Anfov

Osservatorio Sicurezza

Sin dai primi mesi del 2005 l’ANFoV ha istituito l’Osservatorio Sicurezza con l’obiettivo di:

approfondire la conoscenza sul tema delle “Prestazioni obbligatorie” relative agli oneri gravanti a norma dell’art. 96 Codice delle Comunicazioni nei confronti degli Operatori e degli ISP,
elaborare criteri tecnici e gestionali compatibili con le possibilità degli Associati e le esigenze dell’Autorità Giudiziaria, nell’ottica di una piena e trasparente collaborazione;
approfondire lo studio degli standard di intercettazione ETSI (European Telecomunication Standard Institute) dedicando una serie di incontri al tema.

A fronte delle crescenti esigenze di sicurezza del Paese e dell’evoluzione del quadro legislativo, l’attività dell’Osservatorio Sicurezza è stata focalizzata sull’analisi tecnico-giuridica dell’ampia gamma di prestazioni che devono essere svolte da Operatori e ISP in relazione alle crescenti esigenze di sicurezza del Paese.

Tali prestazioni sono costituite da dati e informazioni che gli Operatori e ISP devono mettere a disposizione dell’Autorità Giudiziaria, riguardanti l’intercettazione del traffico IP e non IP su reti wireline e wireless; la localizzazione delle chiamate GSM, le richieste di dati anagrafici,… quali attività che impattano soprattutto sull’attività degli Operatori “licenziatari” che sono sottoposti all’esercizio delle “prestazioni obbligatorie” verso l’Autorità Giudiziaria.

A tal proposito l’ANFoV ha dato il suo contributo sviluppando le attività dell’Osservatorio secondo tre linee operative:

l’Associazione ha inviato una richiesta all’On. Franco Frattini (in qualità di Commissario UE competente su “Libertà, Sicurezza e Giustizia” e autore di una proposta di Direttiva sul data retention), per l’apertura di un tavolo di confronto sul tema delle intercettazioni, data retention e sui relativi oneri a carico degli Operatori e ISP, anche in considerazione delle aspettative e istanze degli Associati, in vista dell’approvazione definitiva della Direttiva da parte del Parlamento Europeo.
l’Associazione, su richiesta della Procura della Repubblica di Roma (delegata dal Ministero della Giustizia e quale “capofila di sperimentazione”) alle diverse associazioni di settore, ha avviato un tavolo di lavoro per coordinare e stabilire i criteri ispiratori delle modalità tecniche di intercettazione delle comunicazioni, avviare un confronto sulle modalità tecniche per l’implementazione delle attività di intercettazione (limitatamente al traffico IP) e la tariffazione delle stesse da parte degli Operatori e ISP;
l’Associazione ha fornito un contributo per la stesura del Repertorio presso il Ministero delle Comunicazioni. Il Repertorio è lo strumento che individua le prestazioni ed i servizi propedeutici allo sviluppo del tariffario che regola l’aspetto economico della prestazione con una logica non di prezzo ma di orientamento ai costi.

Dicembre 2005

L’attività di collaborazione e confronto con la Commissione Europea e l’On. Frattini è proseguita con un incontro a Bruxelles il 9 dicembre 2005, che pur costituendo un importante momento di scambio si è rivelato tardivo rispetto alle determinazioni che il Parlamento Europeo aveva già deciso di seguire in campo normativo.

Il 14 dicembre 2005 infatti è stata approvata dal Parlamento Europeo la proposta della Commissione per una Direttiva sul tema del “data retention”. Tale proposta ricalcava solo in parte i contenuti cui si era ispirato il nostro Ministro, anche se salvaguardava i diritti di ristoro costi sopportati dagli operatori interessati per l’attività richiesta a fini di giustizia. Il Parlamento Europeo in quella sede ha dovuto optare per una soluzione di compromesso tra l’”austerità” di una proposta di decisione del Consiglio UE sull’argomento e la proposta dell’On. Frattini.

