ArticlesIII_MMXXILawful Interception

Prestazioni funzionali delle intercettazioni: bozza di decreto con grandi criticità tecniche

della Redazione

Schema di decreto ministeriale recante disposizioni per l’individuazione delle prestazioni funzionali alle operazioni di intercettazione e per la determinazione delle relative tariffe (Atto del Governo 247) – Camera dei deputati, audizione del 16 marzo 2021 di Giovanni Nazzaro fondatore e direttore della Lawful Interception Academy.
Sintesi del documento presentato in fase di audizione, definito dagli addetti ai lavori come la sintesi più oggettiva e reale sullo stato della regolamentazione in Italia delle intercettazioni sotto il profilo tecnico.
https://www.sicurezzaegiustizia.com/audizioni-sullo-schema-di-decreto-ministeriale-relativo-alle-prestazioni-funzionali-delle-intercettazioni/

pdf-icon

Nell’ambito dell’esame dello schema di decreto ministeriale recante disposizioni per l’individuazione delle prestazioni funzionali alle operazioni di intercettazione e per la determinazione delle relative tariffe, il 16 marzo 2021, la Commissione Giustizia della Camera dei Deputati ha svolto in videoconferenza le audizioni di Giovanni Mimmo, direttore generale degli affari interni del Dipartimento dell’amministrazione della giustizia, Giorgio Piziali, magistrato addetto dell’Ufficio legislativo del Ministero della giustizia, Nunzio Fragliasso, procuratore della Repubblica di Torre Annunziata, Carlo Nordio, già procuratore aggiunto della Procura della Repubblica di Venezia, di rappresentanti della associazioni di categoria Asli (Associazione Lawful interception) e Iliia (Italian lawful interception intelligence association) ed, infine, di Giovanni Nazzaro fondatore e direttore della Lawful Interception Academy.

Ricordiamo che la Lawful Interception Academy (LIA) è l’unica realtà indipendente in Italia nella quale il tema delle intercettazioni delle comunicazioni viene oggettivamente analizzato sotto tutti profili, normativo, giurisprudenziale e tecnico, con tutti gli “stakeholders”. L’attività della LIA si concretizza in un corso di alta formazione di 5 giorni in media, con 8 ore di lezioni al giorno ed un esame finale, erogato gratuitamente a tutti i rappresentanti della pubblica amministrazione. Nelle ultime 5 edizioni, organizzate fino al 2019 e poi sospese causa Covid-19, sono stati formati oltre 1.300 appartenenti alla PA.

La LIA è diventata un incubatore di idee e di proposte che coinvolgono tutte le parti interessate: nel 2019 è stata creata la prima metodologia per verificare la conformità dei prodotti utilizzati nelle intercettazioni sotto 4 distinti profili, che ha ricevuto il patrocinio del Ministero della Giustizia, ed ha definito assieme ai rappresentanti di alcuni Centri di intercettazioni (CIT) presso le Procure della Repubblica, in un evento dedicato ed organizzato dalla Direzione Nazionale Antimafia e Antiterrorismo, il primo standard per lo scambio di informazioni nelle attivazioni delle intercettazioni tra i soggetti interessati.
L’intervento del fondatore della LIA si è concentrato sulla struttura dello schema di decreto presentato con atto di governo n.247, adottato in attuazione di quanto previsto dai commi 89 e 90 dell’articolo 1 della legge 23 giugno 2017, n.103 che riprende, a sua volta, l’impianto del Decreto Interministeriale del 28 dicembre 2017. Il documento consegnato a fine audizione si focalizza soprattutto sugli articoli da 1 a 5 e sull’art. 8.
Di seguito si riporta una sintesi di tale intervento, in cui ancora una volta si evidenzia come il legislatore abbia bisogno di un tavolo specifico da interpellare quando c’è necessità di interventi finalizzati alla regolamentazione delle intercettazioni sotto il profilo tecnico, poiché in tutte le occasioni in cui ha provato a farlo, ha ripreso “obsoleti” paradigmi tecnologici oppure passaggi di precedenti interventi legislativi ma in modo “incompatibile”, come nel caso dello schema di decreto esaminato dove si confondono le attività in carico al “fornitore della prestazione funzionale” con quelle svolte dagli operatori di telecomunicazioni.

