Sicurezza e Giustizia

LAWFUL INTERCEPTION OF WI-FI ONBOARD NETWORKS

Facebooktwitterredditpinterestlinkedinmail

di Giovanni Nazzaro

Le reti Wifi sui treni, autobus o aerei sono reti pubbliche e come tali sono soggette all’applicazione dell’art. 96 del Codice delle Comunicazioni elettroniche, ovvero l’operatore di telecomunicazioni che ha richiesto al Mise la licenza deve assicurare alcuni servizi all’Autorità Giudiziaria tra cui l’intercettazione, lo storico delle connessioni, ecc. Invece, le società, imprese o esercizi commerciali che non hanno come attività principale la fornitura di servizi di comunicazione elettronica devono garantire solo l’autenticazione dei propri utenti.

pdf-icon

 

1. Introduzione
L’incremento dell’uso di dispositivi mobili per l’informazione e la comunicazione che caratterizza la società moderna è palesemente più evidente in una figura, che più di ogni altra ha bisogno di essere connessa a Internet. Si tratta del passeggero che viaggia in treno, autobus e aereo. Quella che sia la durata del suo viaggio, il passeggero moderno non riesce a rimanere disconnesso troppo a lungo dalla rete. Ed è così che le aspettative dei passeggeri riguardo la connettività hanno cambiato le dotazioni di questi vettori, al punto che la possibilità di connettersi ad una rete Wi-Fi gratuita durante un viaggio è oggi considerato un servizio fondamentale.

2. La rete Wi-Fi a bordo
Consentire a centinaia di passeggeri di connettersi a Internet contemporaneamente è un compito arduo per gli operatori del settore, tecnicamente molto più difficoltoso che configurare e gestire una rete Wi-Fi domestica o di ufficio perché l’obiettivo è quello di garantire che ogni passeggero possa navigare su un sito web, consultare la propria email o vedere un video su Youtube in contemporanea ad altri passeggeri che gli sono accanto. Occorre cioè fornire una larghezza di banda sufficiente per ciascun passeggero in un ambiente ad alta densità. Gli operatori del settore sono stati spinti ad adottare, nel complesso, soluzioni che combinino affidabilità, copertura e larghezza di banda affinché possa essere garantita una user experience senza interruzioni.

Vediamo quali possano essere i principali fattori critici in una rete Wi-Fi ad alta densità.
L’affidabilità del punto di accesso (AP) che svolge un ruolo centrale nel collegamento dei passeggeri alla rete Wi-Fi di bordo.
Una opportuna larghezza di banda per ciascun passeggero, che ha bisogno di una connettività di rete senza interruzioni durante il viaggio. Le stime si basano generalmente su studi sull’utilizzo dei dispositivi mobili e sul comportamento dell’utente. In casa o in ufficio, 50 o 100 Mbps possono essere sufficienti per consentire l’accesso a Internet per più dispositivi contemporaneamente. Tuttavia, con i passeggeri che hanno più di un dispositivo e considerando altri fattori che limitano il throughput, i passeggeri possono avere a disposizione anche solo 2 o 3 Mbps di larghezza di banda. Molto dipende anche dalle tecnologie Wi-Fi (a / b / g / n / ac) e quali applicazioni sono utilizzate. Ad esempio, un AP che funziona in modalità 802.11n potrà supportare velocità variabili.
Il rapporto tra AP e numero di utenti. Per fornire una buona esperienza utente, alcuni studi del settore consigliano di distribuire un AP ogni 60 utenti. Ad esempio, un trasporto ferroviario che trasporta 100 passeggeri richiederà almeno due AP, ciascuno dei quali serve 50 passeggeri. Se non vengono distribuiti abbastanza AP, alcuni passeggeri potrebbero riscontrare una scarsa qualità della connessione. C’è da dire che le applicazioni ad alto utilizzo di banda, come YouTube, influiscono su tale rapporto e riducono il numero di utenti che un AP può servire. La seguente tabella mostra la larghezza di banda richiesta dalle applicazioni comuni.

Sebbene impegnativo, lo studio di come i requisiti di larghezza di banda delle applicazioni influiscono sulla capacità è un passo importante verso la realizzazione di una rete Wi-Fi ad alte prestazioni e ad alta densità.

Il numero massimo di dispositivi che possono connettersi a un AP. Quando molti dispositivi tentano di connettersi a un AP, la larghezza di banda disponibile per ciascun dispositivo diminuisce. Bilanciando il carico per ciascun dispositivo, gli operatori del settore possono limitare il numero di dispositivi che si connettono a un AP. Quando viene raggiunto questo limite, l’AP può rifiutare qualsiasi nuova richiesta di connessione, costringendo i nuovi dispositivi a connettersi ad altri AP. Questo è il motivo per cui, ad esempio, viaggiando su un treno o un autobus, pur avendo massima intensità di segnale Wi-Fi, non riusciamo a connetterci alla rete. Inoltre, il bilanciamento del carico potrebbe avvenire per singolo canale, incoraggiando una distribuzione uniforme della larghezza di banda disponibile per tutti i dispositivi.
L’isolamento dei dispositivi per aumentare la sicurezza, impedendo che dispositivi diversi connessi alla stessa rete Wi-Fi possano comunicare tra loro. Non dimentichiamoci che ogni dispositivo che si collega agli AP di bordo appartiene alla stessa rete, compresi i sistemi di bordo come quelli di trasmissione o altri sistemi di controllo, evitando così anche attacchi informatici dall’interno.

