Il decaduto utilizzo della “sonda” fornita dall’autorità per le intercettazioni telematiche passive

di Renzo Di Pietra

Obiettivo di questo articolo è fornire una panoramica normativa inerente alle intercettazioni telematiche “passive” e la dimostrazione come non sia più possibile ricorre alla vecchia pratica di utilizzare la Sonda fornita dall’autorità giudiziaria, qualora l’operatore non abbia ottemperato all’allestimento di una architettura interna preposta per farlo.

 

  1. Le fonti normative oggi vigenti

L’intercettazione telematica consiste nell’intercettare quello che viene scambiato tramite internet e sistemi informatici e può essere effettuata mediante l’acquisizione di pacchetti di dati in transito su una rete, trasmessi o ricevuti da un utente o da gruppi di utenti.

Le tecniche di base consentono di acquisire i pacchetti di dati mentre questi sono in transito dal dispositivo emittente a quello ricevente (c.d. telematica passiva), oppure mediante dei spy software installati in maniera occulta sui device (c.d. telematica attiva). I dati d’interesse vengono successivamente trasmessi al punto di ricezione presso la Procura della Repubblica ed in uso alla Polizia Giudiziaria.

Le principali fonti normative inerenti all’intercettazione telematica possono essere individuare nell’art. 266 bis c.p.p. e nel Decreto Ministeriale del 28 dicembre 2017 (c.d. Listino Ministeriale delle Prestazioni Obbligatorie).

1. Articolo 266 bis Codice di procedura penale (Intercettazioni di comunicazioni informatiche o telematiche)

Nei procedimenti relativi ai reati indicati nell’articolo 266, nonché a quelli commessi mediante l’impiego di tecnologie informatiche o telematiche, è consentita l’intercettazione del flusso di comunicazioni relativo a sistemi informatici o telematici ovvero intercorrente tra più sistemi.

2. Il DM del 28 dicembre 2017 “Disposizione di riordino delle spese per le prestazioni obbligatorie di cui all’art. 96 del d.lgs. n. 259 del 2003” Pubblicato su G.U. n. 33 del 09/02/2018.

Il DM del 2017 ha previsto, nell’Allegato (c.d. listino delle Prestazioni Obbligatorie), la prestazione di “Intercettazioni di tipo informatico o telematico”. Questa obbligatorietà non era contemplata nel precedente listino ministeriale del 2001, nonostante fosse già disciplinata dal citato art. 266 bis c.p.p. introdotto nel 1993. Di rilievo anche l’art. 4 comma 1 lett. b, del DM, nella parte che stabilisce che le intercettazioni devono essere svolte “… in conformità ai modelli ed ai protocolli definiti dall’ETSI”.

3. Il DM del 6 ottobre 2022, recante “disposizioni per l’individuazione delle prestazioni funzionali alle operazioni di intercettazione e per la determinazione delle relative tariffe, ai sensi dell’articolo 1, commi 89 e 90, della legge 23 giugno 2017, n. 103.”, pubblicato nel Bollettino ufficiale del Ministero della giustizia n. 23 del 15 dicembre 2022.

Per “prestazioni funzionali” si intende il complesso degli impianti, sistemi, operazioni e servizi tecnici inservienti alla fruizione dei contenuti e dei dati associati, captati e veicolati dagli operatori di comunicazioni elettroniche e/o dagli Internet Service Provider in esecuzione delle prestazioni obbligatorie di cui al Decreto Ministeriale 28 dicembre 2017, contenente disposizioni di riordino delle spese per le prestazioni di cui all’articolo 96 del decreto legislativo n. 259 del 2003, in particolare:

  • per la ricezione, registrazione, conservazione e trascrizione delle operazioni di intercettazione di conversazioni, di comunicazioni o di flussi informatici ed elaborazione della documentazione storica del traffico e dei dati associati,
  • per la ricezione, visualizzazione, registrazione, conservazione e fruizione dei contenuti, dei dati, dei servizi e applicazioni web veicolati dagli Internet Service Provider,
  • per la vigilanza e manutenzione finalizzate al corretto funzionamento degli impianti e sistemi installati;

All’interno del suddetto DM viene definito anche il “punto di registrazione” o “punto di ascolto” (come comunemente chiamato): punto di rete allocato presso la sala CIT della Procura della Repubblica, dove perviene il patrimonio informativo e probatorio acquisito (fonie, immagini, dati) per essere registrato, archiviato e fruito dai soggetti legittimati, anche con modalità di riascolto.

