Fulvio, innanzitutto grazie delle precisazioni e buona Pasqua again! Non conosco, a fondo, l'iter del decreto ma la mia riflessione nasceva dalla lettura dell'art. 11 che dice:" 1. Gli operatori privati che forniscono reti pubbliche di comunicazione o servizi di comunicazione elettronica accessibili al pubblico, (...) secondo quanto previsto dalla normativa vigente, ovvero previa apposita convenzione: (...) c) forniscono informazioni agli organismi di informazione per la sicurezza e consentono ad essi l'accesso alle banche dati d'interesse ai fini della sicurezza cibernetica di rispettiva pertinenza, nei casi previsti dalla legge n. 124/2007". Probabilmente - letto quanto scrivi - sbagliando ma ho sin qui ritenuto che nessun nuovo obbligo di informazione - men che meno massivo o generalizzato - fosse stato introdotto. Se così non fosse e se chicchessia avesse effettivamente acquisito un diritto di accesso indiscriminato ad informazioni personali, liberamente utilizzabili sotto il labile cappello della tutela della sicurezza nazionale sarebbe un fatto gravissimo ma...credo che sarebbe facile porre "fuori legge" il decreto... Finita la Pasqua prometto di approfondire anche con il Garante privacy...ed essere così in grado di contribuire in modo più costruttivo al dibattito in lista. Per ora ancora auguri a te ed a tutti! g Il giorno 30/mar/2013, alle ore 19:50, "Fulvio Sarzana" <fulvio.sarzana@lidis.it> ha scritto:
Cari Amici e Colleghi, innanzitutto auguri!
Sono stato evocato nella lista per il mio pezzo sul Fatto, a proposito del nuovo dpcm Monti sulla sicurezza e, devo necessariamente, fare qualche osservazione.
Innanzitutto il pezzo ha un taglio giornalistico perché, ovviamente è pubblicato in un contesto divulgativo e non accademico.
Il richiamo che suggerisce il Collega Blengino alla legge 3 agosto del 2007, n 124, e che dovrebbe consentirci di stare tranquilli, è alla norma che ha istituito il nuovo sistema dei nuovi servizi di sicurezza, con le relative competenze.
La norma citata, che stabilisce i poteri dei nuovi servizi, consentiva ( sino ad oggi) solo alle pubbliche amministrazioni o esercenti servizi di pubblica utilità, la possibilità di scambiarsi informazioni attraverso una convenzione con gli organi di sicurezza.
Il tutto peraltro, solo dopo l’emanazione di un regolamento, sentiti gli operatori interessati, e nel pieno rispetto in primis del codice privacy.
La norma NON prevedeva assolutamente l’obbligo per gli operatori privati, di dare accesso agli organismi per la sicurezza dello stato alle proprie banche dati, in assenza di un procedimento giudiziario che avrebbe viceversa determinato la necessità di adottare le norme del codice di procedura penale,
Oggi invece, con il dpcm sulla sicurezza informatica i servizi di sicurezza ( ma non solo, nell’ordine il consigliere militare del presidente del Consiglio, il Comitato Interministeriale per la sicurezza pubblica, il Dipartimento di sicurezza più diversi altri enti) avranno il diritto di richiedere l’accesso diretto alle banche dati delle Telco e degli ISP, senza passare per la Magistratura, per gli scopi non di repressione di uno o più reati, ma, per esigenze generiche di “sicurezza” informatica e telematica.
E, si badi bene senza nessun regolamento adottato in contradditorio con gli operatori e, senza nessun richiamo alle norme sulla privacy.
Inoltre, qui non si parla si scambio di informazioni o di obbligo di notificare a questi enti il security breach in caso di eventi in grado di compromettere la sicurezza, che è quello, per rispondere a Guido, che ci chiede la UE con la nuova proposta di direttiva del febbraio 2013.
L’Europa vuole un contesto sicuro, richiede agli operatori l’obbligo di notificare le violazioni di sicurezza, ma certo non si sogna di richiedere ai provider di mettere a disposizione le proprie banche dati ai servizi di sicurezza.
