Revisione parziale delle due ordinanze sulla sorveglianza della corrispondenza postale e del traffico delle telecomunicazioni (OSCPT, OE-SCPT)
Dipartimento federale di giustizia e polizia DFGP
Berna, 29 gennaio 2025
Revisione parziale di due ordinanze esecutive in materia di sorveglianza della corrispondenza postale e del traffico delle telecomunicazioni (OSCPT, OE-SCPT)
Rapporto esplicativo per l’avvio della procedura di consultazione
ISC-EJPD-D-01D73401/74
Rapporto esplicativo
1 Situazione iniziale
1.1 Necessità di agire e obiettivi
In occasione della revisione del 22 marzo 2019 della legge del 30 aprile 1997 1 sulle telecomunicazioni (LTC) è stato modificato anche l’articolo 2 della legge federale del 18 marzo 2016 2 sulla sorveglianza della corrispondenza postale e del traffico delle telecomunicazioni (LSCPT): è stato aggiunto un nuovo capoverso 2 3, che autorizza il Consiglio federale a precisare le categorie di persone obbligate a collaborare (POC). L’obiettivo è quello di rendere facilmente riconoscibile l’attribuzione dei fornitori nel settore della corrispondenza postale e del traffico delle telecomunicazioni alle diverse categorie di POC (v. n. 2), affinché ne risultino chiari anche gli obblighi imposti alle imprese interessate. Il Consiglio federale specifica nella LSCPT in particolare le categorie di cui all’articolo 2 (cpv. 1) lettera b (fornitori di servizi di telecomunicazione; FST), lettera c (fornitori di servizi di comunicazione derivati; FSCD) e lettera e (persone che mettono a disposizione di terzi il loro accesso a una rete pubblica di telecomunicazione; PAT).
Le modifiche del 22 marzo 2019 alla LTC sono entrate in vigore il 1°gennaio 2021, ad eccezione dell’articolo 2 capoverso 1 lettera b e 2 LSCPT e di un’altra disposizione 4. È pertanto previsto che la menzionata disposizione della LSCPT entri in vigore insieme alla presente revisione.
Gran parte delle modifiche riguardano l’ordinanza del 15 novembre 2017 5 sulla sorveglianza della corrispondenza postale e del traffico delle telecomunicazioni (OSCPT). Vengono tuttavia modificate anche l’ordinanza del DFGP del 15 novembre 2017 6 sull’esecuzione della sorveglianza della corrispondenza postale e del traffico delle telecomunicazioni (OE-SCPT) e l’ordinanza del 15 novembre 2017 7 sul sistema
3 L’art. 2 LSCPT conta ora due capoversi; cfr. RU 2020 6159, in particolare 6180
4 Cfr. RU 2020 6159, in particolare 6177
5 RS 780.11 6 RS 780.117 7 RS 780.12; la modifica dell’art. 2 cpv. 1 OST-SCPT viene attuata con la modifica dell’OSCPT (n. III).
di trattamento per la sorveglianza della corrispondenza postale e del traffico delle telecomunicazioni (OST-SCPT; v. n. 2.1 in fine e 2.2).
Gli obblighi di informazione dei FSCD, disciplinati nell’OSCPT, prevedono finora solo l’attribuzione a un livello superiore (un cosiddetto upgrade con l’imposizione di obblighi supplementari). Quando un FSCD è attribuito a un livello superiore (ex FSCD con obblighi di informazione supplementari, art. 22 OSCPT), gli vengono imposti immediatamente tutti gli obblighi di informazione di un FST con obblighi integrali. Il progetto suddivide ora la categoria FSCD in tre anziché due sottocategorie per facilitare la distinzione dei criteri che determinano l’attribuzione a un livello superiore e rispettare maggiormente una gradazione più equilibrata degli obblighi delle varie sottocategorie, in linea con il principio di proporzionalità.
Nella seduta del 18 ottobre 2023, il Consiglio federale ha adottato il rapporto in adempimento del postulato Albert Vitali 19.4031 8 «Per una legge federale sulla sorveglianza della corrispondenza postale e del traffico delle telecomunicazioni adeguata» 9. Dal rapporto emerge che il Consiglio federale ritiene la LSCPT sufficientemente favorevole alle PMI e, a suo parere, occorre intervenire solo nella OSCPT. Quest’ultima deve prevedere per le POC, in particolare per FST e FSCD, definizioni chiare per individuare facilmente la categoria in cui rientra un fornitore.
1.2 Alternative esaminate e opzione scelta
I primi lavori di attuazione dell’articolo 2 capoverso 2 LSCPT sono iniziati subito dopo l’adozione della legge da parte del Parlamento, il 22 marzo 2019. Inizialmente era previsto di basare la definizione di FST sull’espressione di servizio di telecomunicazione usato nella LTC. Nella sentenza «Threema» (2C_544/2020) del 29 aprile 2021, il Tribunale federale ha fatto delle considerazioni sulle definizioni di FST e FSCD nella LSCPT. Da un lato queste considerazioni hanno portato a modificare la prassi del Servizio Sorveglianza della corrispondenza postale e del traffico delle telecomunicazioni (Servizio SCPT), dall’altro a rielaborare le prime bozze delle definizioni, di modo che la definizione di FST nel diritto in materia di sorveglianza si scostasse dall’espressione servizio di telecomunicazione previsto dal diritto delle telecomunicazioni (v. n. 3.1, «Introduzione agli articoli 16a-16h»).
Per evitare di ritardare ulteriormente gli adeguamenti delle ordinanze al progresso tecnologico, nel frattempo diventati urgenti e necessari, nell’estate del 2021 è stato deciso di attuare la revisione in due fasi. Nella prima fase del 15 novembre 2023 sono state riviste le ordinanze esecutive della LSCPT al fine di adeguare l’OSCPT alle
8 Cfr. Comunicato stampa del 18 ott. 2023 «Sorveglianza delle telecomunicazioni: prevista una classificazione semplificata delle persone obbligate a collaborare». 9 Postulato Albert Vitali 19.4031: www.parlament.ch/de/ratsbetrieb/suche-curia-vista/geschaeft?AffairId=20194031
nuove tecnologie, come l’IP Multimedia Subsystem (IMS) e la tecnologia 5G. Tale revisione è entrata in vigore il 1° gennaio 2024.
1.3 Rapporto con il programma di legislatura e il piano finanziario nonché con le strategie del Consiglio federale L’affare (messaggio concernente la prima tappa della modifica della LTC, che introduce il nuovo articolo 2 nella LSCPT 10) su cui si basa il presente progetto è stato annunciato nel messaggio del 27 gennaio 2016 11 sul programma di legislatura 2015–2019.
Il presente progetto non figura né nel messaggio del 24 gennaio 2024 12 né nel decreto federale del 6 giugno 2024 13 sul programma di legislatura 2023–2027.
La modifica delle ordinanze esecutive della LSCPT (campo di applicazione) è tuttavia necessaria affinché possa essere adempito il mandato legale (art. 2 cpv. 2 LSCPT 14). Il progetto risponde inoltre alla richiesta dei fornitori di servizi di telecomunicazione di ottenere maggiore chiarezza sulle categorie a cui appartengono e sugli obblighi che sono tenuti ad adempiere nell’ambito della sorveglianza delle telecomunicazioni. Anche a livello politico sono stati presentati diversi interventi parlamentari 15 che chiedono di modificare la prassi del Servizio SCPT e in parte comportano modifiche dell’OSCPT.
2 Punti essenziali del progetto
2.1 Modifiche dell’OSCPT
La presente revisione parziale dell’OSCPT precisa le categorie di POC seguenti: - i FST (art. 2 cpv. 1 lett. b LSCPT 16; art. 1 cpv. 2 lett. i OSCPT) nel nuovo articolo 16a OSCPT;
10 RU 2020 6159, in particolare 6180
11 FF 2016 909, in particolare 1014, 1016, 1026
12 FF 2024 525
13 FF 2024 1440
14 RU 2020 6159, in particolare 6180
15 Cfr. Parere del Consiglio federale del 22 mag. 2019 in merito all’interpellanza Beat Flach 19.3267, la risposta del
Consiglio federale del 11 giu. 2019 alla domanda Beat Flach 19.5273, nonché il rapporto del Consiglio federale del 18 ott. 2023 in adempimento del postulato Albert Vitali 19.4031. 16 L’art. 2 LSCPT è ora suddiviso in due capoversi; RU 2020 6159, in particolare 6180
- i FSCD (art. 2 cpv. 1 lett. c LSCPT; art. 1 cpv. 2 lett. j OSCPT) nel nuovo articolo 16d OSCPT; - le PAT (art. 2 cpv. 1 lett. e LSCPT; art. 1 cpv. 2 lett. l OSCPT) nel nuovo articolo 16h OSCPT.
Secondo il nuovo articolo 2 capoverso 2 LSCPT il Consiglio federale potrebbe precisare anche altre categorie di POC: i gestori di reti di telecomunicazione interne (art. 2 cpv. 1 lett. d LSCPT) e i rivenditori professionali (art. 2 cpv. 1 lett. f LSCPT), tuttavia ciò non è necessario, poiché nella pratica non pongono alcun problema. Oltre alle nuove definizioni di FST e FSCD, delle rispettive sottocategorie e delle PAT di cui agli articoli 16a-16h OSCPT, si propone anche un adeguamento delle disposizioni che determinano l’attribuzione a un livello superiore (upgrade) e a un livello inferiore (downgrade) dei fornitori. La categoria FSCD è ora suddivisa in tre sottocategorie, mentre i FST continuano a essere suddivisi in due sottocategorie. Gli obblighi e di conseguenza anche la disponibilità dei dati saranno modificati e meglio distribuiti tra le diverse categorie e sottocategorie di POC, permettendo una gradazione più equilibrata degli obblighi, in linea con il principio di proporzionalità (v. n. 5.1).
Nell’ambito di questa revisione sono stati creati tre tipi di informazione e due tipi di sorveglianza su richiesta delle autorità di perseguimento penale. Lo scopo è, da un lato, standardizzare determinate informazioni e sorveglianze retroattive per l’identificazione degli utenti che finora erano trattate come casi speciali, dall’altro dare la possibilità di sorvegliare unicamente una parte dei dati relativi al contenuto per mezzo di sorveglianze in tempo reale: - tipo di informazione IR_58_IP_INTERSECT: identificazione degli utenti mediante determinazione dell’intersezione (art. 38a OSCPT); - tipo di informazione IR_59_EMAIL_LAST: informazione sull’ultimo accesso a un servizio di posta elettronica (art. 42a OSCPT); - tipo di informazione IR_60_COM_LAST: informazione sull’ultimo accesso a un altro servizio telecomunicazione o servizio di comunicazione derivato (art. 43a OSCPT); - tipo di sorveglianza RT_61_NA_CC-TRUNC_IRI: sorveglianza in tempo reale di metadati e contenuti troncati di servizi di accesso alla rete (art. 55a OSCPT); - tipo di sorveglianza HD_62_IP: sorveglianza retroattiva ai fini dell’identificazione degli utenti di connessioni a Internet (art. 60a OSCPT).
Infine sono state apportate modifiche puntuali ad altre disposizioni.
In seguito alle nuove denominazioni delle categorie di FST e FSCD nell’OSCPT, l’articolo 2 capoverso 1 OST-SCPT richiede modifiche redazionali.
2.2 Modifiche all’OE-SCPT
Con l’introduzione nell’OSCPT dei tipi di informazione sopra menzionati occorre adeguare anche l’articolo 14 OE-SCPT che disciplina i termini per il trattamento delle domande di informazioni.
Sono state inoltre effettuate modifiche redazionali agli articoli 5 capoverso 1 e 20 capoversi 1 e 2 OE-SCPT.
2.3 Questioni riguardanti l’attuazione
Attuazione prevista
I termini transitori previsti all’articolo 74c OSCPT (6-12 mesi) concedono alle POC il tempo sufficiente per attuare i nuovi obblighi di informazione e di sorveglianza. La data di entrata in vigore è scelta in modo da lasciare anche alla Confederazione e ai Cantoni il tempo necessario per preparare l’attuazione. Per il resto, si rimanda alle ripercussioni di cui al numero 4.
Esame dell’attuabilità nella procedura legislativa
Il 2 marzo 2023 il comitato dell’organo consultivo (comitato STT 17; cfr. art. 6 e segg. dell’ordinanza del 15 novembre 2017 18 sull’organo consultivo per la sorveglianza della corrispondenza postale e del traffico delle telecomunicazioni (OOC-SCPT) ha istituito un gruppo di accompagnamento per i progetti legislativi, composto da vari rappresentanti di organizzazioni di POC (asut 19), delle autorità inquirenti (CMP 20, CDDGP 21, CCPCS 22 e fedpol) nonché da rappresentanti del SIC 23. Il gruppo di accompagnamento ha esaminato più volte il presente progetto, anche dal punto di vista dell’attuabilità nella procedura legislativa.
17 Sorveglianza del traffico delle telecomunicazioni (STT)
18 O del DFGP del 15 nov. 2017 sull’organo consultivo per la sorveglianza della corrispondenza postale e del traffico delle telecomunicazioni (OOC-SCPT; RS 780.112)
19 Schweizerischer Verband der Telekommunikation (asut)
20 Conferenza svizzera dei Ministri pubblici (CMP, sito web non disponibile in italiano).
21 Conferenza delle direttrici e dei direttori dei dipartimenti cantonali di giustizia e polizia (CDDGP, sito web non
disponibile in italiano). 22 Conferenza dei comandanti delle polizie cantonali della Svizzera (CCPCS, sito web non disponibile in italiano).
23 Servizio delle attività informative della Confederazione (SIC)
Valutazione prevista dell’attuazione
Dopo l’entrata in vigore, le questioni e i problemi operativi relativi alle nuove disposizioni del presente progetto, in particolare l’attuazione dei nuovi tipi di informazione e di sorveglianza, saranno trattati dall’organo specializzato STT 24. Per il resto, il Servizio SCPT è responsabile dei compiti relativi all’attuazione (art. 16 e 17 LSCPT, in particolare art. 16 lett. d, h, i e j nonché art. 17 lett. d, e ed f).
3 Commenti ai singoli articoli
3.1 OSCPT
I. OSCPT Art. 11 cpv. 1, frase introduttiva e lett. a nonché cpv. 4 Nella frase introduttiva del capoverso 1 l’espressione «i FST, eccettuati quelli con obblighi di sorveglianza ridotti (art. 51), e i FSCD con obblighi di sorveglianza supplementari (art. 52)» è sostituita con la formulazione più breve «i fornitori con obblighi integrali» (v. anche «Introduzione agli articoli 16a-16h»). Tra questi rientrano i FST con obblighi integrali (art. 16c) e i FSCD con obblighi integrali (art. 16g). I fornitori di servizi postali (FSP; art. 1 cpv. 2 lett. h) non sono interessati dalla modifica. Il contenuto rimane invariato.
La lettera a è modificata al fine di aggiungere i nuovi tipi di informazione IR_59_EMAIL_LAST (art. 42a) e IR_60_COM_LAST (art. 43a). Il nuovo tipo di informazione IR_58_IP_INTERSECT (art. 38a), invece, esula dall’obbligo di picchetto della POC, la quale però può fornire l’informazione richiesta su base volontaria durante il servizio di picchetto. Il Servizio SCPT può quindi trasmettere tale tipo di informazione alla POC anche durante il servizio di picchetto e, se del caso, inoltrare la risposta all’autorità richiedente.
Al capoverso 4 sono adeguate le denominazioni delle sottocategorie di FSCD e il testo dell’ordinanza è reso più breve dalla nuova espressione «fornitori con obblighi ridotti», la quale comprende i FST con obblighi ridotti (art. 16b) e i FSCD con obblighi ridotti (art. 16f). Per motivi di proporzionalità i numerosi FSCD con obblighi minimi (art. 16e), ovvero i FSCD «semplici» che non sono stati attribuiti a un livello superiore, devono comunicare i dati di contatto del proprio servizio di picchetto – se ne dispongono uno – unicamente su richiesta del Servizio SCPT. Tali FSCD non hanno una grande importanza economica né un numero elevato di utenti, pertanto sono raramente interessati dalle misure di sorveglianza. Questa norma si applica ora «su richiesta» anche ad altre categorie di POC, come ad esempio ai gestori di reti di telecomunicazione interne se dispongono già di un servizio di picchetto interno. Il resto del capoverso rimane invariato.
24 Organo specializzato nel settore della sorveglianza delle telecomunicazioni (OP FMÜ)
Titolo dopo l’art. 16 Sulla scorta delle nuove definizioni di cui agli articoli 16a-16h, al capitolo 3 «Traffico delle telecomunicazioni» dopo l’articolo 16 vi è ora una nuova sezione 1 «Categorie di persone obbligate a collaborare». L’attuale sezione 1 diventa quindi la sezione 1a (v. «Titolo prima dell’art. 17»).
Introduzione agli articoli 16a-16h Le categorie di POC e le relative sottocategorie sono disciplinate nella nuova sezione 1 «Categorie di persone obbligate a collaborare» (art. 16a-16h), che è collocata all’inizio del capitolo 3 «Traffico delle telecomunicazioni» in quanto le disposizioni riguardano soltanto il traffico delle telecomunicazioni e sono di natura fondamentale.
Finora le espressioni «servizio di telecomunicazione» e «fornitore di servizi di telecomunicazione» utilizzate nella LSCPT e nelle relative ordinanze d’esecuzione erano fondate sulle definizioni della LTC. I servizi di messaggistica, come ad esempio WhatsApp, Signal o Threema, nella LTC sono considerati servizi di telecomunicazione, mentre la LSCPT li attribuisce alla categoria speciale FSCD. Per questo motivo, in occasione della revisione della LTC del 22 marzo 2019, all’articolo 2 lettera b LSCPT è stato stralciato il rimando all’articolo 3 lettera b LTC. In questo modo è resa più chiara la distinzione tra le nozioni «servizio di comunicazione» secondo la LSCPT e «servizio di comunicazione» secondo la LTC. Quest’ultima tra i servizi di telecomunicazione include anche i servizi over the top (servizi basati su Internet, servizi OTT), che il messaggio relativo alla LSCPT considera invece servizi di comunicazione derivati. All’articolo 2 capoverso 2 LSCPT è stata pure introdotta una norma di delega che autorizza il Consiglio federale a precisare le categorie di POC. Ciò è messo in atto con i nuovi articoli 16a-16h. Nella sentenza «Threema» (2C_544/2020) del 29 aprile 2021, il Tribunale federale ha fatto delle considerazioni sulle definizioni di FST e FSCD nella LSCPT, di cui si tiene conto anche nel presente progetto.
