere il proprio nome in un settore scrivendo post, forum o postando video professionali e dedicati. Scrivere dei contenuti interessanti è utile non solo per rafforzare la propria reputazione online ma anche per dare a questa una “personalità”.

Come gestire la reputazione online: essere vigili

Tra le strategie da adottare per gestire la propria reputazione online c’è, ovviamente, anche un attento “monitoraggio”.

In quest’ottica, è utile impostare dei Google Alert, grazie ai quali è possibile tenere traccia di tutti i nuovi contenuti postati in relazione a una precisa parola chiave (come il proprio nome e cognome).

Molto utile è un widget di Google Alert, “Me on the web” che consente di creare degli alerts per il proprio nome e la propria email.

Separare il proprio profilo personale da quello privato significa anche utilizzare per gli account collegati delle email diverse. Molti social network, infatti, consentono di effettuare una ricerca anche tramite email così, per separare la sfera privata da quella professionale, è sempre bene utilizzare account di posta elettronica diversa (al pari di numeri di telefono, carte di credito etc.).

In ultimo, per gestire la reputazione online al meglio è sempre indispensabile essere “diplomatici”  e quindi pesare con la dovuta attenzione le parole che si usano per postare un commento o un post.

Il tema della sicurezza informatica è diventato, specialmente in relazione alla protezione dei dati bancari, di estrema attualità portando, di conseguenza, non solo a una crescita dell’interesse pubblico verso questo argomento ma anche a una evoluzione del relativo sistema normativo, sia a livello nazionale che europeo.

Una tendenza, quella di adottare un sistema di regole più chiaro e meno “generalista”, che si è consolidata nel corso del tempo e che, per quanto concerne la legislazione italiana, ha trovato espressione nella direzione assunta dal Garante per la Protezione dei Dati Personali, sempre più volta da un lato alla semplificazione delle procedure e dall’altro all’adozione di provvedimenti specifici per determinati settori di mercato che, in virtù della loro stessa funzione, sono maggiormente esposti ad attacchi con conseguenze molto più pervasive per i cittadini.

In quest’ottica uno dei provvedimenti di maggiore interesse nell’ambito della protezione dei dati bancari è senza dubbio rappresentato dal Provvedimento del Garante per la protezione dei dati personali in materia di tracciamento degli accessi ai dati bancari (Provvedimento n°192/2011), pubblicato nella Gazzetta Ufficiale n.127 del 3 giugno 2011 (Provvedimento del Garante per la protezione dei dati personali in materia di tracciamento degli accessi ai dati bancari).

Protezione dei dati bancari: di cosa si tratta

Il Provvedimento n.192/2011 ha lo scopo di fornire delle regole di condotta volte a garantire la riservatezza e la sicurezza dei dati bancari (relativamente non solo alla movimentazione di denaro ma anche alla sola consultazione), custoditi e trattati dalle banche, incluse quelle facenti parte di gruppi, da società che, sebbene diverse dalle banche, siano comunque parte di tali gruppi, e da Poste Italiane S.p.a.

Nel definire il contenuto del provvedimento, il Garante ha tenuto conto di una serie di istanze pervenute, al seguito delle quali è stata avviata un’attività ispettiva su tutti i soggetti precedentemente nominati, al fine di accertare l’effettivo indebito accesso a dati personali dei clienti.

Le segnalazioni e i reclami giunti al Garante da parte di singoli cittadini avevano infatti denunciato l’accesso illecito ai propri dati personali perpetrato da alcuni dipendenti delle banche con le quali avevano sottoscritto un rapporto contrattuale. Sempre stando ai reclami, i dati sarebbero stati comunicati a soggetti terzi i quali li avrebbero utilizzati per scopi e finalità personali, con particolare attenzione alla loro utilizzazione “giuridica” ( come nei casi di separazioni, pignoramenti etc.).

L’attività ispettiva svolta dal Garante aveva anche portato a una collaborazione con l’Associazione Bancaria Italiana (ABI), scaturita nella realizzazione di un questionario anonimo il cui obiettivo era quello di accertare lo stato delle scelte organizzative adottate dalle singole banche, coinvolgendo nell’indagine “340  tra banche e gruppi bancari, che fanno complessivamente riferimento a 441 banche operanti sul territorio italiano”.

Protezione dei dati bancari: circolazione dei dati e rapporto tra banca e gestore dei sistemi informatici

A seguito dell’attività istruttoria condotta, erano emersi alcuni chiarimenti in merito a molti aspetti chiavi come la circolazione delle informazioni tra le banche appartenenti a uno stesso gruppo e la circolazione delle informazioni tra le banche e i soggetti incaricati della gestione dei sistemi informatici contenenti i dati bancari dei clienti.

In merito al primo aspetto, si era evidenziato come la circolazione dei dati potesse essere ricondotta a tre tipologie principali, vale a dire la comunicazione dei dati tra filiali dello stesso gruppo, la circolazione dei dati tra filiali della stessa banca e, infine, la circolazione dei dati all’interno di una stessa filiale. Relativamente alle prime due tipologie, si era potuto accertare come esistessero delle sostanziali differenze tra le singole realtà bancarie, mentre solo relativamente alla terza “categoria” si era potuto verificare una certa omogeneità di scelta.