Inoltre differentemente da quello che ci chiede l’Europa, che ha stanziato linee di credito di finanziamento importanti per queste misure, l’Italia, in virtù della clausola di invarianza finanziaria, ha deciso di far ricadere l’onere di implementazione di queste comunicazioni ( e dei canali sicuri di trasmissione dati) integralmente sugli operatori privati.
Che quindi devono dare l’accesso, e lo devono anche pagare.
Quello che più o meno alcuni di voi, ivi compreso un nostro caro amico ed esperto prestato per qualche mese ( o ceduto a titolo definitivo non si sa ) al Parlamento, definisce sul suo blog una cosa da non preoccuparsi, visto che, sempre secondo il nostro amico, si tratterebbe solo della Data retention che tutti i provider fanno, ha scatenato in America una battaglia durissima tra le organizzazioni di tutela dei diritti civili tra le quali l’Electronic Frontier foundation l’AClu, Avaaz e tante altre organizzazioni, e I repubblicani al Congresso che, avevano proposto il CISPA, ovvero il Cyber Intelligence security and protection act.
La norma, avversatissima, consentiva agli organi dell’intelligence statunitense di richiedere l’accesso alle banche dati dei providers e di condividere con gli organismi dell’intelligence le relative informazioni, esattamente ciò che stabilisce oggi il dpcm Monti sulla cyber sicurezza.
Obama ha poi posto il veto sulla norma, che è stata però riproposta nel febbraio di quest’anno, emanando al contempo un ordine presidenziale, del pari criticato, ma molto più soft.
Ma qui siamo in Italia, e molto spesso, gli opinion makers della rete ( al netto naturalmente di tutti coloro che leggono questa lista) , in temi cosi tecnici, fanno una grande fatica, o, si accorgono con un certo ritardo, vedi AGCOm e diritto d’autore, dei rischi per le libertà civili, connessi a determinate iniziative legislative ( o regolamentari).
La norma italiana che voi vedete oggi approvata ha avuto una lunga gestazione, attraversando almeno tre governi, con diverse versioni che però non avevano mai incluso il settore privato tra i destinatari degli obblighi di condivisione delle informazioni.
All’ultimo minuto una “manona” governativa, successiva al viaggio che il nostro premier ( oramai in prorogatio perenne) ha fatto in Usa a febbraio del 2012, ha introdotto, mutuandolo dal CISPA, gli obblighi di accesso alle banche dati delle telco a spese delle stesse anche in Italia.
Non posso qui entrare ulteriormente nel merito, ma sono d’accordo con l’analisi del Collega Pietrosanti sui rischi che la nuova norma invada il campo di applicazione tipico delle acquisizioni di informazioni Rilevanti per procedimenti giudiziari che devono spettare esclusivamente alla magistratura.
Non solo infatti i dati relativi al cd data retention sono considerati a tutti gli effetti dati personali dal nuovo plesso normativo comunitario in tema di privacy in via di definizione presso la Ue, ma la possibilità di accedere al profilo di un utente in via preventiva attraverso i log detenuti dai provider, e la loro modificabilità, può determinare facilmente la creazione di un “profilo” personale con il quale ad esempio “ricattare” un soggetto ritenuto scomodo o, che ha deciso di entrare in politica, o che potrebbe accedere a determinate cariche.
Mi scuso se vi ho tediato, e vi saluto caramente Buona Pasqua
fulvio
Da: nexa-bounces@server-nexa.polito.it [mailto:nexa-bounces@server-nexa.polito.it] Per conto di Guido Scorza Inviato: sabato 30 marzo 2013 14.18 A: Carlo Blengino Cc: nexa@server-nexa.polito.it Oggetto: Re: [nexa] Interpreazione giuridica su diritti di accesso dei servizi segreti
+1, per fortuna! Si tratta, d'altra parte, di indicazioni UE. Il brivido, però, ci offre l'occasione per farci gli auguri!
