Le prestazioni obbligatorie per l’Autorità Giudiziaria come disciplina di studio

di Giovanni Nazzaro

Il Codice delle Comunicazioni Elettroniche ha introdotto per primo in Italia il concetto di “prestazioni obbligatorie” per gli operatori di telecomunicazioni verso l’Autorità Giudiziaria. Tale concetto discende direttamente dalla direttiva europea sulle autorizzazioni facente parte del c.d. “Pacchetto Telecom”. Questo è un tema poco riconosciuto se confrontato con altri come l’antifrode o la sicurezza informatica o la sicurezza cibernetica, eppure come questi gode di una naturale autonomia in termini di competenza, al punto che non è sbagliato riferirsi alle “prestazioni obbligatorie” come disciplina autonoma.


 

Il superamento dell’oligopolio nel campo delle telecomunicazioni è stato favorito in Europa soltanto a partire dagli inizi del 2000 quando, contestualmente all’introduzione di nuove tecnologie e all’evoluzione delle vecchie, è stata adottata una legislazione a livello europeo in linea con il progresso tecnologico e le esigenze del mercato. Tale evoluzione si è concretizzata nel 2002 con l’adozione di un nuovo quadro normativo relativo alle comunicazioni elettroniche il cui obiettivo principale è rafforzare la concorrenza agevolando l’ingresso dei nuovi operatori e incentivare gli investimenti nel settore(1).

La direttiva 2002/21/CE del Parlamento europeo e del Consiglio, del 7 marzo 2002, istituisce un quadro normativo comune per le reti ed i servizi di comunicazione elettronica ed è detta “direttiva quadro”. A questa si sono aggiunte altre quattro direttive (sulle autorizzazioni, sull’accesso, sul servizio universale e sul rapporto tra vita privata e comunicazioni) che nel complesso costituiscono le direttive del c.d. “Pacchetto Telecom”, poi modificate nel dicembre 2009 dalle due direttive “Legiferare meglio” e “Diritto dei cittadini”, anno in cui è stato istituito anche l’organismo dei regolatori europei delle comunicazioni elettroniche (BEREC).

Il nostro “Codice delle Comunicazioni Elettroniche” (c.c.e.), istituito con il dlgs n. 259 del 1° agosto 2003, rappresenta lo strumento con il quale in Italia sono state recepite le suddette direttive. Il c.c.e. ha sostituito il “testo unico delle disposizioni legislative in materia postale, di bancoposta e di telecomunicazioni” in vigore dal 1973(2) ed ha introdotto una regolamentazione delle reti e dei servizi di comunicazioni elettroniche, individuando vari ambiti tra cui la libertà nell’uso dei mezzi di comunicazione elettronica, la libertà di iniziativa economica in un regime di concorrenza, riconoscendo anche la qualità di riservatezza alle stesse comunicazioni. Tante sono le novità introdotte dal c.c.e., in particolare l’inserimento del concetto di “prestazioni obbligatorie” per gli operatori di telecomunicazioni verso l’Autorità Giudiziaria(3). Tale concetto discende direttamente dalla direttiva sulle autorizzazioni(4), che all’allegato A comma 11 prevede, tra le condizioni per la concessione dell’autorizzazione generale per la fornitura di reti o servizi di comunicazione elettronica, la “Possibilità per le autorità nazionali competenti di effettuare legalmente intercettazioni delle comunicazioni in conformità della direttiva 97/66/CE e della direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995 relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati”. È evidente quindi come il concetto di “prestazione obbligatoria”, così definita prima, si leghi ab origine al principio di tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché al più evidente e scontato requisito di “legalità” che esclude ogni attività di supervisione delle comunicazioni degli utenti “senza il consenso di questi ultimi, eccetto quando sia autorizzato legalmente”(5).

Come si può comprendere da questa premessa, le “prestazioni obbligatorie” affondano le loro radici nel complesso quadro in cui le comunicazioni elettroniche sono nate e si sono evolute, nel rispetto dei principi di tutela dei dati degli utenti. Le “prestazioni obbligatorie”, se vogliamo essere più precisi, costituiscono parte integrante delle stesse comunicazioni e, non a caso, la Comunità europea le inserisce tra le condizioni necessarie per la concessione dell’autorizzazione agli operatori. Sbaglia quindi chi ritiene che la migliore propensione all’analisi del tema possa provenire da settori limitrofi, ma ben distinti per caratteristiche, come quello più generale della “security” il più delle volte declinato in “sicurezza delle informazioni”, “sicurezza informatica” o addirittura “cyber security”: requisiti come “segretezza” o “riservatezza” non posso caratterizzare appieno un tema che gode di una naturale autonomia in termini di competenza, al punto che non è sbagliato riferirsi alle “prestazioni obbligatorie” come disciplina autonoma .

La conoscenza delle comunicazioni, intese sotto il profilo prettamente tecnologico ma anche normativo e legislativo, non sono l’unico requisito necessario alla disciplina delle “prestazioni obbligatorie”. Prima di esaminarne gli altri, e per meglio comprenderli, definiamo l’elenco delle prestazioni che le compongono. Il riferimento è l’art. 96 del c.c.e., modificato dalla legge n. 228 del 24 dicembre 2012, il quale afferma al comma 2 che “Le prestazioni relative alle richieste di intercettazioni sono individuate in un apposito repertorio nel quale vengono stabiliti le modalità ed i tempi di effettuazione delle prestazioni stesse, gli obblighi specifici, nonché il ristoro dei costi sostenuti”, mentre il comma 4 precisa che “Fino all’emanazione del decreto di cui al comma 2 continua ad applicarsi il listino adottato con decreto del Ministro delle comunicazioni del 26 aprile 2001”. Senza scendere nel dettaglio sulle vicissitudini della norma, peraltro già discusse su questa rivista(6), facendo riferimento al listino che, tuttavia, utilizza una descrizione delle prestazioni non del tutto conforme al loro profilo tecnologico, possiamo elencare di seguito quelle che nella pratica si intendono come “prestazioni obbligatorie per l’AG”:

