Sicurezza e Giustizia

ULTERIORE DIFFERIMENTO IN MATERIA DI MISURE DI SICUREZZA NELLE ATTIVITÀ DI INTERCETTAZIONI

di Giovanni Nazzaro

Garante della privacy – Deliberazione del 25 giugno 2015 [4120817]

Ulteriore differimento dei termini di adempimento delle prescrizioni di cui al provvedimento del 18 luglio 2013, in materia di misure di sicurezza nelle attività di intercettazione da parte delle Procure della Repubblica.

pdf-icon

 

1.     Introduzione
Il pervadere delle nuove tecnologie nella nostra sfera privata ha sempre più aumentato il bisogno di protezione nel quale si cerca di creare un collegamento che soddisfi reciprocamente le ragioni della sicurezza, della giustizia, ma anche dell’informazione e della tutela della riservatezza. In tale contesto, negli anni passati dobbiamo rilevare il lavoro svolto dal nostro Garante della protezione dei dati personali che è intervenuto in tali settori con specifici provvedimenti, a volte in periodi storici nei quali i poteri a lui attribuiti probabilmente sono apparsi non del tutto adeguati considerando la complessità del fenomeno ed il quadro normativo vigente. Sul fronte della sicurezza, con particolare riferimento alla raccolta dei dati per finalità di polizia, è indubbia l’attenzione che il Garante ha posto nei confronti delle banche dati, anche appoggiata dai vari atti normativi e di altra natura formalizzati in materia di scambi di dati e di cooperazione internazionale. Sul versante della giustizia, l’attività è stata parimenti intensa poiché ispirata dall’esigenza di un rafforzamento del livello di protezione dei dati personali in un cotesto di una giustizia che lentamente si avvia ad essere sempre più “tecnologica”.

 

2.     Il provvedimento del 18 luglio 2013
Uno degli ultimi interventi in materia riguarda la prescrizione del 18 luglio 2013 alle Procure della Repubblica, in merito a misure e accorgimenti per incrementare la sicurezza dei dati personali raccolti e usati nello svolgimento delle intercettazioni. L’intervento seguiva l’indagine conoscitiva svolta nel 2012 presso un campione di Procure della Repubblica di medie dimensioni (Bologna, Catanzaro, Perugia, Potenza e Venezia) allo scopo di valutare le misure tecnologiche e organizzative adottate negli Uffici giudiziari nell’attività di intercettazione telefoniche e telematiche.
È utile ricordare che l’intervento si pone cronologicamente dopo il provvedimento verso i principali gestori di telefonia fissa e mobile, risalente al 15 dicembre 2005, riguardo alle modalità con cui essi adempiono alle richieste dell’Autorità Giudiziaria (AG) in materia di intercettazione. In modo del tutto logico, quindi, l’attenzione del Garante si è soffermata prima sulla sfera in cui l’intercettazione viene eseguita tecnicamente ed ha inizio in modo strumentale rispetto a quanto disposto dalla stessa AG, ed un secondo momento all’ambito in cui l’intercettazione è ricevuta, archiviata e analizzata. Tra il 2005 ed il 2013 l’attenzione del Garante sul tema è rimasta immutata, come lo dimostra il provvedimento di carattere generale del 17 gennaio 2008 – poi modificato il 24 luglio 2008 – per la messa in sicurezza dei dati di traffico telefonico e Internet che vengono conservati dai gestori per finalità di accertamento e repressione dei reati, che seguiva i provvedimenti verso i singoli gestori (10 gennaio 2008).

Con il provvedimento del 18 luglio 2013 Il Garante ha dunque prescritto alle Procure una serie di stringenti misure da adottare entro 18 mesi dalla pubblicazione in GU. Le misure riguardano sia i Centri Intercettazioni Telecomunicazioni (CIT) situati presso ogni Procura sia gli Uffici di polizia giudiziaria delegata all’attività di intercettazione, e possono così essere raggruppati:

– Misure di sicurezza fisica
Il Garante ha richiamato i titolari del trattamento dei dati svolto all’interno della struttura denominata Centro Intercettazioni Telecomunicazioni (CIT) al rispetto degli obblighi di sicurezza di cui all’art. 31 del Codice, valutando l’idoneità delle misure in essere e di quelle che potranno essere adottate alla luce di un’analisi dei rischi incombenti sui dati. Nel CIT infatti si svolgono le attività connesse all’effettuazione delle intercettazioni. La struttura è costituita dai locali ove sono situate le postazioni di ascolto, gli apparati su cui vengono ricevute le comunicazioni intercettate e che gestiscono le informazioni documentali relative, gli apparati per la l’archiviazione e per la conservazione delle copie di sicurezza (backup). Fisicamente nei CIT vengono usualmente compresi anche uffici tecnici e amministrativi dove vengono effettuate le operazioni di attivazione, proroga e chiusura delle attività di intercettazione.

