Piracy Shield faceva già acqua da tutte le parti

Sabato sera, tra le 19 circa e mezzanotte, la piattaforma nazionale antipirateria Piracy Shield ha bloccato per errore il download da Google Drive, popolare servizio di condivisione di file utilizzato da milioni di persone anche per studiare e lavorare. Non era la prima volta che la piattaforma – pensata per limitare la riproduzione illegale di partite in diretta, film e programmi a pagamento su siti che non sono proprietari dei diritti relativi – bloccava erroneamente il sito sbagliato. Al contrario, da quando la legge che istituisce Piracy Shield è stata approvata nell’estate del 2023 vari avvocati, esperti di sicurezza informatica e copyright italiani e internazionali hanno segnalato a più riprese i suoi molti limiti e difetti, che non si limitano alla sola possibilità che vengano bloccati per sbaglio siti legali.

Il sistema è stato istituito con la legge 93 del 14 luglio 2023, detta informalmente “legge anti-pezzotto”, dal nome di un diffuso sistema illegale usato per vedere le partite di calcio senza pagare abbonamenti a DAZN o Sky, che in Italia detengono gran parte dei diritti. Secondo alcune rilevazioni, in Italia l’uso del “pezzotto” o di altri strumenti simili per vedere illegalmente le partite di calcio negli ultimi due anni è fortemente aumentato: un’indagine dell’agenzia di ricerche e sondaggi Ipsos per conto di Fapav, associazione che tutela l’industria dei contenuti audiovisivi, ha stimato che nel 2022 gli illeciti sulla fruizione illegale di contenuti sportivi siano aumentati del 26 per cento rispetto all’anno precedente.

Naturalmente la riproduzione non autorizzata di contenuti audiovisivi protetti dal diritto d’autore in Italia era già illegale. In precedenza, però, non c’era modo di bloccare rapidamente una trasmissione clandestina: come ha scritto su Agenda Digitale la parlamentare di Azione Giulia Pastorella, prima di Piracy Shield «ogni segnalazione doveva passare per un tribunale. Appare da subito evidente che, per quanto la giustizia potesse fare di tutto per essere efficace e veloce, 90 minuti (più eventuali supplementari) erano decisamente troppo pochi per intervenire. Ecco perché la legge approvata a luglio, pur coi suoi limiti applicativi, è maturata in un clima di distesa collaborazione tra tutte le forze politiche in parlamento e approvata a larga maggioranza anche da chi siede all’opposizione».

La nuova legge ampliava i poteri a disposizione delle autorità per contrastare la pratica, istituendo appunto uno strumento operativo per permettere ad Agcom, l’Autorità garante delle comunicazioni, di individuare e bloccare più velocemente i siti di streaming illegali: Piracy Shield, appunto.

Nella pratica, il suo funzionamento è piuttosto semplice: chiunque lavori per una delle aziende detentrici del diritto d’autore su un particolare contenuto (come Sky o DAZN) può individuare un sito che, a suo avviso, sta trasmettendo quel contenuto senza autorizzazione. In tal caso, gli viene chiesto di caricare sul sito di Piracy Shield l’indirizzo IP o il fully qualified domain name (due informazioni che permettono di specificare la posizione all’interno della rete) del sito in questione, insieme a prove video che mostrino la sospetta violazione.

Inizialmente, perché la segnalazione fosse considerata legittima, era necessario dimostrare che il sito in questione fosse utilizzato unicamente per compiere l’attività illecita: secondo un emendamento al decreto legge “Omnibus” proposto da Forza Italia e approvato dal parlamento all’inizio di ottobre, invece, è sufficiente che il sito in questione venga usato «prevalentemente» per trasmettere contenuti protetti da diritto d’autore. L’emendamento non definisce cosa si intende con «prevalentemente».

Una volta caricata una segnalazione sulla piattaforma, tutte le aziende che forniscono l’accesso a internet in Italia (gli operatori di servizi internet, o internet service provider, ISP) hanno trenta minuti per rendere il sito irraggiungibile. Al suo posto appare una schermata che notifica la sospensione del sito, e le persone che lo gestiscono hanno solo cinque giorni di tempo per fare ricorso se ritengono di essere stati ingiustamente censurati. La notifica, spiega Pastorella, «non è dunque legata alla notifica al diretto interessato, come avviene per qualunque tipo di altra sanzione (dalle multe del Codice della strada alle cartelle esattoriali) e l’unico modo per accorgersi di essere stati colpiti da un blocco è collegarsi al sito dall’Italia».

In base alla legge i gestori dei siti che trasmettono i contenuti illegalmente rischiano fino a tre anni di carcere, mentre le persone che ne usufruiscono possono ricevere fino a un massimo di 5mila euro di sanzione. Nel decreto legge Omnibus approvato a inizio ottobre è stata introdotta anche la responsabilità penale a carico di intermediari come motori di ricerca o servizi di VPN che “vengano a conoscenza” di attività di pirateria e non le denuncino entro 48 ore: in questo caso, i responsabili possono essere puniti con la reclusione fino a un anno. La decisione è stata molto criticata dal responsabile della sezione Politiche pubbliche di Google Italia Diego Ciulli, che ha detto che Google è a conoscenza di almeno nove miliardi di pagine che violano il diritto d’autore online. «Insomma, il Senato ci chiede di inondare l’autorità giudiziaria di quasi 10 miliardi di URL – e prevede il carcere se manchiamo una sola notifica», ha scritto.