In relazione, invece, ai rapporti tra le banche e i soggetti addetti alla gestione dei sistemi informatici, due erano i sistemi organizzativi principali (individuati anche dall’ABI); gestione interna del sistema informatico ad opera di una società facente parte del gruppo bancario stesso (configurata come soggetto terzo Responsabile o Titolare del trattamento dei dati personali) e gestione esterna, affidata quindi a una società “terza” (outsourcer) designata come “responsabile del trattamento”.

Le molte diversità evidenziate rese necessaria la formulazione di alcune prescrizioni, indirizzate principalmente alla trasmissione dei dati dalla banca o dal gruppo bancario alla società incaricata della gestione del sistema informatico di archiviazione e gestione dei dati stessi.

Sebbene l’esternalizzazione dei sistemi informatici venisse considerata come una libera scelta delle banche, era indispensabile accertare che i soggetti terzi che avrebbero gestito questi dati (senza distinzione tra soggetti interni e soggetti esterni), potessero effettivamente essere considerati come autonomi titolati o se dovessero invece essere designati come “responsabili” del trattamento.

Oltre a individuare con maggior precisione la “funzione” dell’outsourcer, il Garante sottolineava come fosse indispensabile adottare delle ulteriori misure indirizzate a informare in maniera tempestiva l’interessato di operazioni di trattamento illecito dei propri dati e a fornire una informativa con precise indicazioni sulla circolazione dei dati stessi.

In caso di violazioni accertate, sia accidentali che illecite, le banche avrebbero inoltre dovuto informare il Garante.

Protezione dei dati bancari: tracciamento delle operazioni

Relativamente, invece, al tema degli accessi informatici da parte dei dipendenti di una banca ai dati dei clienti, il Garante aveva evidenziato come anche su questo punto esistessero diverse soluzioni adottate dai singoli istituti bancari.

Questi ultimi, infatti, potevano agire con un certo margine di discrezionalità nel dare attuazione a quanto previsto nelle “Disposizioni di vigilanza per le banche in materia di conformità alle norme (compliance)” adottate dalla Banca d’Italia nel 2007.

Tali disposizioni andavano a definire il ruolo e la responsabilità dei vertici delle banche, consideravano la funzione di compliance come parte integrante dei sistemi di controllo interni e ne stabilivano i compiti principali, mentre la disciplina della stessa rientrava in apposite istruzioni emanate dalla Banca d’Italia stessa, in particolare le Istruzioni di vigilanza in materia di “Organizzazione e controlli interni”.

Queste chiedevano alle banche di dotarsi di appositi sistemi di monitoraggio dei rischi, di verificare la sicurezza dei sistemi informativi e di prevedere degli indicatori di anomalie (alert), senza indicare, invece, obblighi relativamente alla tracciabilità delle operazioni bancarie.

Si era, quindi, accertato come la maggior parte degli istituti bancari avesse previsto un sistema di controllo relativamente alle operazioni dispositive, mentre solo una minima parte aveva implementato anche un sistema di tracciabilità in relazione invece alle operazioni di consultazione (si sottolineava inoltre che anche nei pochi casi riscontrati la breve conservazione dei file di log non permetteva di individuare l’accesso a determinati dati da parte di un incaricato).

La situazione evidenziata aveva quindi portato il Garante a formulare l’adozione di determinate misure, indirizzate al tracciamento degli accessi ai dati bancari dei clienti, al tempo di conservazione dei file di log e all’implementazione degli alert, indispensabili per accertare intrusioni o trattamenti illeciti dei dati.

Protezione dei dati bancari: le misure necessarie

Tenendo conto dei risultati dell’indagine ispettiva, ampiamente riassunta nelle premesse del Provvedimento n.192/2011, il Garante ha quindi prescritto una serie di misure indirizzate a tutti i soggetti precedentemente citati, misure il cui scopo è quello di portare a un miglioramento sia sul piano organizzativo che su quello tecnologico.

Tra le misure necessarie citate all’interno del provvedimento rientra in primo luogo la “designazione dell’outsourcer” come responsabile del trattamento dei dati, mentre le banche sono da considerarsi come i titolari unici del trattamento.

In secondo luogo, relativamente al tracciamento delle operazioni, il Garante dispone l’adozione di soluzioni informatiche volti al “controllo dei trattamenti condotti sui singoli elementi di informazione presenti sui diversi database”, comprendenti una registrazione in un apposito file log di tutte le informazioni relative a operazioni bancarie su specifici dati (sono quindi escluse le consultazioni in forma aggregata che non sono quindi riconducibili a un solo cliente).

Fondamentale per il Garante è anche incrementare i tempi di conservazione dei file di log, la cui durata deve essere pari ad almeno 24 mesi, e implementare il sistema degli alert per i quali il testo del provvedimento prevede l’adozione da parte delle banche di specifici alert volti a segnalare comportamenti anomali o di rischio.

Nel Provvedimento n.192/2011 tra le misure necessarie si elencano anche la necessità di far confluire i file log negli strumenti di business intelligence, e di redigere con cadenza annuale un rapporto sulla gestione dei dati bancari da parte dei titolari del trattamento.

Sempre in relazione all’audit interno di controllo, nel provvedimento si chiarisce anche la necessità di un controllo da parte di una società o di un personale diverso rispetto a quello a cui è affidato il trattamento, oltre a verifiche a posteriori e a campione su alerting, integrità dei dati, legittimità degli accessi e corretta conservazione dei file di log.