In questi locali devono essere previsti principalmente: impianti per il rilevamento e l’estinzione di incendi; misure di protezione e idonee serrature di sicurezza alle finestre dei locali; strumenti per il monitoraggio dei locali attraverso l’adozione di impianti di videosorveglianza a circuito chiuso, ivi incluse le sale di ascolto, con registrazione delle immagini; accesso fisico alle sale di ascolto consentito, in alternativa, attraverso procedure di identificazione con dispositivi biometrici oppure tramite l’utilizzo di badge individuali e nominalmente assegnati; accesso fisico ai locali ove sono collocati i server e gli archivi tramite l’utilizzo di dispositivi biometrici; registrazione automatica degli accessi ai locali.
Oltre alle misure di sicurezza di carattere fisico devono essere previste anche quelle di natura organizzativa quantomeno contro i rischi di accesso abusivo e contro quelli derivanti da altri fattori suscettibili di incidere sulla integrità e disponibilità dei dati personali.

– Misure di sicurezza informatica
Le misure di sicurezza classificate di tipo informatico e prescritte dal Garante possono essere suddivise concettualmente in tre macrocategorie:
a) Accesso ai sistemi e autenticazione: accessi ai sistemi consentiti solo da postazioni preventivamente abilitate e censite; autenticazione tramite procedure di strong authentication anche agli addetti tecnici (amministratori di sistema, di rete, di data base) che possano materialmente accedere ai dati delle intercettazioni in ragione delle mansioni loro attribuite; attribuzione di utenze di amministratore di sistema a soggetti preventivamente individuati e designati secondo i criteri stabiliti dal Garante con i provvedimenti del 27 novembre 2008 e del 25 giugno 2009; immediato recepimento dei mutamenti di funzione e ruolo degli incaricati con conseguenti opportune variazioni dei relativi profili di autorizzazione.

b) Trasmissione delle informazioni: comunicazioni elettroniche tra l’AG e i gestori effettuate esclusivamente in modo cifrato e che assicurino l’identificazione delle parti comunicanti, l’integrità e la protezione dei dati; collegamenti telematici tra Procure della Repubblica e Uffici di polizia giudiziaria di tipo “punto-punto” dedicato o di tipo VPN (Virtual Private Network); trasmissione cifrata delle comunicazioni telematiche intercettate; trasmissione dei supporti e della documentazione cartacea all’AG esclusivamente mediante personale di polizia giudiziaria.

c) Conservazione delle informazioni: protezione dei documenti informatici trasferiti su supporti rimovibili con idonee tecniche crittografiche; effettuazione delle operazioni di “masterizzazione” solo quando strettamente indispensabili; annotazione in registri informatici con tecniche che ne assicurino la inalterabilità dell’esecuzione delle operazioni svolte nell’ambito delle attività di intercettazione sia presso i CIT sia presso gli Uffici di polizia giudiziaria; conservazione in forma cifrata delle intercettazioni e delle eventuali copie di sicurezza (backup); cancellazione sicura dei contenuti registrati nei server e negli altri apparati delle società noleggiatrici esterne alla cessazione del rapporto contrattuale.

 

3.     La nomina a “Responsabile del trattamento”
Nel suo provvedimento il Garante affronta il rapporto con i soggetti esterni all’Ufficio giudiziario nel quadro dei ruoli previsti dal Codice, con particolare riferimento alle ditte operanti per conto delle Procure nell’ambito di appalti di fornitura di beni e di servizi informatici strumentali alla realizzazione delle intercettazioni o alla elaborazione delle informazioni intercettate.
Il Garante ha prescritto che soggetti esterni vengano designati dal titolare quali responsabili del trattamento ai sensi dell’art. 29 del Codice, ponendo particolare attenzione all’individuazione (da parte del titolare) dei profili di autorizzazione degli incaricati e delle misure di sicurezza, nonché al controllo periodico sull’operato del responsabile (esterno).

Questo aspetto merita un approfondimento a parte, considerando che a parità di Ufficio giudiziario c’è più di una società esterna operante per conto della Procura. Questo tuttavia non costituisce una criticità poiché il titolare può liberamente decidere che “Ove necessario per esigenze organizzative, possono essere designati responsabili più soggetti, anche mediante suddivisione di compiti.” (art. 29.3 – D.Lgs 196/03). L’aspetto rilevante è che “I compiti affidati al responsabile sono analiticamente specificati per iscritto dal titolare” e che “Il responsabile effettua il trattamento attenendosi alle istruzioni impartite dal titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni di cui al comma 2 e delle proprie istruzioni” (artt. 29.4 e 29.5 – D.Lgs 196/03). Un buon modello di applicazione concreta al caso, già applicato in alcune PA, potrebbe essere quello di prevedere un responsabile interno e tanti responsabili esterni coincidenti con il rappresentante legale della rispettiva società. Nel rapporto tra titolare e responsabile esterno andrebbero elencate in modo dettagliato tutte le attività previste dal servizio, tra cui l’individuazione degli “incaricati al trattamento”. A tal proposito Giova ricordare che il Garante nelle misure di sicurezza fisica nel provv. del 18 luglio prevedeva che in caso di operazioni di manutenzione e interventi tecnici da parte di ditte esterne, al personale di quest’ultime deve essere inibito l’accesso a dati, informazioni e documenti prodotti, se non nei limiti strettamente necessari al compimento degli interventi di manutenzione.

