L'European Digital Rights (EDri) e 45 organizzazioni a difesa dei diritti digitali sostengono che 186 operatori TLC europei fanno uso di Deep packet inspection (DPI) aggirando le norme sulla neutralità della rete. Compare anche l'italiana Hermes Center fra i firmatati della lettera di denuncia inviata il 15 maggio e indirizzata alle istituzioni comunitarie.
"Siamo preoccupati a causa del maggiore uso della tecnologia Deep Packet Inspection (DPI) da parte dei fornitori di servizi di accesso a internet (IAS)", si legge nel documento di EDri. "DPI è una tecnologia che esamina i pacchetti di dati che vengono trasmessi in una data rete oltre quanto sarebbe necessario".
In pratica questo consente ai provider di gestire al meglio il traffico e differenziare le tariffe di specifiche applicazioni o servizi in relazione al design dei loro prodotti. Si pensi ad esempio al cosiddetto segmento zero-rating, che consente di fruire di servizi musicali senza intaccare il monte traffico dati.
L'accusa delle associazioni, fra cui European Digital Rights e Electronic Frontier Foundation, è che questa operazione di identificazione del traffico venga impiegata non solo per fatturare diversamente l'impiego di app o servizi ma anche prioritarizzare di conseguenza il traffico - quando invece sarebbe consentita solo un'azienda di efficientamento.
Il timore è che questa pratica di esaminare domini e indirizzi visitati, nonché le sorgenti di traffico, possa rivelare informazioni sensibili riguardanti gli utenti: siti di news preferiti, interessi in specifiche aree sanitarie, preferenze sessuali, credo religioso, etc.
Un'indagine condotta in Europa da Epicenter Works nel 2018, con il supporto di Mozilla e l'assicurazione dei lavoratori austriaci AK Wien, ha identificato 186 operatori - senza fare nomi - che potenzialmente fanno uso di DPI e il potenziale tracciamento di domini, SNI, URL e DNS. "Attualmente, le linee guida BEREC indicano chiaramente che la gestione del traffico basata sul monitoraggio di nomi di dominio e URL non è una 'ragionevole gestione del traffico' ai sensi del regolamento", prosegue il documento. "Tuttavia, chiaramente la regola è stata per lo più ignorata dai fornitori di accesso a Internet nel trattamento del traffico. La natura del DPI richiede competenza nel settore delle telecomunicazioni e competenza nelle questioni di protezione dei dati".
Il problema, secondo le associazioni, è che è mancata cooperazione tra le autorità nazionali di regolamentazione per comunicazioni elettroniche e le autorità di regolamentazione per la protezione dei dati su questo tema. "Ad esempio, alcuni regolatori emettono giustificazioni del DPI sulla base del consenso lasciato dal cliente ai provider che però ignora in modo determinante il suo chiaro divieto nelle linee guida del BEREC", prosegue la nota.
In sintesi la richiesta alla Commissione e il BEREC è di "considerare attentamente l'uso delle tecnologie DPI e il loro impatto sulla protezione dei dati nella riforma in corso del regolamento sulla neutralità della rete". Da ricordare infatti che è prevista una consultazione pubblica sull'aggiornamento del regolamento nell'autunno 2019 e un possibile voto nella primavera 2020.