Giovanni NazzaroII_MMXVIIILawful Interception

Obbligo di intercettazione a standard ETSI, nuove voci di listino per le prestazioni obbligatorie e tavolo tecnico permanente per il loro monitoraggio

di Giovanni Nazzaro

Ministero della Giustizia – Decreto 28 dicembre 2017
Disposizione di riordino delle spese per le prestazioni obbligatorie di cui all’art. 96 del d.lgs. n. 259 del 2003 – Pubblicato su: G.U. n. 33 del 09/02/2018.

Fonti:

  • https://www.giustizia.it/giustizia/it/mg_1_8_1.page?contentId=SDC101101&previsiousPage=mg_14_7
  • https://www.giustizia.it/resources/cms/documents/dag_decreto_28dic2017_tabella_listino.pdf.
Testo del decreto del 28/12/2017pdf-icon
Allegato al decreto (tabella)pdf-icon

 

1.     Premessa
Il tema delle spese di giustizia relative alle c.d. “prestazioni obbligatorie” è parte integrante dell’ambito di interazione tra l’Autorità Giudiziaria e gli Operatori di telecomunicazione aventi autorizzazione generale concessa dal MISE per l’offerta al pubblico di servizi, come ad esempio la telefonia mobile, la navigazione su Internet tramite wifi, ecc. Il concetto alla base è molto semplice: se un operatore acquisisce tale autorizzazione deve anche assicurare che i servizi offerti al pubblico possano essere controllati legittimamente dall’Autorità Giudiziaria, per il contrasto dei delitti e dei reati previsti dal codice di procedura penale. Ad ogni richiesta è previsto che lo Stato riconosca un compenso secondo un listino prestabilito, stabilito dal decreto in commento che ha sostituito quello precedente del 26 aprile 2001 (pubblicato nella Gazzetta Ufficiale n. 104 del 7 maggio 2001).

Prima del recente intervento occorre ricordare che la Legge del 24 dicembre 2012 n. 288 aveva già previsto l’abrogazione del comma 4 dell’art. 96 del Codice delle Comunicazioni Elettroniche, che a sua volta prevedeva l’applicazione del listino del 2001 sopra richiamato. Tale cambiamento in realtà non è mai avvenuto poiché vincolato all’entrata in vigore del decreto di cui al comma 2 del medesimo articolo 96 così modificato dalla Legge 288/2012: “2. Con decreto del Ministro della giustizia e del Ministro dello sviluppo economico, di concerto con il Ministro dell’economia e delle finanze, sono determinati: a) le prestazioni previste al comma 1, le modalità e i tempi di effettuazione delle stesse e gli obblighi specifici degli operatori.”. Tuttavia, come il precedente listino, anche il testo del nuovo intervento normativo non dettaglia tecnicamente le prestazioni da ricompensare, quindi nella pratica non è del tutto chiaro quale possa essere la corretta implementazione di quanto richiesto. In definitiva si può ammettere che la situazione in realtà non è poi tanto migliorata dal quel lontano 2001, poiché ad oggi manca ancora quel decreto – prima chiamato Repertorio – che stabilisce le modalità ed i tempi di effettuazione delle prestazioni obbligatorie (ex art. 96 del decreto legislativo 1° agosto 2003, n. 259). L’unica aspetto positivo è che le voci sono state uniformate, mentre nel 2001 ogni soggetto obbligato presentava il proprio listino. Analizziamo nel dettaglio il decreto in oggetto.
 

