Il Consiglio dei Ministri ha approvato il 20 marzo 2024, in esame definitivo, lo schema di D.Lgs. (rif. https://www.senato.it/service/PDF/PDFServer/BGT/1402010.pdf) recante le disposizioni correttive al D.Lgs. 207/2021, di attuazione della Direttiva (UE) 2018/1972, che modifica il Codice delle comunicazioni elettroniche (di seguito “Codice“). Lo ha reso noto Palazzo Chigi nella nota diramata post Cdm.

Vediamo gli impatti, diretti ed indiretti, sugli adempimenti previsti dall’art. 57 “Prestazioni Obbligatorie” che prevede che siano obbligatorie le prestazioni effettuate a fronte di richieste di informazioni da parte delle competenti autorità giudiziarie e delle agenzie preposte alla sicurezza nazionale per:

• i soggetti autorizzati all’impianto ed esercizio di reti e servizi di comunicazione elettronica ad uso pubblico,
• gli operatori che erogano i servizi individuati dall’articolo 3 del Decreto Legislativo 30 maggio 2008, n.109,
• gli operatori di transito internazionale di traffico,
• i fornitori di servizi di comunicazione interpersonale indipendente dal numero.

1. Nuove definizioni

Nel Codice vengono inserite le seguenti nuove definizioni afferenti principalmente alle reti WiFi (tra parentesi le nuove lettere):

• (b-bis): access point, cioè un dispositivo di rete che consente l’accesso ad un numero variabile di utenti tra una rete radio LAN e una rete di comunicazione elettronica;
• (cc-bis) Mac Address, vale a dire un codice di 12 caratteri in formato esadecimale conforme alla serie di standard IEEE 802, che identifica in modo univoco un dispositivo da connettere a una rete;
• (uuu-bis) SSID o Service set identifier, cioè il codice che permette di identificare in modo univoco una rete LAN;

E’ stata inoltre aggiunta la seguente nuova definizione:

• (t-bis) identificazione univoca indiretta dell’utente: identificazione univoca dell’utente effettuata acquisendo l’identità tecnica precedentemente validata e anagrafata da altri soggetti pubblici o esercenti un servizio di pubblica utilità

Tale definizione conferma l’interpretazione che LEX ET ARS (LEA) ha sempre dato nell’implementazione del progetto “SECFULL® TARGET” applicato alle reti WiFi, dove l’identificazione può avvenire in modo indiretto tramite la numerazione mobile MSISDN utilizzata per l’invio dell’OTP. Come vederemo più avanti, la nuova definizione è utilizzata anche per il riconoscimento degli utenti mediante sistemi di identità digitale equipollenti ad ogni effetto di legge ai documenti d’identità.

2. Acquisizione dati anagrafici dei clienti

L’Art. 1, comma 37 modifica l’art. 98-undetricies del d.lgs. n. 259 del 2003 prevdendo che i clienti siano identificati prima dell’attivazione, anche di singole componenti, dei servizi, al momento della consegna o messa a disposizione della scheda elettronica (S.I.M.) o della fornitura del profilo nel caso di eSIM digitale. Più precisamente, è stato specificato che tali imprese, nei casi di nuova attivazione e di portabilità del numero o cambio della S.I.M., devono adottare tutte le necessarie misure affinché venga garantita l’acquisizione dei dati anagrafici del titolare del contratto, riportati su un documento di identità, nonché del tipo e del numero, acquisendone copia. Inoltre, le
imprese suddette devono assicurare il corretto trattamento dei dati acquisiti, fatto salvo il caso in cui per l’identificazione del cliente vengano utilizzati sistemi di identità digitale equipollenti ad ogni effetto di legge ai documenti d’identità. Infine, è stato previsto che l’identificazione del titolare del contratto può essere effettuata anche, da remoto o in via indiretta.

Al comma 19 è stata introdotta una nuova ipotesi sanzionatoria nel caso di mancata identificazione degli utenti che richiedono attivazioni di SIM telefoniche. La disposizione di cui alla lettera f) estende l’applicazione delle sanzioni amministrative pecuniarie di cui al comma 19 dell’art.30 del Codice delle Comunicazioni Elettroniche anche all’ipotesi di inosservanza delle disposizioni di cui all’articolo 98-undetricies.