  1. la fornitura di informazioni anagrafiche dell’utenza intestataria del contratto, in termini di informazioni che l’operatore ha registrato per l’attivazione del servizio, eventualmente comprendendo le informazioni di fatturazione, con l’indicazione della data in cui si è risolto il contratto;
  2. l’intercettazione delle comunicazioni, mediante fornitura dei contenuti e dei metadati ad essi associati, intesa come intercettazione delle comunicazioni sia a livello di accesso, cioè indipendentemente dai servizi usufruiti dall’utenza come appunto la telefonia o la connessione dati, sia a livello di servizio come ad esempio del solo servizio email;
  3. il tracciamento delle comunicazioni, inteso come fornitura dei soli metadati che accompagnano i contenuti delle comunicazioni intercettate;
  4. la localizzazione dell’utenza, valida solo per la telefonia mobile, che si suddivide in localizzazione standard associata alla comunicazione e localizzazione di precisione che prescinde dalle comunicazioni dell’utente;
  5. l’identificazione dell’utenza, intesa come il risalire all’identificativo tecnico che è stato utilizzato dall’utenza, valido sia per le connessioni dati per le quali dall’IP si vuole risalire al numero di telefono oppure all’hot spot che ha fornito l’accesso, sia per lo stalking telefonico (in questo caso si ricorre all’override);
  6. la sospensione o la limitazione dei servizi, come ad esempio nel caso delle email in cui si inibisce temporaneamente l’accesso;
  7. la documentazione integrale del traffico storico, con la fornitura delle informazioni prescritte dal dlgs n. 109 del 30 maggio 2008(7);
  8. il sequestro dei contenuti, intesi come contenuti a disposizione dell’operatore e tecnicamente sequestrabili come ad esempio le email in precedenza inviate/ricevute e conservate dall’utente sul server email oppure i messaggi in segreteria telefonica.

Da questa varietà di attività si comprende come la disciplina delle “prestazioni obbligatorie” imponga il possesso di nozioni anche eterogenee tra loro, così raggruppabili:

Da un punto di vista generale in Italia le “prestazioni obbligatorie” non sono intese come vera e propria disciplina, non è riconosciuto loro un profilo ben distinto dalle altre realtà comunque importanti come ad esempio l’antifrode o la sicurezza cibernetica, per la quale abbiamo assistito recentemente anche alla nascita di un nucleo centrale nazionale(8). Nel dettaglio, sul piano professionale, molto spesso all’alto profilo di specializzazione che consegue dal possesso dei requisiti sopra richiamati viene preferita erroneamente la figura dell’esperto di sicurezza, come accennato in precedenza. Addirittura, in fasi delicate come la scelta del CTU(9) che assiste il giudice o la parte per il compimento di singoli atti o per tutto il processo, vediamo preferirgli l’esperto in digital forensics per l’analisi dei risultati dell’intercettazione, dei tabulati di traffico storico o della localizzazione dei terminali mobili.
Occorre ammettere che tra le categorie in cui è suddiviso l’albo dei periti in materia penale non sono previste esplicitamente queste due categorie, ma è evidente che anche in questo contesto la figura di esperto in prestazioni obbligatorie per l’Autorità Giudiziaria risulta perdente nella generale considerazione che tutto ciò che abbia a che fare con l’elettronica sia di competenza del professionista in prove digitali.

In conclusione, in una materia così importante come quella del contrasto alla criminalità, non possiamo negare l’esistenza di professionisti dotati di così particolari competenze da poter collaborare al miglioramento delle tecniche d’indagine per l’Autorità Giudiziaria; in tal senso sarebbe auspicabile la nascita di una scuola o meglio di una accademia, per evitare fraintendimenti con l’ambito scolastico di competenza ministeriale, come naturale accreditamento di questa importante disciplina.©

NOTE

  1. Cfr. http://europa.eu/legislation_summaries/information_society/legislative_framework/l24216a_it.htm.
  2. D.P.R. 29 marzo 1973, n. 156.
  3. Decreto legislativo 1 agosto 2003, n.259, Capo VI, Art. 96 rubricato “Prestazioni obbligatorie”, commi 1-5.
  4. Direttiva 2002/20/CE del Parlamento europeo e del Consiglio, del 7 marzo 2002, relativa alle autorizzazioni per le reti e i servizi di comunicazione elettronica (direttiva autorizzazioni).
  5. Direttiva 97/66/CE del 15 dicembre 1997 sul trattamento dei dati personali e sulla tutela della vita privata nel settore delle telecomunicazioni (GUCE n. L 024 del 30/01/1998).
  6. G. Nazzaro, editoriale, “Sicurezza e Giustizia” n. I/MMXIII, pag. 5 e 7. In particolare, Legge 288/2012, art. 1 comma 23 “L’abrogazione del comma 4 dell’articolo 96 del codice di cui al decreto legislativo 1° agosto 2003, n. 259, ha effetto a decorrere dalla data di entrata in vigore del decreto di cui al comma 2 del medesimo articolo 96, come da ultimo sostituito dal comma 22, lettera a), del presente articolo”.
  7. Per una disamina dello stato di validità della norma si veda l’editoriale in questo numero di rivisita, pagg. 7-8.
  8. R.Setola, “Istituito il nucleo per la sicurezza cibernetica”, su questa rivista n.II/MMXIII, pagg.8-9.
  9. Cfr. https://www.giustizia.it/giustizia/it/mg_2_4_3_5.wp. ◊

 

Exit mobile version