1. Decreto Interministeriale del 28 dicembre 2017

L’art. 4, comma 1, punto b) pone una vera rivoluzione, il passaggio di poche righe ha di fatto creato, anche nel nostro Paese, lo spazio normativo per superare lo stato di arretratezza in cui era caduto negli ultimi 20 anni, durante i quali ogni operatore di telecomunicazioni ha adottato, in assenza di indicazioni, modalità distinte per l’esecuzione delle intercettazioni (in alcuni casi anche di tipo proprietario che aveva creato di fatto un regime di monopolio poi fortunatamente superato), quindi anche un proprio listino.
Negli altri paesi europei tale aderenza agli standards ETSI per l’esecuzione delle intercettazioni è già presente da molti anni e tali standards sono stati declinati attentamente per singolo servizio affinché gli operatori di telecomunicazioni potessero avere un riferimento puntuale da implementare.
L’articolo 4 cita semplicemente “la conformità ai modelli ed ai protocolli definiti dall’ETSI”, ma questo richiamo non è sufficiente per poter applicare la nuova norma giacché il legislatore dovrebbe effettuare un preventivo lavoro di individuazione di tutti i principali standards ETSI di riferimento e di quelli secondari, declinandoli. Molto probabilmente tale obbligo normativo non sarà implementato da molti operatori di telecomunicazioni, quindi il panorama tra questi tenderà a variegarsi ancor di più, tra chi attua la nuova norma perché già sanzionato dal Garante privacy, chi invece sarà proattivo perché molto attento alla compliance normativa in generale e chi invece non farà assolutamente nulla, affidandosi alla buona sorte ed eventualmente intervenendo quando l’autorità giudiziaria dovesse accorgersi della mancata aderenza alla norma.
L’articolo 2 del decreto è rubricato “Revisione delle voci del listino per le prestazioni obbligatorie” e prevede che “Le prestazioni obbligatorie e le relative tariffe sono individuate nel Listino delle prestazioni obbligatorie fornite dagli operatori di telecomunicazioni allegato al presente decreto, di cui fa parte integrante”. Tale allegato è composto da una singola tabella con i seguenti campi: Tipologia di prestazione, Soggetti obbligati, Descrizione del servizio, Requisiti e condizioni della prestazione, Tariffa forfetizzata – valore di costo unitario a prescindere dalla durata della prestazione.
Ad alto livello l’intera tabella non presenta caratteristiche oggettive di applicabilità immediata, poiché utilizza definizioni e riferimenti non sufficientemente declinati (anche per quanto riguarda i livelli di servizio) e tali da non permettere una concreta implementazione, a meno di ulteriori sviluppi e definizioni che nel decreto sono menzionati all’art. 7 (nei limiti di cui al successivo punto 2.4), ma la cui realizzazione non ha finora trovato luce. Ad esempio, su circa 30 voci richiamate solo in una occasione è citato lo standard ETSI, manca quindi un’associazione tra voce del listino e modalità di intercettazione da applicare, come richiamato in precedenza.
L’articolo 7 del decreto rubricato “Monitoraggio del sistema delle prestazioni obbligatorie” prevede che sia istituito un tavolo tecnico permanente presso il Ministero della giustizia, cui partecipa il Ministero dello sviluppo economico ed aperto alla consultazione degli operatori di telecomunicazioni, per effettuare “ un costante monitoraggio del sistema delle prestazioni obbligatorie e delle relative tariffe, che tenga conto dell’evoluzione tecnologica ed organizzativa del settore delle telecomunicazioni e delle variazioni dei costi dei servizi”. Si rileva, osservando le fonti pubbliche, che ad oggi non si ha ancora evidenza della costituzione di tale tavolo tecnico, per il quale andrebbe rivalutata anche la prevista composizione nell’ottica di assicurare la giusta competenza tecnica ed “indipendenza”.

2. Nuovo schema di decreto n. 247

L’articolo 1 reca una serie di definizioni riprese da quelle già formulate nel decreto del 28 dicembre 2017, sanando alcune gravi mancanze come la definizione di ETSI, ma creandone delle nuove assolutamente poco precise e da migliorare.