Protezione dei dati bancari: le misure opportune

Nel testo del Provvedimento n.192/2011, il Garante non manca poi di indicare alcune misure opportune tra le quali rientrano l’informativa dell’interessato (ex art. 13 del Codice Privacy), l’informazione tempestiva a quest’ultimo di operazioni di trattamento illecite effettuate sui suoi dati, e di comunicazione tempestiva al Garante nel caso di violazioni accertate e da considerarsi di particolare rilevanza.

Protezione dei dati bancari: i chiarimenti del Garante

Il Garante aveva stabilito che tutti i soggetti interessati avrebbero dovuto dare applicazione alle misure previste entro 30 mesi dalla pubblicazione del provvedimento in Gazzetta Ufficiale (quindi entro il 3 dicembre 2013).

Le banche e gli altri istituti interessati hanno riscontrato degli ostacoli interpretativi e delle difficoltà attuative del provvedimento, richiedendo così tramite l’ABI dei chiarimenti e una proroga dei tempi di attuazione.

Il Garante ha così risposto con il provvedimento n.357 (“Chiarimenti in ordine alla Delibera n.192/2011) fornendo dei chiarimenti sia relativamente al quadro operativo che all’ambito di applicazione del provvedimento 192/2011.

In relazione alle operazioni oggetto delle misure indicate nel Provvedimento, il Garante ha chiarito che sono incluse tutte le operazioni bancarie in senso stretto (con esclusione delle banche depositarie e delle società di assicurazione), mentre per quanto riguarda i dati bancari  sono ricompresi “quelli contenuti negli estratti conto, quelli afferenti alle movimentazioni bancarie, le informazioni relative alle operazioni attive e passive e le operazioni effettuate sul conto corrente del cliente, nonché le operazioni richieste dal cliente nell’ambito di prestazioni ed attività connesse ai rapporti contrattuali”.

Infine, l’Autorità Garante ha esteso con i chiarimenti i tempi di adeguazione al provvedimento il cui termine ultimo era stato prorogato al 3 giugno 2014.

E’ capitato a tutti, almeno una volta, di ricevere nella propria casella di posta elettronica una email pubblicitaria di uno specifico prodotto o servizio e di non ricordarsi di aver autorizzato quella determinata azienda a inviarci offerte e promozioni.

Lo spam, vale a dire la ricezione di posta indesiderata, è ormai un fenomeno capillare e pervasivo che riguarda tutti e contro i quali i filtri anti-spam dei principali servizi di posta elettronica sembrano riuscire a fare davvero poco per prevenirlo totalmente.

Al di là del fastidio di vedere la propria casella di posta letteralmente invasa da email pubblicitarie esiste un altro problema, molto più importante, sul quale è necessario interrogarsi; chi ha autorizzato queste società a utilizzare i nostri dati personali? Esiste un modo per difendere la propria privacy in un epoca in cui i nostri dati sono sempre più spesso esposti al rischio di sottrazione o di uso illecito? C’è una legge sulle email pubblicitarie grazie alla quale difendersi?

Una questione spinosa, della quale non ha mancato di occuparsi il Garante per la protezione dei dati personali, nel corso degli anni “travolto” da una serie di segnalazioni e di reclami di utenti stanchi di vedere indebitamente utilizzati i propri indirizzi email per finalità pubblicitarie e promozionali.

Legge sulle email pubblicitarie: le premesse

Nel 2003, a seguito delle numerose denunce di cittadini, il Garante per la protezione dei dati personali, e l’allora presidente  Prof. Stefano Rodotà, decise di prendere posizione sulla questione adottando un testo, “Spamming. Regole per un corretto invio delle e-mail pubblicitarie” con il quale si è cercato di fare chiarezza sulla questione e di stabilire alcuni principi di base.

Il testo espone innanzitutto le premesse che hanno portato alla sua definizione, cercando di delineare le diverse casistiche dei reclami pervenuti nel tempo allo stesso Garante. Questi ultimi riguardavano in primo luogo la ricezione da parte degli utenti di email pubblicitarie, promozionali, di informazione commerciale o di vendita diretta, senza che gli interessati avessero espresso precedentemente il proprio consenso.

Non solo, gli utenti segnalavano anche come qualunque tentativo di cancellazione del proprio indirizzo email da questi “elenchi promozionali” fosse stato vano, lamentando, di conseguenza, una serie di disagi ulteriori come la ricezione costante di messaggi analoghi, di messaggi anonimi ( o prive dell’indicazione di un indirizzo), o di email delle quali era impossibile accertare la veridicità delle informazioni fornite.

Sempre nel preambolo del testo si legge di come il Garante abbia avviato un’attività di assistenza per i cittadini colpiti da questo fenomeno, impegnandosi al contempo ad adottare specifici divieti e  ad applicare le relative sanzioni amministrative (con trasmissione degli atti all’autorità giudiziaria penale nel caso in cui era possibile configurare un reato) in seguito all’accettazione dei ricorsi.

Un “servizio” di assistenza e di tutela che l’Autorità ha ampliato prevedendo anche dei controlli, in collaborazioni con le forze di polizia, presso fornitori di servizi e altri titolari del trattamento, al fine di accertare l’esistenza di eventuali violazioni, come la non rispondenza dei trattamenti dei dati alla normativa.