Aprile 2006

Il 13 aprile 2006 sulla Gazzetta ufficiale dell’Unione Europea è stata pubblicata la Direttiva 2006/24/CE del Parlamento Europeo e del Consiglio, del 15 marzo 2006, riguardante la conservazione di dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la Direttiva 2002/58/CE. In particolare tale Direttiva prevede che:

l’il periodo di conservazione non può essere inferiore a 6 mesi e non superiore a due anni dalla data in cui e' avvenuta la comunicazione elettronica (Art. 6);
l’uno Stato Membro possa ottenere una proroga del periodo massimo di conservazione, giustificandola con la necessità (accertata e senza motivi occulti) di dovere affrontare "circostanze particolari" (comma 1). In tal caso la Commissione può valutare l'opportunità di modificare la stessa direttiva (comma 3) (Art. 12);
l’la dimensione temporale entro cui ciascuno stato membro deve provvedere al recepimento della direttiva nel proprio ordinamento al più tardi entro il 15 settembre 2007. E' possibile operare un differimento (fino al 15 marzo 2009) dandone "notifica" agli organi comunitari competenti all'atto dell'adozione della direttiva nel proprio ordinamento (Articoli 15 e 16).

L’attività di collaborazione e confronto con la Procura della Repubblica di Roma, sviluppata con una serie di riunioni negli ultimi sei mesi, ha generato:

l’analisi ragionata “Impatto legale sulle attività degli ISP”, svolta dall’ANFoV sulla materia intercettazioni e data retention a livello europeo dei Paesi che hanno adottato o proposto iniziative regolamentari sulla materia, nell’Autunno 2005;
una bozza di Protocollo d’Intesa per la tariffazione delle attività di fornitura e trasmissione dei soli dati di traffico IP, che costituiscono un importante contributo all’elaborazione di uno specifico schema di decreto legge a livello nazionale, ad aggiornamento di quanto stabilito nel “Repertorio delle prestazioni obbligatorie ai sensi dell’art. 96 del decreto legislativo 259/2003”, fermo in forma di bozza incompleta da più di 3 anni.

L’analisi ragionata “Impatto legale sulle attività degli ISP” ha definito la linea dell’ANFoV su le intercettazioni e “data retention”, partendo da un approccio organico che vede insieme risvolti e costi delle due tematiche, anche sotto il profilo della collaborazione con la Magistratura. L’analisi mette a fuoco la disciplina nazionale e le più recenti evoluzioni europee su intercettazioni e “data retention” e si pone l’obiettivo di:

individuare le modalità operative sostenibili per intercettazioni e “data retention”
ottenere il ristoro dei costi effettivi sostenuti dagli ISP per cooperare con l’Autorità Giudiziaria.

Nell’Aprile 2006 è stata infatti definita una bozza di Protocollo d’Intesa tra Procura della Repubblica e le Associazioni Aiip, ANFoV, AssoProvider, Asstel e Federcomin, in materia di tracciamento ed intercettazione del traffico IP.
Tale documento definisce:

l’ambito regolamentato, il ruolo e le caratteristiche dei soggetti coinvolti, i concetti di “Bersaglio” e di “ Traffico IP Grezzo”;
le modalità della prestazione del servizio di tracciamento o intercettazione;
il ristoro dei costi nei confronti degli Operatori e ISP che svolgono le prestazioni richieste dall’Autorità Giudiziaria
le specifiche tecniche per le diverse tipologie di servizi
i termini di validità del Protocollo d’Intesa.

Sulla restante materia (stoccaggio, messa a disposizione e trasmissione di dati di traffico “non IP”) l’Osservatorio Sicurezza dell’ANFoV intende seguire le attività di recepimento della Direttiva UE nell’ordinamento italiano, che dovrà coordinarne principi e contenuti, sia con le disposizioni del cosiddetto “Pacchetto Pisanu” che con le norme di garanzia e tutela dei dati personali specificamente varate dal Garante della Privacy.

L’attività e la collaborazione tra l’Osservatorio e la Procura della Repubblica di Roma è orientata allo studio dei modelli di rimborso costi e agli aspetti economici del ristoro costi, previsti dall’art. 96 citato, che però rinviava sulla materia ad un decreto del Ministro delle Comunicazioni, da emanarsi di concerto con i Ministri della Giustizia e dell'Interno.