 

4.     Provvedimento del 26 giugno 2014
Con il successivo provvedimento del 26 giugno 2014 il Garante ci ha reso noto di aver segnalato al Ministero di Giustizia la necessità di fornire alle Procure della Repubblica le risorse idonee a consentire le modificazioni e integrazioni indicate nel provvedimento e che lo stesso Ministero ha istituito un gruppo di lavoro per l’attuazione del provvedimento, del quale il Garante è stato chiamato a far parte. È stata quindi intrapresa una ricognizione riguardo alle condizioni di adeguatezza strutturale e organizzativa degli Uffici giudiziari requirenti di primo grado e agli interventi di adeguamento resi necessari dal provvedimento dell’Autorità, in modo coerente con le finalità di razionalizzazione organizzativa e contenimento dei costi correlate al progetto della cd. ”gara unica nazionale delle intercettazioni”. Il Ministro ha sottoposto al Garante l’opportunità di disporre un congruo differimento dei termini indicati nel provvedimento del 18 luglio 2013 che prevedeva l’adeguamento entro diciotto mesi dalla pubblicazione in G.U., cioè entro febbraio 2015. Il Garante ha differito al 30 giugno 2015 il termine assegnato.

 

5.     Deliberazione del 25 giugno 2015
Veniamo quindi a giorni più recenti, quando con la deliberazione del 25 giugno 2015 il Garante ci informava che il 29 ottobre 2014 il Dipartimento dell’Organizzazione Giudiziaria del Personale e dei Servizi del Ministero di Giustizia ha trasmesso allo stesso la documentazione pervenuta relativa al monitoraggio dello stato di attuazione delle misure, stimando altresì i relativi costi. Tra le note riferite nella deliberazione, c’è quella del 10 giugno 2015 della Direzione Generale per i Sistemi Informativi Automatizzati, che “indica i tempi di possibile attuazione delle misure di sicurezza informatiche prescritte nel provvedimento del 2013, da un lato evidenziando l’esigenza di adeguare entro il 31 dicembre 2015 i contratti in essere con le società fornitrici dei beni e servizi necessari per le intercettazioni, nonché di utilizzare risorse, anche umane, non attualmente disponibili, e dall’altro rappresentando in quale misura le prescrizioni in parola sono state sin qui attuate”. Ritenendo di dover riconoscere priorità alle misure di tipo logico-informatico, caratterizzate da minor costo e massima resa, il Garante ha sospeso il termine per l’attuazione delle misure prescritte ad eccezione di:

  • trasmissione cifrata delle comunicazioni telematiche intercettate (flussi IP, posta elettronica) dal punto di loro estrazione dalla rete del gestore fino agli apparati riceventi presso i CIT;
  • annotazione in registri informatici, con tecniche che ne assicurino la inalterabilità, con indicazione dei riferimenti temporali relativi alle attività svolte e al personale operante, dell’esecuzione delle operazioni svolte nell’ambito delle attività di intercettazione sia presso i CIT;
  • per le quali il termine è fissato al 31 luglio 2016. Entro tale termine il Garante si è riservato comunque di rivalutare la rilevanza delle misure sospese alla luce delle iniziative che saranno state nel frattempo intraprese dal Ministero.

 

6.     Il programma ELCAP dell’ELISS
Nel contesto appena descritto, un’importante iniziativa a sostegno della regolamentazione del settore è arrivata dall’Associazione ELISS (Experts of Lawful Interception and Security Standards) nata nel 2005 con lo scopo di “promuovere e di diffondere la conoscenza delle raccomandazioni e delle specifiche tecniche in ambito di intercettazione delle telecomunicazioni richieste dall’Autorità Giudiziaria, ivi compreso l’ambito della data retention, della sicurezza dei sistemi informativi e delle reti di telecomunicazioni, fornendo un ausilio alla loro corretta analisi e interpretazione” (rif. art. 4 Statuto http://www.eliss.org/index.php/statuto/). Fondata nella forma di associazione no profit, libera e non di categoria, aperta a soggetti giuridici pubblici e privati, ELISS ha dato vita negli ultimi anni ad una serie di iniziative volte sia a far conoscere le raccomandazioni tecniche del settore sia a declinarle opportunamente sotto il profilo pratico indicando, laddove possibile, un modello di lavoro di riferimento ispirato ai principi della standardizzazione e delle best practices.