Il diritto in materia di sorveglianza deve essere impostato sulle caratteristiche tecniche. I FST e i FSCD forniscono entrambi servizi per terzi. I servizi di accesso diretto alla rete sono sempre forniti da FST, mentre per i servizi di accesso indiretto alla rete e i servizi di comunicazione si distingue tra quelli forniti insieme all’acceso alla rete o in funzione di quest’ultimo (FST) e quelli forniti in modo indipendente da esso (FSCD).
Il compito principale dei FST continua a essere la trasmissione di informazioni mediante telecomunicazione, ovvero su linea o via radioonde. È determinante chi offre il servizio e chi è responsabile di trasmettere le informazioni.
A differenza dei FST, i FSCD non sono responsabili di trasmettere le informazioni mediante telecomunicazione e non le trasmettono essi stessi. Un FSCD fa sempre affidamento a un servizio di telecomunicazione per l’effettiva trasmissione di informazioni mediante telecomunicazione. Ciò significa che un servizio di comunicazione derivato funziona sempre in modo pienamente indipendente dal servizio di accesso alla rete e, dal punto di vista del cliente, necessita di due rapporti contrattuali (uno per l’accesso a Internet e l’altro per il servizio di comunicazione derivato).
Per determinare se una persona 25 rientra nel campo di applicazione della LSCPT e, se del caso, a quale categoria di POC appartiene, i servizi di tale persona devono essere considerati singolarmente. A seconda dei servizi 26 che offre, infatti, una persona può ricadere contemporaneamente in diverse categorie di POC di cui all’articolo 2 LSCPT. Ai servizi associati si applicano quindi gli obblighi di collaborazione previsti per la rispettiva categoria di appartenenza. Una persona può avere obblighi di collaborazione distinti in funzione dei suoi servizi (p. es. servizio di telecomunicazione, servizio di comunicazione derivato) 27, per lo stesso servizio non può però appartenere contemporaneamente a più categorie di POC. I servizi offerti dai FST (art. 16a) e i FSCD (art. 16d) rientrano nell’iperonimo «servizi di comunicazione».
Si tratta nello specifico di servizi che permettono la telecomunicazione. I FST e i FSCD forniscono entrambi un servizio di comunicazione per terzi (cfr. anche il n. 1 dell’all. alla OSCPT «Termini e abbreviazioni»). Questa fornitura include una componente economica e una tecnica: dal punto di vista economico ciascuna fornitura di un servizio di comunicazione si fonda su un rapporto contrattuale, mentre sul piano tecnico presuppone una determinata infrastruttura (p. es. anche virtuale o presa in locazione).
A livello tecnico è possibile determinare se i servizi di comunicazione sono forniti insieme all’accesso alla rete (p. es. accesso a Internet) o in modo indipendente da esso (cosiddetti servizi basati su Internet o servizi OTT). Di norma, i fornitori di servizi OTT rientrano nel campo di applicazione della LSCPT, principalmente come FSCD e in alcuni casi come FST. Alcuni servizi OTT, invece, non sottostanno alla LSCPT, in particolare se non dispongono di una funzione di comunicazione per terzi (p. es. shopping online) o se le informazioni trasmesse sono esclusivamente destinate al pubblico (p. es. mass media elettronici, servizi di video streaming pubblici, piattaforme pubbliche di condivisione video).
Un fornitore di servizi OTT rientra in una determinata categoria di POC a seconda del tipo di servizio che fornisce e all’implementazione tecnica.
Panoramica delle categorie e sottocategorie di POC definite nel progetto
Oltre alle categorie FST e FSCD, si distinguono due sottocategorie di FST (come finora) e tre sottocategorie di FSCD (una in più):
1. Categoria FST (art. 2 cpv. 2 lett. b LSCPT): definita nel nuovo articolo 16a.
1.1. Sottocategoria FST con obblighi ridotti (art. 26 cpv. 6 LSCPT): corrisponde
all’attuale sottocategoria «FST con obblighi di sorveglianza ridotti». I criteri e i
25 Persona fisica o organismo, poco importa se quest’ultimo sia una persona giuridica o no o che abbia carattere statale o no (FF 2013 2283, in particolare 2305)
26 Corrisponde alle attività (FF 2013 2283, in particolare 2305)
27 FF 2013 2283, in particolare 2305
valori per l’attribuzione a questa sottocategoria (esonero da determinati obblighi) e la relativa procedura sono disciplinati nel nuovo articolo 16b. 1.2. Sottocategoria FST con obblighi integrali (art. 2 cpv. 2 lett. b LSCPT): questa sottocategoria esiste già ed è stata rinominata ai fini di semplificazione. La procedura di riattribuzione a questa sottocategoria (soppressione dell’esonero da determinati obblighi) è disciplinata nel nuovo articolo 16c. 2. Categoria FSCD (art. 2 cpv. 2 lett. c LSCPT): definita nel nuovo articolo 16d. 2.1. Sottocategoria FSCD con obblighi minimi (art. 2 cpv. 2 lett. c LSCPT): situazione iniziale per i FSCD. I criteri e i valori sono disciplinati nel nuovo articolo 16e. 2.2. Sottocategoria FSCD con obblighi ridotti (art. 2 cpv. 2 lett. c, art. 22 cpv. 4 e art. 27 cpv. 3 LSCPT): primo livello (imposizione di obblighi supplementari) dei FSCD. I criteri e i valori nonché la procedura per l’attribuzione a questa sottocategoria e la riattribuzione alla sottocategoria FSCD con obblighi minimi (esonero dagli obblighi supplementari) sono disciplinati nel nuovo articolo 16f. 2.3. Sottocategoria FSCD con obblighi integrali (art. 2 cpv. 2 lett. c, art. 22 cpv. 4 e art. 27 cpv. 3 LSCPT): secondo livello (imposizione di obblighi integrali) dei FSCD. I criteri e i valori nonché la procedura per l’attribuzione a questa sottocategoria nonché la riattribuzione alla sottocategoria FSCD con obblighi ridotti o FSCD con obblighi minimi sono disciplinati nel nuovo articolo 16g. Il progetto definisce anche la categoria delle persone che mettono a disposizione di terzi il loro accesso a una rete pubblica di telecomunicazione (PAT): 3. Categoria PAT (art. 2 cpv. 1 lett. e LSCPT): la definizione di PAT nonché i criteri e i valori per stabilire se un accesso WLAN è considerato come gestito professionalmente sono disciplinati nel nuovo articolo 16h. Nella LSCPT gli obblighi di informazione e sorveglianza sono disciplinati in modo separato e la OSCPT vigente segue questo schema. Da un punto di vista pratico è però opportuno considerare gli obblighi di collaborazione nel loro insieme e strutturare in modo semplice le sottocategorie. La legge disciplina la situazione iniziale delle categorie FST e FSCD. Di norma, i FST hanno obblighi integrali (cfr. art. 26 cpv. 6 LSCPT). Nelle disposizioni esecutive dell’OSCPT, il Consiglio federale prevede che, su richiesta e alle condizioni di cui all’articolo 16b OSCPT, i FST possano farsi attribuire alla sottocategoria FSCD con obblighi ridotti mediante dichiarazione del Servizio SCPT. Esattamente opposta è la situazione iniziale dei FSCD (cfr. art. 27 cpv. 3 LSCPT), i quali di norma hanno soltanto obblighi minimi (art. 16e) e se adempiono le condizioni di cui all’articolo 16f capoverso 1, gli sono automaticamente impartiti obblighi supplementari, ovvero «obblighi ridotti», analogamente agli obblighi dei FST. Se un FSCD adempie le condizioni di cui all’articolo 16g, deve comunicarlo al Servizio SCPT e sarà quindi attribuito alla sottocategoria FSCD con obblighi integrali. L’attribuzione a un livello superiore (upgrade) o inferiore (downgrade) segue il seguente schema (v. anche i commenti alle disposizioni corrispondenti).
Processo di upgrade e downgrade Obblighi di informazione e sorveglianza integrali FST con obblighi integrali Situazione iniziale: FSCD con obblighi integrali
Downgrade mediante decisione tutti gli obblighi di informazione Art. 22 cpv. 4 e art. 27 cpv. 3 LSCPT
Upgrade mediante decisione di cui agli art. 21 e 22 LSCPT Tutti gli obblighi di informazione di cui all’art. 22 LSCPT tutti gli obblighi di sorveglianza Tutti gli obblighi di sorveglianza di cui all’art. 26 LSCPT di cui all’art. 26 LSCPT
FST con obblighi ridotti FSCD con obblighi ridotti Art. 26 cpv. 6 LSCPT Art. 22 cpv. 4 e art. 27 cpv. 3 LSCPT Alcuni obblighi di informazione Alcuni obblighi di informazione di cui all’art. 22 LSCPT di cui agli art. 21 e 22 LSCPT Alcuni obblighi di sorveglianza di cui all’art. 26 LSCPT Alcuni obblighi di sorveglianza di cui all’art. 26 LSCPT Upgrade automatico mediante ordinanza senza decisione
Obblighi di informazione e sorveglianza ridotti FSCD con obblighi minimi Situazione iniziale
Panoramica degli obblighi di collaborazione di FST e FSCD
Le sottocategorie di FST e FSCD nonché la categoria PAT si distinguono in base agli obblighi di informazione e sorveglianza seguenti: - i FST con obblighi ridotti (art. 16b) hanno pressoché gli stessi obblighi dei FSCD con obblighi ridotti (art. 16f); in merito si vedano anche i relativi commenti. Sostanzialmente gli sono impartiti obblighi di informazione e identificazione di base, incluso l’obbligo di conservare i cosiddetti dati sull’utente. - I FST con obblighi integrali (art. 16c) hanno pressoché gli stessi obblighi dei FSCD con obblighi integrali (art. 16g); in merito si vedano anche i relativi commenti. Sostanzialmente gli sono impartiti tutti gli obblighi di informazione e identificazione, l’obbligo di fornire determinate informazioni in forma automatizzata, gli obblighi di sorveglianza, l’obbligo di conservare per sei mesi i metadati e l’obbligo di prestare servizio di picchetto. - I FSCD con obblighi minimi hanno soltanto obblighi di tolleranza e nessun obbligo di informazione e sorveglianza. Essi non hanno obblighi di identificazione e forniscono per scritto informazioni secondo le indicazioni di cui dispongono (art. 22 cpv. 3 LSCPT) senza dover tenere conto dei tipi di informazione. In particolare sono tenuti a tollerare una sorveglianza attuata dal Servizio o dalle persone da esso incaricate. A tal fine devono senza indugio permettere l’accesso ai loro impianti, fornire le informazioni necessarie all’attuazione della sorveglianza e, su richiesta, trasmettere i metadati delle telecomunicazioni della persona sorvegliata di cui dispongono (art. 27 cpv. 1 e 2 LSCPT). Lo stesso vale per le PAT (art. 29 LSCPT).
Art. 16a FST Il presente articolo ridefinisce la categoria FST. Finora il concetto «FST» del diritto in materia di sorveglianza si riferiva al termine «servizio di telecomunicazione» del diritto delle telecomunicazioni per mezzo di un rimando nell’articolo 2 lettera b LSCPT all’articolo 3 lettera b LTC. Con l’entrata in vigore della presente revisione di ordinanza, tale rimando è stralciato perché la nuova definizione del termine FST nel diritto in materia di sorveglianza non corrisponde più alla nozione fornitore di servizi di telecomunicazione del diritto pertinente. Una particolarità della LSCPT è l’esistenza di una categoria molto simile al FST: il FSCD. I FST e i FSCD forniscono entrambi servizi di comunicazione per terzi. I due tipi di fornitori si distinguono tuttavia dal modo in cui forniscono tali servizi e dal fatto che siano responsabili o no della trasmissione di informazioni mediante telecomunicazione. Per una migliore distinzione dai FSCD, nella definizione di FST sono indicate caratteristiche concrete. I servizi di accesso diretto alla rete sono sempre forniti da FST, mentre per i servizi di accesso indiretto alla rete e i servizi di comunicazione si distingue tra quelli forniti insieme all’acceso alla rete o in funzione di quest’ultimo (FST) e quelli forniti in modo indipendente da esso (FSCD).
In generale, per suddividere le POC in categorie è necessario considerare singolarmente i differenti servizi offerti dallo stesso fornitore. Quest’ultimo può quindi essere considerato un FST per alcuni servizi e un FSCD per altri.
La caratteristica principale di un FST rimane la trasmissione di informazioni per terzi mediante telecomunicazione, ovvero la trasmissione su linea o via radioonde. Il FST non deve necessariamente trasmettere esso stesso le informazioni mediante telecomunicazione. Nella presente ordinanza le nozioni gestire e fornire significano che il fornitore si assume la responsabilità nei confronti dei propri clienti di trasmettere le informazioni mediante telecomunicazione. Ciò comprende anche il far trasmettere, ad esempio mediante outsourcing o un accordo di roaming, affidando il mandato a terzi tramite un particolare diritto di utilizzo dell’infrastruttura (p. es. sulla base di un contratto di locazione o un contratto simile relativo all’uso condiviso di elementi di rete) o l’acquisto di servizi. È determinante chi offre il servizio e chi è responsabile di trasmettere le informazioni mediante telecomunicazione.
Secondo il capoverso 1 lettera a la gestione di una rete pubblica di telecomunicazione è considerata un servizio di telecomunicazione. Tra questi figurano le reti pubbliche che permettono la trasmissione della voce in tempo reale mediante telecomunicazione e la comunicazione di dati nonché i fornitori del transito che non offrono servizi per i propri clienti finali. Le reti pubbliche di telecomunicazione costituiscono la controparte delle reti di telecomunicazione interne (art. 1 cpv. 2 lett. k). Una rete pubblica di telecomunicazione consente l’accesso a una cerchia pressoché indefinita di persone e la comunicazione mediante elementi di indirizzo pubblici.
Conformemente alla lettera b, si parla di servizio di telecomunicazione se per terzi è fornito un servizio di accesso diretto a una rete pubblica di telecomunicazione (in particolare a Internet). Tra questi rientrano tutti i servizi di accesso diretto a Internet (precedentemente denominato «collegamento a Internet»). Se l’accesso è fornito in modo indiretto, ma dal punto di vista del cliente proviene da un’unica fonte, ovvero da un
unico contratto (servizio di accesso indiretto, p. es. tramite un’offerta wholesale di un altro FST) – come nel caso di un broadband connectivity service (BBCS) –, anche il fornitore di questo accesso indiretto è considerato un servizio di telecomunicazione.
I servizi di telecomunicazione includono anche i servizi pubblici di telefonia mobile (lett. c), ad esempio gli operatori della rete mobile (mobile network operator, MNO) e gli operatori della rete mobile virtuale (mobile virtual network operator, MVNO).
Sono considerati servizi di telecomunicazione pure i servizi telefonici pubblici forniti insieme all’accesso alla rete (lett. d), ad esempio un servizio telefonico VoIP offerto insieme al collegamento a Internet. Un servizio telefonico pubblico è un servizio di telecomunicazione che permette la trasmissione della voce in tempo reale mediante uno o più elementi di indirizzo previsti a tale scopo nel quadro di un piano di numerazione nazionale o internazionale (art. 3 lett. cbis LTC). La formulazione «insieme all’accesso alla rete» non è da considerarsi un’offerta aggregata in senso stretto, ma un rapporto tra il servizio telefonico e l’accesso alla rete in senso lato. Ciò significa che per il servizio telefonico fa una differenza se si utilizza il collegamento a Internet del proprio fornitore del servizio telefonico o di un altro. Ad esempio, se il servizio telefonico fornito insieme all’accesso alla rete (collegamento a Internet) del proprio fornitore offre più funzionalità o una tariffa più vantaggiosa. Per «proprio» fornitore s’intende il fornitore del servizio telefonico.
A titolo di esempio è opportuno ricordare l’approccio legato al servizio, necessario per illustrare la classificazione del fornitore del servizio pubblico di telefonia mobile. Il fornitore di un servizio di «accesso alla rete per terzi» (collegamento a Internet) è sempre un FST, mentre il fornitore di un servizio telefonico pubblico per terzi è considerato un FST soltanto se sussiste un legame tra il servizio telefonico e l’accesso alla rete (lett. d), altrimenti rientra nella categoria FSCD (art. 16d cpv. 1).
Analogamente al diritto delle telecomunicazioni, al capoverso 2 sono definite alcune eccezioni alla classificazione come FST nell’ambito del diritto in materia di sorveglianza. La prima eccezione («destinate al pubblico»; lett. a) concerne i mass media (p. es. programmi televisivi e radiofonici, televisione via cavo e servizi di streaming), i quali non sono d’interesse per la sorveglianza delle telecomunicazioni perché in questo ambito non esiste un segreto delle telecomunicazioni.
Come nel diritto delle telecomunicazioni, è esclusa la trasmissione di informazioni strettamente limitata dal punto di vista geografico (lett. b) e interna all’azienda (lett. c) nonché quella garantita mediante telecomunicazione all’interno delle corporazioni di diritto pubblico o tra di esse (lett. d). I fornitori di servizi di cui alle lettere b-d sono considerati gestori di reti di telecomunicazione interne (art. 1 cpv. 2 lett. k). In questa categoria rientra anche chiunque trasmetta informazioni mediante telecomunicazione non per terzi, ma ad esempio per i collaboratori della propria azienda. Come finora ci sono due sottocategorie di FST, che si distinguono in base agli obblighi: il FST con obblighi ridotti (art. 16b), che corrisponde all’attuale «FST con obblighi di sorveglianza ridotti» (vigente art. 51), e il FST con obblighi integrali (art. 16c), che finora
non aveva una propria denominazione ma una formulazione un po’ più complessa «FST, eccettuati quelli con obblighi di sorveglianza ridotti». Esempi di servizi di telecomunicazione: - gestione di reti pubbliche di telecomunicazione, incluse le infrastrutture di rete virtuali (cpv. 1 lett. a) - accesso diretto (p. es. accesso fisso a Internet, accesso mobile a Internet) o indiretto, per il cliente si tratta di un unico contratto (p. es. BBCS) con una rete pubblica di telecomunicazione (cpv. 1 lett. b); - servizio pubblico di telefonia mobile (cpv. 1 lett. c, standardizzato mediante 3GPP 28), inclusa la gestione virtuale (MVNO); - fornitura di servizi di telefonia e multimediali per terzi, inclusi i servizi di telefonia e multimediali basati su Internet nonché i servizi di comunicazione pubblici ai quali l’UFCOM ha attribuito elementi di indirizzo o i quali necessitano di una concessione di radiocomunicazione, a condizione che al cliente siano forniti insieme all’accesso alla rete (cpv. 1 lett. d). I servizi di cui al capoverso 2 non sono considerati servizi di telecomunicazione e i relativi fornitori sono esclusi dalla categoria FST. Ciò è motivato dalla scarsa rilevanza di questi servizi per la sorveglianza delle telecomunicazioni. Tra questi servizi rientrano ad esempio i media elettronici pubblici, la fornitura e la trasmissione di programmi radiotelevisivi, i servizi di streaming audio e video pubblici nonché i portali video pubblici (per altri esempi, v. commenti all’art. 16d cpv. 2).