Una serie di “misure” importanti ma non sufficienti contro un fenomeno sempre più dilagante che portò quindi il Garante all’adozione di un provvedimento generale nel quale si davano precise indicazioni agli operatori del settore, al fine di consentire loro di conformarsi alla disciplina generale sull’uso dei dati personali, con particolare riferimento al comparto delle comunicazioni.

Legge sulle email pubblicitarie: quando la pubblicità è lecita

Nel testo del provvedimento, il Garante cerca innanzitutto di fare chiarezza sull’invio lecito di email pubblicitarie, precisando subito come questo tipo di comunicazione sia da considerarsi possibile e legittima solo nel caso in cui il destinatario abbia fornito precedentemente il proprio consenso “libero, specifico e informato”.

Le email, infatti, contengono dati personali che possono essere tratti solo nel rispetto della normativa vigente in materia.

Questo significa che, sebbene gli indirizzi di posta elettronica siano oggi facilmente reperibili in rete, questi non possono essere utilizzati a scopi promozionali o pubblicitari senza specifico consenso.

In questa “casistica” rientrano numerosi esempi di “reperimento” di indirizzi di posta elettronica, dalla partecipazione a forum o blog di discussione alle “liste anagrafiche” di abbonati a un Internet provider, senza dimenticare gli indirizzi email pubblicati su un sito internet ( o quelli che è possibile reperire consultando gli elenchi di tutti coloro che hanno registrato un dominio).

Tutti gli indirizzi di questo tipo possono essere utilizzati solo per le specifiche e relative attività per le quali l’utente li ha inseriti e non possono in alcun modo senza consenso essere impiegati per email pubblicitarie, promozionali o di vendita.

Il Garante fa notare come l’uso illecito degli indirizzi di posta elettronica causi “una lesione ingiustificata dei diritti dei destinatari”, lesione configurabile non solo nel tempo impiegato per selezionare i messaggi attesi da quelli indesiderati, ma anche nell’adozione di sistemi di filtri più scrupolosi, capaci anche di riscontrare la presenza di virus, senza contare il rallentamento del servizio di posta causato, ad esempio, dalla ricezione di numerose email di grandi dimensioni.

Legge sulle email pubblicitarie: il principio del consenso

Nell’ambito del provvedimento, il Garante fornisce importanti chiarimenti anche in relazione al principio del consenso, evidenziato innanzitutto come la legge stabilisca i casi in cui tale consenso è necessario e i casi in cui è invece possibile prescinderne (artt. 10, 11, 12 e 20 legge 675).

Nel dettaglio l’autorità chiarisce come, ai sensi degli articoli sopracitati, il consenso non sia necessario solo nei casi di “pubblico registro, elenco, atto o documento conoscibile da chiunque perché vi è una specifica disciplina che ne impone la conoscibilità indifferenziata da parte del pubblico”.

Ne consegue, dunque, che tutti gli indirizzi email reperibili in rete per condizioni di mera opportunità, come la raccolta su portali web, le mailing-list, l’utilizzo di software per la reperibilità degli indirizzi, non possano rientrare nelle disposizioni per l’esclusione del consenso, in quanto non sono soggetti a un regime giuridico di piena riconoscibilità da parte di tutti.

Nel provvedimento si ribadisce quindi che le email, in quanto contenenti dati personali, possano essere utilizzate a fini pubblicitari solo con consenso documentato per iscritto, espresso in maniera libera, esplicita e differenziata in relazione “alle finalità e alle categorie di servizi e prodotti offerti”.

Su questa scia, quindi, il Garante promuove e incoraggia l’attività di tutte quelle aziende che ottengono in maniera lecita e valida il consenso degli utenti, inoltrando anche una comunicazione volto a ribadire la “volontà” dell’utente e ad annunciare il successivo inoltro delle email pubblicitarie.

Per tutti quei casi in cui, invece, il consenso non è stato espresso, l’autorità prefigura un trattamento illecito dei dati che in base ai singoli casi comporta l’adozione di sanzioni amministrative pecuniarie.

Sempre in relazione al consenso, nel testo si chiarisce che il consenso ha “un connotato autorizzato positivo”, il che significa che un eventuale silenzio dell’interessato non può essere considerato come tacito assenso all’invio di messaggi pubblicitari (non vale quindi la regola del silenzio-assenso).

Legge sulle email pubblicitarie: messaggi a propri clienti e per conto terzi

Il Garante non manca poi di affrontare la questione relativa all’invio di messaggi pubblicitari da parte di aziende con le quali un utente ha già stabilito un rapporto di vendita sia di prodotti che di servizi.

In questa ipotesi si ritiene possibile l’invio di email volte a pubblicizzare altri prodotti, chiarendo però che è necessario informare tempestivamente il cliente e offrirgli la possibilità, sia al momento della raccolta dei dati che in occasione dell’invio di ogni messaggio, di rifiutare a priori l’uso “commerciale” dei propri dati (con la possibilità di obiettare anche in seguito).

Per quanto riguarda invece l’invio di email pubblicitarie per conto di terzi da parte di società specializzate che usano dei propri database, il Garante chiarisce come queste aziende (titolari o contitolari del trattamento) debbano conformarsi alle disposizioni relative all’informativa e al consenso esplicito.