In quest’ambito il tema del ristoro costi è affrontato in collaborazione con la Procura di Roma attraverso l’analisi di diversi modelli di rimborso che mutuano i parametri essenziali, la metodologia e i criteri di spesa già individuati dal Ministero della Giustizia per le intercettazioni "tradizionali" di fonia; l’obiettivo è quello di individuare, attraverso un opportuno percorso di analisi e valutazione congiunta, la soluzione tecnico-economica per ogni tipo di intercettazione più soddisfacente per tutte le parti interessate.

Poichè anche il Ministero della Giustizia sta lavorando al testo di due decreti (su fondi già presenti in finanziaria 2005) sul tema del rimborso costi, l’attività di collaborazione con la Procura di Roma sarà strettamente seguita dall’Associazione nei prossimi incontri dell’Osservatorio.

L’ANFoV, attraverso questo Osservatorio, intende quindi configurarsi come punto di riferimento sulla Sicurezza delle comunicazioni offrendo:

agli Associati: un punto di vista privilegiato sugli aspetti tecnici e giuridici, un momento di approfondimento sugli standard tecnologici, sui ruoli dei soggetti coinvolti e sull’evoluzione della regolamentazione;
alle Autorità Pubbliche: un contributo continuativo volto alla concertazione delle esigenze dei soggetti coinvolti e orientato a costruire insieme la “spina dorsale” dell’intera regolamentazione sul tema.

14 novembre 2007

L’Osservatorio riprende i suoi lavori dopo circa 8 mesi di stallo, dovuto alla ancora non conclusa fase regolamentare per dare applicazione alle previsioni di legge sull’argomento generale della sicurezza e del data retention collegato alle prestazioni obbligatorie degli operatori in particolare.

“La sicurezza, soprattutto per quanto riguarda la data retention, è un argomento di discussione centrale per ANFoV, in particolar modo se si prendono in considerazione i numerosi problemi di ordine economico e tecnico ad essa correlati” . Questo il commento di Nino Catania, Direttore Generale di ANFoV, in apertura dell’Osservatorio.

L’Associazione ha tentato di affrontare sin dall’inizio, prima a livello di direttiva comunitaria, quindi con una intensa collaborazione con la Procura della Repubblica di Roma, capofila di tutti gli altri uffici giudiziari coinvolti nell’attività di applicazione dell’art. 96 del Codice delle comunicazioni (“Prestazioni obbligatorie per fini di giustizia”) il problema della data rentention.

Il tema è ovviamente molto sentito dagli operatori del settore, che devono confrontarsi con un complesso quadro regolatorio e con la necessità di adeguare la propria organizzazione interna alle normative vigenti.

“L’Osservatorio Sicurezza di ANFoV” commenta Marco Braccioli, Responsabile dell’Osservatorio, “ è nato per portare chiarezza e diffondere conoscenza tra gli associati in merito a due ordini di problemi”. “La data retention implica infatti la gestione di tematiche complesse sia dal punto di vista meramente tecnico, sia, anche, dal punto di vista del rapporto e dell’handover dei dati all’Autorità giudiziaria. Problematiche che non potranno far altro che accentuarsi in presenza di una rete di accesso di nuova generazione (NGN), basata su protocollo IP”.

Il terzo problema è invece correlato ad un aspetto puramente economico: la conservazione dei dati, soprattutto per lunghi periodi di tempo (in Italia sono previsti 24 mesi – v. pacchetto “Pisanu”), comporta infatti oneri notevoli dal punto di vista dei costi, i quali sono scarsamente compartecipati dallo Stato. Il “business” della data retention pesa infatti quasi totalmente sulle casse degli operatori, e le previsioni sui costi sono in continua ascesa.

Nonostante una razionalizzazione del sistema delle intercettazioni telefoniche sia prevista nella prossima Finanziaria, rimangono in sospeso numerose questioni, che non faranno altro che acuirsi visto l’enorme dispendio economico che sarà reso necessario dalla futura rete con architettura IP. Sono possibili alcune soluzioni alternative per la gestione del traffico con il Centro di intercettazione creato dalla recente regolamentazione, ma, per il momento, non si è in grado di conoscere quale soluzione sarà adottata.