 

3. Aspetti di interesse per l’Autorità Giudiziaria e le Forze di polizia
Le reti Wi-Fi sui treni, autobus o aerei sono reti pubbliche e come tali sono soggette all’applicazione dell’art. 96 del Codice delle Comunicazioni elettroniche, ovvero l’operatore di telecomunicazioni che ha richiesto al Mise la licenza deve assicurare alcuni servizi all’Autorità Giudiziaria tra cui l’intercettazione, lo storico delle connessioni, ecc. Alcuni impropriamente interpretano tale norma di riferimento attribuendo al titolo di viaggio acquistato la condizione per escludere la caratteristica di rete pubblica, cioè solo chi ha acquistato il titolo di viaggio può accedere alla rete Wi-Fi di bordo. Tale assunto non è certamente valido in quanto l’accesso alla rete Wi-Fi dovrebbe verificare anche il possesso del biglietto.
Questa verifica generalmente non avviene, esponendo l’accesso alla rete Wi-Fi anche a soggetti fisicamente limitrofi al vettore di trasporto. Assumendo che durante la fase di accesso alla rete Wi-Fi venga verificata il possessodel biglietto e quindi la titolarità del viaggio, anche in questo caso non verrebbe meno l’obbligo dettato dall’art. 96 CdC poiché l’aggettivo di “pubblica” riferita alla rete non è certamente legato al valore economico del servizio offerto, quanto piuttosto al fatto che chiunque può utilizzare tale servizio se accetta le condizioni offerte.

Il Codice delle comunicazioni elettroniche, istituito con il Decreto legislativo n.259 del 1 agosto 2003, rimane nel nostro paese il riferimento normativo che disciplina i servizi di comunicazione elettronica per i quali occorre un’autorizzazione generale o una licenza individuale. A tal proposito è utile ricordare la distinzione tra servizi privati e pubblici. Si intende per servizio di comunicazione elettronica ad uso privato il servizio svolto esclusivamente nell’interesse proprio dal titolare della relativa autorizzazione generale o licenza. Il servizio di comunicazione elettronica ad uso pubblico riguarda un servizio fornito dalla società titolare di autorizzazione o licenza, “accessibile” al pubblico.

Assunto quindi che l’offerta di un servizio accessibile al pubblico ha bisogno di un’autorizzazione generale o licenza e che il soggetto richiedente deve garantire, di conseguenza, determinati servizi verso l’Autorità Giudiziaria, vediamo come si è evoluta la disciplina specifica delle reti Wi-Fi.

Il Decreto ministeriale 28.05.2003 (modificato dal d.m. 14.10.2005) rubricato “Regolamentazione dei servizi Wi-Fi ad uso pubblico”, all’art. (Oggetto ed ambito di applicazione) prevede che: “Il presente provvedimento fissa le condizioni per il conseguimento dell’autorizzazione generale per la fornitura, attraverso le applicazioni Radio LAN nella banda 2,4 GHz o nelle bande 5 GHz, dell’accesso del pubblico alle reti e ai servizi di telecomunicazioni in modalità fissa e nomadica”.
L’art. 6 (Condizioni dell’autorizzazione generale) del suddetto decreto, prevede che “il soggetto titolare dell’autorizzazione generale per la fornitura, attraverso le applicazioni Radio LAN, dell’accesso del pubblico alle reti e ai servizi di telecomunicazioni, è tenuto a soddisfare le seguenti condizioni” che sono sintetizzate nella seguente tabella con l’indicazione dell’obbligo derivante.

Nel 2013 il c.d. “decreto del fare” (Decreto-Legge 21 giugno 2013, n. 69, “Disposizioni urgenti per il rilancio dell’economia”) ha alleggerito la posizione di alcuni soggetti commerciali. L’art. 10, modificato in fase di conversione dalla legge di conversione de 9 agosto 2013, n.98 prevede che “L’offerta di accesso alla rete internet al pubblico tramite tecnologia Wi-Fi non richiede l’identificazione personale degli utilizzatori. Quando l’offerta di accesso non costituisce l’attività commerciale prevalente del gestore del servizio, non trovano applicazione l’articolo 25 del codice delle comunicazioni elettroniche, di cui al decreto legislativo 1º agosto 2003, n. 259, e successive modificazioni, e l’articolo 7 del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155, e successive modificazioni” ovvero non è richiesta autorizzazione generale al MISE.

Si tratta di una disposizione condivisibile poiché sana definitivamente la posizione di soggetti commerciali che non si sono mai potuti adeguare alla norma precedente in vigore fino al 2013. Pensiamo ad esempio ad un bar o ad una pizzeria che offre l’accesso alla rete Wi-Fi ai propri clienti: questi avrebbero dovuto identificare il proprio cliente che accede alla rete Wi-Fi registrando i dati del suo documento d’identità. Venendo meno per tali soggetti anche l’applicazione dell’art. 25 del CdC, decade anche l’obbligo di garantire le prestazioni obbligatorie verso l’Autorità Giudiziaria. Volendo fare un paragone, è come se tali soggetti fossero stati assimilati ai clienti privati residenziali degli operatori telefonici, che hanno un accesso ADSL o in fibra alla rete telefonica su cui installano un router Wi-Fi che diffonde il segnale della propria rete domestica. La differenza è che, mentre per i soggetti individuati dal decreto ministeriale è obbligatorio evitare l’accesso non autorizzato alla rete Wi-Fi garantendo una preventiva fase di autenticazione tramite username e password (soprattutto in considerazione del fatto che chiunque avvicinandosi al suddetto bar o pizzeria potrebbe connettersi in modo del tutto trasparente), per i clienti privati non esiste uno specifico obbligo normativo ma è fortemente consigliato per questioni di sicurezza, al punto che i router Wi-Fi che si possono acquistare anche dal proprio operatore telefonico sono già predisposti dalla fabbrica per l’accesso tramite username e password.

In definitiva, quindi, da tale panoramica normativa si desume che le società che hanno come attività principale la fornitura di servizi di comunicazione elettronica, devono richiedere al Mise l’autorizzazione generale o licenza, con conseguente obbligo di identificare i propri clienti, assicurare l’autenticazione evitando così l’accesso non autorizzato, garantire verso l’Autorità Giudiziaria prestazioni obbligatorie come l’intercettazione, il tracciamento delle connessioni, la sospensione del servizio, ecc. Per ragioni di sintesi non vengono riportati i dettagli implementativi di tali servizi.
Invece, le società, imprese o esercizi commerciali che non hanno come attività principale la fornitura di servizi di comunicazione elettronica devono garantire solo l’autenticazione dei propri utenti.