Stesso discorso vale nel caso di acquisto di banche dati da parte di terzi i quali, prima di utilizzare gli indirizzi email contenuti, sono tenuti a verificare che ogni utente abbia chiaramente e validamente espresso il proprio consenso all’invio di materiale pubblicitario, inviando anche, al momento di registrazione dei dati, un messaggio che chiarisca al destinatario tutte le informazioni rese al momento della raccolta (art. 10 della legge 675).

Legge sulle email pubblicitarie: i diritti dei titolari dei dati

Di estrema importanza sono anche i chiarimenti che il Garante fornisce in relazione ai “diritti degli interessati” ai quali deve essere garantito in ogni momento la possibilità di esercitare i diritti che gli sono riconosciuti per legge (il diritto a sapere chi tratta i dati, il diritto a ottenere gratuitamente l’interruzione dell’uso dei dati per fini promozionali etc.).

Per quanto concerne la possibilità di far valere i diritti sopracitati, il Garante mette a disposizione un modello da inoltrare all’indirizzo del titolare o del responsabile del trattamento dei dati, mentre nel caso di email anonime il Garante chiarisce come sia già configurabile un uso illecito dei dati, essendo i mittenti obbligati a indicare in maniera chiara l’indirizzo, il soggetto, la fonte di provenienza del messaggio e l’oggetto della email, chiarendo che si tratta di una email pubblicitaria o commerciale.

Relativamente alla possibilità di redigere degli elenchi di utenti che hanno espresso il proprio consenso, l’Autorità ritiene positiva, se correttamente eseguita, la pratica di realizzare degli elenchi “settoriali” per le diverse tipologie di messaggi pubblicitari, auspicando però l’inserimento diretto degli stessi utenti del proprio indirizzo email in queste liste, oltre alla possibilità di cancellarsi dagli elenchi in qualunque momento.

Legge sulle email pubblicitarie: le email dall’estero

Una situazione particolare è rappresentata dalle email pubblicitarie provenienti dall’estero per le quali non è possibile applicare la legge italiana.

In questi casi, il Garante sottolinea come sia comunque possibile per i destinatari richiedere una verifica alle competenti autorità nazionali o rivolgersi, nel caso ad esempio di stati federali, alle competenti autorità pubbliche.

Nel testo si mette inoltre l’accento sul fatto che spesso queste email possano essere utilizzate anche per perpetrare dei reati; in questi casi si ritiene che il reato sia stato commesso in territorio italiano, anche se la violazione è avvenuta all’estero, nel caso in cui le conseguenze che ne derivano si verificano in Italia.

Legge sulle email pubblicitarie: le conclusioni

Alla luce di quanto chiarito all’interno del provvedimento, il Garante giunge a due fondamentali “conclusioni”.

In primo luogo viene fatto divieto di utilizzare i dati personali per finalità promozionali, commerciali o di vendita diretta, applicando questa disposizione anche alle ricerche di mercato, nei casi in cui tali comunicazioni vengano effettuate nel non rispetto delle norme precedentemente citate.

In secondo luogo, l’autorità segnala a tutti i titolari del trattamento dei dati la necessità di adeguarsi ai principi richiamati nel testo del provvedimento.

Con questo provvedimento il Garante ha quindi cercato di fornire una tutela a tutti gli utenti, mettendo in campo delle disposizioni e una legge sulle email pubblicitarie chiare e abbastanza vincolanti, nel tentativo di arginare un fenomeno sempre più pervasivo e che impone di trovare un bilanciamento tra il diritto alla privacy e le nuove forme di comunicazione della rete.

L’evoluzione tecnologica che ha interessato il mondo negli ultimi decenni ha portato numerosi cambiamenti che, nella maggior parte dei casi, si sono tradotti in nuove opportunità, nuove modalità di comunicazione e di “vicinanza” tra i singoli individui.

Un universo sempre connesso, nel quale le barriere fisiche hanno perso la loro importanza, si traduce nella possibilità di comunicare con chiunque in qualsiasi momento, di lavorare da remoto, di eseguire qualunque tipo di operazione (dalla prenotazione di viaggi alle transizioni economiche, dallo shopping alla ricerca di informazioni) senza doversi spostare di casa, semplicemente utilizzando una connessione e un pc.

Cambiamenti significativi che hanno modificato i nostri stili di vita portando, però, in molti casi a dimenticare che, come in tutte le cose, esiste anche un “rovescio della medaglia”, altrettanto importante soprattutto perché in gioco ci sono i nostri dati personali. Delle nuove minacce si sono quindi configurate cosìcché appare lecito interrogarsi sull’esistenza e sulla validità di norme in grado di tutelare i diritti dei cittadini, soprattutto relativamente alla possibilità di sparire dalla rete grazie a una apposita legge sul diritto all’oblio.

Un argomento spinoso che solleva non poche perplessità, specialmente se si considera che molte delle norme esistenti in materia sono state formulate in relazione alle tecnologie “tradizionali” (stampa, TV) e quindi possono risultare incomplete e incapaci di rispondere alle nuove esigenze di tutela dettate dalle nuove tecnologie.

Legge sul diritto all’oblio: che cos’è

Il diritto all’oblio è il diritto spettante a ogni cittadino a essere dimenticato e a non essere più ricordato per eventi che sono stati oggetto di cronaca in passato, eventi che, trascorso un certo lasso di tempo, ritornano a far parte della sfera privata dell’individuo stesso.