2.     Il decreto del 28 dicembre 2017
In data 28 dicembre 2017 è stato emanato il decreto del Ministro della giustizia e del Ministro dello sviluppo economico, di concerto con il Ministro dell’economia e delle finanze, registrato dalla Corte dei conti il 23 gennaio 2018, recante la revisione delle voci di listino di cui al decreto ministeriale 26 aprile 2001, in attuazione dell’art. 96, comma 2, del decreto legislativo n. 259 del 2003, come modificato dall’art. 1, comma 88, della legge n. 103 del 2017. In attuazione a tale comma era previsto che, oltre alla nuova disciplina delle tariffe, il decreto in commento dovesse:
a) individuare i soggetti tenuti alle prestazioni obbligatorie di intercettazione, anche tra i fornitori di servizi, le cui infrastrutture consentono l’accesso alla rete o la distribuzione dei contenuti informativi o comunicativi, e coloro che a qualunque titolo forniscono servizi di comunicazione elettronica o applicazioni, anche se utilizzabili attraverso reti di accesso o trasporto non proprie;
c) definire gli obblighi dei soggetti tenuti alle prestazioni obbligatorie e le modalità di esecuzione delle stesse, tra cui l’osservanza di procedure informatiche omogenee nella trasmissione e gestione delle comunicazioni di natura amministrativa, anche con riguardo alle fasi preliminari al pagamento delle medesime prestazioni.
Il decreto e l’allegato listino sono depositati e consultabili, a norma di legge, presso il Ministero della giustizia, Direzione generale della giustizia civile, e presso il Ministero dello sviluppo economico, Direzione generale per i servizi di comunicazione elettronica, di radiodiffusione e postali. Entrambi sono comunque disponibili pubblicamente sul sito web del Ministero della Giustizia.

Il decreto si compone di 8 articoli, di cui il primo relativo alle definizioni. In merito dobbiamo osservare, purtroppo, che le “prestazioni obbligatorie” vengono definite con esclusivo riguardo alle intercettazioni, contemplando il caso della localizzazione su rete mobile – in modo non del tutto corretto – nella definizione di “dati correlati alle prestazioni obbligatorie”, e dimenticando anche tutta una serie di altre prestazioni come il sequestro dei contenuti, la perquisizione, la sospensione dei servizi, senza tralasciare la fornitura dei tabulati di traffico storico che , seppur gratuiti, sono comunque classificabili come obbligatori.
Gli “operatori di telecomunicazioni” sono definiti correttamente come soggetti “autorizzati a gestire una rete pubblica di comunicazioni o una risorsa correlata, o che forniscono servizi di comunicazione elettronica anche tramite reti o piattaforme di altri operatori”. L’art. 3 rubricato “Soggetti tenuti alle prestazioni obbligatorie” conferma l’obiettivo posto dall’art. 1, comma 88, della legge n. 103 del 2017 punto b) laddove considera come obbligati a tali prestazioni anche “coloro che a qualunque titolo forniscono servizi di comunicazione elettronica o applicazioni, anche se utilizzabili attraverso reti di accesso o trasporto non proprie”, ad esempio gli Over The Top come Google. Tuttavia non è sufficiente citare questa tipologia senza indicare le modalità tecniche da utilizzare, che ovviamente non possono essere quelle degli standards ETSI più avanti richiamati.
Non ci soffermiamo oltre su questo elenco di definizioni, ma non si può non evidenziare il fatto che
mediante il concetto di “identità di rete” normalmente si individua l’identificativo tecnico proprietario dell’operatore di telecomunicazioni utilizzato per gestire le comunicazioni, mentre il bersaglio o target, che nel decreto non è definito, è un concetto ben più esteso che cambia e si associa al tipo di prestazione richiesta. Inoltre, l’acronimo di ETSI non è definito nel decreto quindi corre l’obbligo di riportarlo in questo contesto nel rispetto verso tale importante Istituto: ETSI è l’acronimo di European Telecommunications Standards Institute.

 

3.     Obbligo di intercettazione a standard ETSI
La vera rivoluzione introdotta dal decreto in commento è rappresentato dall’art. 4, comma 1, punto b) che così recita “Nell’esecuzione delle prestazioni obbligatorie, gli operatori di telecomunicazioni assicurano: b) la tempestiva trasmissione e consegna, mediante canali cifrati, dei contenuti intercettati e dei dati correlati alle operazioni di intercettazione, secondo procedure di natura informatica approvate dal Ministero della giustizia, in grado di assicurare all’Autorità giudiziaria l’originalità, l’integrità e la fruibilità dei dati trasmessi e/o ricevuti dall’identità di rete, senza impiego di sistemi informatici interposti di trattazione degli stessi, in conformità ai modelli ed ai protocolli definiti dall’ETSI”. Il passaggio di poche righe ha di fatto consentito al nostro Paese di superare lo stato di arretratezza in cui era caduto negli ultimi 20 anni, durante i quali ogni operatore di telecomunicazioni ha adottato, in assenza di indicazioni, modalità distinte per l’esecuzione delle intercettazioni, in alcuni casi anche di tipo proprietario poi fortunatamente superate, quindi anche un proprio listino. Per avere riscontro oggettivo di quanto evidenziato è sufficiente analizzare i moduli preposti dalla Polizia Giudiziaria per l’attivazione delle intercettazioni in cui è indicata la medesima prestazione per singolo operatore con termini differenti, definizioni proprietarie e particolarità specifiche.