Art. 16b FST con obblighi ridotti Come per il vigente articolo 51 OSCPT, un FST può essere esonerato da determinati obblighi (ed essere attribuito alla sottocategoria FST con obblighi ridotti) conformemente all’articolo 26 capoverso 6 LSCPT soltanto se ne fa richiesta. Secondo la LSCPT un FST ha compiti integrali fintanto che non interviene (art. 16c).
I FST che adempiono le condizioni di cui al capoverso 1 possono tuttora presentare una domanda al Servizio SCPT (tramite Extranet) in modo semplice e senza lungaggini burocratiche. Se viene trasmesso un mandato di sorveglianza a un FST che soddisfa manifestamente le condizioni per essere attribuito a una categoria inferiore, ma che non ne ha fatto richiesta, tale FST dovrebbe eseguire la sorveglianza o, se non è in grado di farlo, deve assumersi le spese previste in caso di insufficiente collaborazione (art. 34 cpv. 1 LSCPT). In un tal caso il Servizio SCPT agisce in modo pragmatico e concede al FST la possibilità di richiedere immediatamente l’attribuzione alla sottocategoria FST con obblighi ridotti, che per quanto possibile conferma il giorno stesso. Finora in tali casi non è mai stata applicata la disposizione che prevede l’assunzione delle spese in caso di insufficiente collaborazione.
28 Il 3GPP (3rd Generation Partnership Project) è una collaborazione a livello mondiale fra enti che si occupano di standardizzazione nella telefonia mobile.
La denominazione della sottocategoria è sostituita con la formulazione più semplice FST con obblighi ridotti (art. 51 vigente: «FST con obblighi di sorveglianza ridotti»), poiché l’esonero non riguarda unicamente gli obblighi di sorveglianza. Il capoverso 1 disciplina le condizioni per l’attribuzione alla sottocategoria FST con obblighi ridotti.
La lettera a (offre tali servizi di telecomunicazione soltanto nel settore dell’istruzione e della ricerca) corrisponde al vigente articolo 51 capoverso 1 lettera a OSCPT e dal profilo del contenuto resta invariata.
Anche la lettera b numero 1 (incarichi di sorveglianza di dieci diversi obiettivi di sorveglianza negli ultimi 12 mesi) corrisponde al vigente articolo 51 capoverso 1 lettera b numero 1 OSCPT. Ora è precisato che per il calcolo del numero di sorveglianze occorre tenere conto di tutti i servizi di telecomunicazione e servizi di comunicazione derivati offerti da tale fornitore; le categorie FSCD e FST non sono quindi conteggiate separatamente. Questo per motivi pratici, infatti, i fornitori che sono sia FST che FSCD sono registrati nelle statistiche del Servizio SCPT nel loro complesso senza distinguere le singole categorie.
Il numero 2 disciplina tuttora l’importo determinante del fatturato annuo, il quale però con l’entrata in vigore del presente progetto corrisponde al fatturato annuo in Svizzera dell’intera impresa e non più al fatturato annuo in Svizzera conseguito con i servizi di telecomunicazione e i servizi di comunicazione derivati (cfr. vigente art. 51 cpv. 1 lett. b n. 2). Questa modifica è apportata per motivi di semplificazione, perché nella prassi è emerso che è molto più semplice determinare e documentare il fatturato annuo dell’intera impresa. Inoltre alcuni servizi di telecomunicazione e servizi di comunicazione derivati generano un’esigua cifra d’affari ma contribuiscono in altro modo alle entrate dell’impresa (p. es. pubblicità). L’importo di 100 milioni di franchi resta invariato. In più è precisato che, come finora, per il calcolo del fatturato annuo sono determinanti entrambi gli ultimi due esercizi. Dal punto di vista del FST, ciò significa che vengono presi in considerazione solo gli ultimi due esercizi conclusi, l’ultimo e il penultimo. Un fornitore che fa il suo ingresso sul mercato può chiedere subito di essere attribuito alla sottocategoria FST con obblighi ridotti e gli sarà concesso un termine transitorio come FST con obblighi ridotti anche se il suo fatturato annuo dovesse risultare più elevato. Solo quando un FST con obblighi ridotti non adempie più le condizioni di cui al capoverso 1, il Servizio SCPT lo riattribuisce alla sottocategoria FST con obblighi integrali (art. 16c cpv. 2).
Il capoverso 2 disciplina come finora i cosiddetti gruppi di imprese. Se un fornitore controlla una o più imprese soggette all’obbligo di presentare i conti, per determinare il numero dei mandati di sorveglianza e il fatturato annuo queste imprese sono considerate come unità (cpv. 1 lett. b). La disposizione rinvia all’articolo 963 capoversi 1 e 2 del Codice delle obbligazioni (CO 29), che va applicato per analogia.
Il capoverso 3 prevede un obbligo di comunicazione per un FST con obblighi ridotti che non adempie più le condizioni per essere esonerato dagli obblighi di cui al capoverso 1.
29 RS 220
Da questo obbligo di comunicazione è escluso il numero di incarichi di sorveglianza secondo il capoverso 1 lettera b numero 1, che è invece determinato dal Servizio SCPT. La comunicazione di cui alla lettera a (non offre più i servizi soltanto nel settore dell’istruzione e della ricerca) deve avvenire immediatamente, mentre per quella di cui alla lettera b (ha raggiunto un determinato fatturato), al FST è concesso un termine di tre mesi dalla conclusione del suo esercizio annuale. Il Servizio SCPT mette a disposizione strumenti idonei per trasmettere la comunicazione, ad esempio un modulo online reperibile su Extranet. Il FST deve fornire tempestivamente giustificativi adeguati. In caso di inosservanza di tale obbligo, il Servizio SCPT può adottare misure contro il fornitore inadempiente, come ad esempio misure di vigilanza (art. 41 cpv. 2 LSCPT in combinato disposto con l’art. 58 cpv. 2 lett. a LTC), di partecipazione alle spese in caso di insufficiente collaborazione (art. 34 LSCPT) o persino multe (art. 39 LSCPT).
Il capoverso 4 costituisce la base legale affinché il Servizio SCPT possa verificare se l’importo di cui al capoverso 1 lettera b numero 2 (fatturato annuo) non è stato raggiunto o è stato effettivamente superato e se il fornitore ha indicato correttamente i servizi di comunicazione forniti. Il Servizio SCPT può innanzitutto ricorrere ai dati ottenuti mediante l’esecuzione della legislazione in materia di sorveglianza del traffico postale e delle telecomunicazioni (p. es. numero dei mandati di sorveglianza). In più può consultare i dati ottenuti da altre autorità mediante l’esecuzione del diritto federale.
I principali obblighi di collaborazione di un FST con obblighi ridotti sono i seguenti: 1. per i servizi di telefonia mobile, verificare i dati degli utenti (art. 20), fornire la prova dell’identità (art. 20a e 20b) nonché consegnare i mezzi di accesso e attivare i servizi per il SIC e le autorità di polizia (art. 20c);
2. per gli altri servizi, identificare le persone con mezzi adeguati (art. 19);
3. conservare i dati necessari per fornire informazioni (art. 21 cpv. 1-4);
4. fornire informazioni standardizzate (art. 18 cpv. 3);
5. fornire informazioni particolari (art. 25);
6. fornire la prova della propria disponibilità a informare (art. 31);
7. fornire le informazioni necessarie all’attuazione della sorveglianza (art. 26 cpv. 2 lett. a LSCPT); 8. tollerare le misure di sorveglianza e permettere l’accesso ai propri impianti (art. 26 cpv. 2 lett. b LSCPT e art. 53 OSCPT); 9. sopprimere i criptaggi effettuati dal fornitore (art. 26 cpv. 2 lett. c LSCPT e art. 50a OSCPT); e 10. trasmettere, su richiesta, i metadati delle telecomunicazioni di cui dispone (non ha quindi alcun obbligo di conservare i metadati) sulla persona sorvegliata (art. 26 cpv. 6 LSCPT).
Va ricordato che il FST può ricorrere a terzi come ausiliari (art. 23 OSCPT).
Art. 16c FST con obblighi integrali Come illustrato all’articolo 16b, conformemente alla LSCPT, un FST ha obblighi integrali fintanto che non interviene. Se adempie le condizioni di cui all’articolo 16b capoverso 1, il FST può chiedere al Servizio SCPT di essere attribuito alla sottocategoria FST con obblighi ridotti. Tale attribuzione entra in vigore soltanto con la dichiarazione del
Servizio SCPT (cpv. 1); fino a quel momento il fornitore è considerato FST con obblighi integrali.
Se le condizioni per l’esonero dagli obblighi di cui all’articolo 16b capoverso 1 non sono più adempiute, il FST è tenuto a comunicarlo al Servizio SCPT (cfr. art. 16b cpv. 3). Siccome in quel momento il FST ha ancora obblighi ridotti, tale obbligo di comunicazione è introdotto all’articolo 16b. Generalmente il Servizio SCPT viene a conoscenza del non adempimento delle condizioni tramite la comunicazione del FST. A quel punto il Servizio SCPT attribuisce il fornitore alla sottocategoria FST con obblighi integrali conformemente al capoverso 2.
Il capoverso 3 disciplina i termini transitori per l’attribuzione alla sottocategoria FST con obblighi integrali. Per gli obblighi più difficili da mettere in atto conformemente alle lettere a-c (v. n. 4-6 del seguente elenco) è previsto un termine di 12 mesi, mentre per gli altri obblighi supplementari (v. n. 1-3 del seguente elenco) si applica un termine di attuazione di sei mesi (cpv. 4). Va ricordato che il FST può ricorrere a terzi come ausiliari (art. 23 OSCPT).
Un FST con obblighi integrali è tenuto ad adempiere i seguenti obblighi di collaborazione supplementari rispetto a un FST con obblighi ridotti (art. 16b):
1. fornire un servizio di picchetto (art. 11 cpv 1);
2. conservare i metadati necessari per determinate informazioni (art. 21 cpv. 5 e 7) e le sorveglianze retroattive (art. 26 cpv. 5 LSCPT); 3. fornire le informazioni tramite l’interfaccia di consultazione (art. 18 cpv. 1) e fornire la corrispondente prova della propria disponibilità a informare per questi nuovi obblighi di informazione, in particolare per la fornitura manuale di informazioni tramite l’interfaccia di consultazione (art. 31);
4. fornire le informazioni in forma automatizzata (art. 18 cpv. 2);
5. trasmettere, su richiesta, il contenuto e i metadati del traffico delle
telecomunicazioni della persona sorvegliata (art. 26 cpv. 1 LSCPT); e 6. fornire la prova della propria disponibilità a sorvegliare (art. 31) nonché la prova della propria disponibilità a informare (art. 31) per gli altri nuovi obblighi di informazione, in particolare per la fornitura di informazioni in forma automatizzata. Art. 16d FSCD La breve definizione di FSCD all’articolo 2 lettera c LSCPT nella prassi ha condotto a interpretazioni divergenti 30, motivo per cui la categoria dei FSCD è precisata in questo nuovo articolo.
30 Cfr. Parere del Consiglio federale del 22 mag. 2019 all’interpellanza Beat Flach 19.3267, la risposta del Consiglio federale del 11 set. 2019 alla domanda Beat Flach 19.5273, nonché il rapporto del Consiglio federale del 18 ott.
2023 in adempimento del postulato Albert Vitali 19.4031.
I FST e i FSCD forniscono entrambi servizi di comunicazione per terzi. A differenza dei FST, i FSCD non sono responsabili di trasmettere le informazioni mediante telecomunicazione e non le trasmettono essi stessi.
Il capoverso 1 riprende la breve definizione ai sensi della LSCPT e precisa l’elemento principale per distinguere i servizi di telecomunicazione dai servizi di comunicazione derivati: per trasmettere le informazioni mediante telecomunicazione, un servizio di comunicazione derivato fa sempre affidamento a un servizio di telecomunicazione. Ciò significa che un servizio di comunicazione derivato funziona in modo completamente indipendente dal servizio di accesso alla rete (cosiddetto access agnostic, per il servizio di comunicazione derivato è quindi del tutto irrilevante quale accesso alla rete è utilizzato).
In altre parole, un servizio di comunicazione che non rientra tra i servizi di telecomunicazione di cui all’articolo 16a capoverso 1 e non è considerato un’eccezione secondo l’articolo 16a capoverso 2, è un servizio di comunicazione derivato. Visti i molteplici servizi di comunicazione derivati esistenti, nel testo di ordinanza si rinuncia a un elenco esaustivo.
Tra i servizi di comunicazione derivati rientrano in particolare: - servizi di accesso indiretto a Internet, forniti indipendentemente dal servizio di accesso a Internet (p. es. VPN – Virtual Private Network – o servizi proxy); dal punto di vista del cliente sono necessari due rapporti contrattuali (uno per l’accesso a Internet e un altro per il servizio di comunicazione derivato); il servizio modifica in particolare l’indirizzo IP sorgente con il quale l’utente naviga in rete (in un altro indirizzo IP diverso da quello assegnato dal fornitore dell’accesso a Internet). Un servizio VPN trasmette dati con criptaggio end-to-end tramite Internet in un cosiddetto tunnel, permette quindi di deviare le connessioni a Internet e consente all’utente di accedere a Internet con un indirizzo IP diverso da quello assegnatogli originariamente al momento dell’accesso alla rete. Anche i servizi proxy consentono di deviare le connessioni a Internet e servono ad esempio per anonimizzare gli utenti o aggirare i blocchi geografici (geoblocking). Il geoblocking permette di applicare restrizioni geografiche in Internet, ad esempio per fare in modo che soltanto gli utenti di un certo Paese possano accedere a un sito web. Questi servizi di accesso indiretto a Internet vanno distinti dai servizi di accesso a Internet provenienti da un’unica fonte, che includono una componente con accesso (indiretto) ma dal punto di vista del cliente sottostanno a un unico contratto e sono quindi considerati servizi di telecomunicazione (p. es. BBCS, v. commenti all’art. 16a); - applicazioni, ad esempio applicazioni mobili o programmi per la trasmissione di dati tra gli utenti (terzi), come voce, testo, audio, immagine, video, segnali, valori misurati o una qualsiasi combinazione tra questi, che non sono stati forniti insieme all’accesso alla rete (contrariamente all’art. 16a cpv. 1 lett. d); - servizi di comunicazione per terzi basati su Internet, i quali fanno concorrenza ai classici servizi di telecomunicazione offerti dai gestori delle reti e vanno equiparati a questi ultimi sul piano funzionale. Sono forniti in modo indipendente dall’accesso
alla rete (separazione di rete e servizi); ne è un esempio la telefonia basata su Internet, che non viene offerta insieme all’accesso alla rete (al contrario dell’art. 16a cpv. 1 lett. d); - posta elettronica per terzi, inclusi webmail e applicazioni per servizi di posta elettronica; - servizi di messaggistica per terzi basati su Internet, ad esempio applicazioni e piattaforme di messaggistica istantanea, chat; - servizi online per la memorizzazione di dati, ad esempio cloud storage, file hosting, share hoster, online storage, file sharing, che servono principalmente per archiviare file. Tra questi rientrano ad esempio servizi di archiviazione (servizi cloud) o di condivisione (collaborazione online). La comunicazione si svolge tramite la condivisione di file o la possibilità di modificare i file condivisi. Se un hosting provider offre anche l’accesso a Internet tramite server, per il servizio di accesso a Internet è considerato un FST. È necessario adottare un approccio differenziato per le offerte con diversi servizi, come ad esempio social media e microblogging, che di regola permettono di pubblicare contenuti. Un servizio che consente agli utenti di comunicare pubblicamente non è considerato né un servizio di telecomunicazione né un servizio di comunicazione derivato (informazioni destinate al pubblico; art. 16a cpv. 2 lett. a). Un servizio che invece permette lo scambio di messaggi diretti o personali, generalmente, appartiene alla categoria FSCD.
Un altro esempio di offerta con servizi appartenenti a diverse categorie è un orario online dei trasporti pubblici. Si tratta essenzialmente di un’offerta informativa destinata al pubblico, che non rientra né tra i FST né tra i FSCD. Tuttavia, se questo orario online offre anche un servizio di posta elettronica per trasmettere messaggi a terzi, il fornitore di questo servizio è considerato un FSCD, poiché si tratta di una comunicazione multilaterale che funziona sempre in modo indipendente dal servizio di accesso alla rete.
Altri esempi di servizi misti sono la comunicazione per e-mail o tramite chat tra fornitori e altri interessati sulle piattaforme di commercio online (principalmente pensate per l’acquisto e la vendita di prodotti) nonché la comunicazione testuale, vocale o tramite video tra utenti di giochi elettronici (funzione principale: gioco elettronico).
Al capoverso 2 sono disciplinate le eccezioni tramite il rimando all’articolo 16a capoverso 2, poiché per analogia si applicano le stesse disposizioni previste per i FST.
