Il Consiglio dei Ministri ha approvato il 20 marzo 2024, in esame definitivo, lo schema di D.Lgs. (rif. https://www.senato.it/service/PDF/PDFServer/BGT/1402010.pdf) recante le disposizioni correttive al D.Lgs. 207/2021, di attuazione della Direttiva (UE) 2018/1972, che modifica il Codice delle comunicazioni elettroniche (di seguito “Codice“). Lo ha reso noto Palazzo Chigi nella nota diramata post Cdm.
Vediamo gli impatti, diretti ed indiretti, sugli adempimenti previsti dall’art. 57 “Prestazioni Obbligatorie” che prevede che siano obbligatorie le prestazioni effettuate a fronte di richieste di informazioni da parte delle competenti autorità giudiziarie e delle agenzie preposte alla sicurezza nazionale per:
- i soggetti autorizzati all’impianto ed esercizio di reti e servizi di comunicazione elettronica ad uso pubblico,
- gli operatori che erogano i servizi individuati dall’articolo 3 del Decreto Legislativo 30 maggio 2008, n.109,
- gli operatori di transito internazionale di traffico,
- i fornitori di servizi di comunicazione interpersonale indipendente dal numero.
1. Nuove definizioni
Nel Codice vengono inserite le seguenti nuove definizioni afferenti principalmente alle reti WiFi (tra parentesi le nuove lettere):
- (b-bis): access point, cioè un dispositivo di rete che consente l’accesso ad un numero variabile di utenti tra una rete radio LAN e una rete di comunicazione elettronica;
- (cc-bis) Mac Address, vale a dire un codice di 12 caratteri in formato esadecimale conforme alla serie di standard IEEE 802, che identifica in modo univoco un dispositivo da connettere a una rete;
- (uuu-bis) SSID o Service set identifier, cioè il codice che permette di identificare in modo univoco una rete LAN;
E’ stata inoltre aggiunta la seguente nuova definizione:
- (t-bis) identificazione univoca indiretta dell’utente: identificazione univoca dell’utente effettuata acquisendo l’identità tecnica precedentemente validata e anagrafata da altri soggetti pubblici o esercenti un servizio di pubblica utilità
Tale definizione conferma l’interpretazione che LEX ET ARS (LEA) ha sempre dato nell’implementazione del progetto “SECFULL® TARGET” applicato alle reti WiFi, dove l’identificazione può avvenire in modo indiretto tramite la numerazione mobile MSISDN utilizzata per l’invio dell’OTP. Come vederemo più avanti, la nuova definizione è utilizzata anche per il riconoscimento degli utenti mediante sistemi di identità digitale equipollenti ad ogni effetto di legge ai documenti d’identità.
2. Acquisizione dati anagrafici dei clienti
L’Art. 1, comma 37 modifica l’art. 98-undetricies del d.lgs. n. 259 del 2003 prevdendo che i clienti siano identificati prima dell’attivazione, anche di singole componenti, dei servizi, al momento della consegna o messa a disposizione della scheda elettronica (S.I.M.) o della fornitura del profilo nel caso di eSIM digitale. Più precisamente, è stato specificato che tali imprese, nei casi di nuova attivazione e di portabilità del numero o cambio della S.I.M., devono adottare tutte le necessarie misure affinché venga garantita l’acquisizione dei dati anagrafici del titolare del contratto, riportati su un documento di identità, nonché del tipo e del numero, acquisendone copia. Inoltre, le
imprese suddette devono assicurare il corretto trattamento dei dati acquisiti, fatto salvo il caso in cui per l’identificazione del cliente vengano utilizzati sistemi di identità digitale equipollenti ad ogni effetto di legge ai documenti d’identità. Infine, è stato previsto che l’identificazione del titolare del contratto può essere effettuata anche, da remoto o in via indiretta.
Al comma 19 è stata introdotta una nuova ipotesi sanzionatoria nel caso di mancata identificazione degli utenti che richiedono attivazioni di SIM telefoniche. La disposizione di cui alla lettera f) estende l’applicazione delle sanzioni amministrative pecuniarie di cui al comma 19 dell’art.30 del Codice delle Comunicazioni Elettroniche anche all’ipotesi di inosservanza delle disposizioni di cui all’articolo 98-undetricies.
Per approfondimenti:
3. Digital Services Act
E’ stato aggiornato il rinvio normativo all’applicazione dell’articolo 4 del nuovo regolamento (UE) sui servizi digitali n. 2022/2065 (Digital Service Act), relativo in particolare alla responsabilità dei prestatori di servizi intermediari, in luogo del rinvio all’art. 12 della previgente direttiva 2000/31/CE.
Per approfondimenti:
4. Reti WiFi
Il comma 29 modifica l’art. 68 del Codice, in materia di accesso alle reti locali in radiofrequenza, che è soggetto ad autorizzazione generale quando attraverso reti locali punto-multipunto in radiofrequenze (RLAN) si accede a una rete pubblica.
Inoltre, viene introdotto un nuovo comma 6-bis all’articolo 69 del Codice, in base al quale il collegamento tra access point appartenenti al medesimo operatore nonché a operatori distinti è ammesso a condizione che, in caso di interconnessione tra reti, si rispettino tutte le disposizioni del Codice, tra cui appunto quelle dell’art. 57 sulle Prestazioni Obbligatorie. Questo vuol dire, ad esempio, che quando gli access point e gli apparati di interconnessione alle rete Internet appartengono ad operatori diversi, entrambi devono cooperare per ottemperare alle prestazioni obbligatorie così come previsto dal comma 8 dell’art. 57.
Con il comma 30 viene modificato l’articolo 69 del Codice, relativo all’installazione e al funzionamento dei punti di accesso senza fili di portata limitata. La disposizione prevede attualmente, al comma 1, che le autorità competenti non possano limitare indebitamente l’installazione di tali punti di accesso, in particolare richiedendo permessi urbanistici o individuali preventivi. In deroga a tale principio è previsto che le autorità competenti possano richiedere autorizzazioni in edifici o siti di valore architettonico, storico, ambientale protetti a norma del diritto nazionale o se necessario per ragioni di pubblica sicurezza. A tale previsione, con la modifica al comma 1 dell’art. 69, la possibilità di chiedere autorizzazioni preventive, viene estesa agli edifici e ai siti di valore paesaggistico.
E’ utile ricordare che gli Operatori di reti o di servizi che, rispettivamente, intendano realizzare una rete WiFi che acceda ad Internet o offrire un servizio di accesso ad Internet per mezzo della rete WiFi che, per effetto dell’articolo 11 comma 5, nella richiesta di autorizzazione generale occorre fornire anche:
a) il nome del fornitore;
b) lo status giuridico, la forma giuridica e il numero di registrazione del fornitore, qualora il fornitore sia registrato
nel registro pubblico delle imprese o in un altro registro pubblico analogo nell’Unione;
c) l’eventuale indirizzo geografico della sede principale del fornitore nell’Unione e delle eventuali sedi secondarie in uno
Stato membro;
d) l’indirizzo del sito web del fornitore, se applicabile, associato alla fornitura di reti o servizi di comunicazione
elettronica;
e) una persona di contatto e suoi recapiti completi;
f) una breve descrizione delle reti o dei servizi che si intende fornire;
g) gli Stati membri interessati
h) la data presunta di inizio dell’attività;
i) l’impegno a rispettare le norme del decreto e del regime previsto per l’autorizzazione generale;
l) l’ubicazione delle stazioni radioelettriche, e nel caso di fornitura di accesso ai sensi dell’articolo 68, il MAC Address, il Service Set Identifier (SSID) e la frequenza utilizzata.
All’Allegato 1, alla lettera A, dopo il numero 11, è aggiunto l’11-ter “Il rispetto delle disposizioni vigenti in materia di pubblica sicurezza e tempestiva collaborazione con l’Autorità giudiziaria“.
4. Spoofing
Con il comma 36 viene modificato l’art. 98-decies del Codice, che disciplina l’accesso a numeri e servizi, aggiungendo al comma 2, alcuni poteri dell’AGCOM ( di seguito “Autorità”) in funzione di repressione delle frodi o abusi sull’utilizzo di numerazioni. Si prevede infatti che l’Autorità possa imporre ai soggetti autorizzati a fornire reti o servizi di comunicazione elettronica norme per bloccare comunicazioni provenienti dall’estero che illegittimamente usino numerazione nazionale per identificarne l’origine, ovvero non rispettino le specifiche raccomandazioni dell’ITU-T (International Telecommunication Union – Telecommunication Standardization Bureau il settore dell’Unione internazionale delle telecomunicazioni che si occupa di regolare le telecomunicazioni telefoniche).
5. Blocco FQDN
All’articolo 98-decies del decreto legislativo n. 259 del 2003, al comma 2, sono aggiunti in fine i seguenti periodi: «In particolare, l’Autorità può imporre ai soggetti autorizzati a fornire reti o servizi di comunicazione elettronica norme per bloccare comunicazioni provenienti dall’estero che illegittimamente usino numerazione nazionale per identificarne l’origine, ovvero non rispettano le specifiche raccomandazioni dell’ITU-T. L’Autorità può ordinare il blocco dei sistemi dei nomi di dominio accessibili da utenza sita sul territorio nazionale in caso di pratiche commerciali aggressive, frodi o abusi sulla base di specifica propria regolamentazione.».
6. Gestione degli Alias
All’articolo 98-sexies del decreto legislativo n. 259 del 2003 sono apportate le seguenti modificazioni:
a) al comma 1, dopo il secondo periodo è inserito il seguente: «L’Autorità regolamenta e gestisce l’attribuzione, per il tramite di fornitori di servizi di messaggistica aziendale, all’utenza aziendale degli identificativi alfanumerici per l’invio di SMS/MMS.»;
b) il comma 4 è sostituito dal seguente:
«4. L’Autorità rende disponibile le risorse di numerazione, tra cui gli identificativi alfanumerici di cui al comma 1, per l’uso da parte dell’ utente finale presente sul territorio nazionale, salvo eccezioni determinate dalla stessa tra cui la messa a disposizione di una serie di numeri non
geografici che possano essere utilizzati per la fornitura di servizi di comunicazione elettronica diversi dai servizi di comunicazione interpersonale in tutto il territorio dell’Unione europea, fatti salvi il regolamento (UE) n. 531/2012 e l’articolo 98-decies comma 2 del presente decreto. […]
