Alzi la mano chi, da genitore o da insegnante, non si è posto questa domanda, riguardo i propri figli o i propri studenti 🙂
Internet e il web offrono moltissime possibilità che un tempo nemmeno immaginavamo.

Spesso a lezione ho paragonato la rete ad una grande metropoli che ti offre qualunque cosa (i più bei negozi, i migliori spettacoli e concerti, i migliori servizi, le migliori scuole, le migliori opportunità di lavoro) ma, proprio come le grandi città ha anche zone degradate, quartieri “malfamati” e luoghi dove non lasceremmo andare da soli i nostri figli e dove magari avremmo paura anche noi a recarci, soprattutto a certe ore della notte. Proviamo ad approfondire il discorso!

Mezzi per comunicare e scambiarsi contenuti

Alcuni social e sistemi di IM che tutti conosciamo:

  • facebook: più diffuso fra gli adulti, oltre alla “bacheca” dove pubblicare testo/immagini/video che possono essere visti da chiunque/dagli amici-degli-amici/solo dai propri amici, permette anche di comunicare in privato scambiandosi facilmente materiali, geolocalizzazione, video ecc. mediante facebook messenger, sistema integrato per la comunicazione interpersonale; da non dimenticare le “storie” ossia brevi sequenze di foto/video che rimangono visibili per 24 ore
  • instagram: più diffuso fra i giovani, permette di caricare foto e video; permette di pubblicare storie, permette di conversare in privato con una persona mediante il sistema di chat “direct”; i profili possono essere pubblici (chiunque può vedere) o privati (solo chi mi segue può vedere i miei post)
  • tiktok: più diffuso fra i giovanissimi permette di caricare brevi video spesso ballati da adolescenti spesso molto poco vestiti su spezzoni di musiche che diventano per questo dei veri e propri “tormentoni”; il sistema di messaggistica dà la possibilità di scambiarsi messaggi di testo privatamente
  • whatsapp: sistema di messaggistica istantanea testo/vocale/immagini/video basato sul proprio numero di telefono cellulare ma accessibile anche da PC
  • telegram: sistema di messaggistica simile a whatsapp ma noto per i “canali” ossia dei gruppi pubblici (accessibili a chiunque) oppure riservati (disponibili solo a chi ha il link per accedere)

Esistono poi altri social meno noti, alcuni dei quali contengono reti di comunicazione orizzontale, ce ne sono veramente tanti; in questo articolo di Wired Italia del dicembre 2019 ne vengono descritti addirittura cinquanta (e a detta di alcuni ne manca più di uno dall’elenco): provate a vedere quanti ne conoscete! Diciamo che almeno questi (fra social, sistemi IM, repository) dovete conoscerli essendo abbastanza utilizzati in Italia: pinterest, delicious, snapchat, 9gag, ask, discord, gab, 4chan.

Inoltre esistono reti di comunicazione anche all’interno di piattaforme per videogame, come ad esempio Messaggi sulla PlayStation (la console di Sony).

Alcuni social o sistemi di messaggistica sono diventati purtroppo famosi per casi di radicalizzazione, di incitazione all’odio razziale, di circolazione di fake news e, più in generale, di comunicazione e scambio di materiali e informazioni fra utenti senza particolare controllo, anche in relazione ad atti terroristici.

Chi recluta le persone con lo scopo di radicalizzarle sfrutta questi sistemi, sfruttandone le peculiarità tecniche e la scarsa diffusione o per lo meno la scarsa conoscenza da parte di chi controlla.

Controllo “dall’alto”: norme e punibilità

Una domanda che mi è stata fatta molte volte: ma come mai sul web si può trovare di tutto e “la polizia non fa niente”? La domanda può sembrare banale, ma ci permette di introdurre adeguatamente la questione.

Internet è una infrastruttura fisica che si estende in tutto il mondo. I suoi servizi e le sue applicazioni hanno rivoluzionato il nostro modo di vivere e di comunicare, dal 1993 (anno in cui è stata resa pubblica) ad oggi, riguardando sempre più ampie fasce di popolazione.

Ma proprio perché si tratta di un fenomeno globale, Internet si scontra con le diverse legislazioni di ciascuno dei paesi del mondo dove si trovano i suoi utenti. E allora può capitare che una cosa sia illegale in un paese ma legale in un altro. E che chi vuole delinquere (o più banalmente pubblicare contenuti che in certi paesi sono illegali) se diventa un esperto di giurisprudenza comparata lo riesca a fare restando praticamente impunito.

Per contrastare questa situazione la maggior parte dei paesi del mondo ha aderito a varie convenzioni internazionali, come ad esempio:

  • Convenzione internazionale sull’eliminazione di ogni forma di discriminazione razziale (New York, 1965)
  • Convenzione sulla criminalità informatica (Budapest, 2001)
  • Convenzione del Consiglio d’Europa per la prevenzione del terrorismo (Varsavia, 2005)
  • Convenzione del Consiglio d’Europa per la protezione dei bambini contro lo sfruttamento e gli abusi sessuali (Lanzarote, 2007)

Oltre a questo alcune legislazioni, come quella italiana, stabiliscono che in certi casi i cittadini italiani siano punibili non solo per reati commessi in Italia, ma anche per reati commessi all’estero.