Il diritto all’oblio, dunque, è il diritto a non restare esposti a tempo indeterminato ai danni (personali e di immagine) che la reiterata pubblicazione di una notizia può comportare all’onore e alla reputazione del soggetto interessato. In quest’ottica, la ri-publicazione della notizia, e quindi la conseguente attenzione del pubblico, viene ritenuta lecita sono nell’ipotesi in cui si verifichi un nuovo evento che riporti di attualità il fatto precedente, giustificando, quindi, il rinnovato interesse pubblico all’informazione.

In passato, prima dell’avvento della rete, questa norma offriva una buona tutela agli individui (con un bilanciamento tra diritto di cronaca e tutela della privacy), ma con l’affermarsi di internet la situazione è notevolmente cambiata e, spesso, ottenere il diritto a essere dimenticati è diventato difficile.

Le cause sono numerose e vanno innanzitutto ricercate nel processo di digitalizzazione dei propri archivi avviato dai media tradizionali che, in sostanza, ha reso disponibile in rete tutto lo storico dei mezzi di comunicazione tradizionale.

Legge sul diritto all’oblio e indicizzazione

La digitalizzazione in sé non è “pericolosa” mentre lo è senza dubbio l’indicizzazione di questi contenuti da parte dei motori di ricerca. Senza indicizzazione, infatti, sarebbe stato possibile reperire determinate informazioni su un individuo solo effettuando una ricerca mirata all’interno degli archivi digitali di un giornale o di un altro organo di informazione, mentre con i motori di ricerca è sufficiente digitare un nome e un cognome per ottenere tutte le notizie che la rete ha a disposizione su quel determinato individuo.

Questo significa che l’identità di una persona si lega indissolubilmente a un fatto di cui è stato protagonista e questa “associazione” è sempre di pubblico dominio, con tutte le conseguenze che ne derivano per il soggetto interessato, anche se la vicenda si è ormai conclusa (poco importa se con la condanna o con l’assoluzione del protagonista).

La lesione del diritto di protezione dei dati personali di un cittadino si riscontra, dunque, non  nella pubblicazione di una notizia, ma nella permanenza in rete a tempo indeterminato di specifiche informazioni (legate a casi di cronaca e non solo) lesive della dignità personale  e che non dovrebbero più essere di dominio pubblico, in quanto trascorso un periodo di tempo sufficiente a non giustificare più l’esigenza del pubblico stesso a essere informato.

Chiaramente quanto detto vale non solo per le notizie di carattere giudiziario, ma anche per tutte quelle informazioni che possono arrecare danni alla dignità personale, a prescindere dalla loro valenza giuridica.

Legge sul diritto all’oblio: la legislazione italiana

Il diritto all’oblio è legato sicuramente alla tutela della privacy ma in un certo senso va anche oltre e mira sostanzialmente al diritto spettante a un individuo a essere dimenticato, a vedere salvaguardato il proprio riserbo, trascorso un certo periodo di tempo dalla pubblicazione della notizia stessa.

Alla base del diritto all’oblio si trovano alcune disposizioni contenute nel Codice della Privacy che stabiliscono come il trattamento dei dati personali non possa essere considerato lecito se questi stessi dati (che ovviamente consentono l’identificazione degli interessati) siano conservati in una forma che li renda disponibili per un periodo di tempo superiore allo “scopo” per il quali sono stati raccolti o trattati.

Ne consegue che chiunque ha il diritto di sapere chi detiene i propri dati personali e come li utilizza, avendo anche la possibilità di opporsi al trattamento degli stessi e di chiederne, in determinati casi, la cancellazione, la trasformazione, il blocco, la rettificazione, l’aggiornamento e l’integrazione (art. 7 d.lgs n. 196/2003). In quest’ottica, il diritto all’oblio sembra una logica conseguenza della corretta applicazione del diritto di cronaca che, in pratica, considera come lesiva la diffusione di una notizia già acquisita e non più da considerare di interesse pubblico.

Legge sul diritto all’oblio e Web

Se per i media tradizionali la legge sul diritto all’oblio risulta di semplice applicazione lo stesso non può dirsi per la rete dove le informazioni vengono scambiate e archiviate in “luoghi virtuali” diversi per i quali esistono differenti titolari dei trattamenti dei dati. Spesso, poi, questi dati sensibili sono conservati e gestiti al di fuori dei confini nazionali ed europei, creando non pochi problemi vista l’inesistenza di una omogeneità normativa.

Per quanto concerne la legislazione italiana ci sono stati diversi precedenti che hanno portato alla definizione di una serie di principi. Innanzitutto, il trattamento dei dati personali per finalità giornalistiche è regolamentato dal Codice della Privacy ( art. 136 e ss.) che stabilisce una deroga al consenso da parte del soggetto interessato quando i dati vengono utilizzati “nell’esercizio della professione giornalistica“, stabilendo però che il trattamento dei dati anche senza consenso deve rispettare una serie di principi quali il principio di proporzionalità, non eccedenza, indispensabilità, veridicità e di interesse del pubblico a essere informato.

In relazione alla circolazione, alla diffusione e alla conservazione dei dati sensibili in rete si è poi stabilito che, vista l’accessibilità planetaria a queste informazioni, sia indispensabile bilanciare l’uso di questi dati per finalità giornalistiche con il diritto all’oblio dell’interessato, inteso come il diritto del singolo a non vedere a tempo indefinito presenti in rete informazioni personali che riguardano un evento passato ormai concluso e la cui costante riproposizione determina una lesione di quei diritti salvaguardati dallo stesso Codice della Privacy all’art. 2 (“il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali“).

