Il Codice delle comunicazioni elettroniche, approvato con il Decreto legislativo 1° agosto 2003, n. 259, rappresenta il testo normativo di riferimento per la disciplina delle reti e dei servizi di comunicazione elettronica in Italia. Al suo interno, l’art. 57 disciplina un aspetto cruciale per il corretto funzionamento della giustizia penale e per la tutela della sicurezza pubblica: le prestazioni obbligatorie che i fornitori di reti e servizi di comunicazione elettronica devono assicurare all’Autorità giudiziaria e agli organi di pubblica sicurezza.

Tali obblighi rivestono un ruolo centrale nella cooperazione tra settore privato e pubblica autorità, in particolare nelle attività di intercettazione, accesso ai dati e supporto tecnico alle indagini.

L’art. 57 stabilisce che i fornitori di reti pubbliche di comunicazioni e di servizi di comunicazione elettronica accessibili al pubblico devono garantire, a proprie spese, la disponibilità di sistemi e dispositivi che permettano:

• L’effettuazione di intercettazioni legali di comunicazioni;
• L’accesso ai dati di traffico e di localizzazione su richiesta delle autorità competenti;
• La disponibilità di assistenza tecnica e operativa per l’attuazione delle misure investigative previste dalla legge.

L’obbligo riguarda non solo l’esecuzione di tali prestazioni, ma anche la predisposizione preventiva delle infrastrutture tecnologiche necessarie a garantirne l’efficacia e la tempestività. Il decreto prevede inoltre che tali operatori debbano adottare specifici protocolli tecnici in linea con gli standard internazionali e secondo le indicazioni fornite dal Ministero dell’interno e dal Ministero della giustizia.

Il fondamento delle prestazioni obbligatorie risiede nell’esigenza di garantire l’effettività delle attività investigative e giurisdizionali, in un contesto normativo che deve però rispettare i principi costituzionali e sovranazionali, in particolare:

• Art. 15 della Costituzione, che tutela la libertà e la segretezza delle comunicazioni;
• Art. 13 della Costituzione, sulla libertà personale, e Art. 24, sul diritto alla difesa;
• Regolamento UE 2016/679 (GDPR) e Carta dei diritti fondamentali dell’UE, in tema di trattamento dei dati personali.

Ne consegue che qualsiasi prestazione obbligatoria deve essere richiesta e svolta nel rispetto delle garanzie procedurali previste dalla legge, con autorizzazione giudiziaria, e solo nei casi tassativamente previsti.

• Gli operatori di telecomunicazioni sono tenuti a sostenere integralmente i costi relativi:
• Alla realizzazione delle infrastrutture necessarie per le intercettazioni e l’accesso ai dati;
• Alla manutenzione e aggiornamento dei sistemi tecnologici;
• Alla formazione del personale incaricato di interagire con le autorità.

Nel corso degli anni, l’art. 57 è stato oggetto di modifiche e aggiornamenti per adeguarsi all’evoluzione tecnologica e normativa, in particolare con riferimento a:

• Le comunicazioni via internet (VoIP, e-mail, servizi OTT);
• La crittografia end-to-end, che rende in molti casi inaccessibili i contenuti delle comunicazioni anche agli stessi fornitori;
• L’uso di piattaforme straniere che non hanno una presenza giuridica in Italia e che spesso non rispondono alle richieste delle autorità.

La difficoltà di applicazione pratica degli obblighi, specie in presenza di strumenti di comunicazione cifrata e decentralizzata, ha sollevato l’esigenza di una revisione più ampia della normativa, che tenga conto della mutata realtà digitale e della necessità di cooperazione internazionale.

L’art. 57 del Codice delle comunicazioni elettroniche si colloca al crocevia tra esigenze investigative e tutela dei diritti fondamentali. Le prestazioni obbligatorie rappresentano uno strumento imprescindibile per il funzionamento della giustizia in un contesto digitale, ma pongono sfide complesse sia sotto il profilo tecnologico che giuridico.

L’equilibrio tra efficacia delle indagini, protezione della privacy e sostenibilità economica degli obblighi per gli operatori resta un terreno in continua evoluzione, che richiede attenzione costante da parte del legislatore, delle autorità e dei fornitori di servizi.

Obiettivo di questo articolo è fornire una panoramica normativa inerente alle intercettazioni telematiche “passive” e la dimostrazione come non sia più possibile ricorre alla vecchia pratica di utilizzare la Sonda fornita dall’autorità giudiziaria, qualora l’operatore non abbia ottemperato all’allestimento di una architettura interna preposta per farlo.