E’ ovvio che in questo caso possono esserci soggetti che, pur valutando di non avere come attività principale la fornitura di servizi di comunicazione elettronica, decidono comunque di adempiere agli obblighi previsti di chi possiede l‘autorizzazione generale. Tale scelta può basarsi sulla valutazione che ne deriverebbe per gli alti volumi di traffico e il numero elevato di utenti in caso di interazioni con l’Autorità Giudiziaria. Ad esempio, si può valutare che la predisposzione centralizzata ed automatica di tali richieste possa garantire un risparmio economico, di risorse umane e di tempo rispetto alla gestione frammentata delle singole richieste.
Al contrario è possibile che ci siano soggetti che, ignorando la normativa di riferimento oppure scegliendo di risparmiare sui costi dovuti agli adeguanti necessari per implementare gli obblighi verso l’Autorità Giudiziaria, operino senza tale autorizzazione dichiarando, quindi, che non hanno come attività principale la fornitura di servizi di comunicazione elettronica. Tale ipotesi può trovare applicazione solo per soggetti privati, che quindi subirebbero un esame sulla leicità delle dichiarazioni pregresse nel momento in cui si formalizzi la prima richiesta dell’Autorità Giudiziaria. Ricordiamo infatti che l’art. 6 del Codice delle comunicazioni elettroniche vieta espressamente a Stato, Regioni ed enti locali di fornire direttamente reti e servizi di comunicazione elettronica ad uso pubblico se non attraverso società controllate o collegate. Per erogare questo tipo di servizi le pubbliche amministrazioni devono quindi rivolgersi a operatori autorizzati ai sensi dell’art. 25 del Codice.

A questo punto, in merito all’offerta di un servizio gratuito o meno per l’accesso alla rete Wi-Fi, un utile suggerimento per le società che operano nei trasporti può essere quello di adottare lo schema utilizzato dalle pubbliche amministrazione, affidando tale servizio ad operatori autorizzati.

In Italia abbiamo tre principali esempi:

  1. Trenitalia (rif. https://www.icomera.com/trenitalia-deploying-latest-icomera-passenger-wi-fi-technology-on-high-speed-frecciarossa-fleets/). All’interno del press release si legge che Trenitalia ha affidato alla società Icomera la fornitura dell’accesso a Internet per i passeggeri della sua flotta di treni ad alta velocità “Frecciarossa” ETR1000 ed ETR700 EMU. Icomera è una società controllata di ENGIE Ineo, ha sede a Göteborg in Svezia ed ha uffici negli Stati Uniti, nel Regno Unito, in Germania, Francia e Italia. Si definisce come il principale fornitore mondiale di connettività Internet wireless per il trasporto pubblico. La società Icomera AB risulta aver ottenuto autorizzazione in Italia il 1° febbraio 2019, ai sensi del D.M. 28 maggio 2003 e dell’ articolo 25 del Codice delle Comunicazioni Elettroniche.
  2. Alitalia (rif. http://www.amministrazionestraordinariaalitaliasai.com/pdf/alitalia/allegato_2_alitaliarelazione2017.pdf). All’interno della relazione sulla gestione del gruppo Alitalia nel periodo dal 2 maggio 2017 al 31 dicembre 2017, relativamente al tema “Cabin appearance” si legge che le attività di manutenzione relative alle cabine degli aeromobili sono eseguite internamente da Alitalia su tutta la flotta, mentre la manutenzione dei sistemi di Intrattenimento di bordo e connettività è affidata a Panasonic. La Panasonic Avionics Airlines (PAC) è un fornitore di apparecchiature di intrattenimento in volo, tra cui musica, video on demand, shopping in volo, Internet ed e-mail, servizio telefonico GSM e UMTS tramite la sua affiliata AeroMobile Communications Limited, operatore di rete mobile registrato per l’industria aeronautica e ha sede nel Regno Unito. All’interno del sito web di Alitalia (rif. https://www.alitalia.com/it_it/volare-alitalia/in-volo/connessione-a-bordo.html) è possibile avere notizie più approfondite sul roaming GSM a bordo degli aerei. PAC e Aeromobile hanno in Italia un’autorizzazione del 28 maggio 2015 per fornire al pubblico servizi satellitari sugli aerei di Alitalia.
  3. Flixbus (rif. https://www.icomera.com/flixbus-awards-icomera-contract/). L’operatore di trasporto internazionale FlixBus ha affidato la realizzazione della connettività Internet ad Icomera prima citata. L’installazione dei primi 1.500 veicoli in Europa e negli Stati Uniti è iniziata nella primavera del 2018 ed è previsto il completamento quest’anno.

L’elenco delle società autorizzate è facilmente reperibile esaminando l’elenco nazionale delle imprese autorizzate ad offrire servizi di comunicazione elettronica ai sensi del Decreto legislativo 259/2003, aggiornato al 27 maggio 2019 per tipologia di servizio (rif. https://www.mise.gov.it/index.php/it/component/content/article?id=68306). Inoltre, è possibile consultare l’elenco delle risorse di numerazione geografiche, non geografiche e mobili assegnate ai gestori di telefonia e quelle disponibili (rif. https://www.mise.gov.it/index.php/it/comunicazioni/telefonia/risorse-di-numerazione).

 

4. Eliminato l’obbligo di tracciare il MAC address
Nella sua forma originaria, l’art. 10, comma 1, del Decreto-Legge 21 giugno 2013, n. 69 prevedeva che “L’offerta di accesso ad internet al pubblico è libera e non richiede la identificazione personale degli utilizzatori. Resta fermo l’obbligo del gestore di garantire la tracciabilità del collegamento (MAC address)”. La legge di conversione ha fortunatamente eliminato il seguente passaggio ”Resta fermo l’obbligo del gestore di garantire la tracciabilità del collegamento (MAC address)”. Vediamo il motivo.

Ogni computer, tablet o smartphone ha una scheda di circuito che gli consente di connettersi a una rete. Questa scheda viene indicata con l’acronimo di NIC (Network Interface Controller) ed ognuna ha un identificativo hardware noto come MAC (Media Access Control) address. Un MAC address può essere facilmente rintracciato ma non viaggia abbastanza lontano da essere utilizzato, ad esempio, per rintracciare il nostro computer che è stato rubato.