Una delle ultime attività condotte dall’ELISS è l’ELCAP, acronimo di Eliss Lemf Conformity Assessment Program (http://www.eliss.org/index.php/certificazione-apparati-per-la-lawful-interception/), ovvero un programma di attestazione di possesso da parte dell’apparato deputato alla raccolta dei risultati delle intercettazioni (LEMF) di determinati requisiti funzionali e di sicurezza, ispirati dalle best practices, dagli standard internazionali in materia, dalle norme e dalle leggi nazionali ed europee e dai provvedimenti del nostro Garante della privacy. Benché al momento la conformità può essere autodichiarata dal costruttore dell’apparato, è indubbio che per la prima volta in Italia sono stati definiti i requisiti tecnici che devono possedere tali apparati, considerando che essi costituiscono l’unico strumento a disposizione della Polizia Giudiziaria che possa conservare i dati intercettati, elaborarli e presentarli in una forma intellegibile ed utile alle indagini. È chiaro, pertanto, che il loro mancato funzionamento, o il funzionamento non corretto, mette in serio rischio le indagine stesse, oltre a far venir meno le necessarie garanzie per le parti coinvolte.

I requisiti sono stati suddivisi in quattro livelli:

  1. liceità del software di base;
  2. aderenza agli standards tecnici internazionali ETSI;
  3. aderenza alle linee guida di ELISS sulla visualizzazione dei contenuti;
  4. aderenza alle linee guida di ELISS sulla sicurezza delle operazioni di mantenimento ed esportazione dei dati, di tracciamento delle operazioni sugli apparati.

Il lavoro di definizione dell’ELCAP è durato due anni e, anche se altri aspetti dovranno essere meglio definiti come il collegamento protetto tra i gestori e gli apparati, ha prodotto a maggio di quest’anno il documento relativo al quarto livello relativo agli aspetti di sicurezza che ha tratto ispirazione proprio dal provvedimento del Garante in commento. In particolare il livello 4 dell’ELCAP riporta con sufficiente dettaglio implementativo (formato XML e schema XSD) l’elenco delle informazioni che dovranno essere tracciate relativamente alle attività svolte e al personale operante, dell’esecuzione delle operazioni (quali l’ascolto, la consultazione, la registrazione, la masterizzazione, l’archiviazione e la duplicazione delle informazioni, la trascrizione delle intercettazioni, la manutenzione e la gestione dei sistemi, la distruzione dei supporti, dei verbali, delle registrazioni e di ogni altra documentazione attinente alle intercettazioni). Considerando che i requisiti sono stati definiti e condivisi tra le principali società italiane costruttrici di tali apparati, inevitabilmente gli uffici giudiziari potranno trarre massimo vantaggio, nonché anche un certo risparmio economico, nel dover trattare informazioni con modalità omogenee. ©

 