 

  1. Le intercettazioni telematiche passive prima dei listini ministeriali

In passato l’Operatore di Telecomunicazioni che non era predisposto con propri mezzi all’intercettazione telematica, a seguito di richiesta da parte dell’autorità giudiziaria, sviluppava generalmente uno studio di fattibilità, finalizzato ad individuare le modalità di erogazione del servizio, che successivamente era sottoposto all’approvazione dell’autorità richiedente. L’Operatore informava, inoltre, l’autorità che la stessa avrebbe dovuto assumersi l’onere della fornitura e dei relativi costi, principalmente connessi alla “sonda” utilizzata nell’intercettazione telematica passiva.

Una volta approvato l’iter amministrativo, veniva collocata una sonda ad una porta (Mirror) che riceveva in copia tutto il traffico scambiato (in entrambe le direzioni) dall’apparato di accesso che gestiva la connessione finale dell’utente. Il flusso di dati era poi trasferito, tramite linea dedicata, al punto di registrazione, dove veniva memorizzato e decodificato. Qui l’intercettazione dati veniva visualizzata in formato intellegibile, laddove possibile, dando così la possibilità alla Polizia Giudiziaria delegata di leggere in chiaro, ad esempio, i messaggi di posta elettronica inviati e ricevuti, le pagine web visitate, mail, le chat, etc.

 

  1. Gli effetti derivanti dall’introduzione dei listini ministeriali

Nel nuovo Listino Ministeriale delle Prestazioni Obbligatorie del 2017, è stata introdotta la prestazione relativa alle “Intercettazioni di tipo informatico o telematico”, attribuendo all’Operatore di Telecomunicazioni la responsabilità dell’intero ciclo esecutivo della prestazione.

Infatti l’art. 4 (Modalità esecutive delle prestazioni obbligatorie) del Decreto Ministeriale del 2017, prevede

  • al punto 1 lett. a) “… l’immediata attivazione delle operazioni di intercettazione … (n.d.r. intercettazione richiamata in senso generico e quindi si intende anche la telematica) … indipendentemente dalla tecnologia di rete impiegata o dal tipo di rete di accesso…”
  • al punto b) “la tempestiva trasmissione e consegna, … dei contenuti intercettati e dei dati correlati alle operazioni di intercettazione …, senza l’impiego di sistemi informatici interposti di trattazione degli stessi (n.d.r. dati)…”
  • al punto c) “la tempestiva trasmissione e consegna ai punti di registrazione di ogni altro dato o evento riferibile all’identità di rete monitorata… in conformità ai modelli ed ai protocolli definiti dall’ETSI”.

Nel nuovo listino ministeriale delle Prestazioni funzionali, all’art. 2 “Individuazione delle prestazioni funzionali e determinazione delle tariffe”, viene riportato che le prestazioni funzionali alle operazioni di intercettazione sono specificamente individuate e descritte, unitamente alle relative tariffe, nel listino allegato al DM (c.d. listino delle Prestazioni Funzionali”, nel quale non è più presente il servizio di noleggio della sonda da installare presso i locali dell’operatore Tlc.

Dal combinato disposto dei due listini ministeriali, così come anche richiamato all’art. 57 del Codice delle Comunicazioni Elettroniche, emerge che l’intercettazione telematica passiva debba essere attivata a completa cura e responsabilità dell’Operatore di TLC.

Oltre a costituire oggi un obbligo di legge, la soluzione centralizzata e conforme agli standard ETSI (come SecFull® Target) offre la possibilità di essere adeguatamente scalabile, permettendo di espandersi, in termini di hardware, in base all’aumento del volume di traffico intercettato. Tale approccio migliora anche l’efficienza del processo. Inoltre, contribuisce a mantenere i costi del servizio di intercettazione su valori minimi.

Oltre a questo è importante rilevare che l’uso di piattaforme centralizzate costituisce per l’operatore una riduzione dei rischi associati a soluzioni estemporanee e non debitamente collaudate oltre che la garanzia di una immediata risposta alle richieste di intercettazione, garantendo al contempo maggiore affidabilità del servizio.