L’articolo 2 rinvia al listino (allegato allo schema di decreto) per l’individuazione e la descrizione delle prestazioni funzionali alle operazioni captative e delle relative tariffe. All’interno della relazione economico-finanziaria che accompagna lo schema del decreto si legge che “la scelta di un range tariffario tra un minimo ed un massimo è diretta ad offrire criteri di orientamento coerenti con la discrezionalità dell’Autorità giudiziaria nell’attività di liquidazione, affinché venga tenuto conto, nella concreta attività di determinazione dell’importo da liquidare, del complesso delle attività svolte […]”. In questo contesto si ritiene debbano essere diversificate quelle attività svolte dal “fornitore della prestazione”, definito all’art. 1, che richiedono la mera ricezione dei dati intercettati sulle reti di telecomunicazioni da quelle in cui l’attività dipende dai fattori su menzionati, attività che potremmo definire “passive” le prime, in quanto il “punto di registrazione” passivamente sarebbe in attesa di riceverle, e “attive” le seconde esattamente in analogia al tipo di intercettazione interessata.

L’articolo 3 è quello che pone maggiori dubbi interpretativi. Al comma 2, sub b) e c), lo schema riporta due particolarità delle modalità esecutive delle prestazioni. Entrambe le modalità non possono essere attribuite al “fornitore della prestazione”, definito all’art. 1, quando invece sarebbe più corretto attribuirle all’operatore di telecomunicazioni, in quanto obbligato alla trasmissione al punto di registrazione delle intercettazioni secondo gli standards ETSI. Si trova conferma di questa considerazione all’art. 4 comma 1 sub b), c) e d) del decreto del 28 dicembre 2017 che riporta esattamente la stessa formulazione.
L’articolo 4 prosegue il lavoro introdotto dall’art. 3, con l’obiettivo di declinare quanto previsto dalla lett. c) del comma 89 dell’articolo 1 della legge n. 103 del 2017 e ponendo requisiti in tema di sicurezza nella conservazione e gestione dei dati. Giova ricordare che dal 1° settembre 2020 è entrata in vigore la riforma della disciplina delle intercettazioni telefoniche di cui al D.Lgs. 29/12/2017, n. 216. La riforma ha istituito presso le Procure della Repubblica un archivio informatico delle intercettazioni (distinto fra TIAP RISERVATO, per gli atti, ed ADI, per i file multimediali), nel quale confluiscono, subito dopo la conclusione delle operazioni, le registrazioni e tutti gli atti relativi alle intercettazioni ed i verbali sintetici dalla polizia giudiziaria (il c.d. ‘conferimento’).
Nell’archivio sono caricate in maniera integrale le intercettazioni effettuate, ivi incluse quelle irrilevanti o non utilizzabili. Ciò che è inserito nell’ADI viene considerato erroneamente “originale”, in realtà si tratta di un’elaborazione del c.d. “punto di registrazione” che riceve le informazioni correlate alle intercettazioni ed i contenuti, siano essi intercettazioni di comunicazioni che intercettazioni ambientali. Il “punto di registrazione” non è stato interessato a questo processo di riforma, quindi l’effetto finale è che le intercettazioni vengono poi elaborate e le informazioni vengono aggregate secondo i criteri propri del “fornitore del servizio”.
Il comma 2 riporta tra le attività da assicurare “la cancellazione sicura, definitiva ed integrale, anche delle copie di sicurezza, in conformità alla modalità individuate dal Procuratore della Repubblica […]”. In audizione è stato suggerito di applicare tale disposizione solo dopo aver definito una forma standardizzata con cui i dati elaborati dal “punto di registrazione” sono conferiti all’ADI.
Al comma 3 si riporta che “Il fornitore comunica al Procuratore della Repubblica, che ne curerà l’inoltro al Ministero della giustizia-Direzione generale per i sistemi informativi automatizzati, il documento tecnico descrittivo del proprio sistema, comprensivo delle modalità di collegamento da remoto realizzate […]” L’attività così descritta si pone come semplice inoltro della documentazione tecnica verso la DGSIA del Ministero della giustizia, che diviene elemento di raccolta a livello nazionale, ma non viene assegnata alcuna azione di analisi e di valutazione di tale documentazione né una forma di riferimento con cui questa documentazione deve essere prodotta. Con questa impostazione non si aggiunge valore alla catena di distribuzione della documentazione.
L’articolo 5 disciplina i parametri tecnici che devono essere utilizzati per l’identificazione della prestazione richiesta ai fini della trasmissione e della gestione delle comunicazioni di natura amministrativa, nonché la tipologia dei dati da utilizzare per lo scambio delle informazioni.
Al comma 3 si riporta che “Con riferimento alle prestazioni richieste, attraverso i sistemi ministeriali coerenti con quanto previsto dagli organismi internazionali di standardizzazione nelle telecomunicazioni, sono scambiati i seguenti dati […]”. In questo caso non risulta chiara l’impostazione del comma, cioè se sia rivolto ai “fornitori del servizio” oppure agli operatori di telecomunicazioni, per effetto del riferimento agli organismi internazionali di standardizzazione, nel caso specifico ETSI. Gli standards ETSI disciplinano solo la modalità con cui l’Autorità Giudiziaria e gli operatori di telecomunicazioni devono dialogare, telematicamente, sia sotto il profilo c.d “amministrativo”, con i dati necessari ad identificare il tipo di servizio richiesto, sia nell’invio dei risultati delle intercettazioni.
L’articolo 8 reca norme in materia di monitoraggio del sistema delle prestazioni funzionali, facendo riferimento al tavolo tecnico permanente istituito dall’art. 7 del decreto del 28.12.2017, ritornando quindi su un tema ancora aperto.