Consapevole delle numerose criticità, specialmente tecniche, derivanti dall’implementazione dei network d’accesso basati su architettura IP è Paolo De Lutiis, Responsabile Security Innovation in Telecom Italia e impegnato sui temi della sicurezza NGN all’interno di ETSI (European Telecommunications Standards Institute).

“Il lavoro del gruppo di lavoro sulla sicurezza NGN creato da ETSI” spiega De Lutiis, “si è concentrato prevalentemente sulla definizione di un’architettura standard capace di garantire un adeguato livello di sicurezza, oltre che sull’analisi delle minacce e dei rischi cui sono sottoposte le reti di nuova generazione e le potenziali contromisure per arginarli”.

Problemi tecnici che sono stati analizzati in modo altrettanto approfondito anche dal Comitato ETSI dedicato alla Lawful Interception: “Il nostro lavoro si è concentrato prevalentemente sulla questione dell’handover delle informazioni”, sottolinea Dionisio Zumerle, segretario del Comitato ETSI sulle intercettazioni nella sua relazione “Lawful Interception and retained data“, “ovvero delle modalità con cui i dati raccolti dagli operatori debbano essere inviati alle autorità giudiziarie competenti”. “Lo standard TS 101 671, definisce un’interfaccia standard che consente di gestire il flusso di informazioni da e verso l’autorità giudiziaria, ed è applicabile a qualunque network di telecomunicazioni”.
“L’importanza di definire uno standard”, continua Zumerle, “sta nella possibilità di generare punti di riferimento architetturali per tutti gli operatori, oltre che di favorire l’interoperabilità a livello internazionale, vitale soprattutto in questi ultimi tempi di globalizzazione anche di fenomeni eversivi”.
Nel corso della presentazione introduttiva (“What is ETSI?”), è stato dato annuncio del workshop sulla sicurezza che si terrà nella sede dell’ETSI di Sophia Antipolis il 15 e 16 gennaio 2008. La partecipazione degli associati ANFoV è gratuita.

Da ultimo va ricordata la presentazione di Daniel Molco (IMQ, Istituto Italiano del Marchio di Qualità) che ha illustrato i servizi offerti da IMQ per l’adempimento delle prescrizioni del “Decreto Gentiloni” (le implicazioni del DM 8.1.07 per gli ISP e la proposta di servizio CSQ) per i fornitori di connettività ad Internet, fondamentali in materia di sicurezza e certificazione.

“La ricerca di standard e punti di riferimento è un’esigenza forte e condivisa da tutti gli operatori di settore in Italia” ha sintetizzato, nella proprie conclusioni, Achille De Tommaso, presidente di ANFoV. “Nonostante ciò, sussiste ancora molta confusione in Europa e nel nostro Paese, vista la mancanza di un ente deputato ufficialmente ad effettuare le certificazioni del caso”.

Obbiettivo di ANFoV nei prossimi mesi sarà quello di raccogliere osservazioni e suggerimenti degli Associati per proseguire il rapporto collaborativo con le autorità coinvolte sul tema della sicurezza, confermandosi interlocutore privilegiato degli organismi statali sul tema delle TLC. Questa tematica, centrale nell’Osservatorio ANFoV sulla Sicurezza, sarà anche correlata ai contributi degli altri Osservatori, quali ad esempio quello sulla NGN/NGAN, con l’intento di proporre ANFoV sempre più come interlocutore e punto di riferimento centrale per dirimere e discutere in modo neutrale e propositivo le tematiche tecnico-normative sottese ai nuovi ambiti applicativi che via via l’evoluzione tecnologica delle telecomunicazioni e della convergenza rende attuale.

In tale prospettiva saranno intensificati da un lato i rapporti con la Procura della Repubblica di Roma e, dall’altro, con l’ETSI che così efficacemente ha tentato di risolvere universalmente il problema degli standard di sicurezza legati all’handover dei dati e dei tracciati IP per l’osservanza dell’art. 96 del Codice delle comunicazioni.

I lavori vengono aggiornati all’inizio della prossima primavera.

documenti consultabili:

Temi sulla sicurezza NGN
presentazione di Paolo De Lutiis

Lawful Interception and retained data
prima presentazione di Dionisio Zumerle

What is ETSI?
seconda presentazione di Dionisio Zumerle