Altri articoli di Giovanni Nazzaro

OBBLIGO DI INTERCETTAZIONE A STANDARD ETSI, NUOVE VOCI DI LISTINO PER LE PRESTAZIONI OBBLIGATORIE E TAVOLO TECNICO PERMANENTE PER IL LORO MONITORAGGIO
di Giovanni Nazzaro (N. II_MMXVIII)
Ministero della Giustizia - Decreto 28 dicembre 2017. Disposizione di riordino delle spese per le prestazioni obbligatorie di cui all’art. 96 del d.lgs. n. 259 del 2003 - Pubblicato su: G.U. n. 33 del 09/02/2018
La privacy in ambito penale. Ecco il nuovo Statuto
di Giovanni Nazzaro (N. II_MMXVIII)
Con il decreto legislativo 18 maggio 2018, n. 51 anche l’Italia ha recepito la direttiva (UE) 2016/680 del 27 aprile 2016 relativa al trattamento dei dati in ambito penale.
LAWFUL INTERCEPTION OF EMAIL SERVICES ACCORDING TO ETSI
di Giovanni Nazzaro (N. I_MMXVIII)
Legge n. 103 del 2017, art. 1 comma 8. La legge n. 103 del 2017 è entrata in vigore il 3 agosto 2017 ed ha delegato il Governo ad adottare decreti legislativi per riformare la disciplina delle intercettazioni. L’Art. 1 comma 88 ha previsto che entro il 31 dicembre 2017 fosse emanato il decreto interministeriale che apportasse una revisione alle voci di listino, da corrispondere agli operatori di telecomunicazioni, in precedenza delineate dal decreto del Ministro delle comunicazioni del 26 aprile 2001. Alla data di uscita del presente numero di rivista il decreto interministeriale non è stato pubblicato sulla Gazzetta Ufficiale, quindi si ipotizza che lo stesso sia stato emanato ma in forma secretata. In tale ipotesi, assumiamo anche che le nuove voci di listino si siano ispirate alle funzionalità tecniche definite dalle organizzazioni internazionali come ETSI, così come accade ormai già da molto tempo negli altri paesi europei. In accordo a queste ipotesi, oggi in Italia l’adozione degli standards ETSI per ogni tecnologia di comunicazione sarebbe obbligatoria, al pari dell’applicazione delle nuovi voci di listino. Vediamo quindi un esempio di adozione degli standards ETSI applicato alle comunicazioni email.
Il 2018 all’insegna della Security e delle (immancabili) Intercettazioni, per effetto della riforma sulla Privacy
di Giovanni Nazzaro (N. I_MMXVIII)
Il 2018 sarà l’anno in cui si sommeranno i nuovi adempimenti regolamentari in tema di Privacy e Security.
INTRODUZIONE AI TEMI DELLA LIA, TERZA EDIZIONE
di Giovanni Nazzaro (N. IV_MMXVII)
Atti della Lawful Interception Academy edizione 2017. La Lawful Interception Academy ha raggiunto lo straordinario risultato delle oltre 1.000 persone formate, durante le prime tre edizioni, sui temi multidisciplinari afferenti alle intercettazioni delle comunicazioni. L’edizione 2017 della LIA si è svolta dall’ 8 al 10 novembre ed è stata ospitata dalla Direzione Centrale Anticrimine (DAC) della Polizia di Stato a Roma.
La riforma sulle intercettazioni, in sintesi
di Giovanni Nazzaro (N. IV_MMXVII)
Un riforma criticata non tanto per i suoi contenuti, benché non abbia accontentato in modo completo tutti i principali soggetti coinvolti, quanto per i tempi di approvazione.
Il sempre più difficile equilibrio tra Privacy e Sicurezza nazionale
di Giovanni Nazzaro (N. III_MMXVII)
Il Regno Unito, la Germania e l’Australia hanno recentemente avviato la revisione della propria legge nazionale sul tema.
LA RIFORMA DELLE INTERCETTAZIONI TRA CRITICITÀ E UNA PLURALITÀ DI DECRETI ATTUATIVI
di Giovanni Nazzaro (N. II_MMXVII)
Modifiche al codice penale, al codice di procedura penale e all’ordinamento penitenziario. Esamiamo gli aspetti pratici della riforma, considerando le intercettazioni come strumento investigativo bisognoso di regole tecniche di regolamentazione, in prospettiva anche del nuovo Regolamento EU privacy e della continua evoluzione delle telecomunicazioni.
Il futuro della contestata Section 702 del Foreign Intelligence Surveillance Act (FISA)
di Giovanni Nazzaro (N. II_MMXVII)
Il 26 maggio 2017 le 30 principali aziende di servizi elettronici americane e del mondo hanno scritto una lettera a Bob Goodlatte.
SUPERAMENTO DELL’ISTITUTO DELLA ROGATORIA PER LE INTERCETTAZIONI: CRITICITÀ SULLO SCHEMA DI DLGS
di Giovanni Nazzaro (N. I_MMXVII)
Schema di decreto legislativo recante norme di attuazione della direttiva 2014/41/UE relativa all’ordine europeo di indagine penale - Atto del Governo n. 405 del 21 marzo 2017.
The national legislation must make provision for a data retention within the same State
di Giovanni Nazzaro (N. I_MMXVII)
The Russian law No. 242-FZ seems to have something in common with the judgment of CJEU in cases C-203/15 and C-698/15.
ANNOTAZIONE IN REGISTRI INFORMATICI DELLE OPERAZIONI DI INTERCETTAZIONE
di Giovanni Nazzaro (N. IV_MMXVI)
