Uno spunto molto interessante che viene da un lettore del sito ilsoftware.it, con cui collaboriamo oramai da anni.
Ho letto l’articolo riguardante la privacy in Facebook. Sarebbe interessante fornire un approfondimento sul tema, in particolare considerando la legislazione italiana in merito alla gestione delle proprie credenziali. Forse pochi se lo chiedono, ma sicuramente a tutti sarebbe utile saperlo: chi può obbligarci a fornire il proprio username e la relativa password di un servizio? Qualche risposta a questa domanda è stata data da quando si è diffuso il fenomeno del phishing, per cui molti utenti venivano indotti da un’email fasulla a fornire il proprio username e la password per accedere a servizi bancari e simili, ignari che dietro un’email del genere si nascondesse un truffatore. Articoli di giornale, riviste, siti web e gli stessi istituti di credito hanno iniziato a parlare del fenomeno, mettendo in guardia gli utenti dal fornire le proprie credenziali a terzi. Le credenziali per l’accesso ad un servizio come siconfigurano nella legislazione italiana? E le credenziali impostate nel PC utilizzato nel luogo di lavoro? Quali sono i casi in cui qualcuno può obbligare una persona a fornire delle credenziali? E quali sono i reati che si commettono pretendendole da qualcuno senza un valido elegale motivo?
Nessun soggetto privato può obbligarci a fornire le nostre credenziali di accesso ad un sistema informatico. È dubbio che lo possa fare anche un genitore nei confronti del figlio minorenne per motivi collegati all’esercizio della potestà genitoriale, anche se in alcuni casi si potrebbe forse ipotizzare una risposta positiva, ma dipende sempre dalle circostanze del caso concreto.
Non solo nessun privato può obbligarci a consegnare le nostre credenziali, ma c’è da dubitare fortemente della possibilità, per una persona, di consegnarle spontaneamente ad un’altro soggetto, anche con il suo consenso, perchè questo potrebbe portare a conseguenze anche molto negative per altri utenti.
Ad es., recentemente si è parlato molto di quelle aziende che chiedono le credenziali di accesso a facebook ai potenziali candidati, ma trasmettere queste credenziali significa trasmettere dati personali anche di altre persone: se io, sempre seguendo il nostro esempio, invio un messaggio personale tramite facebook a quel candidato, con dati riservati o anche sensibili, magari parlando di miei problemi di salute, pensando che lo stesso sia letto da un mio intimo amico, mentre invece finisce nel monitor di un funzionario di una grande compagnia, dove magari io stesso ho fatto richiesta di assunzione, che viene rifiutata dopo che hanno saputo che ho gravi problemi sanitari, che cosa ne dovremmo concludere?
È proprio per questo che non solo gli utenti non possono consegnare tranquillamente le credenziali, almeno di quei sistemi informatici cui è collegata una identità che comunica con altre persone che debbono far affidamento su quella identità stessa, ma devono anche proteggerle adottando tutte le misure di sicurezza possibili per evitare che le stesse vengano carpite da terzi. Nessun dovrebbe scrivere le proprie credenziali su, ad esempio, una nota di Evernote sul proprio smartphone, che poi dimentica al bar, dove viene carpito da terzi. O anche solo che lascia a casa, dove fanno irruzione ladri. Tutti debbono avere un antivirus, un buon sistema contro le intrusioni e farsi diligenti nei confronti delle pratiche di phishing.
Le nostre credenziali possono essere richieste, ed ottenute, solo dall’autorità giudiziaria nel caso stia indagando per reati abbastanza gravi. Anche in questi casi, tuttavia, le autorità difficilmente si rivolgono direttamente all’utente, ma piuttosto al fornitore del servizio, esattamente come accaduto nel celebre caso di Melania Rea, dove la Procura si è fatta consegnare le credenziali facebook del marito direttamente da facebook stesso, anche per poter vedere il comportamento spontaneo dell’indagato senza metterlo in allarme.
Queste, naturalmente, sono solo considerazioni generali, ogni caso va poi visto isolatamente e in tutti i suoi dettagli. La legge è sempre meno precisa di quel che si crede e le soluzioni spesso vanno enucleate, che poi è il compito di noi giuristi.
