Sicurezza e Giustizia

LIA CERTIFICATION: LA PRIMA CERTIFICAZIONE INDIPENDENTE DEGLI APPARATI PER LE INTERCETTAZIONI

Facebooktwittergoogle_plusredditpinterestlinkedinmail

La LIA ha definito il primo processo di Certificazione in Italia dedicato agli apparati e ai servizi utilizzati in ambito delle intercettazioni telefoniche, telematiche e ambientali. In sintesi l’iniziativa è: 1) gratuita per la PA come tutte le attività della LIA; 2) permette di adottare la metodologia della “certificazione di terza parte” già ormai utilizzata in quasi tutti gli altri settori merceologici; 3) consente di verificare, anche periodicamnete, le qualità tecniche dei sistemi utilizzati per la ricezione delle intercettazioni; 4) non entra nel merito della precedente riforma perché non comprende i sistemi usati per l’archiviazione; 5) garantisce che non si perda ulteriore tempo nei processi per una certificazione o garanzia dettagliata sulle qualità tecniche dei sistemi utilizzati; 6) evita che possano essere invalidate le intercettazioni.

pdf-icon

 

Durante l’ultima edizione della LIA si è riportato all’attenzione dei presenti un principio piuttosto rilevante, che con il tempo sembrava essere stato accantonato nel nostro paese, secondo il quale il sistema legale – che consente le intercettazioni giudiziarie – è un sistema che deve essere garantito a monte. E’ il caso, ad esempio, dell’avvocato difensore che, nell’ambito di determinati processi, intende ricostruire l’intera filiera di gestione del dato intercettato. Appare indubbiamente un onere complesso, delicato e che richiede tempo e che, quindi, non potrebbe essere svolto a valle, e che dovrebbe essere effettuato per ogni singola attività investigativa supportata da apparati deputati alla ricezione delle intercettazioni. Il fattore di complessità aumenta poi con il numero di apparati utilizzati, forniti da società private distinte.

La garanzia richiesta a monte dovrebbe essere assicurata per tempo, cioè prima che le attività abbiano inizio, attraverso la giusta competenza, poiché la gestione del dato intercettato non riguarda solo la sicurezza informatica ma anche requisiti funzionali e operativi del particolarissimo settore, senza trascurare la responsabilità con la quale si opera, perché il dato intercettato va a costituire una prova nel processo, ed infine dovrebbe essere rivalutata a periodi temporali costanti poiché sia i sistemi informatici sia la tecnologia di comunicazione subiscono importanti aggiornamenti periodici. A tutti gli effetti tale garanzia si configura, quindi, come una vera e propria attività specialistica continuativa.

La garanzia o la certificazione di possesso di determinate qualità è una dichiarazione, spesso intesa quale atto di natura giuridica, di conoscenza di fatti e qualità verificati nella realtà, rilasciata da un soggetto qualificato in forma scritta contenuta in un documento chiamato appunto attestato. Nel settore commerciale la certificazione è un processo compiuto per mezzo di attività da parte di un soggetto che è indipendente rispetto ai due principali attori che sono l’offerente e l’acquirente. Nel settore ancora più specifico della lawful interception, il processo di certificazione deve contemplare la verifica di possesso, nella pratica ed a intervalli regolari, di qualità e comportamenti attesi e afferenti a molte discipline diverse tra loro per natura.

Spesso si è portati a valutare erroneamente che, nel settore specifico delle intercettazioni, tale forma di garanzia o certificazione sia già in qualche modo contemplata dalla dichiarazione di aderenza ai requisiti elencati nei relativi bandi di gara e nei loro allegati tecnici. Ciò generalmente non può essere vero in quanto l’elencazione di requisiti così dettagliati non può rientrare in un contratto di natura commerciale, in quanto sarebbe facilmente contestabile in fase di esecuzione dello stesso da una delle due parti e le controversie amministrative fondate su argomentazioni tecniche non sarebbero facilmente risolvibili. Inoltre, se le qualità non fossero verificate nel dettaglio dall’acquirente, si scadrebbe in una semplice autodichiarazione di certificazione del fornitore. Ecco perché, in moltissimi altri settori industriali, una certificazione indipendente di questo tipo costituisce già un requisito legale o contrattuale ed unico strumento per una valutazione completa del prodotto. Tale certificazione può essere richiamata negli allegati tecnici dei relativi bandi di gara in modo da sollevare l’acquirente da eventuali controversie, che quindi sarebbero gestite separatamente tra il fornitore ed il soggetto certificatore.
In genere, la responsabilità del soggetto certificatore non è trascurabile: infatti, in quanto dichiarazioni di conoscenza, le certificazioni producono gli effetti giuridici stabiliti dall’ordinamento, a prescindere dalla volontà di chi le rilascia.

In tale contesto, per rispondere alla sollecitazione esposta in premessa, la LIA ha definito il primo processo di Certificazione in Italia dedicato agli apparati e ai servizi utilizzati in ambito delle intercettazioni telefoniche, telematiche e ambientali. La Certificazione LIA è rivolta esclusivamente all’Industria di tale settore, tuttavia, è importante evidenziare che la certificazione consentirà indirettamente agli utilizzatori di tale tecnologia, quindi alle Procure della Repubblica, di poter meglio comprendere sia il suo funzionamento sia il grado di aderenza alle disposizioni legislative nazionali ed internazionali, alle best practices tecniche applicate in ambito security e privacy, nonché ai requisiti funzionali richiesti dall’Autorità Giudiziaria e standardizzati dall’ETSI.

La metodologia utilizzata è frutto di un lungo studio, con un periodo di osservazione di circa 20 anni, basato sugli standards internazionali ISO e ETSI a cui sono state integrate le conoscenze specifiche del settore in Italia ed i comportanti attesi dall’Industria e dai suoi Clienti. La certificazione LIA fornisce una valutazione descrittiva e numerica (espressa in percentuali) per rappresentare l’aderenza a quattro aree distinte di possesso di determinati requisiti: 1. Funzionali, 2. di Sicurezza, 3. di Privacy o di trattamento del dato, 4. di Compliance. Qualora l’azienda sottoposta a certificazione risultasse non certificabile per una o più inadempienze anche su una sola delle suddette aree, la certificazione in quanto “processo” prevede la possibilità di recuperare tale situazione. Il report completo, tuttavia, registrerà ogni modifica intervenuta durante il processo di certificazione. ©