In conclusione, con l’introduzione dei listini ministeriali del 2017 e del 2020, l’utilizzo di sonde, fornite dall’autorità per l’attivazione dell’intercettazione telematica passiva, risulterebbe non più fattibile operativamente perché non è più un servizio previsto per le società terze fornitrici dell’autorità, oltre che in contrasto con le disposizioni dei listini stessi. Qualora l’Operatore non disponesse di un sistema centralizzato si configurerebbe anche la violazione dell’art. 57 del Codice delle Comunicazioni Elettroniche, con conseguente applicazione delle previsioni dell’art. 30 comma 16 del Codice stesso, ovvero una sanzione amministrativa pecuniaria che può essere compresa tra 170 mila euro e 2 milioni e mezzo di euro. Se la violazione degli obblighi è di particolare gravità o reiterata per più di due volte in un quinquennio, il Ministero può disporre in aggiunta la sospensione dell’attività per un periodo non superiore a due mesi o la revoca dell’autorizzazione generale.

Essential Characteristics of a Robust Lawful Interception System

The communication spans various digital platforms so the development and implementation of effective lawful interception systems are paramount. Law enforcement agencies and security organizations rely on these systems to monitor and intercept communications legally. This article explores the key characteristics that a lawful interception system must possess to ensure efficiency, compliance with regulations, and the protection of individual rights.

1. Legal Compliance
Adherence to local and international laws is the foundation of any lawful interception system. The system must operate within the boundaries defined by legal frameworks, ensuring that interception activities are authorized, justified, and meet the criteria stipulated by relevant statutes.

2. Transparency and Accountability
A transparent and accountable system is crucial for maintaining public trust. There should be clear processes and procedures governing the use of the interception system, with strict oversight mechanisms in place to prevent abuse. Accountability ensures that those authorized to use the system do so responsibly and in accordance with the law.

3. Data Integrity and Security
Safeguarding intercepted data is of utmost importance. A lawful interception system must employ robust encryption and security measures to protect the integrity of the collected information. Unauthorized access to intercepted data poses not only a privacy risk but also a threat to the overall effectiveness of the system.

4. Interoperability
The ability to seamlessly integrate with various telecommunication networks and technologies is a key characteristic of an effective interception system. Interoperability ensures that the system can adapt to the ever-evolving landscape of communication technologies, enabling law enforcement to stay ahead of potential threats.

5. Timeliness and Real-Time Capabilities
The nature of certain crimes requires swift action. A lawful interception system should possess real-time capabilities to allow authorities to respond promptly to emerging threats. Timely access to relevant information is critical for preventing and investigating criminal activities.

6. Court-Admissible Evidence
The information gathered through lawful interception may be used as evidence in legal proceedings. Therefore, the system must be designed to collect data in a manner that ensures its admissibility in court. This includes maintaining a detailed chain of custody, ensuring the authenticity of the intercepted data, and adhering to legal standards for evidence.

7. Training and Compliance Monitoring
Personnel responsible for operating the lawful interception system should undergo thorough training to understand legal and ethical considerations. Regular compliance monitoring ensures that the system is used in accordance with established protocols and legal requirements.

The characteristics outlined above are essential for a lawful interception system to fulfill its intended purpose while respecting the rule of law and protecting individual privacy. As technology advances and communication methods evolve, continuous refinement of these characteristics is necessary to ensure that lawful interception systems remain effective, accountable, and in harmony with the principles of justice and civil liberties.

All these Essential Characteristics are in SECFULL TARGET.

Exploring the World of Lawful Interception in Telecommunications

In an era dominated by technological advancements and rapid communication, the lawful interception of telecommunications plays a crucial role in maintaining public safety and national security. As societies become increasingly connected, the need for effective measures to monitor and intercept communication within legal boundaries becomes imperative. This article delves into the concept of lawful interception in telecommunications, examining its significance, methods, and the delicate balance it strikes between individual privacy and collective security.

Understanding Lawful Interception

Lawful interception refers to the legally authorized monitoring and interception of telecommunications, including telephone calls, emails, and other forms of digital communication. Governments, law enforcement agencies, and intelligence organizations utilize lawful interception as a tool to combat various forms of criminal activities, ranging from terrorism to organized crime. The primary objective is to gather information that can aid in preventing or investigating illegal activities while adhering to established legal frameworks.