Garante della Privacy - Provvedimento in materia di misure di sicurezza nelle attività di intercettazione da parte delle Procure della Repubblica - 18 luglio 2013 La moderna pervasività dei sistemi informatici impone maggiore rigore nel rispetto della privacy, affinché il dato che essi trattano venga correttamente gestito e trasformato in informazione. L’attenzione posta nel trattamento dei nostri dati dovrebbe essere commisurata al grado di importanza del dato stesso. La più alta attenzione deve essere quindi posta ai dati giudiziari. Qualunque sia stato il metodo di accettazione delle condizioni di trattamento del dato, esiste un modo per noi per comprendere se effettivamente le regole vengano rispettate? La risposta è Si e viene fornita dall’altrettanto moderno concetto di “Audit”.
The next generation of location-based service
di Giovanni Nazzaro (N. IV_MMXVI)
Galileo satellite system promises to deliver more precise data than GPS. This does not seem to be enough, Google aims to analyze raw location reports received from more devices.
BLACKBERRY: INTERCETTABILITÀ DEI SERVIZI (II PARTE)
di Giovanni Nazzaro (N. III_MMXVI)
Corte di Cassazione, Sezione III Penale, sentenza n. 50452 del 10 novembre 2015 e depositata il 23 dicembre 2015.Nel precedente numero: 1. Introduzione, 2. Identificativi dell’utente BlackBerry, 3. I servizi di messagistica del BlackBerry, 3.1 PIN-2-PIN Messaging. 3.2 BlackBerry Messenger, 4. I servizi BIS e BES, 4.1. I servizi BIS (Blackberry Internet Solution), 4.2 I servizi BES (Blackberry Enterprise Solution). In questo numero: 5. Cifratura delle comunicazioni, 5.1 BBM Protected, 6. La sentenza n. 50452/2015 della Corte di Cassazione, 6.1 Intercettazioni delle utenze straniere in roaming, 6.2 Intercettazione delle comunicazioni caratteristiche del Blackberry, 7. Conclusioni.
LIMITI CIRCA L’UTILIZZABILITÀ DELLE STATISTICHE NAZIONALI SULLE INTERCETTAZIONI
di Giovanni Nazzaro e Tommaso De Giovanni (N. III_MMXVI)
In Italia le spese di giustizia si articolano su tre capitoli di spesa, di cui il n. 1363 è relativo alle intercettazioni. Nell’ambito degli interventi di spending review (DL n. 98 del 2011, art. 37, co. 16) è previsto che, a decorrere dall’anno 2012, il Ministro della giustizia presenti alle Camere, entro il mese di giugno, una relazione sullo stato delle spese di giustizia. In tale contesto si ha finalmente conoscenza delle statistiche relative al nostro paese. Dall’approfondimento qui presente è emerso purtroppo che la metodologia utilizzata per questa ricognizione statistica è affetta da molte criticità, tra cui la mancata indicazione della durata delle intercettazioni e delle relative proroghe e, soprattutto, delle spese che vengono tracciate per fattura e per anno solare in cui vengono liquidate, senza la giusta scomposizione delle reali voci di costo, ed in modo svincolato dai numeri delle intercettazioni che fanno riferimento invece al momento dell’attivazione.
Looking for the best period of Data Retention
di Giovanni Nazzaro (N. III_MMXVI)
In some European States where data retention regimes are in place, capital and operational costs incurred in compliance are reimbursed by the government.
BLACKBERRY: INTERCETTABILITÀ DEI SERVIZI (I PARTE)
di Giovanni Nazzaro (N. II_MMXVI)
Corte di Cassazione, Sezione III Penale, sentenza n. 50452 del 10 novembre 2015 e depositata il 23 dicembre 2015. In questo numero: 1. Introduzione, 2. Identificativi dell’utente BlackBerry, 3. I servizi di messagistica del BlackBerry, 3.1 PIN-2-PIN Messaging. 3.2 BlackBerry Messenger, 4. I servizi BIS e BES, 4.1. I servizi BIS (Blackberry Internet Solution), 4.2 I servizi BES (Blackberry Enterprise Solution). Nel prossimo numero: 5. Cifratura delle comunicazioni, 5.1 BBM Protected, 6. La sentenza n. 50452/2015 della Corte di Cassazione, 6.1 Intercettazioni delle utenze straniere in roaming, 6.2 Intercettazione delle comunicazioni caratteristiche del Blackberry, 7. Conclusioni.
Attendibilità delle statistiche sulle intercettazioni
di Giovanni Nazzaro (N. II_MMXVI)
Il DL n. 98 del 2011, art. 37, co. 16) prevede dal 2012 che il Ministro della giustizia presenti alle Camere, entro il mese di giugno, una relazione sullo stato delle spese di giustizia.
LAWFUL INTERCEPTION ACADEMY REPORT 2015
di Giovanni Nazzaro (N. I_MMXVI)
Pubblicato il Lawful Interception Academy (LIA) Report 2015 in formato ebook gratuito. Anche la II edizione della LIA ha mostrato numeri in aumento, come i frequentatori (distinti) che sono stati 428 nell’arco dei 5 giorni previsti. Il 66% ha ritenuto di aver ricevuto utili strumenti per le proprie attività professionali. L’89% ha espresso un alto interesse per i temi trattati nella LIA.
The need for encryption grows
di Giovanni Nazzaro (N. I_MMXVI)
Le nuove tecniche di comunicazione utilizzano proprie modalità di trasmissione e di trattamento delle informazioni, in un mondo sempre più telematico. Quali che siano le modalità utilizzate per comunicare, tutte hanno in comune lo strumento che conserva tracce digitali: pensiamo al computer o al cellulare ormai sempre con noi. L’attenzione si sposta verso un problema di più semplice gestione, solo apparentemente.
Le startup innovative
di Giovanni Nazzaro (N. IV_MMXV)