I fornitori non sono considerati né FST né FSCD se forniscono:
- servizi per la trasmissione di programmi radiotelevisivi pubblici (p. es. TV via cavo, Internet TV, webradio, streaming); - servizi per condividere pubblicamente e trasmettere contenuti (p. es. piattaforme di video sharing, video on demand); - servizi per commentare contenuti online (p. es. area commenti di un giornale online);
- servizi associati (associated services), ovvero servizi legati a una rete o a un servizio di telecomunicazione, che consentono o supportano la messa a disposizione, la fornitura interna o la fornitura automatizzata di servizi tramite la rete o il servizio in questione. A differenza dei servizi integrati, quelli associati non fanno parte del servizio di telecomunicazione. Tra i servizi associati si annoverano domain name system, sistemi di conversione del numero (p. es. rete intelligente, conversione di numeri brevi o numeri di servizi a valore aggiunto), sistemi di autorizzazione dell’accesso nonché sistemi non integrati che permettono di stabilire l’identità, la localizzazione e lo stato dell’utente ma non di comunicare (p. es. applicazioni come servizi cartografici online, geofencing, servizi di tracciamento (tracking), segnalazioni sul traffico, riconoscimento code, applicazioni per l’acquisto di biglietti basato sulla localizzazione); - servizi di localizzazione (location based services), che non permettono la comunicazione tra gli utenti; - motori di ricerca; - cloud computing, se non è fornito né un accesso a Internet né servizio di comunicazione per terzi. I FSCD sono suddivisi nelle seguenti sottocategorie in base ai loro obblighi: - FSCD con obblighi minimi (art. 16e); corrisponde all’attuale FSCD senza obblighi supplementari; - FSCD con obblighi ridotti (art. 16f); è ridefinito ed è paragonabile alla sottocategoria FST con obblighi ridotti. Le minime differenze riguardano unicamente gli obblighi di informazione, poiché per definizione i FSCD non forniscono servizi di telefonia mobile e per loro determinati tipi di informazione (p. es. art. 48b) o indicazioni (p. es. numero del dispositivo) non sono rilevanti; - FSCD con obblighi integrali (art. 16g); è ridefinito e corrisponde all’incirca all’unione tra gli attuali FSCD con obblighi di informazione supplementari e i FSCD con obblighi di sorveglianza supplementari. La sottocategoria FSCD con obblighi integrali è paragonabile alla sottocategoria dei FST con obblighi integrali. Le minime differenze riguardano gli obblighi di informazione, poiché per definizione i FSCD non forniscono servizi di telefonia mobile e per loro determinati tipi di informazione (p. es. art. 48b) o di sorveglianza (p. es. AS_34) o indicazioni relative all’informazione o alla sorveglianza (p. es. numero di carta SIM o del dispositivo) non sono rilevanti. Il capoverso 3 prevede un obbligo di comunicazione per i FSCD, i quali su richiesta del Servizio SCPT gli mettono a disposizione determinati dati e giustificativi affinché possa verificare il raggiungimento dei valori di cui agli articoli 16f capoverso 1 e 16g capoverso 1 (numero di utenti e fatturato annuo). Il Servizio SCPT mette a disposizione strumenti idonei per trasmettere questi dati e giustificativi, come ad esempio un modulo online reperibile su Extranet. In caso di inosservanza di tale obbligo, il Servizio SCPT può adottare misure contro il fornitore inadempiente, come ad esempio misure di vigilanza (art. 41 cpv. 2 LSCPT in combinato disposto con l’art. 5 cpv. 2 lett. a LTC), di partecipazione alle spese in caso di insufficiente collaborazione (art. 34 LSCPT) o persino multe (art. 39 LSCPT).
Il capoverso 4 costituisce la base legale affinché il Servizio SCPT possa verificare se i valori di cui agli articoli 16f e 16g (numero di utenti e fatturato annuo) siano stati effettivamente raggiunti o superati. Il Servizio SCPT può innanzitutto ricorrere ai dati
ottenuti mediante l’esecuzione della legislazione in materia di sorveglianza del traffico postale e delle telecomunicazioni. In più può consultare i dati ottenuti da altre autorità mediante l’esecuzione del diritto federale.
Art. 16e FSCD con obblighi minimi A differenza dei FST, che all’inizio hanno obblighi integrali da cui a determinate condizioni possono essere esonerati (attribuzione alla sottocategoria FST con obblighi ridotti), inizialmente i FSCD appartengono alla sottocategoria con obblighi minimi e devono adempiere meno obblighi di collaborazione tra i FSCD. A determinate condizioni, tali FSCD possono essere attribuiti a due livelli superiori: 1° livello: FSCD con obblighi ridotti (art. 16f) 2° livello: FSCD con obblighi integrali (art. 16g)
Conformemente al capoverso 1, un FSCD è considerato un FSCD con obblighi minimi fintanto che non adempie le condizioni di cui agli articoli 16f capoverso 1 e 16g capoverso 1. Alla sottocategoria dei FSCD con obblighi minimi appartengono tutti i FSCD che non raggiungono i valori minimi di 5000 utenti e 100 milioni di franchi di fatturato annuo. Una volta raggiunto tale fatturato annuo, il FSCD è attribuito alla sottocategoria FSCD con obblighi integrali (art. 16g).
Un FSCD con obblighi minimi ha i seguenti obblighi di collaborazione principali:
1. trasmettere informazioni in modo informale (art. 18a e art. 25);
2. tollerare le misure di sorveglianza e permettere l’accesso ai propri impianti (art. 27 cpv. 1 LSCPT e art. 53); 3. fornire le informazioni necessarie all’attuazione della sorveglianza (art. 27 cpv. 1 lett. b LSCPT); e
4. trasmettere, su richiesta, i metadati delle telecomunicazioni della persona
sorvegliata di cui dispone (art. 27 cpv. 2 LSCPT).
Secondo il capoverso 2, i FSCD con obblighi minimi sono tenuti a comunicare che adempiono le condizioni per essere attribuiti alla sottocategoria FSCD con obblighi ridotti (art. 16f cpv. 1) o persino alla sottocategoria FSCD con obblighi integrali (art. 16g cpv. 1). Al FSCD è impartito un termine di tre mesi a decorrere dalla data di riferimento (30 giugno) o dalla chiusura dell’esercizio per comunicare il numero di utenti e il fatturato annuo. I FSCD con obblighi minimi devono quindi determinare una volta all’anno entro il 30 giugno il numero medio di utenti degli ultimi 12 mesi. Se sono stati più di 5000, il FSCD è tenuto a comunicarlo al Servizio SCPT entro tre mesi. Se le condizioni di cui all’articolo 16f capoverso 1 sono adempiute, il FSCD è attribuito, automaticamente per legge e indipendentemente dalla comunicazione del FSCD, alla sottocategoria FSCD con obblighi ridotti dal 1° luglio (il giorno dopo la data di riferimento). Il Servizio SCPT non deve documentare l’attribuzione separatamente.
Se nei 12 mesi prima della data di riferimento il numero medio di utenti di un FSCD equivale ad almeno 1 milione, il FSCD è tenuto a comunicarlo al Servizio SCPT entro tre mesi dalla data di riferimento. Il FSCD è attribuito, automaticamente per legge e indipendentemente dalla comunicazione del FSCD, alla sottocategoria FSCD con obblighi ridotti dal 1° luglio dello stesso anno. Se le condizioni sono adempiute, il Servizio
SCPT impartisce senza indugio obblighi integrali al FSCD (art. 16g) ed entra quindi in vigore l’attribuzione alla sottocategoria FSCD con obblighi integrali.
I FSCD con obblighi minimi devono inoltre determinare una volta all’anno alla fine del loro esercizio il proprio fatturato annuo dell’esercizio appena concluso e il precedente. Se nei due esercizi il fatturato annuo dell’intera azienda ammonta ad almeno 100 milioni di franchi (art. 16g cpv. 1 lett. b), il FSCD deve comunicarlo al Servizio SCPT entro tre mesi dalla chiusura dell’esercizio. Se le condizioni sono adempiute, il Servizio SCPT impartisce senza indugio obblighi integrali al FSCD (art. 16g) ed entra quindi in vigore l’attribuzione alla sottocategoria FSCD con obblighi integrali.
Il Servizio SCPT mette a disposizione strumenti idonei per trasmettere questi dati, come ad esempio un modulo online reperibile su Extranet. Il FSCD deve fornire giustificativi adeguati tempestivamente con la comunicazione. Se tale obbligo di comunicazione non è adempiuto, il Servizio SCPT può adottare misure contro il fornitore, come ad esempio misure di vigilanza (art. 41 cpv. 2 LSCPT in combinato disposto con l’art. 5 cpv. 2 lett. a LTC), di partecipazione alle spese in caso di insufficiente collaborazione (art. 34 LSCPT) o persino multe (art. 39 LSCPT).
Art. 16f FSCD con obblighi ridotti All’articolo 22 capoverso 4 e all’articolo 27 capoverso 3 LSCPT, il legislatore ha conferito al Consiglio federale la competenza di imporre ai FSCD obblighi supplementari (cfr. art. 22 e 52 OSCPT vigenti). Il presente articolo sfrutta tale competenza, per questo motivo alcune disposizioni della LSCPT vigenti per i FST sono applicabili per analogia ai FSCD con obblighi ridotti. Gli obblighi di un FSCD con obblighi ridotti si basano su quelli di un FST con obblighi ridotti (art. 16b).
Il capoverso 1 definisce le condizioni che determinano l’appartenenza alla sottocategoria FSCD con obblighi ridotti: il numero medio di utenti di tutti i servizi di comunicazione derivati del FSCD negli ultimi 12 mesi prima della data di riferimento (30 giugno) deve essere compreso tra 5000 e 1 milione e il fatturato annuo in Svizzera in entrambi gli ultimi due esercizi deve essere inferiore a 100 milioni di franchi. Ciò è reso esplicito dal rimando all’articolo 16g capoverso 1: una volta raggiunto tale valore, il FSCD viene attribuito alla sottocategoria FSCD con obblighi integrali (per il concetto di utente, cfr. definizione all’all. n. 2 OSCPT). Il numero medio di utenti è calcolato dividendo per 12 la somma del numero di utenti mensile dal 1° luglio dell’anno precedente al 30 giugno dell’anno in corso. Sono sommati gli utenti di tutti i servizi di comunicazione derivati del relativo FSCD. Gli utenti dei servizi di telecomunicazione dello stesso fornitore non sono presi in considerazione. Se il FSCD in questione offre servizi di comunicazione derivati che non richiedono alcuna registrazione, alcun contratto e alcun mezzo di accesso, al posto degli utenti si tiene conto degli utilizzatori effettivi (unique user) per mese, ovvero coloro che usano effettivamente il servizio almeno una volta al mese.
Come per l’articolo 16e capoverso 2, il Servizio SCPT non dichiara più caso per caso che i FSCD hanno obblighi ridotti, ma l’attribuzione avviene automaticamente per legge quando le condizioni di cui al capoverso 1 sono adempiute. La via legale continua a essere garantita perché in caso di controversie i FSCD possono chiedere al Servizio
SCPT una decisione di accertamento impugnabile presso il Tribunale amministrativo federale.
Il capoverso 2 prevede un termine per la comunicazione da parte dei FSCD con obblighi ridotti analogo a quello previsto per i FSCD con obblighi minimi (v. per analogia i commenti all’art. 16e cpv. 2).
Secondo il capoverso 3, per determinare il numero di utenti e il fatturato annuo si applicano i cosiddetti gruppi di interesse (v. per analogia i commenti all’art. 16b cpv. 2).
Il capoverso 4 prevede un termine transitorio per un FSCD appena attribuito alla sottocategoria FSCD con obblighi ridotti: tale FSCD deve adempiere i propri obblighi di collaborazione supplementari entro sei mesi dalla data di riferimento (30 giugno). È tenuto a:
1. identificare le persone con mezzi adeguati (art. 19);
2. conservare i dati necessari per fornire informazioni (art. 21 cpv. 1);
3. fornire informazioni standardizzate (art. 18 cpv. 3);
4. fornire informazioni particolari (art. 25);
5. fornire la prova della propria disponibilità a informare (art. 31); e
6. sopprimere i criptaggi effettuati dal fornitore (art. 27 cpv. 3 LSCPT e art. 50a).
Il capoverso 5 disciplina la riattribuzione alla sottocategoria FSCD con obblighi minimi, ossia quando al 30 giugno dell’anno in corso un FSCD con obblighi ridotti non adempie più le condizioni di cui al capoverso 1. Il FSCD può quindi chiedere al Servizio SCPT di essere riattribuito a tale sottocategoria, fornendo i corrispondenti giustificativi. Il Servizio SCPT valuta la domanda e, se il FSCD dà prova di adempiere le pertinenti condizioni, lo dichiara senza indugio FSCD con obblighi minimi. Una volta entrata in vigore questa dichiarazione, il FSCD non è più tenuto ad adempiere gli obblighi supplementari di cui al capoverso 4.
Art. 16g FSCD con obblighi integrali All’articolo 22 capoverso 4 e all’articolo 27 capoverso 3 LSCPT, il legislatore ha conferito al Consiglio federale la competenza di imporre ai FSCD obblighi supplementari (cfr. art. 22 e 52 OSCPT vigenti). Il presente articolo sfrutta tale competenza, per questo la maggior parte delle vigenti disposizioni della LSCPT previste per i FST sono applicabili per analogia ai FSCD con obblighi integrali. Gli obblighi di un FSCD con obblighi integrali si basano su quelli di un FST con obblighi integrali (art. 16c).
Tra i FSCD con obblighi integrali si annoverano fornitori con una grande importanza economica o con un gran numero di utenti conformemente agli articoli 22 capoverso 4 e
27 capoverso 3 LSCPT, come indicato al capoverso 1 lettere a e b.
Per il calcolo del numero di utenti (lett. a) si rimanda ai commenti all’articolo 16f capoverso 1, mentre per il calcolo del fatturato annuo (lett. b) ai commenti all’articolo 16b capoverso 1 lettera b numero 2. L’importo di 100 milioni di franchi resta invariato e corrisponde all’importo di cui all’articolo 52 capoverso 1 lettera b OSCPT finora applicabile ai FSCD con obblighi di sorveglianza supplementari.
Conformemente al capoverso 2, per determinare il numero di utenti e il fatturato annuo si tiene conto del cosiddetto gruppo di imprese (v. per analogia i commenti all’art. 16b cpv. 2).
Il capoverso 3 disciplina i termini transitori a decorrere dall’attribuzione a una sottocategoria superiore per adempiere i relativi obblighi: sei mesi per gli obblighi più semplici di cui alla lettera a e 12 mesi per quelli più complessi di cui alla lettera b. Va ricordato che il FSCD può ricorrere a terzi come ausiliari (art. 23 OSCPT).
Il capoverso 4 disciplina la riattribuzione alla sottocategoria FSCD con obblighi minimi o FSCD con obblighi ridotti. Se un FSCD con obblighi integrali stabilisce che alla data di riferimento non raggiunge più i valori di cui al capoverso 1 lettera a (numero di utenti) o, una volta concluso l’esercizio non raggiunge più il valore di cui al capoverso 1 lettera b (fatturato annuo), può richiedere al Servizio SCPT di essere attribuito a un livello inferiore, fornendo i corrispondenti giustificativi. Il Servizio SCPT valuta la richiesta e, se il FSCD dimostra di adempiere le pertinenti condizioni, il Servizio SCPT lo dichiara immediatamente FSCD con obblighi ridotti o FSCD con obblighi minimi. Dall’entrata in vigore di tale dichiarazione, il FSCD non deve più adempiere i rispettivi obblighi di collaborazione supplementari.
Art. 16h Persone che mettono a disposizione di terzi il loro accesso a una rete pubblica di telecomunicazione L’interpretazione della LSCPT vigente presenta un’incertezza anche nella distinzione tra le categorie FST (art. 2 lett. b LSCPT) e PAT (art. 2 lett. e LSCPT) nel caso di accessi WLAN pubblici gestiti professionalmente (hotspot WIFI).
Conformemente al capoverso 1, sono considerate PAT le persone fisiche o giuridiche che mettono a disposizione di terzi il loro accesso a una rete pubblica di telecomunicazione (p. es. accesso WLAN a Internet) senza fornire il servizio di accesso. Tra queste rientrano ad esempio i privati, gli hotel, i ristoranti, i bar, gli ospedali, le case anziani e le scuole.
Nel capoverso 2 ora è disciplinato il valore soglia per considerare un WLAN pubblico «gestito professionalmente». Tale valore corrisponde al numero massimo possibile di utilizzatori finali (capacità) di tutti gli accessi WLAN pubblici messi a disposizione dalla stessa PAT, indipendentemente dalla loro ubicazione. Il numero effettivo di utilizzatori dei singoli accessi WLAN in un determinato momento non è quindi decisivo.
Esempi:
1) La PAT 1 mette a disposizione tre accessi WLAN pubblici: il WLAN 1 ha una capacità massima di 100 utilizzatori finali, il WLAN 2 di 200 e il WLAN 3 di 500. La capacità complessiva è quindi di 800 utilizzatori finali, perciò i tre accessi WLAN della PAT 1 non sono gestiti professionalmente.
2) La PAT 2 mette a disposizione due accessi WLAN pubblici: il WLAN 1 ha una capacità massima di 500 utilizzatori finali, il WLAN 2 di 600. La capacità
complessiva è quindi di 1100 utilizzatori finali, perciò i due accessi WLAN della PAT 2 sono gestiti professionalmente.
Per gli accessi WLAN gestiti professionalmente, il FST che offre l’accesso a Internet a cui è collegato il WLAN è tuttora tenuto a garantire con mezzi adeguati l’identificazione di tutti gli utilizzatori finali (art. 19 cpv. 2 OSCPT, la cosiddetta identificazione indiretta, p. es. tramite SMS a un numero di cellulare). Se il valore di cui al capoverso 2 è superato, una PAT non è considerata FST per la sua attività di messa a disposizione. Se però la stessa PAT offre anche l’accesso a Internet, per questo servizio è considerata un FST (conformemente all’art. 16a cpv. 1 lett. b).
Un accesso WLAN è considerato pubblico se è messo a disposizione di un numero non prestabilito di utenti e questi non sono identificati singolarmente. Per tenere conto del principio di proporzionalità, per la categoria PAT il legislatore ha previsto meno obblighi di quelli impartiti ai FST.
Da un lato, per il perseguimento penale sarebbe opportuno garantire l’identificazione completa di tutti gli utilizzatori finali dell’accesso WLAN, dall’altro però si cerca una soluzione pragmatica che, nel caso in cui il numero complessivo di utilizzatori è limitato, consenta di mettere a disposizione accessi WLAN (WIFI) senza la necessità di effettuare l’identificazione. Ciò è messo in atto definendo un limite di capacità complessivo (cpv. 2).
Di seguito è illustrata la distinzione tra FST (art. 16a) e PAT sulla scorta dell’esempio degli accessi WLAN pubblici. In questo contesto possono esserci diverse persone coinvolte:
1. la persona che offre l’accesso a Internet (collegamento a Internet) che consente al WLAN di connettersi a Internet;
2. la persona che mette a disposizione di terzi il proprio accesso a Internet tramite WLAN; e
3. la persona che offre un altro servizio per l’accesso WLAN pubblico (p. es. chi si occupa dell’installazione o dei lavori di manutenzione).
La persona 1 è sempre un FST (art. 16a cpv. 1 lett. b), perché fornisce un accesso a Internet a terzi (p. es. alla persona 2).
La persona 2 è una PAT, perché mette a disposizione di terzi l’accesso WLAN pubblico (art. 2 cpv. 1 lett. e LSCPT), anche se si tratta di un accesso gestito professionalmente.
La persona 3 (p. es. una ditta di installazione elettrica) non sottostà alla LSCPT per il suo servizio.
La persona 2 può strutturare la propria offerta in modo che l’accesso WLAN pubblico sia considerato come gestito professionalmente o no. Da ciò si evince se è necessario o meno procedere all’identificazione degli utilizzatori finali con mezzi adeguati (art. 19 cpv. 2) (v. i commenti al cpv. 2).