L’Autorità Garante è ulteriormente intervenuta sulla questione, interessandosi questa volta della conservazione dei dati personali all’interno degli archivi storici online di giornali e quotidiani. Con il provvedimento “Archivi storici online dei quotidiani e reperibilità dei dati dell’interessato mediante motori di ricerca esterni” (aprile 2009) ha sostanzialmente accolto il ricorso di un cittadino che si opponeva alla presenza in rete di informazioni, risultanti da ricerche su browser web, che continuavano ad associare il proprio nome a un articolo non più di interesse pubblico, con tutte le conseguenze per il singolo in termini di reputazione e di danni di immagine.

In quello specifico caso, quindi, il Garante impose all’editore del sito web interessato di adottare “ogni misura tecnicamente idonea a evitare che le generalità della ricorrente contenute nell’articolo pubblicato online oggetto del ricorso siano rinvenibili direttamente attraverso l’utilizzo dei comuni motori di ricerca esterni al proprio sito internet “. In sostanza, l’Autorità chiedeva che la pagina web contenente i dati personali del soggetto fosse “sottratta” all’indicizzazione sui motori di ricerca, cercando in questo modo di giungere a un valido compromesso tra diritto all’oblio e reperibilità delle informazioni, viste che queste sarebbero comunque presenti negli archivi dei quotidiani online.

Legge sul diritto all’oblio: la sentenza della Corte di Cassazione

Uno scostamento significativo dalla linea tracciata dall’Autorità vi è stato con una sentenza del 2012 della Corte di Cassazione che più che escludere l’indicizzazione di determinati contenuti sui motori di ricerca, ha puntato alla contestualizzazione dei fatti stessi nel corso del tempo.

In pratica, la Corte di Cassazione ha stabilito che anche in rete il singolo abbia il diritto di avere una “proiezione genuina e attuale della propria identità“, esercitando quindi un’attività informativa che tenga conto anche degli eventi successivi e che sia quindi in grado di garantire al lettore una visione veritiera e attuale. Il soggetto a cui si riferiscono i dati personali ha quindi secondo la Corte il diritto al rispetto della propria identità personale e a non vedere “travisato o alterato all’esterno il proprio patrimonio  intellettuale, politico, sociale, religioso, ideologico, professionale” (Cass., n. 7769/1985).

La sentenza della Corte di Cassazione è stato un precedente importante che ha portato l’Autorità ad allinearsi, aprendo anche la strada ad altre sentenze storiche come quella del Tribunale di Milano dell’aprile 2013 che ha addirittura disposto la rimozione dall’archivio online di un giornale di un articolo che era apparso sulla versione cartacea nel 1984.

Legge sul diritto all’oblio: il nuovo diritto comunitario

Con la Sentenza del 13 maggio 2014 la Corte di Giustizia delle comunità europee aveva stabilito che un soggetto poteva richiedere che una specifica informazione disponibile sul web non fosse più disponibile per il pubblico, decaduto l’interesse pubblico a quella determinata informazione. La Corte di Giustizia, quindi, introduceva per la prima volta il diritto del singolo ad essere de-indicizzato dal motore di ricerca, imponendo quindi a Google di accogliere le relative richieste degli interessati.

L’indomani della sentenza le diverse autorità garanti della privacy nazionali si attivarono per cercare di stabilire dei criteri comuni con i quali gestire i reclami dei cittadini, avviando quindi un processo di armonizzazione delle procedure, da utilizzare soprattutto nel caso di rigetto della richiesta da parte del motore di ricerca.

Il 25 maggio 2015 è stato fatto un ulteriore passo in avanti a livello europeo con l’entrata in vigore del nuovo regolamento comunitario sulla protezione dei dati (Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE ). Pubblicato nella Gazzetta Ufficiale dell’Unione Europa il 4 maggio 2016 (n.119), il nuovo Regolamento sarà operativo nei singoli stati membri a partire dal 25 maggio 2018, concedendo quindi due anni di tempo agli ordinamenti nazionali per adattare l’ordinamento interno alle nuove disposizioni (in Italia il nuovo regolamento andrà a sostituire il Codice Privacy).

Legge sul diritto all’oblio: le novità del regolamento

Le novità contenute nel regolamento europeo attengono soprattutto al diritto all’oblio. Nel Preambolo, infatti, si stabilisce che un individuo ha il diritto a ottenere la rettifica dei dati personali e il diritto all’oblio nel caso in cui la conservazione violi le disposizioni del regolamento o degli Stati membri(n.65), mentre per rafforzare lo stesso diritto all’oblio in rete si stabilisce che il diritto alla cancellazione debba essere esteso sino ad obbligare il titolare del trattamento che ha pubblicato i dati a cancellare ogni copia, riproduzione o link che richiami ai suddetti dati personali (n.66).

Da queste disposizione è quindi scaturito un vero diritto alla cancellazione (o all’oblio), secondo quanto disposto dal comma 1 “l’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali“.