Le startup innovative godono di un regime fiscale agevolato, a patto che soddisfino le caratteristiche elencate dal decreto-legge 179/2012, art. 25 commi da b)a g). A questi requisiti se ne aggiungono altri tre (art. 25 comma h) di cui se ne deve possedere almeno uno. Altri incentivi sono il “Fondo a favore di startup innovative”, che ha concesso quasi 156 milioni di euro di garanzie, il progetto SmartStart e l’equity crowdfunding che non ha ancora trovato la via per un significativo sviluppo. La II edizione del rapporto del MiSE si focalizza sulle dinamiche “demografiche” delle startup innovative.
La difficile vita dell’agente … “captatore”
di Giovanni Nazzaro (N. III_MMXV)
Con la recente sentenza della cassazione n. 27100/ 2015 si è riaperto il dibattito sull’utilizzabilità dell’agente “captatore” che, il 5 luglio, ha acquisito una dimensione mondiale a causa del caso “Hacking Team”. Il problema delle garanzie delle attività svolte da una simile attività sul dispositivo target (computer, tablet o smartphone) erano già conosciute, anche attraverso il rapporto “CALEA II: Risks of Wiretap Modifications to Endpoints” del 2013, con cui 19 esperti mondiali di comunicazioni avevano evidenziato che, di contro, si sarebbe reso più facile il lavoro dei cyber-criminali.
Il suolo “mangiato”
di Giovanni Nazzaro (n.II_MMXV)
Il consumo di suolo in Italia continua a crescere in modo significativo: tra il 2008 e il 2013 il fenomeno ha riguardato mediamente 55 ettari al giorno, con una velocità compresa tra i 6 e i 7 metri quadrati di territorio che, nell’ultimo periodo, sono stati irreversibilmente persi ogni secondo.
La solita raccomandazione
di Giovanni Nazzaro (n.I_MMXV)
Censis - rapporto pubblicato il 19 marzo dal titolo “La composizione sociale dopo la crisi - Protagonisti ed esclusi della ripresa”. Per accelerare una pratica, ottenere un permesso o per altre ragioni di rapporto con la Pa, 4,2 milioni di italiani sono ricorsi ad una raccomandazione, all’aiuto di un parente, amico, conoscente; circa 800.000 italiani hanno fatto qualche tipo di regalo a dirigenti, dipendenti pubblici.
Il lavoro potenzialmente utilizzabile o sottoutilizzato
di Giovanni Nazzaro (n.IV_MMXIV)
Il 17 dicembre 2014 è stato pubblicato il rapporto di monitoraggio sul mercato del lavoro dell’ISFOL, alla sua quarta edizione, da cui spicca la figura del lavoratore con forte potenziale non utilizzato che possiamo identificare in colui che potenzialmente è disponibile a lavorare ma non intraprende azioni di ricerca attiva. Se si includesse nel calcolo del tasso di disoccupazione anche la forza lavoro potenziale, l’indicatore in Italia raggiungerebbe il 22%.
LE PARTICOLARITÀ DELL’INTERCETTAZIONE DEGLI SMS
di Giovanni Nazzaro (n.III_MMXIV)
È del mese di agosto la notizia che WhatsAPP gestisce la comunicazione di 600 milioni di utenti al mese. Gli SMS inviati tramite la rete tradizionale mobile GSM o UMTS sono nettamente diminuiti ma non sono scomparsi. Analizziamo le particolarità dell’intercettazione degli SMS.
Nasce la “Lawful Interception Academy”
di Giovanni Nazzaro (n.III_MMXIV)
La prima edizione della “Lawful Interception Academy” si terrà dal 17 al 21 novembre di quest’anno a Roma presso la scuola “Giovanni Falcone” della Polizia Penitenziaria. Inizialmente pensata come espressione tangibile del confronto intellettuale espresso in precedenza su questa Rivista, è stata poi ridisegnata in forma di seminario e poi di scuola, a vantaggio del lettore che si è “evoluto” in ascoltatore prima ed infine in “discente”.
LE PRESTAZIONI OBBLIGATORIE PER L’AUTORITÀ GIUDIZIARIA COME DISCIPLINA DI STUDIO
di Giovanni Nazzaro (n.II_MMXIV)
Il tema delle “prestazioni obbligatorie” per gli operatori di telecomunicazioni verso l’Autorità Giudiziaria è poco riconosciuto in Italia se confrontato con altri come l’antifrode o la sicurezza informatica o la sicurezza cibernetica, eppure come questi gode di una naturale autonomia in termini di competenza, al punto che non è sbagliato riferirsi ad esso come disciplina autonoma.
WIFI OFFLOAD OF MOBILE DATA: L’INTERCETTAZIONE DELLE COMUNICAZIONI DI RETE MOBILE CON ACCESSO WIFI
di Armando Frallicciardi e Giovanni Nazzaro (n.II_MMXIV)
L’aumento del traffico dati può portare alla congestione delle risorse radio per l’accesso alle reti mobili cellulari. Per ovviare a tale problema gli operatori mobili possono ricorrere al “WiFi offloading” che richiede tuttavia una particolare attenzione sotto il profilo delle intercettazioni mobili richieste dall’AG.
EU’s Data Retention Directive declared invalid
di Giovanni Nazzaro (n.II_MMXIV)
La Corte di giustizia europea ha invalidato la direttiva sulla data retention: il legislatore dell’Unione ha ecceduto i limiti imposti dal rispetto del principio di proporzionalità in termini di idoneità della conservazione dati, necessità della conservazione, livello di ingerenza, controllo dell’accesso ai dati, periodo di conservazione.
Justice delayed is Justice denied
di Giovanni Nazzaro (n.I_MMXIV)