Infatti, sebbene l’indirizzo MAC sia univoco e cablato sulla scheda, esistono alcuni metodi che permettono di camuffarlo, operazione che in gergo tecnico viene detta MAC spoofing. La modifica può essere giustificata da motivi di privacy, ad esempio collegandosi ad una rete Wi-Fi libera e non protetta, o per motivi di interoperabilità. In ogni caso queste modifiche sono effettuate a livello software e non sono permanenti: al riavvio del sistema viene ripristinato il MAC address originale memorizzato all’interno del dispositivo hardware.
La versione 10 del sistema operativo Windows consente di configurare l’opzione di utilizzo di “indirizzi hardware casuali” della scheda di rete Wi-Fi ad ogni nuova connessione o per una specifica rete, quindi oggi possiamo fare il MAC spoofing senza alcuna conoscenza di programmazione o senza ricorrere a specifici programmi (rif. https://support.microsoft.com/it-it/help/4027925/windows-how-and-why-to-use-random-hardware-addresses).

Anche ipotizzando che il MAC address non sia stato modificato, tale informazione non supera il primo dispositivo di rete tra il nostro computer e Internet. Per questi motivi il riferimento al MAC address è stato eliminato dalla norma, tuttavia avremmo preferito che nella legge di conversione si fosse ribadito l’obbligo di autenticazione con il tracciamento e la correlazione dell’identificativo utilizzato in tale fase (ad esempio il numero di cellulare a cui inviare la password temporanea).

Nonostante queste limitazioni di natura tecnica, in paesi esteri anche non troppo lontani dall’Italia, nella lista dei termini e condizioni del servizio Wi-Fi offerto a bordo degli aerei si può leggere che il MAC Address è conservato per adempiere alla normativa di riferimento. Ad esempio, analizzando i termini e le condizioni del servizio Wi-Fi offerto dalla Scandinavian Airlines System (SAS), compagnia di bandiera della Danimarca, Norvegia e Svezia, si può leggere “By accepting these Terms and Conditions you give us permission to process your personal data (e.g. name, EuroBonus membership number, e-mail address and your device MAC address” ed anche “The personal data will, except for MAC addresses, be retained for the duration of the flight. MAC addresses will be retained by Viasat Inc for two years after it has been collected in order to enhance the user experience and comply with mandatory legislation” (rif. https://www.flysas.com/content/dam/sas/pdfs/travel-info/terms-conditions-sas- Wi-Fi.pdf) quindi il MAC address viene conservato addirittura per due anni. ©

 