1. Le fonti normative oggi vigenti

L’intercettazione telematica consiste nell’intercettare quello che viene scambiato tramite internet e sistemi informatici e può essere effettuata mediante l’acquisizione di pacchetti di dati in transito su una rete, trasmessi o ricevuti da un utente o da gruppi di utenti.

Le tecniche di base consentono di acquisire i pacchetti di dati mentre questi sono in transito dal dispositivo emittente a quello ricevente (c.d. telematica passiva), oppure mediante dei spy software installati in maniera occulta sui device (c.d. telematica attiva). I dati d’interesse vengono successivamente trasmessi al punto di ricezione presso la Procura della Repubblica ed in uso alla Polizia Giudiziaria.

Le principali fonti normative inerenti all’intercettazione telematica possono essere individuare nell’art. 266 bis c.p.p. e nel Decreto Ministeriale del 28 dicembre 2017 (c.d. Listino Ministeriale delle Prestazioni Obbligatorie).

1. Articolo 266 bis Codice di procedura penale (Intercettazioni di comunicazioni informatiche o telematiche)

Nei procedimenti relativi ai reati indicati nell’articolo 266, nonché a quelli commessi mediante l’impiego di tecnologie informatiche o telematiche, è consentita l’intercettazione del flusso di comunicazioni relativo a sistemi informatici o telematici ovvero intercorrente tra più sistemi.

2. Il DM del 28 dicembre 2017 “Disposizione di riordino delle spese per le prestazioni obbligatorie di cui all’art. 96 del d.lgs. n. 259 del 2003” Pubblicato su G.U. n. 33 del 09/02/2018.

Il DM del 2017 ha previsto, nell’Allegato (c.d. listino delle Prestazioni Obbligatorie), la prestazione di “Intercettazioni di tipo informatico o telematico”. Questa obbligatorietà non era contemplata nel precedente listino ministeriale del 2001, nonostante fosse già disciplinata dal citato art. 266 bis c.p.p. introdotto nel 1993. Di rilievo anche l’art. 4 comma 1 lett. b, del DM, nella parte che stabilisce che le intercettazioni devono essere svolte “… in conformità ai modelli ed ai protocolli definiti dall’ETSI”.

3. Il DM del 6 ottobre 2022, recante “disposizioni per l’individuazione delle prestazioni funzionali alle operazioni di intercettazione e per la determinazione delle relative tariffe, ai sensi dell’articolo 1, commi 89 e 90, della legge 23 giugno 2017, n. 103.”, pubblicato nel Bollettino ufficiale del Ministero della giustizia n. 23 del 15 dicembre 2022.

Per “prestazioni funzionali” si intende il complesso degli impianti, sistemi, operazioni e servizi tecnici inservienti alla fruizione dei contenuti e dei dati associati, captati e veicolati dagli operatori di comunicazioni elettroniche e/o dagli Internet Service Provider in esecuzione delle prestazioni obbligatorie di cui al Decreto Ministeriale 28 dicembre 2017, contenente disposizioni di riordino delle spese per le prestazioni di cui all’articolo 96 del decreto legislativo n. 259 del 2003, in particolare:

• per la ricezione, registrazione, conservazione e trascrizione delle operazioni di intercettazione di conversazioni, di comunicazioni o di flussi informatici ed elaborazione della documentazione storica del traffico e dei dati associati,
• per la ricezione, visualizzazione, registrazione, conservazione e fruizione dei contenuti, dei dati, dei servizi e applicazioni web veicolati dagli Internet Service Provider,
• per la vigilanza e manutenzione finalizzate al corretto funzionamento degli impianti e sistemi installati;

All’interno del suddetto DM viene definito anche il “punto di registrazione” o “punto di ascolto” (come comunemente chiamato): punto di rete allocato presso la sala CIT della Procura della Repubblica, dove perviene il patrimonio informativo e probatorio acquisito (fonie, immagini, dati) per essere registrato, archiviato e fruito dai soggetti legittimati, anche con modalità di riascolto.

2. Le intercettazioni telematiche passive prima dei listini ministeriali

In passato l’Operatore di Telecomunicazioni che non era predisposto con propri mezzi all’intercettazione telematica, a seguito di richiesta da parte dell’autorità giudiziaria, sviluppava generalmente uno studio di fattibilità, finalizzato ad individuare le modalità di erogazione del servizio, che successivamente era sottoposto all’approvazione dell’autorità richiedente. L’Operatore informava, inoltre, l’autorità che la stessa avrebbe dovuto assumersi l’onere della fornitura e dei relativi costi, principalmente connessi alla “sonda” utilizzata nell’intercettazione telematica passiva.

