L’indagine conoscitiva sul tema delle intercettazioni, deliberata dalla Commissione Giustizia del Senato della Repubblica il 20 dicembre 2022 e conclusa il 20 settembre 2023 (9 mesi), è stata diretta ad acquisire elementi conoscitivi sul fenomeno generale delle intercettazioni, anche alla luce delle modifiche normative in materia entrate in vigore nel 2020.
Certificazione degli strumenti di captazione
Il presidio tecnologico è fondamentale con riferimento all’affidabilità degli strumenti di captazione e dei risultati dell’attività captativa. Si evidenzia anche in questo ambito la mancanza di un dettato tecnico regolamentare nazionale attraverso norme di rango secondario.
Al riguardo, non appare sufficiente la autocertificazione dell’appaltatore in sede di affidamento, anche in ragione del fatto che – come emerso nel corso della indagine conoscitiva – l’autodichiarazione di conformità riguarda l’aderenza ai requisiti indicati dal bando di gara e nei capitolati tecnici, i quali non contengono di regola una elencazione di tutti gli elementi necessari (come quello della sicurezza, del trattamento, degli standard ETSI per l’inoltro dei dati ai sistemi dell’autorità giudiziaria).
È stato ulteriormente osservato che l’autocertificazione dei requisiti tecnici non garantisce la conformità dei programmi impiegati in particolare per l’attività di raccolta e conservazione dei dati, la cui utilizzabilità può essere compromessa anche da discostamenti procedurali o tecnici di piccola entità.
Al fine di ovviare parzialmente al problema dell’affidabilità degli operatori e dei software, è stata prospettata la possibilità di realizzare un sistema certificativo nazionale, attuato da una parte terza (imparzialità sia tecnica che economica) sulla base di standard di riferimento (Privacy, Sicurezza, standard tecnici definiti dall’Istituto Europeo per le norme di Telecomunicazioni) sul modello delle best practices europee rispetto agli standard di qualità dettati dalla norma ISO 9001 e di sicurezza delle informazioni dettati dalla norma ISO 27001 o di quello sperimentato dalla Lawful Interception Academy. Peraltro, alcune Procure hanno inserito questa certificazione come requisito opzionale nella fase di accreditamento delle società interessate.
Per quanto riguarda gli aspetti di sicurezza, alcuni auditi hanno suggerito di richiedere ai vari fornitori di certificare i propri sistemi utilizzando la rete di laboratori LVS – Laboratori di Valutazione della Sicurezza – già accreditati presso l’Agenzia per la Cybersicurezza Nazionale, così come già avviene per le tecnologie di sicurezza che gli enti e le aziende incluse nel perimetro Cybernazionale intendono acquistare: questo approccio potrebbe rafforzare tutte le garanzie sull’integrità, riservatezza e tracciabilità dei dati intercettati
Alla luce dei vantaggi che un sistema di certificazione può assicurare, occorrerebbe introdurre un obbligo di certificazione per le imprese del settore con riferimento ai requisiti di sicurezza delle informazioni e dei modelli organizzativi, verificati da parte di enti terzi qualificati ed accreditati a loro volta. Un modello da attuare potrebbe essere rappresentato dalla creazione di un albo ministeriale dei fornitori autorizzati, cosiddetta white list.
Con riferimento specifico alla certificazione dei software, invece, è stato rappresentato che tale garanzia non può spingersi fino a rendere inservibile questi strumenti che, come è noto, debbono essere aggiornati con l’evolversi delle tecnologie al fine di non “essere scoperti”. Come soluzione è stata prospettata l’adozione di sistemi simili a quelli antipirateria, che tramite firme digitali e sistemi basati sulla verifica d’integrità dei codici consentono ad un software di funzionare solo se modificato e “certificato” dal produttore: se qualcosa cambia non funzionano più
Una soluzione alternativa potrebbe essere ravvisata nella individuazione di una autorità che valuti i requisiti tecnici dei captatori informatici forniti da enti privati (in particolare, che verifichi il captatore fornito, il server e i processi adottati dal fornitore).