Altri articoli di Giovanni Nazzaro

Il 5G nel nuovo perimetro nazionale di cyber sicurezza
di Giovanni Nazzaro (N. III_MMXIX)
Mai come negli ultimi anni abbiamo visto aggirarsi nel nostro paese lo spettro del “Golden Power”, soprattutto a causa dell’avvento del 5G. L’applicazione dei poteri speciali si è evoluta nel tempo, con nuovi regolamenti e procedure per la loro attivazione. I passaggi fondamentali sono stati due, di cui uno proprio quest’anno che i servizi basati sul 5G come attività di rilevanza strategica.
LE SFIDE DEL 5G PER L’AUTORITÀ GIUDIZIARIA E LE FORZE DI POLIZIA
di Giovanni Nazzaro (N. II_MMXIX)
Council of the European Union, Law enforcement and judicial aspects related to 5G - Brussels, 6 May 2019. Il 5G è molto più che un'evoluzione del 4G ma porta con sé problematiche d'interesse per l'Autorità Giudiziaria e per le forze di polizia che il Consiglio Europeo ha elencato nel suo documento del 6 maggio 2019. A differenza di quanto invece riportato da alcuni organi di stampa italiana che hanno commentato il documento di Bruxelles, molte di queste problematiche non sono ostacoli insuperabili ma sfide che possono essere affrontate e superate a livello nazionale mediante un’opportuna legislazione da sviluppare, sebbene il nostro paese non sia riuscito a farlo per tutte le precedenti tecnologie dal 2G al 4G.
Quello che ci attendiamo dalla Magistratura
di Giovanni Nazzaro (N. II_MMXIX)
Il Presidente Mattarella ha usato parole molto dure nel suo intervento all’assemblea plenaria straordinaria del CSM dello scorso 21 giugno: “Quanto avvenuto ha prodotto conseguenze gravemente negative per il prestigio e per l’autorevolezza non soltanto di questo Consiglio ma anche per il prestigio e l’autorevolezza dell’intero Ordine Giudiziario; la cui credibilità e la cui capacità di riscuotere fiducia sono indispensabili al sistema costituzionale e alla vita della Repubblica”.
RELAZIONE DIA 2018: LE ORGANIZZAZIONI CRIMINALI ATTRAGGONO LE GIOVANI GENERAZIONI. LE MAFIE NELLA CAPITALE
di Giovanni Nazzaro (N. I_MMXIX)
Relazione della Direzione Investigativa Antimafia (DIA) su attività svolta e risultati conseguiti nel primo semestre 2018. Il 13 febbraio 2019 la Direzione Investigativa Antimafia ha reso pubblica al Parlamento la relazione sulla propria attività ed i risultati conseguiti nel 1° semestre 2018, che si sofferma in particolare su due aspetti: le mafie attraggono le giovani generazioni e la composizione dei sodalizi criminali operanti nella Capitale
Reti mobili 4G e 5G: siamo proprio sicuri?
di Giovanni Nazzaro (N. I_MMXIX)
Il 26 marzo 2019 la Commissione Europea ha pubblicato la raccomandazione 2019/534 sulla cibersicurezza delle reti 5G e i rischi derivanti dall’utilizzo delle reti mobili di nuova generazione.
LIA#2018 BREVE RESOCONTO FINALE
di Giovanni Nazzaro (N. IV_MMXVIII)
La quarta edizione della LIA si è svolta nei giorni 7-8-9 novembre 2018 ed è stata ospitata dal Comando delle Unità Mobili e Specializzate Carabinieri “Palidoro”, Caserma Salvo d’Acquisto a Roma. Il 29 settembre 2018 l’evento ha ricevuto il patrocinio del Ministero della giustizia. I partecipanti sono stati 340 in totale, di cui il 31% appartenente all’Arma dei Carabinieri, il 13% alla Polizia di Stato, il 10% alla Guardia di Finanza, il 9% alla Presidenza del Consiglio dei Ministri, il 9% alla DIA/DDA, il 3% alla magistratura.
L’unito decreto per immigrazione e sicurezza pubblica, in sintesi
di Giovanni Nazzaro (N. IV_MMXVIII)
A primo aspetto e presentato nei suoi minimi termini il decreto sembra assumere per lo più la funzione di strumento regolatore di un decoro pubblico che sembrava ormai perduto o quantomeno dimenticato. In realtà gli interventi introdotti sono tanti, al punto che oggettivamente non si può dare un giudizio completo, positivo o negativo, su un decreto che interviene in modo così complesso.
TABULATI DI TRAFFICO STORICO PER FINALITA’ DI ACCERTAMENTO E REPRESSIONE DEI REATI: CARATTERISTICHE E TEMPI DI CONSERVAZIONE
di Giovanni Nazzaro (N. III_MMXVIII)
Legge n. 167 del 2017, art. 24. In attuazione dell’articolo 20 della direttiva (UE) 2017/541 del Parlamento europeo e del Consiglio, del 15 marzo 2017, il termine di conservazione dei dati di traffico telefonico e telematico nonche’ dei dati relativi alle chiamate senza risposta è stabilito in settantadue mesi, in deroga a quanto previsto dall’articolo 132, commi 1 e 1-bis, del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196.
Quella privacy che non fa bene alle indagini (A dark time for WHOIS)
di Giovanni Nazzaro (N. III_MMXVIII)
Il GDPR si applica anche alla banca dati WHOIS, che, così com’è, è stata considerata non conforme.
OBBLIGO DI INTERCETTAZIONE A STANDARD ETSI, NUOVE VOCI DI LISTINO PER LE PRESTAZIONI OBBLIGATORIE E TAVOLO TECNICO PERMANENTE PER IL LORO MONITORAGGIO
di Giovanni Nazzaro (N. II_MMXVIII)
Ministero della Giustizia - Decreto 28 dicembre 2017. Disposizione di riordino delle spese per le prestazioni obbligatorie di cui all’art. 96 del d.lgs. n. 259 del 2003 - Pubblicato su: G.U. n. 33 del 09/02/2018
La privacy in ambito penale. Ecco il nuovo Statuto
di Giovanni Nazzaro (N. II_MMXVIII)
Con il decreto legislativo 18 maggio 2018, n. 51 anche l’Italia ha recepito la direttiva (UE) 2016/680 del 27 aprile 2016 relativa al trattamento dei dati in ambito penale.
LAWFUL INTERCEPTION OF EMAIL SERVICES ACCORDING TO ETSI
di Giovanni Nazzaro (N. I_MMXVIII)
Legge n. 103 del 2017, art. 1 comma 8. La legge n. 103 del 2017 è entrata in vigore il 3 agosto 2017 ed ha delegato il Governo ad adottare decreti legislativi per riformare la disciplina delle intercettazioni. L’Art. 1 comma 88 ha previsto che entro il 31 dicembre 2017 fosse emanato il decreto interministeriale che apportasse una revisione alle voci di listino, da corrispondere agli operatori di telecomunicazioni, in precedenza delineate dal decreto del Ministro delle comunicazioni del 26 aprile 2001. Alla data di uscita del presente numero di rivista il decreto interministeriale non è stato pubblicato sulla Gazzetta Ufficiale, quindi si ipotizza che lo stesso sia stato emanato ma in forma secretata. In tale ipotesi, assumiamo anche che le nuove voci di listino si siano ispirate alle funzionalità tecniche definite dalle organizzazioni internazionali come ETSI, così come accade ormai già da molto tempo negli altri paesi europei. In accordo a queste ipotesi, oggi in Italia l’adozione degli standards ETSI per ogni tecnologia di comunicazione sarebbe obbligatoria, al pari dell’applicazione delle nuovi voci di listino. Vediamo quindi un esempio di adozione degli standards ETSI applicato alle comunicazioni email.