Un’altra possibilità di accesso WLAN pubblico a Internet consiste nel fatto che la persona 2 fa installare solo un’offerta WLAN pubblica di un FST nei propri locali o nel proprio immobile, senza mettere quindi a disposizione il proprio accesso WLAN ma avvalendosi di un’offerta diretta di un FST. In un simile caso la persona 2 non rientra nella categoria PAT (art. 2 cpv. 1 lett. e LSCPT). Si tratta di un accesso WLAN pubblico di un FST che fornisce anche il collegamento a Internet e pertanto sottostà agli obblighi di collaborazione ai sensi della LSCPT.
Accesso WLAN gestito professionalmente non gestito pubblico… professionalmente
messo a La persona 2 è una PAT La persona 2 è una PAT disposizione dalla persona 2 Il FST che offre l’accesso a Il FST che offre l’accesso a Internet a cui si collega il Internet a cui si collega il WLAN sottostà agli obblighi WLAN sottostà agli obblighi di identificazione con mezzi di identificazione con mezzi adeguati di cui all’art. 19 adeguati di cui all’art. 19 cpv. 1 riguardanti la cpv. 1 riguardanti la persona 2 e all’art. 19 cpv. 2 persona 2 ma non quelli di riguardanti gli utilizzatori cui all’art. 19 cpv. 2 finali. riguardanti gli utilizzatori finali.
come offerta Il FST che offre l’accesso N/A diretta di WLAN WLAN sottostà agli obblighi pubblico di un di identificazione con mezzi FST adeguati di cui all’art. 19 cpv. 1 e 2 riguardanti gli utenti e gli utilizzatori finali (se identici).
Titolo prima dell’art. 17 Vista la nuova sezione 1 «Categorie di persone obbligate a collaborare» che include i nuovi articoli 16a-16h, la numerazione dell’attuale «Sezione 1» è modificata in «Sezione 1a». Il titolo resta invariato: «Disposizioni generali per informazioni e sorveglianze».
Art. 18 Obblighi relativi alla trasmissione di informazioni da parte di fornitori con obblighi integrali e ridotti Al capoverso 1 le espressioni «FST, eccettuati quelli con obblighi di sorveglianza ridotti (art. 51)», «FSCD con obblighi di informazione supplementari (art. 22)» e «FSCD con obblighi di sorveglianza supplementari (art. 52)» sono semplificate sotto il profilo redazionale e sostituite con «i fornitori con obblighi integrali». Questi comprendono sia i FST con obblighi integrali (art. 16c) sia i FSCD con obblighi integrali (art. 16g). Le
denominazioni sono adeguate alla nuova classificazione delle sottocategorie di FSCD. Come ora, solo i fornitori con obblighi integrali devono collegarsi all’interfaccia di consultazione del sistema di trattamento del Servizio SCPT, ovvero alla componente per la fornitura delle informazioni. Le altre POC sono libere di decidere se collegarsi.
Il capoverso 2 subisce una modifica redazionale: la formulazione «FST, eccettuati quelli con obblighi di sorveglianza ridotti» è sostituita con l’espressione più semplice «FST con obblighi integrali». Le informazioni da fornire in forma automatizzata e il secondo periodo restano invariati. I nuovi tipi di informazione di cui agli articoli 38a, 42a e 43a rientrano nelle «altre informazioni standardizzate» e vanno fornite manualmente tramite l’interfaccia di consultazione del sistema di trattamento. Inoltre, come in precedenza, si applica una normativa opzionale per la fornitura in forma automatizzata delle «altre informazioni standardizzate», «se lo desiderano e d’accordo con il Servizio SCPT».
Al capoverso 3 è stata unicamente sostituita l’espressione «FST con obblighi di sorveglianza ridotti» con «fornitori con obblighi ridotti». Questi ultimi comprendono sia i FST con obblighi ridotti (art. 16b) sia i FSCD con obblighi ridotti (art. 16f).
Al capoverso 4, l’espressione «FSCD con obblighi supplementari ai sensi dell’articolo 22 o 52» è sostituita con «FSCD con obblighi integrali (art. 16g)». Questa modifica è resa necessaria dalla nuova classificazione e denominazione delle sottocategorie di FSCD. Soltanto i FSCD con obblighi integrali sono tenuti a fornire informazioni in forma automatizzata. Questo capoverso, che disciplina gli obblighi di informazione dei FSCD con obblighi integrali, è sostanzialmente la controparte del capoverso 2 (obblighi di informazione per FST con obblighi integrali). Nel presente progetto, la definizione di FST (art. 16a) e FSCD (art. 16d) consente di fare chiarezza in merito alla fornitura di informazioni secondo gli articoli 48a-48c, introdotti nell’ambito della precedente revisione. I FSCD con obblighi integrali sono ora solamente esentati dal fornire le informazioni secondo l’articolo 48b, perché questo tipo di informazione riguarda unicamente i servizi di telefonia mobile che non possono essere dei FSCD. I FSCD con obblighi integrali sono però tenuti a fornire i tipi di informazione di cui agli articoli 48a e 48c. Il resto del capoverso resta invariato. I nuovi tipi di informazione di cui agli articoli 38a, 42a e 43a rientrano nelle «altre informazioni standardizzate» di cui all’ultimo periodo e vanno fornite manualmente tramite l’interfaccia di consultazione del sistema di trattamento. Inoltre, come in precedenza, si applica una normativa opzionale per la fornitura in forma automatizzata delle «altre informazioni standardizzate», «se lo desiderano e d’accordo con il Servizio SCPT».
Art. 18a, rubrica nonché cpv. 1 e 3 (concerne soltanto il testo tedesco) La rubrica così come i capoversi 1 e 3 subiscono unicamente modifiche redazionali: al capoverso 1 l’espressione «i FSCD senza obblighi supplementari» è sostituita con «i FSCD con obblighi minimi». Nella versione tedesca del capoverso 3 «auf eigenen Wunsch» è sostituito con «Auf Wunsch» (se lo desiderano). Il resto dell’articolo resta invariato.
Art. 19 Identificazione degli utenti e degli utilizzatori La rubrica e il capoverso 1 subiscono modifiche redazionali. L’attuale rubrica «Identificazione degli utenti» è sostituita con «Identificazione degli utenti e degli utilizzatori» in quanto il capoverso 2 concerne entrambi.
Al capoverso 1 la formulazione «i FSCD con obblighi di informazione supplementari ai sensi dell’articolo 22, i FSCD con obblighi di sorveglianza supplementari ai sensi dell’articolo 52» è sostituita con «i FSCD con obblighi ridotti, i FSCD con obblighi integrali». Inoltre il rimando all’articolo 2 LSCPT è adeguato perché questa disposizione comprende due nuovi capoversi 31. Tra gli utenti si annoverano abbonati, titolari dei collegamenti, partner contrattuali, clienti finali eccetera, ma non necessariamente gli utilizzatori finali effettivi di un accesso a Internet o di un dispositivo. Ad esempio, se in una famiglia più membri e ospiti privati utilizzano il collegamento a Internet, la persona che ha concluso il contratto per tale servizio è considerata un utente. Gli altri membri della famiglia e ospiti privati che utilizzano tale collegamento, ossia gli utilizzatori finali effettivi, non devono essere identificati. Un’identificazione dell’utilizzatore finale è invece prevista per gli accessi WLAN pubblici gestiti professionalmente (cfr. art. 19 cpv. 2).
Per «mezzi adeguati», anche chiamati identificazione indiretta, si intendono le registrazioni implicite o semplificate mediante indicazioni affidabili (trusted). Esempi possibili: - codice di accesso via SMS sul cellulare e memorizzazione del MSISDN; - identificazione mediante carta di credito e memorizzazione dei dati dell’autorizzazione; - identificazione mediante carta d’imbarco negli aeroporti e memorizzazione dei relativi dati; - identificazione mediante la carta di un programma per frequent flyer, che permette l’accesso alla lounge, e memorizzazione dei dati dell’autorizzazione; - identificazione mediante i dati del documento d’identità con una zona leggibile elettronicamente (MRZ) e memorizzazione di tali dati; - identificazione mediante indicazioni affidabili dei partner di roaming e memorizzazione dei dati dell’autorizzazione; - codice di accesso individuale in albergo associato alla registrazione dell’ospite; - identificazione mediante carta SIM e memorizzazione dell’IMSI.
Un fornitore di servizi di posta elettronica, ad esempio, può adempiere il proprio obbligo di identificazione salvando e trasmettendo le indicazioni sull’origine della connessione dell’ultimo accesso (art. 42a); lo stesso vale per un fornitore di altri servizi di telecomunicazione o di comunicazione derivati (art. 43a). Non è sufficiente salvare le indicazioni sull’origine della connessione soltanto nel caso di apertura di un conto di posta elettronica (mailbox) o della prima attivazione del servizio, perché generalmente tali
31 Cfr. RU 2020 6159, in particolare 6180
indicazioni possono essere utilizzate soltanto per sei mesi (termine di conservazione dei dati di attribuzione di indirizzi IP dinamici e dati NAT) per l’identificazione degli utenti.
Il capoverso 2 ora specifica che si tratta sempre del FST che offre l’accesso a Internet al quale si connette il WLAN. In questo modo è precisata la differenza tra PAT, che mette a disposizione gli accessi WLAN pubblici gestiti professionalmente, e FST. A differenza del capoverso 1, in questo caso i FST devono identificare gli utilizzatori finali e non soltanto la PAT, ovvero il titolare del collegamento che mette a disposizione di terzi il proprio accesso.
Art. 20 cpv. 2 Al capoverso 2 è adeguato il rimando all’articolo 2 LSCPT, perché ora è costituito da due capoversi 32.
Art. 20a cpv. 1 lett. d e 1bis Al capoverso 1 è aggiunta la lettera d. Ora le persone fisiche possono essere identificate anche tramite una licenza di condurre svizzera. In questo modo si risponde a un desiderio molto diffuso di soluzioni pragmatiche. Sono consentite soltanto licenze di condurre svizzere nell’attuale formato in carta di credito: il documento originale o una versione digitale ufficiale; non è invece possibile utilizzare copie di licenze di condurre svizzere (ovvero senza mostrare l’originale), licenze di condurre svizzere in formato cartaceo o patenti di guida estere.
Conformemente al capoverso 1bis, se una persona fisica – ad esempio una ditta individuale (cfr. art. 3 cpv. 1 lett. c della legge federale del 18 giugno 2010 33 sul numero d’identificazione delle imprese (LIDI) e il relativo messaggio 34) – gestisce un’impresa che dispone di un numero d’identificazione delle imprese nazionale (IDI) secondo la LIDI o di un numero d’identificazione delle imprese internazionale (Legal Entity Identifier, LEI), può ora dare prova dell’identità anche secondo le disposizioni di cui all’articolo 20b, analogamente a quanto previsto per le persone giuridiche.
Art. 20b cpv. 1 lett. b La lettera b subisce una modifica redazionale: le abbreviazioni IDI e LEI non devono più essere esplicitate perché sono presenti già all’articolo 20a capoverso 1bis.
Art. 21 cpv. 1 lett. a e 5, frase introduttiva e lett. b nonché cpv. 6 Il capoverso 1 lettera a subisce una modifica redazionale, data dalle nuove denominazioni delle sottocategorie di FSCD: l’espressione «i FSCD con obblighi
32 Cfr. RU 2020 6159, in particolare 6180
33 RS 431.02 34 Messaggio del 28 ott. 2009 sulla legge federale sul numero d’identificazione delle imprese (FF 2009 6817)
supplementari secondo l’articolo 22 o 52» è sostituita con «i FSCD con obblighi ridotti e i FSCD con obblighi integrali». La lettera b resta invariata.
La frase introduttiva del capoverso 5 subisce una modifica redazionale: l’espressione «FST, eccettuati quelli con obblighi di sorveglianza ridotti (art. 51)» è sostituita con «FST con obblighi integrali». Alla lettera b è aggiunto un rimando al nuovo articolo 38a. L’articolo 39 non è più menzionato in quanto abrogato.
Il capoverso 6 subisce una modifica redazionale, data dalle nuove denominazioni delle sottocategorie di FSCD: l’espressione «FSCD con obblighi di sorveglianza supplementari (art. 52)» è sostituita con «FSCD con obblighi integrali». A differenza dei FST con obblighi integrali, i FSCD con obblighi integrali devono conservare per sei mesi soltanto i dati di cui al capoverso 5 lettera c ai fini dell’identificazione. Secondo le nuove definizioni di cui agli articoli 16a e 16d, i FSCD non offrono alcun servizio di telefonia mobile e di accesso alla rete, pertanto non sottostanno alle disposizioni di cui al capoverso 5 lettere a e b. Dunque è possibile rimuovere i rispettivi rimandi.
Art. 22 (abrogato) L’articolo 22 (FSCD con obblighi di informazione supplementari) è abrogato perché le disposizioni relative alle categorie e alle sottocategorie di POC ora sono disciplinate nella nuova sezione 1 «Categorie di persone obbligate a collaborare» (art. 16a-16h). Inoltre non si fa più distinzione tra i FSCD con obblighi di informazione e quelli con obblighi di sorveglianza e non esiste più una sottocategoria analoga ai FSCD con obblighi di informazione supplementari.
Art. 26 cpv. 1 lett. b e c Questo articolo elenca i tipi di informazione disciplinati nell’ordinanza. Al capoverso 1 lettera b si aggiungono i tre nuovi tipi di informazione IR_58_IP_INTERSECT (art. 38a), IR_59_EMAIL_LAST (art. 42a) e IR_60_COM_LAST (art. 43a). L’articolo 39 (IR_9_NAT) non è più menzionato perché abrogato (v. i relativi commenti).
La lettera c subisce una modifica, in quanto l’articolo 44 ora fa riferimento ai pagamenti e non più alle modalità di pagamento (v. i relativi commenti).
Art. 27 cpv. 2 La ricerca flessibile dei nomi ora è esplicitamente disciplinata anche per le persone giuridiche. Per le persone fisiche non cambia niente. I criteri di ricerca per le persone giuridiche sono il nome e, opzionalmente, la sede; quest’ultima deve poter essere delimitata a livello cantonale, perché le persone giuridiche sono registrate nei registri di commercio cantonali.
Art. 28 lett. a n. 2bis nonché lett. b n. 1bis e 4 Questo articolo elenca i tipi di sorveglianza disciplinati nell’ordinanza. All’elenco dei tipi di sorveglianza in tempo reale di cui alla lettera a è aggiunto il nuovo tipo di sorveglianza RT_61_NA_CC-TRUNC_IRI (art. 55a) nel nuovo numero 2bis. I successivi numeri 3-5 restano invariati.
All’elenco dei tipi di sorveglianza retroattiva di cui alla lettera b è aggiunto il nuovo tipo di sorveglianza HD_62_IP (art. 60a) nel nuovo numero 1bis. I successivi numeri 2 e 3 restano invariati. Al numero 4 la seconda parte «e i pertinenti preparativi (art. 64 e 65)» è stralciata perché gli articoli 64 e 65 (Preparativi per una ricerca per zona di copertura dell’antenna) sono abrogati.
Art. 31 cpv. 1 All’articolo 31 capoverso 1 vigente non si fa distinzione tra disponibilità a informare e disponibilità a sorvegliare. Siccome le POC sono disciplinate in modo diverso a seconda della categoria e della sottocategoria, viene ora fatta la distinzione tra le disponibilità menzionate e sono precisate le prove che le POC devono fornire. Inoltre, l’attuale denominazione delle sottocategorie di FST e FSCD è aggiornata con espressioni più brevi. I «fornitori con obblighi ridotti» comprendono i FST con obblighi ridotti (art. 16b) e i FSCD con obblighi ridotti (art. 16f), mentre alla categoria «fornitori con obblighi integrali» appartengono i FST con obblighi integrali (art. 16c) e i FSCD con obblighi integrali (art. 16g).
Art. 35 cpv. 1 lett. b n. 4 Nella precedente revisione dell’ordinanza, al tipo di informazione IR_6_NA è aggiunta l’indicazione relativa all’offerta multidispositivo (art. 36 cpv. 1 lett. b n. 6). Nella prassi è però emerso che per i FST può essere utile trasmettere tale indicazione tramite il presente tipo di informazione IR_4_NA. A tal fine al capoverso 1 lettera b è aggiunto un nuovo numero 4. Sostanzialmente l’indicazione relativa all’offerta multidispositivo deve essere trasmessa mediante il presente tipo di informazione IR_4_NA, in particolare nel caso di nuove implementazioni. I FST che hanno già provveduto a un’implementazione nel IR_6_NA non devono intervenire.
Art. 36 cpv. 1 lett. b n. 6 Come illustrato all’articolo 35, nella precedente revisione dell’ordinanza, al tipo di informazione IR_6_NA è aggiunta l’indicazione relativa all’offerta multidispositivo (art. 36 cpv. 1 lett. b n. 6). Nella prassi è però emerso che per i FST può essere utile trasmettere tale indicazione tramite il tipo di informazione IR_4_NA (v. commenti all’art. 35). I FST che hanno già provveduto a un’implementazione nel IR_6_NA non devono intervenire. A tal fine al numero 6 è aggiunta l’espressione «eventualmente». Ciò significa che un FST che comunica un’indicazione relativa all’offerta multidispositivo tramite il IR_4_NA, non è obbligato a farlo anche mediante il tipo di informazione IR_6_NA (in questo caso l’indicazione relativa all’offerta multidispositivo è opzionale).
Art. 37, rubrica, nonché cpv. 1, frase introduttiva e 3 La rubrica subisce una modifica redazionale che sostituisce la formulazione «identificazione dell’utenza» con « identificazione degli utenti» .
La frase introduttiva del capoverso 1 comprende una formulazione più semplice e più breve, analogamente alla frase introduttiva di cui all’articolo 38 capoverso 1.
Dal profilo del contenuto non cambia niente.
Secondo il capoverso 3, è possibile trasmettere soltanto un risultato univoco. La POC comunica l’eventuale presenza di risultati multipli, ma non li trasmette. L’autorità richiedente può quindi presentare una nuova domanda di informazioni IR_8_IP_NAT (art. 38). Se le indicazioni a disposizione non sono sufficienti per un’identificazione il più possibile univoca degli utenti, l’autorità richiedente può adottare le misure necessarie affinché sia ordinato e approvato il nuovo tipo di sorveglianza retroattiva HD_62_IP di cui all’articolo 60a (v. relativi commenti).
