18.3507 · Mozione · 2018-06-13
Dipartimento di giustizia e polizia
Liquidato
Wortlaut
Il Consiglio federale è incaricato di modificare l'ordinanza sulla sorveglianza della corrispondenza postale e del traffico delle telecomunicazioni (OSCPT) di modo che le persone obbligate a collaborare secondo l'articolo 2 lettere b-f della legge federale sulla sorveglianza della corrispondenza postale e del traffico delle telecomunicazioni (LSCPT) possano salvare soltanto i dati di controllo (header) delle comunicazioni in Internet.
Begründung
In sede di revisione della LSCPT, il Consiglio federale ha assicurato a più riprese che le persone obbligate a collaborare avrebbero salvato soltanto i metadati (header) delle comunicazioni in Internet. Conformemente a come il Consiglio federale ha attualmente attuato la LSCPT nella pertinente ordinanza, i provider possono tuttavia salvare sistematicamente tutti i pacchetti di dati, quindi anche i "dati di navigazione". Ciò costituisce un'ulteriore ingerenza nei diritti fondamentali di cittadini incensurati che non era prevista dal legislatore e va pertanto corretta.
Antrag des Bundesrates
Il Consiglio federale propone di respingere la mozione.
Stellungnahme des Bundesrates
Né la legge federale del 18 marzo 2016 sulla sorveglianza della corrispondenza postale e del traffico delle telecomunicazioni (LSCPT; RS 780.1) né le sue ordinanze d'esecuzione prescrivono alle persone obbligate a collaborare di conservare i contenuti (payload) delle comunicazioni in Internet. In particolare, non devono essere conservati né gli interi pacchetti di dati IP, inclusi i contenuti, né tutti i dati di controllo (header IP). Non sussiste pertanto alcuna base legale che consenta di individuare a posteriori i siti visitati da un determinato utente né tantomeno i contenuti delle comunicazioni. Queste informazioni possono essere ottenute soltanto in tempo reale, con un ordine emanato da un procuratore e approvato da un giudice, e questo soltanto a partire dal momento in cui la sorveglianza è attivata.
La legge esige soltanto che determinati fornitori siano in grado di identificare inequivocabilmente a posteriori l'autore o la provenienza di una determinata connessione Internet, a condizione che l'autorità abilitata fornisca i necessari dati, in particolare temporali, relativi alla connessione ricercata. In ultima analisi, la procedura è la stessa di una richiesta di informazioni relativa a un'iscrizione in un elenco telefonico. L'obiettivo è identificare il cliente che ha instaurato una determinata connessione Internet in un determinato momento. La differenza è che non si cerca un numero di telefono, bensì un indirizzo IP di provenienza.
Molti fornitori utilizzano procedure non univoche, ad esempio "carrier-grade network address translation" (CGNAT), per attribuire indirizzi IP ai loro clienti. Ciò significa che molti clienti utilizzano contemporaneamente lo stesso indirizzo IP pubblico. In tali casi, una richiesta fondata su un indirizzo IP di provenienza e un determinato momento produce troppi risultati. Soltanto il fornitore che gestisce il sistema CGNAT può attribuire la connessione Internet a un unico cliente. Esso deve pertanto conservare altre informazioni oltre all'indirizzo IP pubblico attribuito al cliente e al momento dell'attribuzione. La conservazione degli indirizzi IP di destinazione, in base ai quali può essere individuato il nome di dominio di un sito visitato, può dunque essere necessaria affinché il fornitore possa identificare in maniera univoca l'autore o la provenienza di una determinata connessione Internet.
Conformemente all'articolo 22 LSCPT, i fornitori sono obbligati a consegnare al Servizio Sorveglianza della corrispondenza postale e del traffico delle telecomunicazioni (Servizio SCPT) tutte le indicazioni che consentono di identificare l'autore. Essi sono tuttavia liberi di definire le modalità tecniche con cui intendono garantire questa identificazione. In virtù dell'articolo 22 capoverso 2 LSCPT, il Consiglio federale ha precisato, all'articolo 21 dell'ordinanza del 15 novembre 2017 sulla sorveglianza della corrispondenza postale e del traffico delle telecomunicazioni (OSCPT), i metadati che devono essere conservati a fini d'identificazione. I metadati non forniscono informazioni sul contenuto del traffico delle telecomunicazioni, bensì si limitano a indicare chi è o è stato connesso a chi, come, quando e dove. I metadati sull'attribuzione e la traduzione degli indirizzi IP e dei numeri di porta vanno conservati per sei mesi e poi distrutti, per minimizzare l'ingerenza nei diritti fondamentali.
Va inoltre osservato che l'obbligo di conservazione dei metadati a fini d'identificazione non riguarda tutti i fornitori di servizi di telecomunicazioni, bensì soltanto quelli che non sono stati esentati da determinati obblighi di sorveglianza (art. 26 cpv. 6 LSCPT, art. 51 OSCPT), nonché i fornitori di servizi di comunicazione derivati con obblighi di sorveglianza supplementari (art. 27 cpv. 3 LSCPT, art. 52 OSCPT). Sono pertanto interessati soltanto alcuni grandi fornitori.
Nel rapporto esplicativo sull'OSCPT è infine indicato esplicitamente che sotto il profilo della protezione dei dati vanno implementate procedure per le quali la memorizzazione della destinazione del collegamento (indirizzi IP di destinazione) non è necessaria e può quindi essere omessa. D'altro canto, il Consiglio federale non vuole intromettersi nella libertà economica dei fornitori e pertanto non prescrive la procedura, bensì solo l'obiettivo, ossia l'identificazione degli autori di reati commessi via Internet e quella di persone in caso di minaccia della sicurezza interna o esterna.
Il Consiglio federale propone di respingere la mozione.