Il 2018 all’insegna della Security e delle (immancabili) Intercettazioni, per effetto della riforma sulla Privacy
di Giovanni Nazzaro (N. I_MMXVIII)
Il 2018 sarà l’anno in cui si sommeranno i nuovi adempimenti regolamentari in tema di Privacy e Security.
INTRODUZIONE AI TEMI DELLA LIA, TERZA EDIZIONE
di Giovanni Nazzaro (N. IV_MMXVII)
Atti della Lawful Interception Academy edizione 2017. La Lawful Interception Academy ha raggiunto lo straordinario risultato delle oltre 1.000 persone formate, durante le prime tre edizioni, sui temi multidisciplinari afferenti alle intercettazioni delle comunicazioni. L’edizione 2017 della LIA si è svolta dall’ 8 al 10 novembre ed è stata ospitata dalla Direzione Centrale Anticrimine (DAC) della Polizia di Stato a Roma.
La riforma sulle intercettazioni, in sintesi
di Giovanni Nazzaro (N. IV_MMXVII)
Un riforma criticata non tanto per i suoi contenuti, benché non abbia accontentato in modo completo tutti i principali soggetti coinvolti, quanto per i tempi di approvazione.
Il sempre più difficile equilibrio tra Privacy e Sicurezza nazionale
di Giovanni Nazzaro (N. III_MMXVII)
Il Regno Unito, la Germania e l’Australia hanno recentemente avviato la revisione della propria legge nazionale sul tema.
LA RIFORMA DELLE INTERCETTAZIONI TRA CRITICITÀ E UNA PLURALITÀ DI DECRETI ATTUATIVI
di Giovanni Nazzaro (N. II_MMXVII)
Modifiche al codice penale, al codice di procedura penale e all’ordinamento penitenziario. Esamiamo gli aspetti pratici della riforma, considerando le intercettazioni come strumento investigativo bisognoso di regole tecniche di regolamentazione, in prospettiva anche del nuovo Regolamento EU privacy e della continua evoluzione delle telecomunicazioni.
Il futuro della contestata Section 702 del Foreign Intelligence Surveillance Act (FISA)
di Giovanni Nazzaro (N. II_MMXVII)
Il 26 maggio 2017 le 30 principali aziende di servizi elettronici americane e del mondo hanno scritto una lettera a Bob Goodlatte.
SUPERAMENTO DELL’ISTITUTO DELLA ROGATORIA PER LE INTERCETTAZIONI: CRITICITÀ SULLO SCHEMA DI DLGS
di Giovanni Nazzaro (N. I_MMXVII)
Schema di decreto legislativo recante norme di attuazione della direttiva 2014/41/UE relativa all’ordine europeo di indagine penale - Atto del Governo n. 405 del 21 marzo 2017.
The national legislation must make provision for a data retention within the same State
di Giovanni Nazzaro (N. I_MMXVII)
The Russian law No. 242-FZ seems to have something in common with the judgment of CJEU in cases C-203/15 and C-698/15.
ANNOTAZIONE IN REGISTRI INFORMATICI DELLE OPERAZIONI DI INTERCETTAZIONE
di Giovanni Nazzaro (N. IV_MMXVI)
Garante della Privacy - Provvedimento in materia di misure di sicurezza nelle attività di intercettazione da parte delle Procure della Repubblica - 18 luglio 2013 La moderna pervasività dei sistemi informatici impone maggiore rigore nel rispetto della privacy, affinché il dato che essi trattano venga correttamente gestito e trasformato in informazione. L’attenzione posta nel trattamento dei nostri dati dovrebbe essere commisurata al grado di importanza del dato stesso. La più alta attenzione deve essere quindi posta ai dati giudiziari. Qualunque sia stato il metodo di accettazione delle condizioni di trattamento del dato, esiste un modo per noi per comprendere se effettivamente le regole vengano rispettate? La risposta è Si e viene fornita dall’altrettanto moderno concetto di “Audit”.
The next generation of location-based service
di Giovanni Nazzaro (N. IV_MMXVI)
Galileo satellite system promises to deliver more precise data than GPS. This does not seem to be enough, Google aims to analyze raw location reports received from more devices.
BLACKBERRY: INTERCETTABILITÀ DEI SERVIZI (II PARTE)
di Giovanni Nazzaro (N. III_MMXVI)
Corte di Cassazione, Sezione III Penale, sentenza n. 50452 del 10 novembre 2015 e depositata il 23 dicembre 2015.Nel precedente numero: 1. Introduzione, 2. Identificativi dell’utente BlackBerry, 3. I servizi di messagistica del BlackBerry, 3.1 PIN-2-PIN Messaging. 3.2 BlackBerry Messenger, 4. I servizi BIS e BES, 4.1. I servizi BIS (Blackberry Internet Solution), 4.2 I servizi BES (Blackberry Enterprise Solution). In questo numero: 5. Cifratura delle comunicazioni, 5.1 BBM Protected, 6. La sentenza n. 50452/2015 della Corte di Cassazione, 6.1 Intercettazioni delle utenze straniere in roaming, 6.2 Intercettazione delle comunicazioni caratteristiche del Blackberry, 7. Conclusioni.
LIMITI CIRCA L’UTILIZZABILITÀ DELLE STATISTICHE NAZIONALI SULLE INTERCETTAZIONI
di Giovanni Nazzaro e Tommaso De Giovanni (N. III_MMXVI)
In Italia le spese di giustizia si articolano su tre capitoli di spesa, di cui il n. 1363 è relativo alle intercettazioni. Nell’ambito degli interventi di spending review (DL n. 98 del 2011, art. 37, co. 16) è previsto che, a decorrere dall’anno 2012, il Ministro della giustizia presenti alle Camere, entro il mese di giugno, una relazione sullo stato delle spese di giustizia. In tale contesto si ha finalmente conoscenza delle statistiche relative al nostro paese. Dall’approfondimento qui presente è emerso purtroppo che la metodologia utilizzata per questa ricognizione statistica è affetta da molte criticità, tra cui la mancata indicazione della durata delle intercettazioni e delle relative proroghe e, soprattutto, delle spese che vengono tracciate per fattura e per anno solare in cui vengono liquidate, senza la giusta scomposizione delle reali voci di costo, ed in modo svincolato dai numeri delle intercettazioni che fanno riferimento invece al momento dell’attivazione.
Looking for the best period of Data Retention
di Giovanni Nazzaro (N. III_MMXVI)
In some European States where data retention regimes are in place, capital and operational costs incurred in compliance are reimbursed by the government.
BLACKBERRY: INTERCETTABILITÀ DEI SERVIZI (I PARTE)
di Giovanni Nazzaro (N. II_MMXVI)