Art. 38 Tipo di informazione IR_8_IP_NAT: identificazione degli utenti in caso di indirizzi IP con NAT Le informazioni sull’identificazione degli utenti in caso di indirizzi IP con traduzione dell’indirizzo di rete (NAT) rientrano in questo tipo di informazione, perché il tipo di informazione analogo (art. 39) è abrogato. La rubrica è adeguata ai fini di una migliore comprensione, in quanto l’attuale formulazione «indirizzi IP non assegnati univocamente» ha creato confusione con la disposizione concernente i risultati univoci. Inoltre la formulazione « Identificazione dell’utenza» è sostituita con « Identificazione degli utenti» .
Questo tipo di informazione riguarda in primo luogo i FST con obblighi integrali, i quali sono tenuti a conservare per sei mesi i dati delle traduzioni NAT (art. 21 cpv. 5 lett. b). I FST con obblighi ridotti, i FSCD con obblighi integrali e i FSCD con obblighi ridotti devono fornire questo tipo di informazione sulla base dei dati di cui dispongono.
Questo tipo di informazione ha l’obiettivo di identificare in modo univoco gli utenti di un indirizzo IP in relazione con la NAT, più precisamente l’origine di una determinata connessione a Internet designata da un determinato contesto di traduzione NAT. Nel limite del possibile, si tratta di identificare in modo univoco il titolare o l’origine di una determinata connessione a Internet. Di principio, questo tipo di informazione resta invariato.
Il capoverso 1 definisce quali indicazioni devono essere trasmesse nel caso di un’identificazione riuscita e se sono stati trovati uno o più risultati. Nella frase introduttiva è precisato che si tratta dell’identificazione degli utenti nel caso di indirizzi IP con traduzione NAT. Inoltre, diversamente all’attuale formulazione, l’uso del plurale consente risultati multipli, che però costituiscono un’eccezione. Generalmente si trova un unico risultato (v. anche i commenti al nuovo cpv. 3). Alla lettera a è modificato l’esempio tra parentesi con «numero cliente», identificativo usato anche altrove. Alla lettera b, l’espressione «identificativo che permette di richiedere i dati relativi all’identificazione ai sensi dell’articolo 19 capoverso 2» è completata attribuendo l’aggettivo «univoco» all’identificativo, analogamente alla prima parte del periodo «identificativo univoco del servizio».
Il capoverso 2 resta invariato dal profilo del contenuto e definisce tuttora le indicazioni che deve contenere una domanda di informazioni. Le attuali lettere a-f subiscono modifiche redazionali per una migliore leggibilità e una formulazione più compatta, mentre le lettere b-e sono riassunte nella lettera b. L’attuale lettera f diventa quindi la nuova lettera c (momento). In aggiunta ai commenti del rapporto esplicativo del 1° gennaio 2024
concernente l’OSCPT riguardanti il momento, va osservato che nella ricerca e l’identificazione dell’utente, l’autore o la provenienza la POC incaricata deve tenere conto delle possibili inesattezze degli orologi di sistema.
Il nuovo capoverso 3 precisa che è ammissibile trasmettere risultati multipli soltanto se le indicazioni di cui al capoverso 2 sono atte a permettere un’identificazione quanto possibile univoca dell’utente. Ciò non esclude quindi la possibilità di ottenere risultati multipli. Purtroppo non è possibile stabilire un numero massimo di risultati multipli generalmente applicabile, perché esso varia in base alle caratteristiche tecniche delle singole POC. Nel caso di risultati multipli, tuttavia si tratta sempre di un numero ridotto di risultati. Ecco perché se, ad esempio, il numero di risultati multipli è eccezionalmente elevato, la POC può respingere la domanda di informazioni con una breve motivazione (p. es. adducendo che l’indicazione è incompleta) e, se possibile, comunicando il numero di risultati ottenuti. In questo caso l’autorità richiedente può adottare le misure necessarie per ordinare e approvare il nuovo tipo di sorveglianza retroattiva HD_62_IP di cui all’articolo 60a (v. i relativi commenti).
Art. 38a Tipo di informazione IR_58_IP_INTERSECT: identificazione degli utenti mediante determinazione dell’intersezione Questo nuovo tipo di informazione è introdotto per migliorare l’identificazione degli utenti, dell’autore o della provenienza delle connessioni a Internet messe a disposizione dalle autorità. Finora questo tipo di informazione era trattato come caso speciale (art. 25), mentre ora, visto che simili casi sono frequenti, è considerato un tipo di informazione standardizzato. In caso di NAT, questo tipo di informazione riguarda in primo luogo i FST con obblighi integrali, che sono tenuti a conservare per sei mesi i dati delle traduzioni NAT (art. 21 cpv. 5 lett. b). I FST con obblighi ridotti, i FSCD con obblighi integrali e i FSCD con obblighi ridotti invece, in caso di NAT, devono fornire questo tipo di informazione sulla base dei dati di cui dispongono.
Se la domanda di informazioni IR_7_IP non restituisce un risultato univoco come auspicato, e anche la domanda di informazioni IR_8_IP_NAT non fornisce alcun risultato, è eventualmente possibile determinare l’intersezione tra i risultati multipli ottenuti. Questo a condizione che le autorità inquirenti dispongano di indicazioni su più connessioni a Internet dell’utente, dell’autore o della provenienza presumibile. A tale proposito le autorità possono trasmettere al Servizio SCPT tutte le indicazioni disponibili sulle connessioni a Internet ottenute mediante questa domanda di informazioni. Il Servizio SCPT inoltrerà la richiesta alla POC in questione.
Conformemente al capoverso 1, la POC determina quindi l’intersezione tra tutti i risultati ottenuti mediante l’identificazione dell’utente, dell’autore o della provenienza di tutte le connessioni a Internet oggetto della domanda. Se la ricerca è andata a buon fine, si ottiene un unico risultato e la POC è tenuta a comunicarlo (v. commenti al cpv. 4).
Il capoverso 2 determina quali indicazioni deve contenere la risposta trasmessa nel caso in cui con l’identificazione e la determinazione dell’intersezione si ottiene un unico risultato.
Il capoverso 3 determina quali indicazioni deve contenere la domanda di informazioni per ciascuna connessione a Internet oggetto della domanda. Le lettere a-c corrispondono all’articolo 38 capoverso 2. L’espressione « momento determinante» di cui alla lettera c precisa che le indicazioni di cui alle lettere a e b si riferiscono a un preciso momento, rilevante per la ricerca e l’identificazione degli utenti. Analogamente all’articolo 38 capoverso 2 lettera c, la POC incaricata di cercare e identificare l’utente, l’autore o la provenienza della connessione a Internet necessita quindi di indicazioni temporali più precise possibile e deve tenere conto delle possibili inesattezze degli orologi di sistema, ad esempio effettuando una ricerca con un intervallo più ampio al fine di determinare tutte le pertinenti connessioni a Internet della POC. Per ciascuna connessione a Internet oggetto della domanda, la POC può innanzitutto costituire un sottogruppo delle possibili connessioni a Internet trovate nei propri metadati. Ogni sottogruppo dovrebbe contenere l’utilizzatore cercato, che la POC può trovare determinando l’intersezione tra tutti i sottogruppi.
Il capoverso 4 precisa che la POC trasmette le indicazioni sull’utente, l’autore o la provenienza delle connessioni a Internet soltanto nel caso di un unico risultato. Se è stato trovato più di un risultato, la POC non trasmette indicazioni ma comunica tale fatto e, se possibile, indica il numero di risultati. Nel caso in cui i risultati sono più di uno, l’autorità richiedente ha ancora la possibilità di compiere i passi necessari per ordinare e approvare il nuovo tipo di sorveglianza retroattiva HD_62_IP (art. 60a), che dovrebbe consentire di identificare l’utente, l’autore o la provenienza (v. i relativi commenti).
Art. 39 (abrogato) Il tipo di informazione IR_9_NAT (informazioni su contesti di traduzione NAT) nella prassi è stato utilizzato solo raramente. Le domande di questo tipo possono essere trattate tramite il tipo di informazione IR_8_IP_NAT o come caso speciale (art. 25). Pertanto non è giustificato mantenere questo tipo di informazione (IR_9_NAT) e la relativa disposizione è abrogata.
Art. 40 cpv. 1 lett. b n. 4 Nella precedente revisione dell’ordinanza, nel tipo di informazione IR_12_TEL è stata aggiunta l’indicazione relativa all’offerta multidispositivo (art. 41 cpv. 1 lett. b n. 4). Nella prassi tuttavia è emerso che per un FST può essere utile trasmettere tale indicazione tramite il presente tipo di informazione IR_10_TEL. A tal fine al capoverso 1 lettera b è stato aggiunto il nuovo numero 4. L’indicazione relativa all’offerta multidispositivo deve essere trasmessa mediante il presente tipo di informazione IR_10_TEL in particolare nel caso di nuove implementazioni. I FST che hanno già provveduto a implementare tale indicazione nel IR_12_TEL non devono intervenire.
Art. 41 cpv. 1 lett. b n. 4 Come illustrato all’articolo 40, nella precedente revisione dell’ordinanza nel tipo di informazione IR_12_TEL è stata aggiunta l’indicazione relativa all’offerta multidispositivo (art. 41 cpv. 1 lett. b n. 4). Nella prassi tuttavia è emerso che per i FST può essere utile trasmettere tale indicazione tramite il tipo di informazione IR_10_TEL (v. commenti all’art. 40). I FST che hanno già provveduto a implementare l’indicazione nel IR_12_TEL non devono intervenire. A tal fine al numero 4 è aggiunta l’espressione «eventualmente».
Ciò significa che un FST che comunica un’indicazione relativa all’offerta multidispositivo nel IR_10_TEL, non è obbligata a farlo anche nel tipo di informazione IR_12_TEL (in questo caso l’indicazione relativa all’offerta multidispositivo è opzionale).
Art. 42a Tipo di informazione IR_59_EMAIL_LAST: informazione sull’ultimo accesso a un servizio di posta elettronica Il presente tipo di informazione permette di chiedere indicazioni sull’ultima attività rilevante per l’accesso a un servizio di posta elettronica. Da una parte, ciò serve a identificare l’utente. Dall’altra, il momento dell’ultimo accesso al servizio di posta elettronica è determinante per la cosiddetta conclusione del processo di comunicazione. Infatti, per tutti i messaggi salvati nella casella di posta elettronica – giunti o spediti prima dell’ultimo accesso rilevante – il processo di comunicazione è considerato concluso. Secondo gli articoli 263 e seguenti del Codice di procedura penale (CPP 35), il pubblico ministero può ingiungere di consegnare tali messaggi tramite un ordine di consegna diretto al fornitore. Il contenuto dei messaggi inviati o ricevuti dopo l’ultimo accesso può essere individuato dalle autorità legittimate soltanto nell’ambito di una sorveglianza in tempo reale RT_27_EMAIL_CC_IRI (art. 59). Per i metadati non è necessario fare questa distinzione, in quanto i fornitori con obblighi integrali devono conservarli per sei mesi. Inoltre, su richiesta, i FST e i FSCD devono trasmettere i dati di cui dispongono.
Nella domanda non può essere indicato un momento determinante. Per il presente tipo di informazione le POC devono fornire informazioni soltanto sull’ultima attività rilevante per l’accesso al momento della domanda e retroattivamente di sei mesi al massimo. Non devono invece fornire informazioni su attività che hanno preceduto l’ultima attività rilevante. Nel quadro di questa informazione non è previsto il rilevamento retroattivo delle attività di accesso al servizio di posta elettronica (cronologia). La cronologia e i metadati storici possono essere ottenuti soltanto mediante la sorveglianza retroattiva HD_30_EMAIL (art. 62), mentre i metadati in tempo reale di un servizio di posta elettronica mediante una sorveglianza in tempo reale RT_26_EMAIL_IRI (art. 58).
Il capoverso 1 disciplina le indicazioni da fornire. Secondo la lettera a deve essere comunicato l’identificativo univoco dell’utente nel contesto del fornitore (p. es. il numero cliente), sempreché il fornitore ne abbia assegnato uno. L’«identificativo univoco del servizio» (p. es. indirizzo di posta elettronica, nome utente) di cui alla lettera b designa in modo univoco il servizio di posta elettronica (casella di posta elettronica) a cui si riferisce la risposta. La lettera c enumera le indicazioni da fornire sull’origine del collegamento in occasione dell’ultima attività rilevante per l’accesso. Queste indicazioni possono essere utili per identificare l’utente. Mediante la trasmissione di queste indicazioni, la POC adempie il proprio obbligo di identificazione di persone con mezzi adeguati conformemente all’articolo 19 capoverso 1. Non è sufficiente salvare le indicazioni sull’origine della connessione solo nel caso di apertura di un indirizzo di posta elettronica (mailbox), perché generalmente tali indicazioni possono essere utilizzate soltanto per
35 RS 312.0
sei mesi (termine di conservazione dei dati di attribuzione di indirizzi IP dinamici e dati NAT) per l’identificazione degli utenti.
Il capoverso 2 disciplina il contenuto della domanda di informazioni. A titolo di esempio sono menzionati l’indirizzo di posta elettronica e il nome utente. Questo criterio di ricerca deve essere sufficientemente preciso affinché il fornitore possa individuare in modo univoco il servizio di posta elettronica (mailbox) in questione. La domanda può contenere ad esempio anche un indirizzo di posta elettronica alias.
Art. 43a Tipo di informazione IR_60_COM_LAST: informazione sull’ultimo accesso a un altro servizio di telecomunicazione o servizio di comunicazione derivato Il presente tipo di informazione è nuovo e ha lo scopo di individuare l’ultima attività rilevante per l’accesso a un altro servizio di telecomunicazione o di comunicazione derivato. Da una parte, ciò serve a identificare l’utente. Dall’altra, il momento dell’ultimo accesso al servizio di posta elettronica è determinante per la cosiddetta conclusione del processo di comunicazione. Analogamente ai servizi di posta elettronica, infatti, per tutti i messaggi salvati nella casella di posta elettronica – giunti o spediti prima dell’ultimo accesso rilevante – il processo di comunicazione è considerato concluso. Secondo gli articoli 263 e seguenti del Codice di procedura penale (CPP; RS 312.0), il pubblico ministero può ingiungere di consegnare tali messaggi tramite un ordine di consegna diretto al fornitore.
Nella domanda non può essere indicato un momento determinante. Per il presente tipo di informazione le POC devono fornire informazioni soltanto sull’ultima attività rilevante per l’accesso al momento della domanda e retroattivamente di sei mesi al massimo. Non devono invece fornire informazioni su attività che hanno preceduto l’ultima attività rilevante. Nel quadro di questa informazione non è previsto il rilevamento retroattivo delle attività di accesso al servizio di posta elettronica (cronologia).
Il capoverso 1 disciplina le indicazioni da fornire. Secondo la lettera a deve essere comunicato l’identificativo univoco dell’utente nel contesto del fornitore (p. es. il numero cliente), sempreché il fornitore ne abbia assegnato uno. L’«identificativo univoco del servizio» di cui alla lettera b definisce in modo univoco nel contesto del fornitore il servizio di telecomunicazione o di comunicazione derivato a cui si riferisce la risposta. La lettera c enumera le indicazioni da fornire sull’origine del collegamento in occasione dell’ultima attività rilevante per l’accesso. Queste indicazioni possono essere utili per identificare gli utenti. Mediante la trasmissione di queste indicazioni, la POC adempie il proprio obbligo di identificazione di persone con mezzi adeguati conformemente all’articolo 19 capoverso 1. Non è sufficiente salvare i dati sull’origine della connessione solo in caso della prima attivazione del servizio, perché generalmente tali indicazioni possono essere utilizzate soltanto per sei mesi (termine di conservazione dei dati di attribuzione di indirizzi IP dinamici e dati NAT) per l’identificazione degli utenti.
Il capoverso 2 disciplina il contenuto della domanda di informazioni. A titolo di esempio, come criteri di ricerca, sono menzionati l’indirizzo dell’utente, lo pseudonimo e il push token. Quest’ultimo è un identificativo univoco specifico dell’applicazione, utilizzato per le
notifiche dell’applicazione in questione. Questo identificativo garantisce che la comunicazione del relativo servizio possa essere inviata a una determinata applicazione su un determinato dispositivo (p. es. device token di Apple push notification service, registration identifier di Google cloud messaging, channel URI di Windows push notification service). Questo criterio deve essere sufficientemente preciso affinché il fornitore possa individuare in modo univoco il servizio di telecomunicazione o di comunicazione derivato in questione.
Art. 44, rubrica e cpv. 1, frase introduttiva e lett. f nonché cpv. 3 lett. d ed e Il presente tipo di informazione esiste già ed è esteso per poter chiedere, oltre alle informazioni sulle modalità di pagamento, le informazioni sui pagamenti degli utenti di servizi di telecomunicazione e di servizi di comunicazione derivati. Siccome i pagamenti effettuati nelle singole categorie di servizi non si differenziano in maniera considerevole, questo tipo di informazione – basato sul parametro ETSI PaymentDetails – le contempla tutte, indipendentemente dal fatto che siano servizi prepaid o in abbonamento.
Con il mutare delle abitudini di pagamento, le attuali possibilità di consultare le informazioni sui conti bancari non sono più sufficienti. Ora possono essere richiesti anche i dettagli su singoli pagamenti e transazioni online. Si tratta di informazioni che servono ai pubblici ministeri, ad esempio in caso di trasmissioni supplementari, per continuare a seguire le tracce delle fonti di pagamento o scoprire quale servizio è stato pagato tramite quale mezzo di pagamento. Il presente tipo di informazione standardizzato consente di semplificare e velocizzare le richieste alle rispettive POC.
Nella rubrica e nella frase introduttiva del capoverso 1, l’espressione «modalità di pagamento» è sostituita con pagamenti. La struttura dell’articolo resta invariata. Il capoverso 1 determina quali dati deve trasmettere la POC.
Il capoverso 1 lettera f è modificato radicalmente. Oltre alle informazioni sul conto bancario, possono essere richieste tutte le indicazioni note sui pagamenti effettuati, le transazioni, i versamenti, i mezzi di pagamento e i conti per il pagamento di servizi di telecomunicazione e servizi di comunicazione derivati, come data, importo, valuta, modalità di pagamento (p. es. carta di debito, carta di versamento, prepagata, carta di credito, criptovalute, online), nome dell’istituto di pagamento (p. es. banca, servizio di pagamento online come PayPal oppure servizio di pagamento mobile come Twint, società di carte di credito, servizi cripto), conto di pagamento (p. es. numero, evtl. denominazione del conto – se diversa da quella dell’istituto bancario –, IBAN, nome e indirizzo del titolare del conto), mezzo di pagamento e numero della transazione.
Per questo tipo di informazione non sono impartiti obblighi di conservazione alla POC. Quest’ultima trasmette i dati non appena li dispone (il cpv. 2 resta invariato).