Negli altri paesi europei tale requisito di aderenza agli standards ETSI per l’esecuzione delle intercettazioni è già presente da molti anni. Nel nostro paese, quindi, ci attende la gestione di un transitorio non banale per poter approdare ad una versione uniforme per l’esecuzione delle intercettazione. Sempre avendo a riferimento il lavoro già svolto all’estero, per raggiungere questo obiettivo sarà necessario declinare con attenzione tutti gli standards tecnici che ETSI ha definito per singolo servizio come ad esempio la telefonia mobile, la posta elettronica, la navigazione internet, il VoLTE oppure per tecnologia come ad esempio GSM, UMTS, 5G, WiFi. Il decreto del 28 dicembre 2017 cita semplicemente “la conformità ai modelli ed ai protocolli definiti dall’ETSI” ma questo richiamo è assolutamente non sufficiente per poter applicare la nuova norma giacché andrebbe effettuato un preventivo lavoro di individuazione di tutti i principali standard ETSI di riferimento e quelli secondari. Gli standards ETSI devono essere indicati in maniera selettiva e citati in forma univoca, considerando che ognuno di essi effettua richiami ad altri documenti e prevede la scelta di parametri che devono essere selezionati in un elenco di diverse possibilità.

Allo stato attuale il punto in questione non può essere applicato a meno che il Ministero della giustizia non continui il lavoro di definizione delle modalità di esecuzione delle prestazioni obbligatorie e non dia ampia diffusione delle modifiche introdotte verso i soggetti che nella pratica saranno poi coinvolti nell’operatività delle attività, come il personale del CIT (Centro InTercettazione) presso le Procure della Repubblica e la Polizia Giudiziaria. A titolo di esempio, si attende infatti uno stravolgimento delle modalità di intercettazione di servizi molto diffusi come la posta elettronica e che sono erogati in Italia da decine di Service Provider (per un prospetto delle nuove modalità di intercettazione delle email si rimanda all’articolo “LAWFUL INTERCEPTION OF EMAIL SERVICES ACCORDING TO ETSI” su questa rivista, n. I / MMXVIII) ed una nuova modalità di attivazione delle intercettazioni con lo scambio, tra le parti interessate, di parametri identificativi dell’attività svolta (il LIID, Lawful Interception IDentifier) senza l’utilizzo di informazioni sensibili. Un aspetto importante che probabilmente non è stato contemplato nel decreto è che la richiesta di conformità allo standard ETSI non può essere confinata ai sistemi informativi dell’operatore, giacché i sistemi a valle – cioè quelli presenti nelle sale CIT delle Procure – dovranno adeguarsi a loro volta alla nuova modalità. Questo non si traduce semplicemente in un implicito adeguamento alle standardizzate modalità che dovranno effettuare le macchine riceventi (LEMF), per intenderci quelle noleggiate da società private. In un’ottica di efficientamento ed opportuno dimensionamento delle risorse, si auspica che anche le sale CIT si dotino di opportuni sistemi proprietari per la gestione e lo smistamento delle intercettazioni in tempo reale (LEMF Gateway) verso le singole macchine noleggiate (LEMF). Questo aspetto non è irrilevante dato che secondo l’art. 8 del decreto non è previsto che vi siano “nuovi o maggiori oneri a carico del bilancio dello Stato”.