Controllo “dall’alto”: censura e non solo

Libertà o censura? Si tratta di una questione “dei massimi sistemi”, direi quasi filosofica. Nell’Internet degli inizi non c’era alcuna forma di censura, questo però ha portato a deviazioni ed esagerazioni di diverso tipo, ben oltre il consentito dalla maggior parte delle norme di legge comuni o simili nei vari paesi del mondo.

Le big company del web adottano ormai da anni dei codici di comportamento che secondo alcuni possono essere equiparate alla censura.

Volendo ad esempio pubblicare un annuncio (a pagamento) su Google è necessario che l’annuncio non contenga i “contenuti inappropriati” secondo Google. Google riceve anche indicazioni su cosa rimuovere dai diversi governi dei paesi del mondo, per approfondire su come tratta ed ha trattato alcuni casi in passato si può vedere questa pagina di Wikipedia.

Come avviene invece la “censura” (forse sarebbe più esatto definirla “moderazione dei contenuti”) su un social come ad esempio facebook? Si parte spesso dalla segnalazione di un utente, che viene passata ad un team di verifica con addetti madrelingua esperti della cultura del paese in questione, per evitare errori madornali. La segnalazione viene confrontata con le linee guida di facebook e, se ritenuta non adeguata, il post viene rimosso dal social.

Esiste poi la censura dei siti web, decisa ad esempio da una norma di legge o da un provvedimento del tribunale. Dobbiamo ricordarci:

  • che ogni pagina web ha un indirizzo non numerico (come ad esempio www.ictschool.it) a cui corrisponde un indirizzo numerico o indirizzo IP (come ad esempio 80.88.87.149)
  • che la conversione da indirizzo non numerico a indirizzo numerico viene fatta da server detti DNS

Se la censura dei siti web viene fatta a livello di DNS, l’utente “non smaliziato” non riuscirà più ad accedere al sito, visto che questo è stato tolto dal DNS; all’utente più tecnico invece basterà digitare sul browser l’indirizzo IP per visualizzare il sito regolarmente. Se invece la censura viene fatta a livello di IP nessun utente potrà più accedere al sito.

Le limitazioni di accesso di cui sopra sono normalmente valide solamente per gli utenti di un certo paese del mondo (ad esempio la legge italiana può impedire l’accesso ad un certo sito web per gli utenti che si collegano a Internet dall’Italia).

Per aggirare questi blocchi spesso gli utenti fanno uso di un proxy server, ossia un sistema in grado entro certi limiti di garantire l’anonimato dell’utente anche in riferimento alla sua provenienza, facendo transitare la sua richiesta da diversi server, in maniera ad esempio di far sembrare che la richiesta di visualizzazione di un sito normalmente bloccato dall’Italia, provenga da un altro paese del mondo e dunque permettendo di visualizzare regolarmente il sito altrimenti censurato. Allo stesso modo molti utenti vedono contenuti (come film in streaming o incontri sportivi) senza essere fisicamente nei paesi per i quali il contenuto è autorizzato.

Ricordando i concetti di deep web e dark web di cui parlo velocemente nell’articolo Primi cenni sul web, è evidente come si tratti di ambienti che sfuggono ai filtri di Google e dove sicuramente non sono applicati codici etici o di comportamento. Per farsi una idea del contenuto di queste aree del web consiglio l’articolo di Marco Maria Lorusso su techcompany360.it.

Le forze dell’ordine (in primis la Polizia Postale e delle Comunicazioni) compiono azioni mirate ma non possono monitorare costantemente ogni attività in maniera massiva, proprio per la struttura tipica di deep web e dark web. Per farsi una idea dell’attività della Polizia Postale e delle Comunicazioni è interessante leggere ad esempio il rapporto CLUSIT 2019 sulla sicurezza informatica in Italia (lo si può scaricare qui) che, dalla pagina 81 ne descrive l’attività (in particolare quella della sezione antiterrorismo dalla pagina 84).

Nel seguito vedremo quali metodi di controllo possiamo utilizzare per verificare l’accesso da parte dell’utente (anche) ai siti in essi contenuti.

Controllo “dal basso”

Mi sento spesso dire “vedo mio figlio distante” oppure “non mi parla più” o ancora “si è isolato”. E poi “non esce mai, sta sempre al computer a giocare/guarda sempre il telefono” e dunque “posso controllare cosa fa mio figlio su Internet?” proviamo a rispondere!

Posso usare sistemi di parental control (controllo da parte dei genitori)? Da un lato la cosiddetta “potestà genitoriale” e il dovere anche legale di controllo, dall’altro il diritto alla personalità e alla privacy del minore. Per le questioni legali vi rimando a questo interessante articolo di Data Protection Law.