Legal Frameworks and Oversight

One of the critical aspects of lawful interception is the existence of well-defined legal frameworks that govern the process. Different countries have distinct laws and regulations outlining the circumstances under which interception is permitted, the types of information that can be collected, and the oversight mechanisms in place to prevent abuse. Striking the right balance between protecting individual privacy rights and ensuring national security remains a constant challenge for lawmakers.

Methods of Lawful Interception

Additionally lawful interception employs various methods to monitor and collect communication data. Traditional telephone wiretapping has evolved into sophisticated technologies capable of intercepting digital communications, such as VoIP (Voice over Internet Protocol) calls and instant messaging. Telecommunication service providers play a crucial role in facilitating lawful interception, and they are often required to implement the necessary infrastructure to enable authorized agencies to access relevant data.

Challenges and Concerns

While lawful interception is essential for maintaining public safety, it also raises significant concerns related to privacy and civil liberties. Striking the right balance between the need for surveillance and protecting individual rights requires careful consideration. Governments and organizations must implement robust oversight mechanisms, transparent legal frameworks, and stringent accountability measures to mitigate the risk of misuse.

Global Cooperation and Standards

Given the global nature of modern telecommunications, there is an increasing need for international cooperation and standardized practices in lawful interception. Interoperability between different countries’ systems and adherence to common standards can enhance the effectiveness of lawful interception efforts while ensuring that human rights and privacy are respected on a global scale.

Conclusion

Lawful interception of telecommunications is a complex and multifaceted practice that seeks to reconcile the need for security with respect for individual privacy. As technology continues to advance, the legal and ethical considerations surrounding lawful interception will evolve. Striking the right balance between safeguarding society and protecting individual rights remains a dynamic challenge that requires ongoing dialogue, collaboration, and a commitment to upholding the principles of justice and accountability.

 

I 5 punti di forza di Secfull Target che la rendono unica

A grande richiesta pubblichiamo i 5 punti di forza di Secfull Target che la rendono unica:

1) Modulare
SecFull Target è una soluzione modulare che può adattarsi alle diverse esigenze dell’Operatore di telecomunicazioni, prevedendo la fornitura di tutti i suoi singoli moduli funzionali e/o fisici fino alla fornitura anche del solo Work Flow Management delle richieste delle Autorità che automatizza il più possibile tutte le previste attività operative ed archivia a norma di legge le richieste.

2) Economica
SecFull Target riesce a garantire i costi più bassi del mercato grazie a precise e consapevoli scelte lavorative che assicurano i medesimi livelli qualitativi e di assistenza che il mercato del settore richiede.

3) Consulenza strategica, normativa e di processo
Nel costo di SecFull Target è compresa forse la caratteristica più apprezzata dai Clienti ovvero un supporto costante e continuativo per analizzare tutte le specifiche esigenze interne ed esterne del Cliente, analizzare gli impatti della nuova norma, indirizzare sulla migliore soluzione, facilitare il rapporto con le Autorità. SecFull Target nasce dall’esperienza ultraventennale a supporto di Operatori di telecomunicazioni italiani ed esteri. Quando l’attività di consulenza doveva essere poi realizzata nella maggior parte delle volte si arrivava ad un compromesso tra requisito ed offerta disponibile in quel momento sul mercato, con l’effetto di una maggiorazione dei costi ed una implementazione non propriamente corrispondente.

4) Adeguamenti gratuiti ed automatici se imposti dall’evoluzione della norma
Un’altra caratteristica molto apprezzata dai nostri Clienti è rappresentata dal fatto che, qualora la norma cambi, SecFull Target sarà adeguata “automaticamente” cioè senza che il Cliente debba intercettare questa esigenza tramite i propri Uffici legali, la declini tecnicamente ed inviti il proprio fornitore a farlo nel rispetto dei tempi imposta dalla legge. Tutto questo con SecFull Target è ormai preistoria e le attività di adeguamento sono ricomprese nel costo, in funzione del tipo di contratto, limitatamente al perimetro di competenza dell’applicazione.

5) Condivisione gratuita delle modifiche richieste da altri Clienti
SecFull Target va oltre la diffusa attività di condivisione delle patch dell’applicazione tra i Clienti che la usano. SecFull Target può essere modificato per specifiche esigenze di un operatore; nel caso questa accada la nuova funzionalità può essere offerta gratuitamente agli altri Clienti limitatamente al perimetro di competenza dell’applicazione.