Come finora, il capoverso 3 determina i criteri di richiesta del presente tipo di informazione. La lettera d è modificata radicalmente. È quindi possibile chiedere indicazioni su:
- un determinato pagamento (p. es. dati sul versamento bancario, l’importo, la data, l’istituto bancario e il conto di pagamento);
- una determinata transazione (p. es. dati su transazioni con criptovalute, carta di credito, servizio di pagamento online come PayPal o servizio di pagamento mobile come Twint); - un determinato mezzo di pagamento (p. es. nome della carta di credito o debito); - un determinato conto di pagamento (p. es. IBAN o numero del conto bancario e BIC, indirizzo del conto in criptovalute o portafoglio di criptovalute, PayPal [indirizzo di posta elettronica, numero di cellulare], Twint [numero di cellulare]).
Alla lettera e (indirizzo di fatturazione), i dati tra parentesi sono semplificati.
Art. 48b cpv. 2 Il presente tipo di informazione è stato introdotto con la precedente revisione. Nella prassi è emerso che la zona coperta dalla rete di telefonia mobile (tracking area) di cui al capoverso 2, attualmente indicata come campo obbligatorio, non deve necessariamente essere inclusa nella richiesta. In generale, i dati relativi alla localizzazione, tra i quali rientra anche la zona coperta dalla rete di telefonia mobile, devono essere indicati nella domanda soltanto se sono necessari per determinare in modo univoco l’identificativo permanente, ad esempio se lo stesso identificativo permanente è utilizzato nello stesso momento anche in un’altra localizzazione nella stessa rete di telefonia mobile. Il dato relativo alla localizzazione consente al FST di determinare le attribuzioni permanenti così come di garantire l’univocità della richiesta. I dati relativi alla localizzazione sono dunque opzionali e possono essere tralasciati se nella rete di telefonia mobile oggetto della domanda lo stesso identificativo permanente non è utilizzato contemporaneamente da più utenti.
Art. 50 cpv. 1 e 9 Il capoverso 1 subisce modifiche redazionali: nel primo periodo l’espressione «ogni FST, eccettuati quelli con obblighi di sorveglianza ridotti (art. 51), e ogni FSCD con obblighi di sorveglianza supplementari (art. 52)» è semplificato e sostituito con «il fornitore con obblighi integrali». Questi comprendono sia i FST con obblighi integrali (art. 16c) sia i FSCD con obblighi integrali (art. 16g). Nel secondo periodo la formulazione «FSCD con obblighi di sorveglianza supplementari» è sostituita con «FSCD con obblighi integrali» (art. 16g). È inoltre apportata una correzione che prevede l’esenzione dalle sorveglianze e non dai tipi di sorveglianza elencati. Per questi tipi di sorveglianza i FSCD non devono quindi garantire la disponibilità a sorvegliare. Sotto il profilo del contenuto non cambia niente.
Il primo periodo del capoverso 9 subisce una modifica in relazione agli importi forfettari introdotti con l’ordinanza del 15 novembre 2023 36 sul finanziamento della sorveglianza della corrispondenza postale e del traffico delle telecomunicazioni (OF-SCPT): è aggiunta l’espressione «nel quadro dello stesso mandato» e il vigente secondo periodo è abrogato. L’integrazione serve per chiarire che una simile estensione di una sorveglianza in tempo
36 RS 780.115.1
reale o di una determinazione periodica della posizione già attive non conta come nuovo mandato e non ha ripercussioni sul conteggio, la statistica, il trasferimento delle spese e le indennità. L’ultimo periodo resta invariato.
Art. 50a Soppressione dei criptaggi Molti partecipanti alla consultazione sulla modifica del 15 novembre 2023 dell’OSCPT (prima fase; v. n. 1.2) hanno criticato l’obbligo di sopprimere i criptaggi effettuati dal fornitore. A loro avviso ciò potrebbe consentire di sorvegliare le chat, violando così i diritti umani 37. Inoltre il criptaggio della comunicazione digitale è un diritto fondamentale e sopprimere il segreto epistolare digitale viola l’articolo 13 della Costituzione federale (Cost. 38). La disposizione è stata evidentemente fraintesa, come se comprendesse anche il criptaggio end-to-end applicato dai clienti o ne conseguisse il divieto di utilizzare tali criptaggi. La disposizione è stata criticata pure dai media. Il progetto della prima fase di revisione dell’OSCPT prevedeva che l’obbligo di sopprimere i criptaggi effettuati dai fornitori spettasse oltre che ai FST (obbligo legale secondo l’art. 26 cpv. 2 lett. c) anche ai FSCD con obblighi supplementari (art. 22 e 52 OSCPT). Visto che nella prima fase non erano ancora state precisate le categorie di FST e FSCD e nemmeno lo status quo dei criteri per attribuire i FSCD a un livello superiore, è stato deciso di introdurre la disposizione nella seconda fase di revisione.
Il presente progetto include la nuova disposizione e precisa l’obbligo di sopprimere i criptaggi effettuati dal fornitore conformemente all’articolo 26 capoverso 2 lettera c LSCPT per i FST e all’articolo 26 capoverso 2 lettera c in combinato disposto con l’articolo 27 capoverso 3 LSCPT per i FSCD che offrono servizi di grande importanza economica o a un gran numero di utenti.
L’espressione «I fornitori con obblighi ridotti e i fornitori con obblighi integrali» comprende da un lato i FST con obblighi ridotti (art. 16b) e i FST con obblighi integrali (art. 16c), dall’altro i FSCD con obblighi ridotti (art. 16f) e i FSCD con obblighi integrali (art. 16g).
Ad esempio, un fornitore che utilizza la crittografia a livello di trasporto tra i propri sistemi e i propri clienti finali, quindi non un criptaggio end-to-end, deve rilevare il traffico delle telecomunicazioni della persona sorvegliata in un punto non criptato e trasmettere i dati al Servizio SCPT.
Conformemente all’ultimo periodo del presente articolo, il criptaggio end-to-end permanente tra clienti finali o tra i rispettivi dispositivi o applicazioni non deve essere rimosso. Generalmente, in un simile caso il fornitore non effettua personalmente il criptaggio e non dispone della chiave crittografica. Tuttavia, se per il criptaggio si utilizza
37 Cfr. anche Rapporto del 15.11.2023 sui risultati della consultazione (procedure di consultazione concluse DFGP 2022); pag. 6 e 17 (commento all’art. 50). 38 RS 101
una chiave del fornitore, ossia se quest’ultimo è in grado di decriptare il traffico delle telecomunicazioni della persona sorvegliata, è tenuto a farlo.
Art. 51 e 52 (abrogati) Gli articoli 51 (FST con obblighi di sorveglianza ridotti) e 52 (FSCD con obblighi di sorveglianza supplementari) sono abrogati perché le pertinenti disposizioni sono ora rispettivamente disciplinate agli articoli 16b (FST con obblighi ridotti) e 16g (FSCD con obblighi supplementari).
Art. 55a Tipo di sorveglianza RT_61_NA_CC-TRUNC_IRI: sorveglianza in tempo reale di metadati e contenuti troncati di servizi di accesso alla rete Il cosiddetto troncamento dei pacchetti (packet truncation, packet slicing) è un nuovo tipo di sorveglianza standardizzato. Può essere ordinato unicamente nell’ambito di una sorveglianza in tempo reale di dati relativi al contenuto di un accesso alla rete. È stato creato soltanto il presente tipo di sorveglianza, perché non sono previsti altri scenari di applicazione.
La POC si occupa del troncamento dei pacchetti IP del traffico delle telecomunicazioni della persona sorvegliata e ne trasferisce solo copie troncate. Il troncamento riguarda solo il contenuto (communication content, CC) e non i metadati (IRI). Lo scopo è di ridurre il volume dei dati concernenti la sorveglianza da trasportare sulla rete e i quali devono essere elaborati, analizzati e salvati nel sistema di trattamento del traffico delle telecomunicazioni (V-FMÜ) 39.
Con il troncamento sono trasmessi solo alcuni ottetti iniziali (byte) di ciascun pacchetto IP del traffico delle telecomunicazioni in entrata e in uscita della persona sorvegliata. L’autorità che dispone la sorveglianza può stabilire il numero di ottetti iniziali per ciascuna sorveglianza. La POC taglia ed elimina la parte restante di ciascun pacchetto. Tale parte non viene quindi trasferita con i dati della sorveglianza. Il traffico delle telecomunicazioni originario della persona sorvegliata non viene modificato.
Questo metodo di troncamento favorisce la semplicità e si basa su un protocollo inferiore (protocollo di rete, livello 3). Grazie a ciò, tutti i pacchetti IP del traffico delle telecomunicazioni della persona sorvegliata sono copiati e troncati in modo corretto, senza che la POC possa risalire al contenuto (non è prevista l’ispezione dei pacchetti, packet inspection). Il troncamento implica tuttavia anche uno svantaggio, infatti, a seconda di quanto è stato tagliato, i dati sul contenuto sono ancora leggermente leggibili.
Il troncamento dei pacchetti è quindi utilizzato quando le autorità incaricate intendono analizzare principalmente l’intestazione (header) dei pacchetti IP ed eventualmente altri dati interessanti nella parte anteriore del carico utile (payload) ma non nella parte posteriore, perché ad esempio i contenuti sono criptati e non leggibili, i dati sono molti e
39 Sistema di trattamento per la sorveglianza del traffico delle telecomunicazioni (sistema di trattamento)
quindi non possono essere elaborati nel sistema di trattamento del traffico delle telecomunicazioni oppure perché i contenuti non sono rilevanti per le trasmissioni di dati.
Solo l’autorità che dispone la sorveglianza, a seconda delle necessità, può richiedere un determinato numero di ottetti iniziali (byte) di tutti i pacchetti IP del traffico delle telecomunicazioni della persona sorvegliata, ad esempio 60 ottetti (byte) di ciascun pacchetto IP. Il numero di ottetti iniziali richiesto vale per l’intera durata della sorveglianza, può essere scelto liberamente e non deve necessariamente coincidere con l’header o la struttura interna del pacchetto IP. Per modificare la richiesta del numero di ottetti iniziali occorre ordinare una nuova sorveglianza alla POC e quindi disporre un nuovo mandato di sorveglianza.
La POC non viola la disposizione che prevede il trasferimento dei dati della sorveglianza senza perdita di dati (art. 29 cpv. 1 lett. b) fintanto che tali dati corrispondono al mandato di sorveglianza (art. 29 cpv. 1 lett. c).
Art. 60 lett. g La lettera g conferisce al fornitore di telefonia mobile la possibilità di trasmettere, se disponibili, anche i dati di localizzazione riguardanti il target dedotti dai messaggi di segnalazione NAS. Ciò consente di migliorare la frequenza e la qualità dei dati di localizzazione del target. Questi dati non possono essere trasmessi in ogni caso, ma soltanto se sono disponibili i dati di localizzazione dedotti dai messaggi di segnalazione NAS. Il NAS (non-access stratum) è uno strato tra il dispositivo finale (user equipment, UE) e il nucleo centrale della rete (core network) utilizzato nel caso in cui il dispositivo finale accede alla rete tramite accesso radio (radio access network, RAN). Serve per gestire determinate funzioni nella rete di telefonia mobile (p. es. registrazione, session establishment, sicurezza, mobility management) e consente lo scambio di messaggi di segnalazione tra il dispositivo finale e il nucleo centrale della rete. Il NAS è utilizzato quando un cliente telefona, utilizza Internet, invia messaggi e così via tramite la rete di accesso radio.
Art. 60a Tipo di sorveglianza HD_62_IP: sorveglianza retroattiva ai fini dell’identificazione degli utenti di connessioni a Internet Per l’identificazione degli utenti e degli utilizzatori è difficile distinguere tra metadati e dati relativi all’identificazione. I metadati possono essere richiesti nel quadro di una sorveglianza ordinata e approvata conformemente all’articolo 273 CPP, ma non tramite una domanda di informazioni.
Il presente tipo di sorveglianza retroattiva è nuovo e permette di risolvere il problema delle domande di informazioni IR_7_IP (art. 37), IR_8_IP_NAT (art. 38) e IR_58_IP_INTERSECT (art. 38a) che restituiscono risultati multipli. I tipi di informazione IR_7_IP e IR_58_IP_INTERSECT consentono soltanto un’identificazione univoca dell’utilizzatore, quindi è possibile trasmettere un risultato soltanto se è unico. Anche con il tipo di informazione IR_8_IP_NAT si cerca un risultato univoco, ma in rari casi si possono ottenere risultati multipli, che possono essere trasmessi solo se le indicazioni fornite nella domanda di informazioni sono adeguate al fine di garantire un’identificazione il più possibile univoca degli utilizzatori. Il motivo di questa limitazione è evitare di
comunicare risultati falso positivi nell’ambito della procedura semplificata delle informazioni. Nel caso di più risultati con IR_7_IP e IR_58_IP_INTERSECT e in caso di errore con IR_8_IP_NAT viene indicato unicamente che è stato trovato più di un risultato e, se al fornitore incaricato dell’informazione è noto, anche il numero di risultati. L’autorità che dispone la sorveglianza e l’autorità d’approvazione possono sempre valutare nel singolo caso se è proporzionato richiedere tutti i risultati, ovvero anche quelli falso positivi, tramite il presente tipo di sorveglianza retroattiva.
Oltre ai risultati forniti con il presente tipo di sorveglianza devono essere previste altre trasmissioni al fine di trovare l’utilizzatore o le indicazioni sull’origine della connessione a Internet oggetto della domanda. Visto che l’indirizzo IP (sorgente) oggetto della domanda è utilizzato da più utenti, tra i risultati si possono trovare anche indicazioni su terzi non coinvolti. Per quanto riguarda l’intromissione nei diritti fondamentali, il presente tipo di informazione è quindi paragonabile alla ricerca per zona di copertura dell’antenna.
Secondo il capoverso 1, questa sorveglianza retroattiva può essere eseguita in due modi: conformemente alla lettera a, la POC è tenuta a eseguire l’identificazione dell’utilizzatore conformemente all’articolo 38 (v. anche i relativi commenti), mentre nel caso della lettera b, la POC identifica l’utilizzatore mediante determinazione dell’intersezione conformemente all’articolo 38a (v. i relativi commenti).
Il capoverso 2 definisce le indicazioni che la POC deve trasmettere conformemente agli articoli 38 capoverso 1 e 38a capoverso 2. Tuttavia, in questo caso possono essere trasmessi più risultati.
Il capoverso 3 determina le indicazioni contenute in un ordine di sorveglianza per ciascuna connessione a Internet oggetto della domanda. Come per i tipi di informazione IR_8_IP_NAT (art. 38) e IR_58_IP_INTERSECT (art. 38a), anche in questo caso nell’incarico di sorveglianza per ciascuna connessione a Internet oggetto della domanda va indicato il momento determinante e non un intervallo di tempo, che invece aumenterebbe ulteriormente il numero di risultati possibili. Nell’identificazione dell’utilizzatore, la POC incaricata deve tenere conto delle possibili inesattezze degli orologi di sistema (v. i commenti agli art. 38 cpv. 2 lett. c e 38a cpv. 3 lett. c).
L’indicazione concernente l’indirizzo IP sorgente pubblico di cui alla lettera a è necessaria. In questo caso si tratta dell’indirizzo IP pubblico visibile in Internet come originating IP.
Le indicazioni di cui alla lettera b devono essere fornite soltanto se necessario ai fini dell’identificazione, ovvero in particolare in caso di NAT. Si tratta di una condizione tecnica che dipende dalla procedura NAT impiegata dalla POC. L’autorità competente può ottenere le informazioni corrispondenti di una POC prima di disporre la sorveglianza tramite il Servizio SCPT (art. 16 lett. c LSCPT). Ai numeri 1-4 sono elencati i rispettivi parametri tecnici. Generalmente in caso di NAT è sempre necessario fornire l’indicazione di cui al numero 1. Si tratta del numero di porta sorgente pubblico (source port). Indicando gli altri parametri di cui ai numeri 2-4, si aumenta la precisione nei risultati. Tuttavia può accadere che le autorità dispongano di risultati incompleti sulle connessioni a Internet oggetto della domanda (in particolare potrebbe mancare il numero di porta sorgente).
Questo può essere risolto determinando l’intersezione tra i risultati dell’identificazione degli utilizzatori di più connessioni a Internet (cpv. 1 lett. b). Anche in questo caso si possono ottenere risultati falso positivi, tuttavia meno numerosi rispetto a quelli ottenuti tramite l’identificazione dell’utilizzatore di un’unica connessione a Internet con numero di porta sorgente sconosciuto.
Art. 64 e 65 (abrogati) Il tipo di sorveglianza AS_32_PREP_COV (analisi della copertura di rete in vista di una ricerca per zona di copertura dell’antenna; art. 64) nella pratica è utilizzato molto raramente. Vista la complessità della struttura della rete di telefonia mobile, il tipo di sorveglianza non è più al passo con i tempi. Le informazioni ottenute sono lacunose e poco rilevanti. Pertanto la presente disposizione può essere abrogata.
Anche il tipo di sorveglianza AS_33_PREP_REF (comunicazioni di riferimento o accessi di riferimento alla rete in vista di una ricerca per zona di copertura dell’antenna; art. 65) nella pratica è utilizzato molto raramente ed è abrogato per le stesse motivazioni addotte all’articolo 64.
Art. 66 cpv. 1 Al capoverso 1 le espressioni «cella radio» e «accesso WLAN pubblico» sono messe al plurale. Una ricerca per zona di copertura dell’antenna poteva già riguardare più celle radio o accessi WLAN pubblici, ma per il conteggio dei mandati di sorveglianza secondo la OEm-SCPT 40 era determinante il numero di celle radio o di accessi WLAN pubblici interessati.
L’OF-SCPT 41 – entrata in vigore il 1° gennaio 2024 – ha abrogato questo metodo di conteggio e ora le ricerche per zona di copertura dell’antenna non sono più calcolate per cella radio o accesso WLAN pubblico bensì per FST incaricato e per ogni intervallo di tempo fino a due ore, indipendentemente dal numero di celle radio e accessi WLAN pubblici interessati. Pertanto un mandato di sorveglianza può includere più celle radio e accessi WLAN pubblici per lo stesso intervallo di tempo fino a due ore e lo stesso FST. La formulazione del capoverso 1 si riferisce tuttora al mandato di sorveglianza e quindi è necessario utilizzare il plurale.