“Giustizia tardiva equivale a giustizia negata”. Il 17 marzo 2014 la Commissione europea ha pubblicato la seconda edizione del quadro di valutazione europeo della giustizia per promuovere la qualità, l’indipendenza e l’efficienza dei sistemi giudiziari nell’Unione europea. Tra il 2010 e il 2012 l’Italia è al primo posto per cause civili pendenti, ma il quadro di valutazione non presenta una graduatoria unica generale e non promuove un tipo particolare di sistema giudiziario.
CLASSIFICAZIONE DEGLI OPERATORI MOBILI VIRTUALI (MVNO) E PRESTAZIONI OBBLIGATORIE PER L’AUTORITÀ GIUDIZIARIA
di Giovanni Nazzaro (n.IV_MMXIII)
Dalle ultime osservazioni dell’Agcom è emerso che il numero di abbonati degli operatori virtuali non tende a fermarsi o a rallentare, raggiungendo oggi la non irrilevante cifra di 5,12 milioni. Gli operatori mobili virtuali sono soggetti all’articolato del Codice delle Comunicazioni al pari degli operatori tradizionali, con particolare riferimento all’art. 96 rubricato “Prestazioni Obbligatorie” per l’Autorità Giudiziaria.
Un’occasione mancata per rafforzare la 231
di Giovanni Nazzaro ( n.IV_MMXIII )
Il tema dei modelli organizzativi di gestione e controllo all’interno delle società, così come disposto dal d.lgs. 231/01, che ha introdotto per la prima volta nel nostro ordinamento la responsabilità in sede penale degli enti, ha suscitato sin dalla sua emanazione indubbio interesse, ma anche preoccupazione.
Il mercato unico europeo delle comunicazioni elettroniche
di Giovanni Nazzaro ( n.III_MMXIII )
L’economia mondiale si sta trasformando in un’economia basata su internet e occorre riconoscere il ruolo delle TIC come elemento decisivo per una crescita intelligente, sostenibile e inclusiva. Questo in sostanza il fulcro del contesto di riferimento in cui si posizionerà il nuovo regolamento proposto l’11 settembre 2013 dalla Commissione Europea, per creare il mercato unico europeo delle comunicazioni elettroniche.
Il Rating di legalità
di Giovanni Nazzaro ( n.II_MMXIII )
“Rating della legalità” assegnato dall’Agcm: il 17 aprile 2013 quattro aziende italiane hanno ricevuto le prime “stelle” come risultato della valutazione.
COS’È LA RETE INTELLIGENTE NELLA TELEFONIA FISSA E MOBILE
di Armando Frallicciardi e Giovanni Nazzaro (N. I_MMXIII)
La Rete Intelligente (il cui acronimo è RI oppure IN da Intelligent Network) è l’architettura di rete standard descritta nelle raccomandazioni ITU-T della serie Q.1200, utilizzata dalle reti di telecomunicazioni sia fisse che mobili. La RI consente agli operatori di differenziarsi tra loro offrendo servizi a valore aggiunto che quindi si aggiungono ai servizi standard di telecomunicazioni come PSTN, ISDN e servizi GSM-UMTS sui telefoni cellulari.
Riflessioni sullo stato della regolamentazione delle intercettazioni legali in Italia
di Giovanni Nazzaro ( n.I_MMXIII )
È stata emanata la direttiva sulla Gara Unica delle intercettazioni, tuttavia, è opportuno ricordare che nel nostro Paese è assente una normativa di riferimento per l’esecuzione tecnica delle intercettazioni.
Regulatory status of lawful interception in Italy
by Giovanni Nazzaro ( n.I_MMXIII )
Once again we find ourselves discussing interceptions, a subject of great media impact, and once again we notice the lack of technical and legal prominence that is given. Although the code of criminal procedure in chapter IV, regulates interceptions as a means of finding proof, in terms of limits of admissibility, requirements and formalities for the measure, execution of operations once the interceptions have been made, it does not add anything about how this tool should be used. There is a lack of regulations about the efficiency and execution of interceptions.
MODELLO DI ORGANIZZAZIONE DELLE AZIENDE DI TLC, PER RISPONDERE ALLE RICHIESTE DELL’AUTORITÀ GIUDIZIARIA
di Giovanni Nazzaro (n.IV_MMXII)
La Funzione che nelle aziende di telecomunicazioni risponde alle richieste dell’A.G. ha un ruolo fondamentale. Esempio di organizzazione di tale Funzione in termini di composizione, competenze e attività.
I LISTINI DEGLI OPERATORI MOBILI AMERICANI PER LE RICHIESTE DELLE FORZE DELL’ORDINE
di Giovanni Nazzaro ( n.III_MMXII )
L’articolo del NYT del 1° aprile 2012 sulla presunta pratica di monitoraggio dei telefoni cellulari negli USA ha sollevato una serie di questioni giuridiche, costituzionali e di privacy, a tal punto che è intervenuto il deputato Edward John Markey, che si è rivolto a nove operatori americani di telefonia cellulare, chiedendo a ciascuno di rispondere a quesiti diretti sul rapporto con le forze dell’ordine e l’eventuale guadagno che ne deriverebbe.
IL NUOVO CENTRO DELLA PROCURA DI ROMA: LE INTERCETTAZIONI IN ITALIA FRA PASSATO E FUTURO
di Giovanni Nazzaro (N. II_MMXI)
Incontro con l’Ufficio Automazione della Procura di Roma per approfondire gli argomenti contenuti nella nota diffusa il 20 dicembre 2010 dal proc. agg. Pierfilippo Laviani, con la quale si informava che la Procura di Roma si era dotata di un sistema proprietario che le consentiva di gestire in autonomia le intercettazioni, risparmiando 1,8 milioni di euro all’anno in costi di noleggio dell’apparecchiatura necessaria.