 

Rimane a parte l’ultima caratteristica rappresentata dal fatto che SecFull Target appartiene ad una società interamente italiana, non controllata o posseduta da altre aziende non italiane, con il team di sviluppo e di consulenza tutto italiano, non fornitrici di analoghi apparati verso le Procure. I nostri Clienti confermano che questa caratteristica dovrebbe essere implicitamente soddisfatta per evitare evidenti conflitti di interesse e per la garanzia del rispetto dei principi che appartengono al concetto di sicurezza nazionale.

Secfull®

NEWS – Mapping CALEA to ETSI information

SECFULL TARGET

SecFull Target ha completato il mapping tra le informazioni previste da CALEA per lo standard americano di lawful interception ed il rispettivo standard ETSI valido in europa.

L’attività ha permesso ad una primaria azienda operante in Italia e all’estero di sfruttare quanto già realizzato negli USA in termini di lawful interception, facendo risparmiare così tempo e denaro.

L’attività è stata condotta in sinergia tra gli esperti tecnici e quelli mormativi-giuridici di LEX ET ARS, che mostra come SECFULL sia il prodotto più completo presente in termini di supporto al Cliente.

NEWS – WiFi Lawful Interception

SECFULL TARGET

SecFull Target ha completato l’installazione per primaria azienda nazionale operante nel campo WiFi offerto su vettori in mobilità, permettendole di divenire un esempio nazionale per l’erogazione delle prestazioni obbligatorie.

Tramite la piattaforma SECFULL TARGET è possibile:

1) Work Flow Management: gestire le varie e davvero particolari richieste previste dalla normativa;

2) Lawful Interception: effettuare le intercettazioni su base MSISDN e/o MAC ADDRESS;

3) Data Retention: ricevere, memorizzare e catalogare milioni di records al giorno relativi alle fasi di autenticazione sulle reti WiFi. Tramite questa funzionalità è possibile identificare gli utenti che si collegano, anche se la loro navigazione è stata NATtata, e distinguere le diverse tipologie di tabulati di traffico storico che le reti WiFi consentono di fornire.

E’ stata richiesta un’altissima automazione delle fasi di gestione delle richieste, per ridurre l’effort del personale dedicato.

 

Alcuni riferimenti normativi

L’art. 2 del Codice delle Comunicazioni Elettroniche, rubricato “Definizioni” (ex art. 2 e art. 1 Codice 2003), distingue tra due diverse tipologie di utilizzo delle reti:

  • Rete privata o Rete di comunicazione elettronica ad uso privato: è una rete di comunicazione elettronica con la quale sono realizzati servizi di comunicazione elettronica ad uso esclusivo del titolare della relativa autorizzazione. Una rete privata può interconnettersi, commercialmente, con la rete pubblica tramite uno o più punti terminali di rete, purché i servizi di comunicazione elettronica realizzati con la rete privata non siano accessibili al pubblico. Per le reti Wi-Fi private non è prevista alcuna autorizzazione. Le apparecchiature sono comprese in quelle previste di libero uso ai sensi dell’art. 105, comma 1, lettera b del Codice, così come modificato dall’art. 70 del D.Lgs. 70/2012. Per uso privato si intende che la rete deve essere utilizzata soltanto per trasmissioni riguardanti attività di propria pertinenza, con divieto di effettuare traffico per conto terzi (art. 101 del Codice).
  • Rete pubblica di comunicazione elettronica: è una rete di comunicazione elettronica, utilizzata interamente o prevalentemente per fornire servizi di comunicazione elettronica accessibili al pubblico, che supporta il trasferimento di informazioni tra i punti terminali di rete. Il caso tipico è l’installazione di uno o più access point uno spazio aperto al pubblico per fornire, ad esempio, il servizio di accesso alla rete internet. È necessario distinguere i seguenti casi:
  1. Impresa che ha come attività principale la fornitura di servizi di comunicazione elettronica. In questo caso è necessaria l’autorizzazione generale (art. 11 del Codice), da richiedere al MIMIT. A questo scopo si deve presentare una dichiarazione conforme all’allegato A del Decreto Ministeriale 28 maggio 2003 (e successive modifiche). Dato che questo tipo di installazione comporta l’uso pubblico, si deve preventivamente essere autorizzati ad agire come Internet Service Provider (ISP).
  2. Impresa o esercizio commerciale che non ha come attività principale la fornitura di servizi di comunicazione elettronica. Secondo quanto disposto dall’art. 10 del D.L 69/2013 (cosiddetto “Decreto del fare”) convertito con legge 9 agosto 2013, n. 98, in questo caso l’offerta di accesso alla rete internet al pubblico tramite tecnologia Wi-Fi non richiede alcuna autorizzazione e non prevede l’identificazione dell’utilizzatore.
  3. Pubblica amministrazione. L’art. 9 del Codice vieta espressamente a Stato, Regioni ed enti locali di fornire direttamente reti e servizi di comunicazione elettronica ad uso pubblico se non attraverso società controllate o collegate. Per erogare questo tipo di servizi le pubbliche amministrazioni devono quindi rivolgersi a operatori autorizzati ai sensi dell’art. 11 del Codice.