Corte di Cassazione, Sezione III Penale, sentenza n. 50452 del 10 novembre 2015 e depositata il 23 dicembre 2015. In questo numero: 1. Introduzione, 2. Identificativi dell’utente BlackBerry, 3. I servizi di messagistica del BlackBerry, 3.1 PIN-2-PIN Messaging. 3.2 BlackBerry Messenger, 4. I servizi BIS e BES, 4.1. I servizi BIS (Blackberry Internet Solution), 4.2 I servizi BES (Blackberry Enterprise Solution). Nel prossimo numero: 5. Cifratura delle comunicazioni, 5.1 BBM Protected, 6. La sentenza n. 50452/2015 della Corte di Cassazione, 6.1 Intercettazioni delle utenze straniere in roaming, 6.2 Intercettazione delle comunicazioni caratteristiche del Blackberry, 7. Conclusioni.
Attendibilità delle statistiche sulle intercettazioni
di Giovanni Nazzaro (N. II_MMXVI)
Il DL n. 98 del 2011, art. 37, co. 16) prevede dal 2012 che il Ministro della giustizia presenti alle Camere, entro il mese di giugno, una relazione sullo stato delle spese di giustizia.
LAWFUL INTERCEPTION ACADEMY REPORT 2015
di Giovanni Nazzaro (N. I_MMXVI)
Pubblicato il Lawful Interception Academy (LIA) Report 2015 in formato ebook gratuito. Anche la II edizione della LIA ha mostrato numeri in aumento, come i frequentatori (distinti) che sono stati 428 nell’arco dei 5 giorni previsti. Il 66% ha ritenuto di aver ricevuto utili strumenti per le proprie attività professionali. L’89% ha espresso un alto interesse per i temi trattati nella LIA.
The need for encryption grows
di Giovanni Nazzaro (N. I_MMXVI)
Le nuove tecniche di comunicazione utilizzano proprie modalità di trasmissione e di trattamento delle informazioni, in un mondo sempre più telematico. Quali che siano le modalità utilizzate per comunicare, tutte hanno in comune lo strumento che conserva tracce digitali: pensiamo al computer o al cellulare ormai sempre con noi. L’attenzione si sposta verso un problema di più semplice gestione, solo apparentemente.
Le startup innovative
di Giovanni Nazzaro (N. IV_MMXV)
Le startup innovative godono di un regime fiscale agevolato, a patto che soddisfino le caratteristiche elencate dal decreto-legge 179/2012, art. 25 commi da b)a g). A questi requisiti se ne aggiungono altri tre (art. 25 comma h) di cui se ne deve possedere almeno uno. Altri incentivi sono il “Fondo a favore di startup innovative”, che ha concesso quasi 156 milioni di euro di garanzie, il progetto SmartStart e l’equity crowdfunding che non ha ancora trovato la via per un significativo sviluppo. La II edizione del rapporto del MiSE si focalizza sulle dinamiche “demografiche” delle startup innovative.
ULTERIORE DIFFERIMENTO IN MATERIA DI MISURE DI SICUREZZA NELLE ATTIVITÀ DI INTERCETTAZIONI
di Giovanni Nazzaro (N. III_MMXV)
Garante della privacy - Deliberazione del 25 giugno 2015. Ulteriore differimento dei termini di adempimento delle prescrizioni di cui al provvedimento del 18 luglio 2013, in materia di misure di sicurezza nelle attività di intercettazione da parte delle Procure della Repubblica.
La difficile vita dell’agente … “captatore”
di Giovanni Nazzaro (N. III_MMXV)
Con la recente sentenza della cassazione n. 27100/ 2015 si è riaperto il dibattito sull’utilizzabilità dell’agente “captatore” che, il 5 luglio, ha acquisito una dimensione mondiale a causa del caso “Hacking Team”. Il problema delle garanzie delle attività svolte da una simile attività sul dispositivo target (computer, tablet o smartphone) erano già conosciute, anche attraverso il rapporto “CALEA II: Risks of Wiretap Modifications to Endpoints” del 2013, con cui 19 esperti mondiali di comunicazioni avevano evidenziato che, di contro, si sarebbe reso più facile il lavoro dei cyber-criminali.
Il suolo “mangiato”
di Giovanni Nazzaro (n.II_MMXV)
Il consumo di suolo in Italia continua a crescere in modo significativo: tra il 2008 e il 2013 il fenomeno ha riguardato mediamente 55 ettari al giorno, con una velocità compresa tra i 6 e i 7 metri quadrati di territorio che, nell’ultimo periodo, sono stati irreversibilmente persi ogni secondo.
La solita raccomandazione
di Giovanni Nazzaro (n.I_MMXV)
Censis - rapporto pubblicato il 19 marzo dal titolo “La composizione sociale dopo la crisi - Protagonisti ed esclusi della ripresa”. Per accelerare una pratica, ottenere un permesso o per altre ragioni di rapporto con la Pa, 4,2 milioni di italiani sono ricorsi ad una raccomandazione, all’aiuto di un parente, amico, conoscente; circa 800.000 italiani hanno fatto qualche tipo di regalo a dirigenti, dipendenti pubblici.
Il lavoro potenzialmente utilizzabile o sottoutilizzato
di Giovanni Nazzaro (n.IV_MMXIV)
Il 17 dicembre 2014 è stato pubblicato il rapporto di monitoraggio sul mercato del lavoro dell’ISFOL, alla sua quarta edizione, da cui spicca la figura del lavoratore con forte potenziale non utilizzato che possiamo identificare in colui che potenzialmente è disponibile a lavorare ma non intraprende azioni di ricerca attiva. Se si includesse nel calcolo del tasso di disoccupazione anche la forza lavoro potenziale, l’indicatore in Italia raggiungerebbe il 22%.
LE PARTICOLARITÀ DELL’INTERCETTAZIONE DEGLI SMS
di Giovanni Nazzaro (n.III_MMXIV)
È del mese di agosto la notizia che WhatsAPP gestisce la comunicazione di 600 milioni di utenti al mese. Gli SMS inviati tramite la rete tradizionale mobile GSM o UMTS sono nettamente diminuiti ma non sono scomparsi. Analizziamo le particolarità dell’intercettazione degli SMS.
Nasce la “Lawful Interception Academy”
di Giovanni Nazzaro (n.III_MMXIV)
La prima edizione della “Lawful Interception Academy” si terrà dal 17 al 21 novembre di quest’anno a Roma presso la scuola “Giovanni Falcone” della Polizia Penitenziaria. Inizialmente pensata come espressione tangibile del confronto intellettuale espresso in precedenza su questa Rivista, è stata poi ridisegnata in forma di seminario e poi di scuola, a vantaggio del lettore che si è “evoluto” in ascoltatore prima ed infine in “discente”.
LE PRESTAZIONI OBBLIGATORIE PER L’AUTORITÀ GIUDIZIARIA COME DISCIPLINA DI STUDIO
di Giovanni Nazzaro (n.II_MMXIV)
Il tema delle “prestazioni obbligatorie” per gli operatori di telecomunicazioni verso l’Autorità Giudiziaria è poco riconosciuto in Italia se confrontato con altri come l’antifrode o la sicurezza informatica o la sicurezza cibernetica, eppure come questi gode di una naturale autonomia in termini di competenza, al punto che non è sbagliato riferirsi ad esso come disciplina autonoma.