 

4.     Revisione delle voci del listino per le prestazioni obbligatorie
L’art. 2 del decreto è rubricato “Revisione delle voci del listino per le prestazioni obbligatorie” e prevede che “Le prestazioni obbligatorie e le relative tariffe sono individuate nel Listino delle prestazioni obbligatorie fornite dagli operatori di telecomunicazioni allegato al presente decreto, di cui fa parte integrante”. Tale allegato è composto da una singola tabella con i seguenti campi: Tipologia di prestazione, Soggetti obbligati, Descrizione del servizio, Requisiti e condizioni della prestazione, Tariffa forfetizzata – valore di costo unitario a prescindere dalla durata della prestazione (si veda la tabella nella pagina accanto).

Ad alto livello l’intera tabella non presenta caratteristiche oggettive di applicabilità immediata poiché utilizza definizioni e riferimenti scarsamente dettagliati sotto il profilo tecnico e tali da non permettere una concreta implementazione, a meno di ulteriori sviluppi e definizioni che nel decreto purtroppo non sono accennati. Ad esempio, su circa 30 voci richiamate sono in una occasione è citato lo standard ETSI, manca quindi la corretta associazione tra voce del listino e modalità di intercettazione da applicare, come fatto negli altri paesi europei in cui voce per voce è stata dettagliata la modalità da utilizzare, che evidenzia ancora di più la mancanza di una netta distinzione tra tipologie di intercettazioni a livello di rete e quelle a livello di servizio, per le quali è atteso che si applichino modalità distinte, laddove si richiama l’intercettazione di servizi come: fruizione dei contenuti delle reti (es. web Access); archiviazione in Cloud; messaggistica e Voip (Skype, Blackberry, Facebook, WhatsApp). In questo caso è abbastanza improbabile che si possano utilizzare gli standards ETSI che valgono per i classici operatori di telecomunicazioni aventi proprie reti o singoli elementi di rete.

Anche sul profilo del semplice richiamo alla prestazione, si evidenzia che alcune voci sono definite in modo diverso ma possono produrre il medesimo risultato, come ad esempio: Sospensione selettiva dei servizi; Blocco/sblocco dei servizi; Rimozione del profilo Accesso Radio.

Infine, in merito al processo di fatturazione, come richiamato dall’art. 6 del decreto rubricato “Art. 6 -Razionalizzazione e semplificazione delle procedure e degli adempimenti di fatturazione”, si ricorda che per inviare e consentire all’ufficio giudiziario la lavorazione della fattura elettronica “spese di giustizia in materia di intercettazioni”, il soggetto che ha svolto l’attività deve:
collegarsi al sito del Ministero della Giustizia, all’interno di servizi “on line” – Istanza Web, dopo essersi registrato e scaricare il formato del file XML previsto per le richieste di liquidazioni spese di giustizia in materia di intercettazioni, strutturato e conforme (anche per le esigenze operative di riconciliazione) con il tracciato “fattura elettronica” da trasmettere al competente ufficio giudiziario procedente
predisporre il file XML ed inviarlo tramite lo stesso sito web del Ministero della Giustizia, all’interno di servizi “on line” – Istanza Web.
predisporre la fattura elettronica XML conforme alla fatturaPA indicando il codice IPA/spese di giustizia dell’Ufficio Giudiziario, apporre la firma digitale ed inviare la fattura elettronica allo SDI.

Il formato del file XML è descritto all’interno del documento “Manuale SIAMM – Dettagli Tecnici INTERCETTAZIONI” che riporta “le codifiche parametriche necessarie per il corretto popolamento dei vari campi previsti all’interno del file” e che avrebbe dovuto essere distribuito in una versione aggiornata con il decreto stesso, in quanto l’ultima versione disponibile non contempla tutte le voci di listino introdotte dal decreto e neanche tutti i soggetti che possono richiederle. Questo rappresenta un altro ostacolo alla applicabilità del decreto.

