«Il Piracy Shield è un rischio per la sicurezza informatica dell’Italia»

«I motivi per cui non può funzionare sono evidenti». Si è aperta così la nostra intervista con il divulgatore informatico Danilo Cimino (che gestisce il progetto “Cose di computer”) dedicata a tutti i problemi riscontrati – ormai da tempo – attorno al sistema Piracy Shield. Un pensiero che, visti gli accadimenti che si sono susseguiti fin dall’entrata in funzione della piattaforma anti-pirateria (legata esclusivamente al mondo del calcio, anzi alla Serie A), non può che non essere condivisibile. Il caso dello scorso fine settimana, quello che ha portato al blocco – dopo una segnalazione inviata da Dazn (come spiegato solo ora da AGCOM con la sua diffida nei confronti dell’OTT) – di una CDN di Google Drive è solo la punta dell’iceberg che ha confermato tutti i timori e le criticità che in molti (anche Giornalettismo) avevano messo in risalto da tempo. 

LEGGI ANCHE > L’abnorme (ed ennesimo) errore del Piracy Shield, che ha bloccato Google Drive

Danilo Cimino è una personalità tra le più esperte nel settore informatico. Dalla sua Laurea all’Università di Pisa, passando per le sue esperienze professionali all’iIstituto Nazionale di Fisica Nucleare e al CERN di Ginevra. È un formatore e un divulgatore – attraverso libri, i suoi seguitissimi canali social e il suo portale “Cose di computer” – informatico e da tempo denuncia tutte le incongruenze (per usare un eufemismo) relative al sistema Piracy Shield. A partire dal come è stata scritta la legge (la 93/2023) e come è stata di recente modificata: «Hanno scritto una norma senza conoscere il funzionamento della rete».

Danilo Cimino spiega perché Piracy Shield non può funzionare

Nella lunga chiacchierata che abbiamo fatto con il dottor Cimino, ci siamo concentrati su molti degli aspetti controversi legati al funzionamento della piattaforma, arrivando al sunto finale: questo sistema non può funzionare: «Pensavano di bloccare il pezzotto con questo sistema, ma il pezzotto non si blocca in questo modo visto che molti hanno una VPN integrata. L’obiettivo sembra essere quello di spingere le persone ad abbonarsi ai sistemi di streaming, non tenendo conto dell’aumento dei prezzi». Ma non c’è solamente una questione di tipo morale.

Bloccare gli IP non può essere la soluzione, visto che dietro ogni IP non c’è un singolo sito online. Ed è proprio la base di tutte le contestazioni mosse, fin dall’inizio, a questo strumento che nel tentativo di debellare la pirateria audiovisiva (con un campo d’azione limitato alle partite di Serie A) rischia di devastare internet: «La prima cosa da tenere a mente è che non può funzionare perché gli indirizzi IP, almeno gli indirizzi IPv4, sono una risorsa limitata, sono già esauriti -. ha spiegato a Giornalettismo Danilo Cimino -. Quindi, c’è un modo per aggirare questa cosa che è il NAT, Network Address Translation, che viene usato dappertutto proprio perché gli indirizzi IP sono scarsi. Anche perché gli indirizzi IPv6 che hanno preso piede a causa della loro incomprensibilità e della non retrocompatibilità. Dunque, ci sono un sacco di motivi tecnici per cui tu non puoi dire che un indirizzo IP è illegale perché da quello proviene traffico streaming illegale. Semplicemente perché non è vero, visto che dietro a quell’indirizzo IP ci possono essere decine di migliaia di siti».

E anche le prese di posizione di AGCOM e della Lega Serie A contro Google hanno le sembianze del paradosso, perché chiedere a un motore di ricerca di scandagliare e rimuovere ogni tipo di link è un qualcosa non attuabile all’interno dell’ecosistema internet: «Esistono circa 2 miliardi di siti web. La parte che è indicizzata da Google è gigantesca. Quindi Google, malgrado sia un’azienda enorme e con un sacco di dipendenti, non può avere gli strumenti per controllare tutto. E, soprattutto, non è nemmeno sua responsabilità farlo. Non possiamo dire ai provider delle VPN o ai provider dei motori di ricerca o agli Internet Service Provider di fare i cani da guardia del web, non sta a loro farlo. Inoltre, non puoi segnalare un contenuto senza nessuna mediazione, perché sennò dai in mano un potere enorme ad un singolo soggetto».

Ed è questo il fulcro della questione che può essere sintetizzato – e reso comprensibile anche ai meno esperti – attraverso un esempio piuttosto calzante: «Quindi cosa fai? Blocchi decine di migliaia di siti per colpirne uno solo? Mi sembra una soluzione draconiana. È come se io abitassi in un condomino dove vivono altre 40 famiglie e uno dei miei condomini delinque viene. Che succede? Arriva la polizia e sbarra il portone per non far uscire nessuno. Mi sembra che ci sia una logica che non è funziona tanto bene». Un parallelismo “concreto” che raffigura ciò che accade in rete quando soluzioni come quelle prevista dal sistema Piracy Shield entrano in funzione. Ma non c’è solamente questo, perché i rischi sono ancora più elevati. 

I rischi per la sicurezza informatica

Non è un caso che il pensiero di Danilo Cimino sul Piracy Shield sia piuttosto tagliente: «Dovrebbe essere cancellato». E non sostiene ciò solamente per quel che riguarda gli aspetti tecnici che ci aveva spiegato poco prima, ma anche per i rischi informatici (a livello nazionale) che potrebbero presentarsi sfruttando una vulnerabilità di questa piattaforma: «Abbiamo uno strumento che consente a una persona autorizzata, accedendo con credenziali o SPID, di inserire il blocco di un IP che potenzialmente potrebbe contenere milioni di siti web. Se io fossi un hacker, cercherei di rubare le credenziali di quell’impiegato preposto alla segnalazione di questi presunti siti pirata e potrei bloccare qualsiasi sito: dalle Ferrovie segnalando un CDN di Trenitalia, a quelli di altri servizi gestionali, come quelli degli ospedali. Ma anche quei CDN delle torri di controllo per il monitoraggio del traffico aereo. Possiamo immaginare il caos che potrebbe essere generato dal solo furto di una credenziale?». Dunque, le problematiche non sono solamente a livello tecnico, ma anche meramente “pratico”.