WIFI OFFLOAD OF MOBILE DATA: L’INTERCETTAZIONE DELLE COMUNICAZIONI DI RETE MOBILE CON ACCESSO WIFI
di Armando Frallicciardi e Giovanni Nazzaro (n.II_MMXIV)
L’aumento del traffico dati può portare alla congestione delle risorse radio per l’accesso alle reti mobili cellulari. Per ovviare a tale problema gli operatori mobili possono ricorrere al “WiFi offloading” che richiede tuttavia una particolare attenzione sotto il profilo delle intercettazioni mobili richieste dall’AG.
EU’s Data Retention Directive declared invalid
di Giovanni Nazzaro (n.II_MMXIV)
La Corte di giustizia europea ha invalidato la direttiva sulla data retention: il legislatore dell’Unione ha ecceduto i limiti imposti dal rispetto del principio di proporzionalità in termini di idoneità della conservazione dati, necessità della conservazione, livello di ingerenza, controllo dell’accesso ai dati, periodo di conservazione.
Justice delayed is Justice denied
di Giovanni Nazzaro (n.I_MMXIV)
“Giustizia tardiva equivale a giustizia negata”. Il 17 marzo 2014 la Commissione europea ha pubblicato la seconda edizione del quadro di valutazione europeo della giustizia per promuovere la qualità, l’indipendenza e l’efficienza dei sistemi giudiziari nell’Unione europea. Tra il 2010 e il 2012 l’Italia è al primo posto per cause civili pendenti, ma il quadro di valutazione non presenta una graduatoria unica generale e non promuove un tipo particolare di sistema giudiziario.
CLASSIFICAZIONE DEGLI OPERATORI MOBILI VIRTUALI (MVNO) E PRESTAZIONI OBBLIGATORIE PER L’AUTORITÀ GIUDIZIARIA
di Giovanni Nazzaro (n.IV_MMXIII)
Dalle ultime osservazioni dell’Agcom è emerso che il numero di abbonati degli operatori virtuali non tende a fermarsi o a rallentare, raggiungendo oggi la non irrilevante cifra di 5,12 milioni. Gli operatori mobili virtuali sono soggetti all’articolato del Codice delle Comunicazioni al pari degli operatori tradizionali, con particolare riferimento all’art. 96 rubricato “Prestazioni Obbligatorie” per l’Autorità Giudiziaria.
Un’occasione mancata per rafforzare la 231
di Giovanni Nazzaro ( n.IV_MMXIII )
Il tema dei modelli organizzativi di gestione e controllo all’interno delle società, così come disposto dal d.lgs. 231/01, che ha introdotto per la prima volta nel nostro ordinamento la responsabilità in sede penale degli enti, ha suscitato sin dalla sua emanazione indubbio interesse, ma anche preoccupazione.
Il mercato unico europeo delle comunicazioni elettroniche
di Giovanni Nazzaro ( n.III_MMXIII )
L’economia mondiale si sta trasformando in un’economia basata su internet e occorre riconoscere il ruolo delle TIC come elemento decisivo per una crescita intelligente, sostenibile e inclusiva. Questo in sostanza il fulcro del contesto di riferimento in cui si posizionerà il nuovo regolamento proposto l’11 settembre 2013 dalla Commissione Europea, per creare il mercato unico europeo delle comunicazioni elettroniche.
Il Rating di legalità
di Giovanni Nazzaro ( n.II_MMXIII )
“Rating della legalità” assegnato dall’Agcm: il 17 aprile 2013 quattro aziende italiane hanno ricevuto le prime “stelle” come risultato della valutazione.
COS’È LA RETE INTELLIGENTE NELLA TELEFONIA FISSA E MOBILE
di Armando Frallicciardi e Giovanni Nazzaro (N. I_MMXIII)
La Rete Intelligente (il cui acronimo è RI oppure IN da Intelligent Network) è l’architettura di rete standard descritta nelle raccomandazioni ITU-T della serie Q.1200, utilizzata dalle reti di telecomunicazioni sia fisse che mobili. La RI consente agli operatori di differenziarsi tra loro offrendo servizi a valore aggiunto che quindi si aggiungono ai servizi standard di telecomunicazioni come PSTN, ISDN e servizi GSM-UMTS sui telefoni cellulari.
Riflessioni sullo stato della regolamentazione delle intercettazioni legali in Italia
di Giovanni Nazzaro ( n.I_MMXIII )
È stata emanata la direttiva sulla Gara Unica delle intercettazioni, tuttavia, è opportuno ricordare che nel nostro Paese è assente una normativa di riferimento per l’esecuzione tecnica delle intercettazioni.
Regulatory status of lawful interception in Italy
by Giovanni Nazzaro ( n.I_MMXIII )
Once again we find ourselves discussing interceptions, a subject of great media impact, and once again we notice the lack of technical and legal prominence that is given. Although the code of criminal procedure in chapter IV, regulates interceptions as a means of finding proof, in terms of limits of admissibility, requirements and formalities for the measure, execution of operations once the interceptions have been made, it does not add anything about how this tool should be used. There is a lack of regulations about the efficiency and execution of interceptions.
MODELLO DI ORGANIZZAZIONE DELLE AZIENDE DI TLC, PER RISPONDERE ALLE RICHIESTE DELL’AUTORITÀ GIUDIZIARIA
di Giovanni Nazzaro (n.IV_MMXII)
La Funzione che nelle aziende di telecomunicazioni risponde alle richieste dell’A.G. ha un ruolo fondamentale. Esempio di organizzazione di tale Funzione in termini di composizione, competenze e attività.
I LISTINI DEGLI OPERATORI MOBILI AMERICANI PER LE RICHIESTE DELLE FORZE DELL’ORDINE
di Giovanni Nazzaro ( n.III_MMXII )
L’articolo del NYT del 1° aprile 2012 sulla presunta pratica di monitoraggio dei telefoni cellulari negli USA ha sollevato una serie di questioni giuridiche, costituzionali e di privacy, a tal punto che è intervenuto il deputato Edward John Markey, che si è rivolto a nove operatori americani di telefonia cellulare, chiedendo a ciascuno di rispondere a quesiti diretti sul rapporto con le forze dell’ordine e l’eventuale guadagno che ne deriverebbe.
IL NUOVO CENTRO DELLA PROCURA DI ROMA: LE INTERCETTAZIONI IN ITALIA FRA PASSATO E FUTURO
di Giovanni Nazzaro (N. II_MMXI)
Incontro con l’Ufficio Automazione della Procura di Roma per approfondire gli argomenti contenuti nella nota diffusa il 20 dicembre 2010 dal proc. agg. Pierfilippo Laviani, con la quale si informava che la Procura di Roma si era dotata di un sistema proprietario che le consentiva di gestire in autonomia le intercettazioni, risparmiando 1,8 milioni di euro all’anno in costi di noleggio dell’apparecchiatura necessaria.