Proseguo invece con le questioni pratiche: come faccio a controllare cosa fa mio figlio su Internet?

Ci sono almeno due tipi di controllo: il primo è il controllo preventivo. Rientrano in questo tipo di controllo:

  • i filtri di navigazione basati su whitelist: tipicamente usati nelle scuole dell’infanzia o nella scuola primaria, sono basati su una lista di siti che si possono visitare, i quali vengono “aperti” dall’insegnante prima della navigazione; gli utenti riescono a visualizzare esclusivamente i siti della lista, ad esempio durante una lezione in laboratorio informatico; purtroppo se va bene coi bambini molto piccoli questo metodo non è applicabile in pratica agli studenti più grandi, in quanto impedirebbe la navigazione libera ad esempio a partire da Google
  • i filtri di navigazione basati su blacklist: tipicamente usati nelle scuole secondarie, all’università o nelle aziende, sono basati su una lista di siti vietati e/o su una lista di parole che, se presenti su un sito, lo rendono vietato (=non visualizzabile dall’utente)
  • la navigazione a tempo: non riguarda il contenuto della navigazione ma la fascia oraria in cui è consentito l’accesso, in maniera ad esempio da consentirlo solo quando è presente il genitore a casa, il quale così può controllare di persona; sono configurabili anche a tempo, a prescindere dalla fascia oraria, ad esempio garantendo l’accesso alla rete per non più di 2 ore al giorno
  • la password di accesso: permette di abilitare la navigazione solo dopo l’inserimento di una password così il genitore può sbloccare solo in certi momenti l’accesso alla rete o al wifi (attenzione che volendo usare questo metodo va cambiata spesso la password, visto che il client potrebbe visualizzare la password in chiaro vanificando il tutto; da non dimenticare anche che banalmente se lo smartphone ha anche un piano dati, 3G/4G, l’utente può andare in rete anche senza il wifi)

Il secondo tipo di controllo è il controllo ex post: può essere fatto in maniera trasparente all’utente, il quale non si accorge del controllo stesso, a meno che non lo cerchi espressamente.

Qui innanzitutto va ricordato come navigare in Internet sia completamente differente dal guardare la televisione: difatti andando in Internet si lasciano moltissime tracce che possono poi permettere di ricostruire esattamente quanto un utente ha fatto o visto in un certo momento. Sfatiamo anche il mito della navigazione anonima: questa modalità del browser a termine sessione non salva i dati (cronologia, cookie, cache e così via) sul nostro dispositivo (sia esso un PC o uno smartphone), ma non si tratta assolutamente della totalità dei dati di navigazione. Difatti quando siamo collegati ad Internet accade che il nostro dispositivo per scambiare dati passando per la nostra rete locale, per la rete del nostro provider, per la rete del provider di chi gestisce il server che ospita il sito che vogliamo vedere, per il server che ospita il sito che vogliamo vedere. Ogni passaggio permette potenzialmente il salvataggio dei dati di navigazione (quale utente ha visto quale pagina o quale contenuto su una pagina) e dunque la navigazione anonima cancellando i dati solo sul nostro PC elimina solo parte delle tracce. In caso di necessità il provider (obbligato alla data retention di cui ho parlato nell’articolo Privacy, libertà, sicurezza) sarà in grado di fornire i metadati appena citati all’autorità giudiziaria che ne facesse richiesta.

Rientrano in questo tipo di controllo:

  • l’analisi dei log del router installato a casa nostra (se attivata, questa opzione permette di vedere quale dispositivo collegato al nostro wifi è andato su quali siti a vedere quali contenuti)
  • l’analisi delle cartelle della cronologia, dei cookie, dei file temporanei di Internet che salva il browser (cache) sul PC di nostro interesse
  • la lettura del file di testo generato da un keylogger all’insaputa dell’utente e inviato sulla nostra mail (spiego cos’è un keylogger nell’articolo Altri cenni di sicurezza IT)
  • la visione di un video generato da un registratore video nascosto (ovvero da un software che registra all’insaputa dell’utente tutto quello che l’utente vede sul monitor del proprio PC)
  • l’utilizzo di app realizzate per spiare ogni azione venga fatta su uno smartphone

I metodi elencati, soprattutto gli ultimi, hanno il pregio di prescindere dalla crittografia. Mi spiego meglio: al giorno d’oggi la crittografia è applicata praticamente ovunque e consiste (come detto nell’articolo Altri cenni di sicurezza IT) nel rendere una comunicazione non intellegibile se non a mittente e destinatario che condividono una chiave di lettura. I metodi elencati si pongono prima che i dati siano crittografati permettendo la fruizione completa di quanto viene scambiato, senza la necessità di decrittare alcunché.

I sistemi appena visti sono ovviamente “borderline” rispetto alla normativa della privacy e al diritto alla personalità del minore.

 

Immagini: Foto di August de Richelieu da Pexels