A eccezione della segnalazione iniziale, il processo è quasi totalmente automatizzato, e gli operatori di servizi internet non hanno il potere di opporsi a un ordine di blocco da parte di Piracy Shield anche se ritengono di trovarsi davanti a un errore. Come sia avvenuto l’incidente con Google Drive non è ancora del tutto chiaro, ma è probabile che il blocco fosse dovuto a un errore umano. Il dominio bloccato era drive.usercontent.google.com, un sottodominio di google.com: è probabile che sia stato trovato un indirizzo illegale condiviso su Drive e sia stata mandata la segnalazione senza capire che l’indirizzo IP segnalato era collegato alla CDN (la content delivery network, letteralmente “Rete per la consegna di contenuti”) di Google.

In altri casi, però, vari siti sono stati bloccati per un errore che sta alla base di Piracy Shield nel suo complesso. Come ha spiegato il professor Stefano Zanero, che insegna cybersecurity al Politecnico di Milano ed è uno degli esperti che più hanno criticato pubblicamente la nuova legge antipirateria, il problema centrale sta nella decisione politica di ordinare il blocco dei siti a livello di indirizzo IP.

«Per chi ha una conoscenza superficiale dell’informatica e delle reti, su internet un indirizzo IP corrisponde a “un computer”. Lo spieghiamo spesso così, per semplificare: “è un po’ come se fosse un numero di telefono, che identifica il tuo computer su internet”. Questa spiegazione un po’ semplicistica permea la norma relativa a Piracy Shield, e permea anche molte delle dichiarazioni in materia», scrive Zanero.

Zanero spiega però che per come funziona internet oggi un indirizzo IP può anche corrispondere a centinaia di migliaia di server molto diversi tra loro, ed esistono sistemi di CDN che usano indirizzi IP condivisi da migliaia di siti: «Alcuni fornitori di connettività domestici utilizzano singoli indirizzi IP dietro i quali sono collegate molte centinaia di migliaia di clienti finali. Quasi tutti gli indirizzi IP usati per connessioni “domestiche” sono temporanei, e quindi vengono riassegnati a persone diverse in momenti diversi», scrive.

La decisione di bloccare i siti a livello di indirizzo IP, in generale, è molto criticata. Normalmente le leggi indicano di bloccare piuttosto i nomi di dominio, come succede da tempo per i siti che contengono contenuti legati al terrorismo o alla pedopornografia anche in Italia. Scegliere invece di bloccare un sito in base al suo indirizzo IP vuol dire invece rischiare di bloccare contemporaneamente anche altri siti che non sono affatto illegali: a febbraio per esempio è successo che venisse bloccata una decina di indirizzi IP appartenenti alla rete del fornitore statunitense di servizi cloud Zenlayer, e con loro tutti i servizi e i siti distribuiti dalla stessa rete.

«È come se in un grande centro commerciale dove dozzine di negozi condividono lo stesso indirizzo si scoprisse che il proprietario di un singolo negozio vende dischi in vinile piratati e quindi si decidesse di chiudere l’intero centro commerciale», ha scritto l’esperto di copyright Glyn Moody sul suo blog dedicato al tema.

A questo problema centrale se ne aggiungono altri di natura legale e politica. C’è il fatto, segnalato sempre da Zanero, che gli ordini di Piracy Shield per legge devono essere eseguiti in poco tempo senza forme di controllo preliminare o garanzie: «Siamo l’unico paese occidentale dove enti privati — senza la revisione di nessuno e di alcun tipo — inserendo un indirizzo su una piattaforma lo fanno bloccare a livello nazionale. Nemmeno in Cina succede questo», scrive Zanero, secondo cui in una nazione democratica il diritto delle trasmissioni televisive di guadagnare andrebbe valutato in relazione con altri che vengono prima: quello di esprimersi, di comunicare e ricevere informazioni.

E, come ha segnalato il presidente dell’Associazione italiana internet provider Giovanni Zorzoni in un’intervista a DDay, non c’è modo di sapere da dove parta una segnalazione: «agli operatori non vengono fornite informazioni sui segnalatori o sulle società subappaltatrici negli ordini di oscuramento». «La questione che fa più paura non è solo l’improvvisazione grossolana di chi ordina l’oscuramento di una parte di Google, ma l’opacità con cui queste operazioni vengono condotte. Qual è il criterio dietro questi blocchi? Queste risorse erano davvero usate prevalentemente per la pirateria? E in base a quale logica sono state sbloccate dopo più di 6 ore, in barba al regolamento vigente e alla nuova norma?», si è chiesto Zorzoni.

Ad aprile il commissario dell’Agcom Massimiliano Capitanio ha scritto che contro Piracy Shield c’è stata «una campagna di discredito» condotta da «anonimi utenti del web». In precedenza Capitanio aveva negato che la legge potesse portare alla censura di pagine che condividono l’indirizzo IP dei siti illegali. Domenica, partecipando a una diretta andata in onda sul canale dello youtuber Matteo Flora, Capitanio ha ammesso che l’incidente che ha bloccato per ore Google Drive è stato grave, ma ha aggiunto che a suo avviso l’entità della pirateria in Italia è talmente grande da poter essere paragonata a «un incendio di dimensioni devastanti». «È ovvio che vorremmo che i vigili del fuoco quando arrivano spengano solo l’incendio e non mandino neanche un po’ d’acqua e di schiuma sulle altre cose», ha aggiunto, sottintendendo che questi errori siano effetti collaterali.