 

5.     Istituzione del tavolo tecnico permanente per il monitoraggio del sistema delle prestazioni obbligatorie
L’art. 7 del decreto rubricato “Monitoraggio del sistema delle prestazioni obbligatorie” prevede che sia istituito un tavolo tecnico permanente presso il Ministero della giustizia, cui partecipa il Ministero dello sviluppo economico ed aperto alla consultazione degli operatori di telecomunicazioni, con i seguenti obiettivi (comma 2):

  • monitora il sistema delle prestazioni obbligatorie in relazione alla qualità, all’efficienza e alla sicurezza dei servizi forniti, affinché sia garantita un’esecuzione ottimale, uniforme e razionale;
  • monitora le modalità di trasmissione e gestione delle comunicazioni amministrative relative alle prestazioni obbligatorie, promuovendo, ove necessario, la diffusione di prassi operative omogenee da parte di tutti gli operatori coinvolti nel circuito amministrativo;
  • valuta l’opportunità di un aggiornamento del listino;
  • valuta l’introduzione di meccanismi di tipo forfettario nella determinazione dei costi complessivi delle prestazioni obbligatorie.

Leggendo gli obiettivi del tavolo tecnico, che sarà permanente, emerge subito chiaramente come il suo compito principale sia l’amministrazione dei costi delle intercettazioni, lasciando ancora una volta in secondo piano la gestione dell’evoluzione, peraltro non esplicitamente citata nell’elenco, di uno strumento che è essenzialmente tecnico e che inevitabilmente dovrà seguire l’analoga evoluzione dei servizi di comunicazione che avremo nei prossimi anni. Rispetto al nostro recente passato l’istituzione di un tavolo interministeriale è sicuramente da lodare giacché non esisteva nulla del genere, tuttavia dovremo scoprire quali poteri esecutivi potrà avere giacchè l’at. 8 ricorda che dovrà lavorare “ferme restando le competenze delle singole amministrazioni”. Così posto quindi il tavolo tecnico non sembra poter intervenire in altri aspetti importanti quanto l’aggiornamento del listino, come ad esempio la valutazione preventiva delle modalità adottate dai singoli soggetti obbligati, le verifiche o le ispezioni, la declinazione degli standard tecnici internazionali secondo le esigenze degli organi investigativi italiani.

 

6.     Conclusioni
Il decreto in commento rappresenta un nuovo esempio di come nel nostro paese non si riesca ad inquadrare le intercettazioni come strumento tecnico, puntando invece più semplicemente a regolamentare la sua autorizzazione ed i suoi costi derivati. Il legislatore dovrebbe comprendere che se uno strumento tecnico non è ben regolamentato nelle modalità attuative, come per tutti gli strumenti tecnici aventi anche un valore legale, ci saranno sicure conseguenze sul piano dell’utilizzabilità e dei costi. Un buon lavoro fatto a monte, invece, con un monitoraggio costante e competente delle evoluzioni tecnologiche, consentirebbe anche una semplificazione della norma, una maggiore efficienza lavorativa, nonché un netto risparmio economico.
Oggi è stato istituito un tavolo permanente sul tema (art. 7), che si pone l’obiettivo di voler essere anche tecnico oltre che amministrativo. Se dovrà essere preso come riferimento, è necessario che abbia concreti poteri attuativi e faccia chiarezza anche sui singoli ruoli delle varie amministrazioni. È chiaro, però, che un simile tavolo per essere credibile dovrebbe essere composto da tecnici di indubbia e comprovata capacità sul tema delle intercettazioni, la cui nomina sia fatta in trasparenza e sia pubblica, perché apparteniamo ad un paese componente dell’UE che in quanto tale non può più permettersi di recepire direttive europee in modo superficiale, o di continuare a pubblicare statistiche sulle intercettazioni non corrette che potrebbero penalizzarci nel confronto internazionale, o di essere assenti nei tavoli in cui si decide il futuro delle modalità dì intercettazione come nell’ETSI. Soprattutto si dovrebbe far presto a definire le modalità di intercettazione dei servizi ctati nel decreto come Skype, BlackBerry, WhastApp. Si spera, in definitiva in un efficace e definitivo intervento nella definizione di tale tavolo tecnico da parte del Governo italiano. ©

 

You can also hear this news on Amazon's Alexa
Show More

Related Articles