Nello specifico, la procedura si svolge nel modo seguente: l’autorità che dispone la sorveglianza trasmette un ordine in cui definisce nel dettaglio quali celle radio o accessi WLAN pubblici devono essere sorvegliati per quale FST e durante quale intervallo di tempo. L’ordine può quindi comprendere un numero qualsiasi di celle radio o accessi WLAN pubblici per più FST e riferirsi a un intervallo di tempo qualsiasi. Come finora,
40 O del 15 nov. 2017 sugli emolumenti e le indennità per la sorveglianza della corrispondenza postale e del traffico delle telecomunicazioni (OEm-SCPT, RU 2018 201; RU 2020 2061; RU 2022 301 n. I 13]). 41 O del 15 nov. 2023 sul finanziamento della sorveglianza della corrispondenza postale e del traffico delle
telecomunicazioni (OF-SCPT, RS 780.115.1).
questo ordine deve essere approvato dall’autorità preposta e trasmesso al Servizio SCPT.
Nel WMC l’ordine ricevuto dall’autorità che dispone la sorveglianza è suddiviso in mandati WMC per FST e intervallo di tempo fino a due ore. Gli ordini tecnici corrispondenti sono quindi generati per i FST sotto forma di singole domande tecniche per la trasmissione dei metadati. Come finora, questo avviene per singola cella radio o accesso WLAN pubblico. A tale scopo si utilizza il tipo di informazione AS_34 per la prima cella radio o il primo accesso WLAN pubblico del rispettivo mandato WMC. Se questo mandato WMC contiene altre celle radio o accessi WLAN pubblici, viene creata una domanda tecnica AS_34_MORE per ogni cella radio supplementare o accesso WLAN pubblico supplementare. Eventuali domande AS_34_MORE possono essere ordinate soltanto mediante il tipo di informazione AS_34, del quale sono parte integrante. Tali domande concernono lo stesso mandato WMC e quindi lo stesso intervallo di tempo fino a due ore per lo stesso FST.
In sintesi, un mandato WMC (per FST e per intervallo di tempo fino a due ore) corrisponde a un mandato per il tipo di sorveglianza retroattiva AS_34 (ricerca per zona di copertura dell’antenna). Una tale sorveglianza, costituita da una domanda tecnica AS_34 (prima cella o primo accesso WLAN) e, opzionalmente, da una domanda tecnica supplementare AS_34_MORE per ciascuna cella supplementare o ciascun accesso WLAN supplementare, può comprendere anche più celle radio o accessi WLAN pubblici. Il numero di ricerche per zona di copertura dell’antenna e quindi il numero di mandati WMC corrisponde al numero di domande tecniche AS_34 (prima cella o primo accesso WLAN) per FST e per intervallo di tempo fino a due ore.
Per maggiore chiarezza, la procedura è illustrata con un esempio. L’autorità che dispone la sorveglianza trasmette al Servizio SCPT l’ordine di sottoporre le celle A, B e C del FST Y e le celle D ed E del FST Z a ricerche per zona di copertura dell’antenna in un intervallo di tempo fino a cinque ore. Nel WMC questo ordine è suddiviso nei seguenti mandati WMC per FST e intervallo di tempo fino a due ore:
1) Mandato WMC 1 per le celle A, B e C del FST Y per le prime due ore, 2) Mandato WMC 2 per le celle A, B e C del FST Y per la terza e quarta ora nonché 3) Mandato WMC 3 per le celle A, B e C del FST Y per la quinta e ultima ora. 4) Mandato WMC 4 per le celle D ed E del FST Z per le prime due ore, 5) Mandato WMC 5 per le celle D ed E del FST Z per la terza e quarta ora nonché 6) Mandato WMC 6 per le celle D ed E del FST Z per la quinta e ultima ora. Ciò corrisponde a sei mandati WMC.
Il WMC crea e trasmette le domande tecniche per il FST Y come segue (le domande tecniche riguardano sempre lo stesso intervallo di tempo del mandato di sorveglianza):
1) Mandato di sorveglianza 1: domanda tecnica 1 AS_34 per la cella A per le prime due ore, domanda tecnica 1-1 AS_34_MORE per la cella B e domanda tecnica 1-2 AS_34_MORE per la cella C; 2) Mandato di sorveglianza 2: domanda tecnica 2 AS_34 per la cella A per la terza e quarta ora, domanda tecnica 2-1 AS_34_MORE per la cella B e domanda tecnica 2-
2 AS_34_MORE per la cella C;
3) Mandato di sorveglianza 3: domanda tecnica 3 AS_34 per la cella A per la quinta e ultima ora, domanda tecnica 3-1 AS_34_MORE per la cella B e domanda tecnica 3-2 AS_34_MORE per la cella C. WMC crea e trasmette anche le domande tecniche per il FST Z come segue (le domande tecniche riguardano sempre lo stesso intervallo di tempo del mandato di sorveglianza):
1) Mandato di sorveglianza 4: domanda tecnica 4 AS_34 per la cella D per le prime due ore e domanda tecnica 4-1 AS_34_MORE per la cella E; 2) Mandato di sorveglianza 5: domanda tecnica 5 AS_34 per la cella D per la terza e quarta ora e domanda tecnica 5-1 AS_34_MORE per la cella E; 3) Mandato di sorveglianza 6: domanda tecnica 6 AS_34 per la cella D per la quinta e ultima ora e domanda tecnica 6-1 AS_34_MORE per la cella E. Ciò corrisponde a sei mandati di sorveglianza AS_34 per i due FST (tre mandati per il FST Y e tre mandati per il FST Z) e sei mandati WMC (sei ricerche per zona di copertura dell’antenna e sei sorveglianze retroattive).
Art. 74b cpv. 2 Il capoverso 2 subisce modifiche redazionali: l’espressione «FST, eccettuati quelli con obblighi di sorveglianza ridotti (art. 51)» è semplificata con FST con obblighi integrali. Tale sottocategoria è definita all’articolo 16c. Sotto il profilo del contenuto non cambia niente.
Art. 74c Disposizione transitoria della modifica del XXX Questo nuovo articolo disciplina le disposizioni e i termini transitori relativi alla presente revisione di ordinanza. Tutti i termini indicati nel presente articolo iniziano a decorrere dall’entrata in vigore della presente revisione (modifica del XXX).
Il capoverso 1 definisce un termine di tre mesi per la comunicazione ai FSCD che al momento dell’entrata in vigore della presente revisione adempiono già uno dei criteri per essere attributi a un livello superiore secondo l’articolo 16f capoverso 1 o 16g capoverso 1.
Il capoverso 2 conferisce un termine transitorio di sei mesi ai FST con obblighi integrali per implementare i nuovi tipi di informazione IR_58_IP_INTERSECT (art. 38a), IR_59_EMAIL_LAST (art. 42a) e IR_60_COM_LAST (art. 43a).
Il capoverso 3 conferisce ai FST con obblighi integrali un termine di 12 mesi per implementare il nuovo tipo di sorveglianza RT_61_NA_CC-TRUNC_IRI (art. 55a) nonché un termine di sei mesi per implementare il nuovo tipo di sorveglianza HD_62_IP (art. 60a)
e garantire la rispettiva disponibilità a sorvegliare. L’implementazione del tipo di sorveglianza di cui all’articolo 55a potrebbe richiedere un maggiore onere, pertanto è concesso un termine più lungo.
II. Allegato N. 1 , 1ter, 42 e 48bis bis
Nell’allegato OSCPT «Termini e abbreviazioni» (relativo all’art. 2) sono aggiunti quattro nuovi numeri: comunicazione unilaterale (art. 16d), comunicazione multilaterale (16d), target ID (art. 49 cpv. 1 lett. h) e target (art. 54 cpv. 2 lett. h). Tra parentesi è sempre indicata la disposizione della OSCPT in cui la rispettiva espressione compare per la prima volta. Nell’allegato l’ordine delle nozioni combacia con la loro prima occorrenza nell’ordinanza.
III. OST-SCPT Art. 2 cpv. 1 Il capoverso 1 è adeguato alle nuove denominazioni delle sottocategorie di FST e FSCD. L’espressione «fornitori con obblighi integrali» comprende sia i FST con obblighi integrali (art. 16c OSCPT) sia i FSCD con obblighi integrali (art. 16g OSCPT). Il resto rimane invariato.
3.2 OE-SCPT
Art. 5 cpv. 1 In seguito alla revisione della LTC del 22 marzo 2019 42, l’articolo 2 LSCPT è stato suddiviso in due capoversi 43. Per questo motivo il rimando all’articolo 2 LSCPT è stato modificato di conseguenza, aggiungendo l’espressione «capoverso 1».
Art. 14 cpv. 2, frase introduttiva, lett. c e d, cpv. 3, frase introduttiva, lett. b nonché cpv. 4 Alla frase introduttiva del capoverso 2 viene apportata una modifica redazionale aggiungendo l’espressione «fornitori con obblighi integrali» che comprende sia i FST con obblighi integrali (art. 16c OSCPT) sia i FSCD con obblighi integrali (art. 16g OSCPT).
Nella frase introduttiva della lettera c sono aggiunti i nuovi tipi di informazione: - IR_59_EMAIL_LAST: informazione sull’ultimo accesso a un servizio di posta elettronica (art. 42a OSCPT); e - IR_60_COM_LAST: informazione sull’ultimo accesso a un altro servizio telecomunicazione o servizio di comunicazione derivato (art. 43a OSCPT).
42 In merito alle modifiche della LSCPT, cfr. RU 2020 6159, in particolare 6180
43 Cfr. RU 2020 6159, in particolare 6180
La lettera d introduce il nuovo tipo d’informazione:
- IR_58_IP_INTERSECT: identificazione degli utenti mediante determinazione dell’intersezione (art. 38a OSCPT); La risposta a questi tre nuovi tipi di informazione è piuttosto onerosa, per questo motivo se la richiesta è presentata durante gli orari d’ufficio ordinari, il termine di trattamento è fissato a un giorno lavorativo. Il termine di trattamento di un’ora di cui alla lettera b risulterebbe troppo breve.
Tuttavia, vi è una differenza se la domanda è presentata al di fuori degli orari d’ufficio ordinari (servizio di picchetto). I nuovi tipi di informazione di cui agli articoli 42a e 43a OSCPT fanno parte del servizio di picchetto (art. 11 OSCPT). Pertanto sono aggiunti alla lettera c.
Il tipo di informazione di cui all’articolo 38a OSCPT non fa invece parte dell’obbligo di fornire un servizio di picchetto (cfr. art. 11 OSCPT). Per tale motivo è aggiunto alla lettera d.
La frase introduttiva del capoverso 3 subisce solo una modifica redazionale e aggiunge l’espressione «fornitori con obblighi ridotti», che comprende sia i FST con obblighi ridotti (art. 16b OSCPT) sia i FSCD con obblighi ridotti (art. 16f OSCPT).
L’adeguamento al capoverso 4 sostituisce la vecchia denominazione «FSCD senza obblighi supplementari» con la nuova denominazione «FSCD con obblighi minimi» (art. 16e OSCPT). Nessuna modifica nella sostanza.
Art. 20 Collegamento dei sistemi del fornitore con il sistema di trattamento del Servizio SCPT I capoversi 1 e 2 sono adeguati alle nuove denominazioni delle sottocategorie di FST e FSCD. L’espressione «fornitori con obblighi integrali» comprende sia i FST con obblighi integrali (art. 16c OSCPT) sia i FSCD con obblighi integrali (art. 16g OSCPT). I «fornitori con obblighi ridotti» (cpv. 1) si compongono dai FST con obblighi ridotti (art. 16b OSCPT) e dai FSCD con obblighi ridotti (art. 16f OSCPT).
Allegato 1 Le prescrizioni tecniche in materia di interfacce per l’esecuzione della sorveglianza delle telecomunicazioni (versione 4.0) saranno adeguate secondo i nuovi tipi di informazione e di sorveglianza. Saranno inoltre modificati anche i tipi già vigenti.
4 Ripercussioni
4.1 Ripercussioni per la Confederazione
Allo stato attuale, i previsti adeguamenti delle ordinanze OSCPT, OE-SCPT e OST- SCPT 44) non avranno per la Confederazione significative ripercussioni finanziarie né sul personale.
Le nuove definizioni di FST e FSCD, le loro sottocategorie e l’integrazione dei nuovi tipi di informazione e di sorveglianza nelle relative componenti del sistema di trattamento del Servizio SCPT comporteranno alcuni adeguamenti del sistema (ulteriori processi, modifiche delle funzionalità ecc.) Si prevedono dunque spese supplementari per il servizio SCPT, che tuttavia possono essere coperte con i fondi attualmente preventivati.
4.2 Ripercussioni per i Cantoni e i Comuni
Alcune modifiche dell’OSCPT, segnatamente i nuovi tipi di informazione e di sorveglianza interessano i Cantoni, in particolare le autorità di perseguimento penale (procure e polizia) che avranno così accesso a nuove possibilità di sorveglianza.
4.3 Ripercussioni per le POC
Le nuove disposizioni interesseranno le piccole, medie e grandi imprese che operano nel settore delle telecomunicazioni. In particolare, le nuove definizioni e le disposizioni delle rispettive attribuzioni a un livello superiore (upgrade) o inferiore (downgrade) nell’OSCPT possono comportare conseguenze finanziarie ed economiche per singole POC. Gli adeguamenti tecnici che le POC dovranno attuare a seguito di queste revisioni parziali dipendono dall’impostazione dei loro sistemi. Le nuove disposizioni sulle categorie dei fornitori hanno un effetto anche sui FSCD che saranno ora suddivisi in tre categorie, permettendo così una migliore e più proporzionata distribuzione degli obblighi tra le varie categorie e sottocategorie di POC. In futuro è probabile che solo a poche POC saranno impartiti notevoli compiti supplementari. Ad esempio un fornitore di servizi di posta elettronica che fornisce servizi di grande importanza economica o a un gran numero di utenti in futuro potrebbe essere tenuto a eseguire sorveglianze retroattive. La situazione giuridica generale attuale riguardante gli obblighi delle POC, invece, non subirà cambiamenti considerevoli.
Le nuove disposizioni non avranno alcun impatto sul sistema di indennità attualmente in vigore e sull’importo totale delle indennità alle POC oggetto della OF-SCPT.
44 La modifica dell’art. 2 cpv. 1 OST-SCPT viene attuata con la modifica dell’OSCPT (n. III).
5 Aspetti giuridici
5.1 Costituzionalità
Le modifiche del presente progetto relative alle nuove categorie e alle disposizioni in merito all’attribuzione a un livello superiore o inferiore dei fornitori si basano sull’articolo 2 capoverso 2 LSCPT, introdotto in seguito alla revisione del 22 marzo 2019 della LTC (v. n. 1.1). Tale modifica della LTC si basa a sua volta sull’articolo 92 Cost. 45. La precisazione delle categorie e, in particolare, la nuova suddivisione dei FSCD in tre anziché due sottocategorie (v. n. 1.1) mira a ottenere una gradazione più equilibrata degli obblighi delle varie sottocategorie dei FSCD, in linea con il principio costituzionale della proporzionalità (art. 5 cpv. 2 Cost.). Nel rapporto 46 in adempimento del postulato Albert Vitali 19.4031 47 «Per una legge federale sulla sorveglianza della corrispondenza postale e del traffico delle telecomunicazioni adeguata» il Consiglio federale ritiene necessario legiferare solo a livello di OSCPT (a suo parere, la LSCPT sarebbe sufficientemente favorevole alle PMI). L’OSCPT deve prevedere definizioni chiare per le POC, in particolare per i FST e i FSCD. Queste definizioni devono consentire di riconoscere facilmente in quale categoria rientra un fornitore e quali obblighi e costi ne derivano (cfr. in particolare n. 4.1 e 5.2 del rapporto). Ai fini del buon funzionamento della sorveglianza delle telecomunicazioni, per il quale esiste un interesse pubblico preponderante, si giustifica la ripartizione degli obblighi prevista dal presente progetto. Ciò contribuisce in modo decisivo a garantire che la sorveglianza delle telecomunicazioni rimanga efficace e possa continuare a raggiungere il suo scopo. Le modifiche proposte rappresentano quindi una soluzione pragmatica per ridurre al minimo l’onere finanziario per le PMI. Le altre modifiche proposte dal progetto, in particolare i nuovi tipi di informazione e di sorveglianza, si fondano sulla LSCPT che a su volta si basa sugli articoli 92 capoverso 1 (corrispondenza postale e traffico delle telecomunicazioni) e 123 capoverso 1 (diritto penale e diritto processuale penale) della Costituzione federale. Anche altre disposizioni costituzionali quali la protezione della sfera privata (art. 13 Cost.), la sicurezza (art. 57 Cost.) e il diritto penale (art. 123 Cost.), possono interessare l’OSCPT. Il presente progetto tiene conto anche di queste disposizioni.
5.2 Compatibilità con gli impegni internazionali della Svizzera
Il progetto è compatibile con gli impegni internazionali della Svizzera.
45 Cfr. n. 5.1 del messaggio del 6 sett. 2017 concernente la revisione della legge sulle telecomunicazioni (FF 2017, in particolare 5599, 5782) 46 Rapporto del Consiglio federale del 18 ott. 2023 (disponibile in tedesco e francese) e il comunicato stampa del
18 ott. 2023 «Sorveglianza delle telecomunicazioni: prevista una classificazione semplificata delle persone obbligate a collaborare».
47 Postulato Albert Vitali 19.4031
5.3 Forma dell’atto
Il progetto costituisce una revisione parziale di due ordinanze emanate dal Consiglio federale ai sensi dell’articolo 182 Cost. (OSCPT e OST-SCPT) e di un’ordinanza emanata dal DFGP (OE-SCPT).
5.4 Subordinazione al freno delle spese
Il progetto non crea nuove disposizioni in materia di sussidi (che comportano una spesa superiore a uno dei valori soglia), né adotta nuovi crediti d’impegno o dotazioni finanziarie (che comportano una spesa superiore a uno dei valori soglia).
5.5 Conformità alla legge sui sussidi
Il progetto non ha alcun nesso con la legge sui sussidi.
5.6 Delega di competenze legislative
Il progetto non contiene alcuna delega di competenze legislative.
5.7 Protezione dei dati
Il nuovo articolo 22 della legge federale del 25 settembre 2020 48 sulla protezione dei dati (LPD), in vigore dal 1° settembre 2023, prevede che occorre effettuare previamente una valutazione d’impatto sulla protezione dei dati quando il trattamento dei dati personali può comportare un rischio elevato per la personalità o i diritti fondamentali della persona interessata. Secondo l’articolo 2 il rischio elevato, in particolare in caso di utilizzazione di nuove tecnologie, risulta dal tipo, dall’entità, dalle circostanze e dallo scopo del trattamento. Sussiste segnatamente nel caso di: a. trattamento su grande scala di dati personali degni di particolare protezione; o b. sorveglianza sistematica di ampi spazi pubblici. Dalla valutazione d’impatto sulla protezione dei dati risulta che non esiste un rischio elevato per questo progetto.
48 RS 235.1