Organizzazione e ruoli del Servizio WiFi

Nel framework operativo per fornire il servizio WI-FI pubblico, possiamo individuare quattro figure distinte:

  • Service Provider: è il fornitore del Servizio ed è rappresentato dall’Ente responsabile della progettazione, della gestione e delle evoluzioni del servizio stesso. Il Service Provider gestisce le policy di accesso per la connessione al servizio e per la generazione delle credenziali, necessarie agli utenti, per poter accedere alla rete.
  • Resource Provider: fornisce l’infrastruttura di rete all’utente che viene identificato secondo le modalità stabilite.
  • Internet Service provider: fornisce la connettività ad Internet all’infrastruttura del Recource Provider.
  • Utente: l’utente finale del servizio.

 

Identificazione degli utenti

Uno dei requisiti atti a garantire anche la sicurezza sulle reti Wi-Fi è che sia prevista l’identificazione dell’utente, in associazione agli opportuni meccanismi di autenticazione, realizzati anche in modo indiretto, attraverso sistemi di verifica della numerazione mobile via OTP.
Per quanto riguarda le imprese l’art. 10 del “Decreto del fare” ha disposto che l’offerta di accesso alla rete internet al pubblico tramite tecnologia Wi-Fi non richiede (obbligatoriamente) l’identificazione personale degli utilizzatori. Inoltre, le imprese che offrono al pubblico l’accesso Wi-Fi in modo secondario rispetto alla loro attività principale, non sono tenute a richiedere l’autorizzazione prevista per le reti e i servizi di comunicazione elettronica né l’autorizzazione del questore per l’apertura di pubblico esercizio o circolo privato in cui sono posti a disposizione terminali utilizzabili per comunicazioni telematiche (prevista dall’articolo 7 del d.l. 144/2005).

L’art. 10 del suddetto Decreto non solleva dall’obbligo di autenticazione e di identificazione indiretta. È utile rilevare che in caso di violazione di sistemi o di dati effettuata grazie all’utilizzo di un accesso Wi-Fi disponibile senza alcuna autenticazione informatica o altra forma di protezione della connessione aerea (wireless), non sarà possibile risalire all’autore della condotta illecita, con conseguenti responsabilità civili e penali.
Per coloro che forniscono accesso ad Internet tramite Wi-Fi ai sensi dell’art. 8-bis del CAD, quindi, si ritiene in ogni caso opportuno dotarsi di sistemi di identificazione (e autenticazione) dell’utente, o consentire l’accesso attraverso dispositivi personali il cui rilascio prevede l’identificazione. Tali sistemi dovranno essere progettati rispettando i requisiti previsti dal GDPR, tra i quali la raccolta e la conservazione solo di dati strettamente necessari e per il tempo necessario e il rilascio delle informative.

 

 

 

NEWS – Fiber 1GB Lawful Interception

SECFULL TARGET

SecFull Target ha completato l’installazione per primaria azienda nazionale operante nel campo dei servizi di accesso in fibra ad 1 GB.

Tramite la piattaforma SECFULL TARGET è possibile:

1) Work Flow Management: gestire le varie richieste previste dalla normativa;

2) Lawful Interception: effettuare le intercettazioni su base identificativo tecnico;

3) Data Retention: ricevere, memorizzare e catalogare milioni di records al giorno relativi alle fasi di autenticazione sulle reti fisse. Tramite questa funzionalità è possibile identificare gli utenti che si collegano, anche se la loro navigazione è stata NATtata, e fornire i tabulati di traffico storico.