Buona Pasqua,
gs
Il giorno 30/mar/2013, alle ore 12:59, Carlo Blengino <blengino@penalistiassociati.it> ha scritto:
Il problema esiste (bigbusiness+bigbrother), ma mi pare posto in modo un pò troppo "giornalistico" nel pezzo del bravo Sarzana. La disposizione non deroga alle norme usuali (e dunque alle garanzie) se non nei limiti di cui alla legge 3/08/2007 n. 124 che di fatto autorizza, a determinate e rigorose condizioni, i componenti di alcuni organismi per la sicurezza anche a commettere reati... D'altra parte difficilmente un atto amministrativo come un DPCM potrebbe superar di un balzo il framework legislativo e costituzionale. Vero che in questo momento l'impalcatura istituzionale pare traballare molto, ma non arriverei ad ipotizzare un salto nelle fonti del diritto così clamoroso. Spero.... Questa la mia opinione. C.
Inviato da iPad2
Il giorno 29/mar/2013, alle ore 18:20, "Fabio Pietrosanti (naif)" <lists@infosecurity.ch> ha scritto:
Ciao,
nell'articolo http://www.ilfattoquotidiano.it/2013/03/29/governo-attraverso-servizi-di-sic... viene indicato che i servizi segreti avranno accesso a basi dati con informazioni sui cittadini italiani di operatori di telecomunicazioni e utility elettriche.
Chiedo una interpretazione ai giuristi della lista in relazione a questo articolo, cioè per identificare effettivamente a quali informazioni i nostri servizi segreti potranno avere accesso nel futuro prossimo.
L'articolo 11, citato nell'articolo, in riferimento alla norma http://www.astrid-online.it/Documenti/Servizi-di/DPCM-24-gennaio-2013.pdf dice:
================================================================ Art. 11 Operatori privati
1. Gli operatori privati che forniscono reti pubbliche di comunicazione o servizi di comunicazione elettronica accessibili al pubblico, quelli che gestiscono infrastrutture critiche di rilievo nazionale ed europeo, il cui funzionamento e' condizionato dall'operativita' di sistemi informatici e telematici, ivi comprese quelle individuate ai sensi dell'art. 1, comma 1, lett. d), del decreto del Ministro dell'interno 9 gennaio 2008, secondo quanto previsto dalla normativa vigente, ovvero previa apposita convenzione:
c) forniscono informazioni agli organismi di informazione per la sicurezza e consentono ad essi l'accesso alle banche dati d'interesse ai fini della sicurezza cibernetica di rispettiva pertinenza, nei casi previsti dalla legge n. 124/2007; ================================================================
Dovremmo interpretare "banche dati d'interesse ai fini della sicurezza cibernetica" .
L'interpretazione immediata che io ne do' è data da dati di tipo tecnico, come logs di apparati di sicurezza e di sistemi informativi che consentano ai servizi nostrani di avere un presidioni del cyberspazio potendo creare una sorta di "SOC" nazionale che ricevere e correla dati di dettaglio sugli attacchi informatici, realizando un SIEM https://en.wikipedia.org/wiki/Security_information_and_event_management .
Questi dati tecnici sono scarsamente lesivi della privacy dei cittadini ed effettivamente realizzano una grande utilità a livello di protezione e cyber intelligence nazionale.
Tuttavia posso vedere una interpretazione allargata, che invece mette a rischio effettivo la privacy dei cittadini. A titolo di esempio si potrebbe ritenere "d'interese ai fini della sicurezza cibernetica" la possibilità di accedere ai dati anagrafici e ai metadati di connessione dei clienti di un operatore di telecomunicazione, al fine di identificare l'intestazione di un indirizzo IP, poichè utili all'interno di attività di intelligence su tematiche di cybersecurity.
Di fatto, nel caso di legittimazione di una interpretazione più ampia come l'esempio portato qui sopra, si fornirebbe un accesso totale e "senza mandato" a dati anagrafici, tabulati telematici e tabulati telefonici.
Se volessimo effettuare una interpretazione ancora più ampia, potremmo definire il sistema di posta elettronica di un operatore di telecomunicazione una "base dati" che è "di interesse" ai fini delle attività di investigazione e intelligence per la "sicurezza cibernetica" .
Con questa ulteriore interpretazione, si andrebbe ad autorizzare l'intelligence nazionale, ad esempio ad accedere a tutte le caselle di libero.it o virgilio.it .
Cari giuristi nexiani, che ne pensate?
-- Fabio Pietrosanti HERMES - Centro Studi Trasparenza e Diritti Umani in Rete http://logioshermes.org _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa