Lexipedia

03.1069 · Interrogazione ordinaria · 2003-06-16

Dipartimento dell'ambiente, dei trasporti, dell'energia e delle comunicazioni

Liquidato

Stellungnahme des Bundesrates

L'obbligo dei provider di mettere a disposizione delle autorità penali e su richiesta di queste ultime determinati dati è disciplinato dalla legge federale sulla protezione dei dati (LPD; RS 235.1; art. 13 cpv. 1 lett. a) e dalla legge federale del 6 ottobre 2000 sulla sorveglianza della corrispondenza postale e del traffico delle telecomunicazioni (LSCPT; RS 780.1; art. 15 cpv. 3). L'ordinanza del 31 ottobre 2001 relativa a quest'ultima legge (OSCPT; RS 780.11) contiene solamente le disposizioni di esecuzione in materia. L'obbligo di mettere a disposizione certi dati riguarda tutti i provider, sia quelli di servizi di telecomunicazione che quelli di servizi internet.

In linea di massima occorre fare una distinzione tra i dati che vengono memorizzati dai provider e quelli che i provider trasmettono al Servizio per compiti speciali (SCS) e che questo conserva per un periodo determinato. A seconda dei casi (provider di servizi di telecomunicazione, provider di servizi internet, SCS) cambia la base legale nonché la quantità, il contenuto, lo scopo di impiego e la durata della memorizzazione dei dati.

1. L'autorizzazione alla memorizzazione dei dati è disciplinata dall'art. 4 LPD (RS 235.1), dall'art. 43 LTC (RS 784.10) e dalla LSCPT. Secondo l'art. 4 LPT, i dati personali possono essere raccolti soltanto in modo lecito. La legalità della memorizzazione dei dati del traffico delle telecomunicazioni si evince dall'art. 43 LTC, secondo il quale tutti i dati che vengono scambiati (inevitabilmente) nell'ambito delle telecomunicazioni sono soggetti al segreto delle telecomunicazioni. La deroga a questa disposizione è contenuta nella LSCPT.

2. La memorizzazione dei dati crea anche la possibilità di accedervi in maniera illecita. Spetta a coloro che creano e aggiornano una banca dati impedire che ciò avvenga.

La comunicazione di dati non è possibile senza la creazione e la gestione di banche dati. Quando sono o devono essere create queste banche dati, i provider sono tenuti al segreto delle telecomunicazioni e quindi all'obbligo di proteggere le informazioni da persone non autorizzate. Il SCS ha elaborato un vasto piano di sicurezza sul piano tecnico e organizzativo, che serve ad impedire l'accesso da parte di persone non autorizzate ai dati trasmessi dai provider nei singoli casi.

Va notato che i dati in questione (in particolare i cosiddetti dati secondari nell'ambito del traffico delle comunicazioni, vale a dire chi ha comunicato quando, con chi e per quanto tempo) hanno poco valore per le attività di spionaggio economico.

3. Come già menzionato, è compito del provider impedire un accesso illecito alle proprie banche dati. Per i dati trasmessi al SCS è stato elaborato un piano di sicurezza, i cui dettagli non possono essere resi noti per ragioni evidenti. Si può solo dire che alla base di questo piano vi è una protezione tecnica del sistema (il cosiddetto firewall) e misure a livello organizzativo (ad esempio, gestione degli utenti).

4. Il Consiglio federale è al corrente del fatto che gli utenti di internet di norma non creano né utilizzano un proprio programma di codificazione, ma si servono di quelli in commercio. Spetta all'utente o a chi scambia messaggi di posta elettronica proteggere dati particolarmente confidenziali con dei codici o scegliere altri sistemi di comunicazione per la loro trasmissione.

5. Non esiste una protezione assoluta per mezzo della codificazione, poiché ogni codificazione può essere decriptata. La sicurezza di un determinato programma di codificazione si misura in base alla potenza del computer e al tempo necessario per la decodificazione. Le indagini condotte hanno evidenziato che spesso la causa di una codificazione insufficiente non è la sua qualità, bensì l'incapacità dell'utente di utilizzare correttamente la tecnologia. Inoltre spesso i dati sono "delicati" solamente per un certo lasso di tempo, dopo il quale perdono la propria importanza oppure il loro proprietario può decidere di pubblicarli. Di norma, quindi, non esiste una protezione assoluta contro la decodificazione, ma solamente una protezione relativa.