E’ stata richiesta un’altissima automazione delle fasi di gestione delle richieste, per ridurre l’effort del personale dedicato.

Alcuni riferimenti normativi

Il comma 8 dell’art. 57 del Codice delle Comunicazioni Elettroniche, prevede che “8. Ai fini dell’erogazione delle prestazioni di cui al comma 6 gli operatori hanno l’obbligo di negoziare tra loro le modalità di interconnessione, allo scopo di garantire la fornitura e l’interoperabilità delle prestazioni stesse. Il Ministero può intervenire se necessario di propria iniziativa ovvero, in mancanza di accordo tra gli operatori, su richiesta di uno di essi.”

Il nuovo modello di erogazione delle prestazioni obbligatorie

Gli esperti di SECFULL hanno proposto alla società Cliente un modello mai utilizzato prima in Italia ma più efficente, per cui il soggetto che eroga nella pratica le prestazioni obbligatorie non è quello a cui spetta l’obbligo in quanto operatore di telecomunicazioni, ma è quello che gestisce la rete e che offre di fatto il servizio in via indiretta all’utente finale. In applicazione del suddetto comma 8, entrambi i soggetti devono possedere autorizzazione generale concessa dal MIMIT. Il modello è stato ampliamente accettato dalle Autorità e consente loro di avere un solo interlocutore anziché N diversi con altrettanti riferimenti da contattare.

Esigenze di Sicurezza Pubblica

L’ Art.75 comma 1 del decreto-legge 17 marzo 2020 n. 18, convertito con modificazioni dalla Legge 24 aprile 2020 n. 27, prevede che

In tema di “Acquisti per lo sviluppo di sistemi informativi per la diffusione del lavoro agile e di servizi in rete per l’accesso di cittadini e imprese” …. “le amministrazioni aggiudicatrici … sono autorizzate, sino al 31 dicembre 2020, ad acquistare beni  e  servizi informatici, preferibilmente basati sul modello cloud SaaS (software as a service) e, soltanto laddove ricorrono esigenze di sicurezza pubblica ai sensi dell’articolo 4, paragrafo 1, del regolamento  (UE) 2018/1807 del Parlamento europeo e del  Consiglio, del 14 novembre 2018, con sistemi di conservazione, processamento e gestione dei dati necessariamente localizzati sul territorio nazionale”.

Il decreto “Mille proroghe” (Art. 1, co. 11, D.L. 31 dicembre 2020, n. 183) ha posticipato la scadenza dell’autorizzazione all’acquisto di beni e servizi informatici al 31 dicembre 2021.
Al momento (2019), SecFull Meeting risulta essere l’unico prodotto in configurazione SaaS che soddisfi il requisito posto dalla Legge nel conservare, processare e gestire in dati in Italia. Tale requisito, grazie alla collaborazione con AWS, può essere rispettato in qualunque altro Stato dove è presente un suo data center.

 

Zoom can access the content of meetings

The Federal Trade Commission announced on November 9 (link) an agreement with Zoom Video Communications, Inc. that will require the company to implement a robust information security program to resolve allegations that the video conferencing provider has implemented a series of deceptive and unfair practices that have undermined the security of its users.

Zoom has accepted the obligation to establish and implement a comprehensive security program (link) a ban on privacy and misrepresentation regarding security, and other detailed and specific measures to protect its user base, which has skyrocketed since 10 million in December 2019 to 300 million in April 2020 during the COVID-19 pandemic.

In its complaint (link), the FTC said that, since at least 2016, Zoom has misled users by claiming to offer “end-to-end 256-bit encryption” to protect user communications, when in fact it provided a lower security level. End-to-end encryption is a method of securing communications so that only the sender and recipient (and no other person, not even the platform provider) can read the content.

In fact, the FTC argues, Zoom has kept cryptographic keys that could allow Zoom to access the content of its clients’ meetings and has secured its Zoom Meetings, in part, with an encryption level lower than promised. Zoom’s misleading claims have given users a false sense of security, according to the FTC’s complaint, particularly for those who have used the company’s platform to discuss sensitive topics such as health and financial information. In numerous blog posts, Zoom specifically advertised its level of encryption as the reason clients and prospects use Zoom’s video conferencing services.

1 2