Una volta approvato l’iter amministrativo, veniva collocata una sonda ad una porta (Mirror) che riceveva in copia tutto il traffico scambiato (in entrambe le direzioni) dall’apparato di accesso che gestiva la connessione finale dell’utente. Il flusso di dati era poi trasferito, tramite linea dedicata, al punto di registrazione, dove veniva memorizzato e decodificato. Qui l’intercettazione dati veniva visualizzata in formato intellegibile, laddove possibile, dando così la possibilità alla Polizia Giudiziaria delegata di leggere in chiaro, ad esempio, i messaggi di posta elettronica inviati e ricevuti, le pagine web visitate, mail, le chat, etc.

3. Gli effetti derivanti dall’introduzione dei listini ministeriali

Nel nuovo Listino Ministeriale delle Prestazioni Obbligatorie del 2017, è stata introdotta la prestazione relativa alle “Intercettazioni di tipo informatico o telematico”, attribuendo all’Operatore di Telecomunicazioni la responsabilità dell’intero ciclo esecutivo della prestazione.

Infatti l’art. 4 (Modalità esecutive delle prestazioni obbligatorie) del Decreto Ministeriale del 2017, prevede

• al punto 1 lett. a) “… l’immediata attivazione delle operazioni di intercettazione … (n.d.r. intercettazione richiamata in senso generico e quindi si intende anche la telematica) … indipendentemente dalla tecnologia di rete impiegata o dal tipo di rete di accesso…”
• al punto b) “la tempestiva trasmissione e consegna, … dei contenuti intercettati e dei dati correlati alle operazioni di intercettazione …, senza l’impiego di sistemi informatici interposti di trattazione degli stessi (n.d.r. dati)…”
• al punto c) “la tempestiva trasmissione e consegna ai punti di registrazione di ogni altro dato o evento riferibile all’identità di rete monitorata… in conformità ai modelli ed ai protocolli definiti dall’ETSI”.

Nel nuovo listino ministeriale delle Prestazioni funzionali, all’art. 2 “Individuazione delle prestazioni funzionali e determinazione delle tariffe”, viene riportato che le prestazioni funzionali alle operazioni di intercettazione sono specificamente individuate e descritte, unitamente alle relative tariffe, nel listino allegato al DM (c.d. listino delle Prestazioni Funzionali”, nel quale non è più presente il servizio di noleggio della sonda da installare presso i locali dell’operatore Tlc.

Dal combinato disposto dei due listini ministeriali, così come anche richiamato all’art. 57 del Codice delle Comunicazioni Elettroniche, emerge che l’intercettazione telematica passiva debba essere attivata a completa cura e responsabilità dell’Operatore di TLC.

Oltre a costituire oggi un obbligo di legge, la soluzione centralizzata e conforme agli standard ETSI (come SecFull® Target) offre la possibilità di essere adeguatamente scalabile, permettendo di espandersi, in termini di hardware, in base all’aumento del volume di traffico intercettato. Tale approccio migliora anche l’efficienza del processo. Inoltre, contribuisce a mantenere i costi del servizio di intercettazione su valori minimi.

Oltre a questo è importante rilevare che l’uso di piattaforme centralizzate costituisce per l’operatore una riduzione dei rischi associati a soluzioni estemporanee e non debitamente collaudate oltre che la garanzia di una immediata risposta alle richieste di intercettazione, garantendo al contempo maggiore affidabilità del servizio.

In conclusione, con l’introduzione dei listini ministeriali del 2017 e del 2020, l’utilizzo di sonde, fornite dall’autorità per l’attivazione dell’intercettazione telematica passiva, risulterebbe non più fattibile operativamente perché non è più un servizio previsto per le società terze fornitrici dell’autorità, oltre che in contrasto con le disposizioni dei listini stessi. Qualora l’Operatore non disponesse di un sistema centralizzato si configurerebbe anche la violazione dell’art. 57 del Codice delle Comunicazioni Elettroniche, con conseguente applicazione delle previsioni dell’art. 30 comma 16 del Codice stesso, ovvero una sanzione amministrativa pecuniaria che può essere compresa tra 170 mila euro e 2 milioni e mezzo di euro. Se la violazione degli obblighi è di particolare gravità o reiterata per più di due volte in un quinquennio, il Ministero può disporre in aggiunta la sospensione dell’attività per un periodo non superiore a due mesi o la revoca dell’autorizzazione generale.