6. La sorveglianza del traffico delle telecomunicazioni ha sempre come oggetto una persona già gravemente sospettata di un reato oppure un collegamento attribuito ad una persona sospetta. Nell'ambito delle attività di sorveglianza, i dati di una persona estranea ai fatti vengono raccolti solo se questa è in comunicazione con una persona sospetta oppure si serve di un suo collegamento.

La sorveglianza del traffico delle telecomunicazioni è solo uno degli strumenti di cui si servono le autorità penali nell'ambito delle proprie indagini. Durante una procedura d'inchiesta emerge subito quali sono i dati registrati per caso e che non sono rilevanti ai fini della procedura penale, proprio perché riguardanti una persona estranea ai fatti entrata in contatto con una persona sospetta. La LSCPT disciplina esattamente il modo in cui trattare questi dati. Lo stesso discorso vale per gli indirizzi di copertura, la cui funzione viene prima o poi scoperta nell'ambito dell'azione penale. Del resto è anche nell'interesse di chi subisce un abuso del proprio indirizzo che il reato venga scoperto nel corso delle indagini.

7. I costi delle misure comprendono i costi di investimento e i costi di esercizio del SCS e dei provider. Le disposizioni legali prevedono che il SCS, come ogni altra unità amministrativa, applichi una tassa che permetta di coprire i suoi costi di esercizio. I provider sono obbligati a sostenere i propri costi di investimento e devono essere adeguatamente indennizzati in ogni singolo caso per le loro prestazioni.

Per quanto riguarda il SCS, non è possibile fare una distinzione tra costi di investimento per la sorveglianza della posta elettronica e costi di investimento per le altre misure di sorveglianza del traffico delle telecomunicazioni. Per tutte le misure vengono impiegati lo stesso hardware e lo stesso software. Attualmente il SCS è in fase di rioganizzazione tecnica e operativa: i costi di investimento nelle nuove tecnologie ammontano a circa 7-10 milioni di franchi su un arco di 5 anni.

In base all'allegato dell'OSCPT e a seconda delle misure nell'ambito della sorveglianza della posta elettronica, il SCS applica, a copertura dei propri costi di esercizio, una tariffa che varia tra i 20 e i 200 franchi.

I costi di investimento dei provider dipendono dalle dimensioni della ditta e dal tipo di clientela e sono stimati a 80'000 - 100'000 franchi per provider. L'indennizzo per una singola prestazione si basa anch'esso sulla tariffa summenzionata e varia tra i 20 e 750 franchi.

La possibilità da parte di un provider di addossare ai clienti i costi non coperti dall'indennizzo summenzionato dipende soprattutto dalla situazione del mercato.

8. L'obbligo di conservare i dati secondari relativi alla posta elettronica è sancito nell'art. 15 cpv. 3 LSCPT e costituisce una norma analoga a quella che si applica ai fornitori di altri servizi di telecomunicazione (telefonia). Il provider trasmette al SCS i dati relativi al traffico delle comunicazioni solo previa richiesta dell'autorità penale autorizzata da un giudice. Queste richieste di riferiscono ad utenti e a collegamenti del traffico delle telecomunicazioni nonché a dati definiti esattamente dal legislatore.

Se questi dati, la maggior parte dei quali sono utilizzati a fini contabili, venissero memorizzati dal provider solamente su richiesta, in molti casi la sorveglianza del traffico delle telecomunicazioni perderebbe di importanza per le autorità penali. La protezione dei dati viene tenuta in considerazione nella misura in cui i dati vengono trasmessi all'autorità penale solo quando è conclusa la procedura di autorizzazione summenzionata e il trasferimento retroattivo è limitato agli ultimi sei mesi. Infine va precisato che i dati in questione sono dati secondari (data, durata e partecipanti alla comunicazione) e non dati concernenti contenuti di messaggi di posta elettronica.

Risposta del Consiglio federale.

03.1069 | Lexipedia | Lexipedia