Lawful Interception per gli Operatori di Tlc
3. Rilievi deliberati dalle Commissioni sullo schema n. 247

Le Commissioni di Giustizia e Bilancio hanno svolto un lavoro atto a migliorare il testo del provvedimento in esame, assieme a componenti del Governo, da cui si rileva che nessun punto evidenziato durante le audizioni è stato preso in considerazione. D’altra parte è utile ricordare che le audizioni sono definite “informali” in quanto organizzati tra le Commissioni ed altri soggetti estranei all’attività parlamentare, mirati a fornire ai Commissari utili elementi di conoscenza nel settore specifico, pertanto non c’è alcun obbligo nel recepire le osservazioni o i lavori svolti dagli auditi.
Il 6 aprile 2021 la Commissione Giustizia ha valutato positivamente l’intero impianto ed ha formulato i seguenti rilievi:
a) all’articolo 1, comma 1, lettera o), siano soppresse le parole «per la temporanea registrazione e per», nonché le seguenti «in tempo reale o in differita»;
b) all’articolo 4, comma 1, dopo la parola «sicurezza» siano aggiunte le seguenti «e nel rispetto di quanto previsto dall’articolo 268 del codice di procedura penale»;
c) l’articolo 4 sia inteso come diretto ad imporre che, nel tempo necessario e indispensabile nel quale i fornitori che raccolgono il dato lo trasferiscono all’archivio riservato presso la Procura della Repubblica, siano assicurati, sotto ogni profilo tecnico, l’obbligo di riservatezza del processo di gestione e trasmissione dello stesso, tale che nessun soggetto estraneo all’autorità giudiziaria possa in ogni caso accederne al contenuto;
d) alla tabella allegata, alla categoria «intercettazioni delle comunicazioni di tipo informatico o telematico (attiva attraverso captatore elettronico)» il riferimento all’acquisizione «della rubrica dei contatti, della galleria fotografica e dei video realizzati o comunque presenti, delle password, con funzione di keylogger», quando non rientri nei flussi di comunicazione, sia previsto nell’ambito dell’attività di indagine sottoposta alle condizioni di cui agli articolo 247 e seguenti del codice di procedura penale.

Il 13 aprile 2021 la Commissione Bilancio ha valutato positivamente l’intero impianto con le seguenti condizioni, volte a garantire il rispetto dell’articolo 81 della Costituzione:
All’articolo 8 aggiungere infine il seguente comma: 3. Ai componenti del Tavolo tecnico permanente di cui al comma 1 non spettano, per l’attività prevista dai commi 1 e 2, compensi, indennità, gettoni di presenza o altri emolumenti comunque denominati;
All’articolo 9, sopprimere il comma 3;
e con le seguenti osservazioni:
si valuti l’opportunità di sopprimere l’articolo 10 ;
si valuti l’opportunità di prevedere, nel listino allegato al presente schema di decreto ministeriale, una più specifica classificazione delle prestazioni effettuate e dei materiali utilizzati, sentiti gli operatori del settore, ai fini dell’adempimento degli obblighi dei fornitori delle prestazioni di cui all’articolo 3». ©

Audizioni sullo schema di decreto ministeriale relativo alle prestazioni funzionali delle intercettazioni

 

Mostra di più

Articoli Correlati

Pulsante per tornare all'inizio