Al paragrafo 2 si fissano poi le modalità di cancellazione, che devono tenere conto delle tecnologie disponibili e dei costi, mentre al paragrafo 3 si individuano i “casi” in cui il diritto all’oblio non può essere contemplato. Nello specifico, questo viene escluso nel caso in cui sussista l’esercizio del diritto alla libertà di espressione e di informazione, nel caso in cui si debba adempiere a un obbligo legale, nel contesto dell’esecuzione di un dovere per interesse pubblico o nell’ambito dell’esercizio di pubblici poteri, nel caso in cui si debbano diffondere informazioni di interesse pubblico nel comparto sanitario pubblico, nell’ipotesi di archiviazione di notizie nel pubblico interesse (ricerche storiche, statistiche, scientifiche) e per l’accertamento, l’esercizio e la difesa di un diritto in sede giudiziaria.

Sempre in relazione alla protezione dei dati personali, interessante è anche l’art.20 del Regolamento che va in pratica a fissare delle misure relativamente alla profilazione. Il Regolamento stabilisce un divieto generale alla profilazione, precisando che questa risulta ammissibile solo con l’esplicito consenso degli interessati nel settore privato mentre in ambito pubblico risulterà rilevante l’autorizzazione legale. In pratica è necessario un consenso esplicito da parte dell’interessato che in questo modo si cerca di tutelare da pratiche oggi abbastanza diffuse come, ad esempio, la creazione in rete di profili falsi.

Legge sul diritto all’oblio: come esercitarlo

Nel Rapporto sulla Trasparenza (Rapporto Trasparenza Google ), Google ha reso disponibile una serie di informazioni relative alla richiesta di cancellazione di URL da parte degli utenti, riportando il numero delle richieste pervenute, quelle accetta e quelle rifiutate, oltre ad una serie di esempi “pratici”.

Il numero totale delle richieste esaminate dal motore di ricerca è pari a 1.881.369 URL, di cui il 56,7% sono state respinte e il restante 43,3% accettate. Su circa l’8% delle richieste esaminate i siti maggiormente interessati sono Facebook (URL rimossi: 15944), Profileengine (URL rimossi: 10436), Annuaire.118712.fr (URL rimossi: 8983) e Youtube (URL rimossi: 8107).

Legge sul diritto all’oblio: come richiedere la cancellazione a Google

Per richiedere la cancellazione a Google di determinate URL è necessario compilare un apposito modulo (reperibile a questa pagina) fornendo una serie di informazioni. In primo luogo, bisogna indicare il paese, il nome del richiedente (con scansione della carta di identità), l’indirizzo e-mail e il nome utilizzato per la ricerca. Al richiedente viene poi chiesto di segnalare le URL che si vuole rimuovere, indicando anche il motivo ( contenuto irrilevante, obsoleto, discutibile).

Viene poi evidenziato da Google come ogni richiesta pervenuta viene analizzata con attenzione, nell’intento di bilanciare il diritto alla privacy con il diritto di diffondere le informazioni. Questo significa che ogni link per il quale si richiede la rimozione sarà valutato nell’intento di capire se effettivamente rimanda a informazioni obsolete e non più rilevanti o se, al contrario, si richiama ancora a dati di interesse pubblico.

Ogni richiesta viene poi valutata singolarmente da un team di esperti che conservano un certo grado di discrezionalità nella valutazione dei contenuti, mentre i tempi non hanno una lunghezza definita, in quanto i fattori che possono influire sulle valutazioni sono numerosi.

E’ bene sottolineare, quindi, che la cancellazione non è automatica e immediata e che, se anche la richiesta viene accolta, con conseguente de-indicizzazione della notizia, questo non significa che la stessa non apparirà più su altri motori di ricerca o all’interno di forum o blog che, pur non essendo indicizzati, possono comunque essere raggiungi direttamente dagli utenti.

“Cancellare” una notizia dai risultati di ricerca di Google non significa quindi cancellarla dal Web. A tal proposito alcuni hanno sollevato delle perplessità, rilevando come le disposizioni manchino di una certa proiezione verso il futuro. Non si può escludere, infatti, che tra alcuni anni si assista all’affermazione di altri motori di ricerca, alla pari in termini di importanza con Google, ai quali bisognerà chiedere singolarmente la cancellazione, magari riferendosi ai singoli referenti nei singoli paesi.

Legge sul diritto all’oblio e gli altri motori di ricerca

Sebbene Google, data la sua posizione dominante, sia il principale “protagonista” delle norme e della legge sul diritto all’oblio, anche altri motori di ricerca come Bing e Yahoo hanno attivato delle procedure molto simili.

Per Bing è necessario collegarsi alla pagina dedicata , inserendo le informazioni del richiedente, il paese, una scansione del documento di identità, il nome per il quale si richiede il blocco e un indirizzo e-mail. Nella seconda parte del modulo viene poi chiesto di specificare il proprio ruolo nella comunità, indicando se si ricopre un ruolo pubblico o un ruolo che comporta “comando, fiducia o sicurezza“. Si passa, poi, a indicare le URL per le quali si chiede il blocco, descrivendo dettagliatamente le ragioni della propria richiesta e selezionando tra le opzioni valide per il blocco (inattese o false, incomplete o inadeguate, non aggiornate o non più pertinenti, eccessive o improprie) quella pertinente al proprio caso con una adeguata motivazione.

Lo stesso procedimento si ha per Yahoo (qui il modulo) che come Google e Bing mantiene una certa discrezionalità, valutando ogni singola richiesta e cercando sempre di trovare il giusto equilibrio tra la protezione della privacy e il diritto all’informazione.