Per approfondimenti:

Obbligo d’identificazione prima dell’attivazione delle SIM o eSIM anche per singole componenti del servizio

3. Digital Services Act

E’ stato aggiornato il rinvio normativo all’applicazione dell’articolo 4 del nuovo regolamento (UE) sui servizi digitali n. 2022/2065 (Digital Service Act), relativo in particolare alla responsabilità dei prestatori di servizi intermediari, in luogo del rinvio all’art. 12 della previgente direttiva 2000/31/CE.

Per approfondimenti:

Digital Services Act (DSA) e tempi per adeguarsi

4. Reti WiFi

Il comma 29 modifica l’art. 68 del Codice, in materia di accesso alle reti locali in radiofrequenza, che è soggetto ad autorizzazione generale quando attraverso reti locali punto-multipunto in radiofrequenze (RLAN) si accede a una rete pubblica.

Inoltre, viene introdotto un nuovo comma 6-bis all’articolo 69 del Codice, in base al quale il collegamento tra access point appartenenti al medesimo operatore nonché a operatori distinti è ammesso a condizione che, in caso di interconnessione tra reti, si rispettino tutte le disposizioni del Codice, tra cui appunto quelle dell’art. 57 sulle Prestazioni Obbligatorie. Questo vuol dire, ad esempio, che quando gli access point e gli apparati di interconnessione alle rete Internet appartengono ad operatori diversi, entrambi devono cooperare per ottemperare alle prestazioni obbligatorie così come previsto dal comma 8 dell’art. 57.

Con il comma 30 viene modificato l’articolo 69 del Codice, relativo all’installazione e al funzionamento dei punti di accesso senza fili di portata limitata. La disposizione prevede attualmente, al comma 1, che le autorità competenti non possano limitare indebitamente l’installazione di tali punti di accesso, in particolare richiedendo permessi urbanistici o individuali preventivi. In deroga a tale principio è previsto che le autorità competenti possano richiedere autorizzazioni in edifici o siti di valore architettonico, storico, ambientale protetti a norma del diritto nazionale o se necessario per ragioni di pubblica sicurezza. A tale previsione, con la modifica al comma 1 dell’art. 69, la possibilità di chiedere autorizzazioni preventive, viene estesa agli edifici e ai siti di valore paesaggistico.

E’ utile ricordare che gli Operatori di reti o di servizi che, rispettivamente, intendano realizzare una rete WiFi che acceda ad Internet o offrire un servizio di accesso ad Internet per mezzo della rete WiFi che, per effetto dell’articolo 11 comma 5, nella richiesta di autorizzazione generale occorre fornire anche:

a) il nome del fornitore;
b) lo status giuridico, la forma giuridica e il numero di registrazione del fornitore, qualora il fornitore sia registrato
nel registro pubblico delle imprese o in un altro registro pubblico analogo nell’Unione;
c) l’eventuale indirizzo geografico della sede principale del fornitore nell’Unione e delle eventuali sedi secondarie in uno
Stato membro;
d) l’indirizzo del sito web del fornitore, se applicabile, associato alla fornitura di reti o servizi di comunicazione
elettronica;
e) una persona di contatto e suoi recapiti completi;
f) una breve descrizione delle reti o dei servizi che si intende fornire;
g) gli Stati membri interessati
h) la data presunta di inizio dell’attività;
i) l’impegno a rispettare le norme del decreto e del regime previsto per l’autorizzazione generale;
l) l’ubicazione delle stazioni radioelettriche, e nel caso di fornitura di accesso ai sensi dell’articolo 68, il MAC Address, il Service Set Identifier (SSID) e la frequenza utilizzata.

All’Allegato 1, alla lettera A, dopo il numero 11, è aggiunto l’11-ter “Il rispetto delle disposizioni vigenti in materia di pubblica sicurezza e tempestiva collaborazione con l’Autorità giudiziaria“.

4. Spoofing

Con il comma 36 viene modificato l’art. 98-decies del Codice, che disciplina l’accesso a numeri e servizi, aggiungendo al comma 2, alcuni poteri dell’AGCOM ( di seguito “Autorità”) in funzione di repressione delle frodi o abusi sull’utilizzo di numerazioni. Si prevede infatti che l’Autorità possa imporre ai soggetti autorizzati a fornire reti o servizi di comunicazione elettronica norme per bloccare comunicazioni provenienti dall’estero che illegittimamente usino numerazione nazionale per identificarne l’origine, ovvero non rispettino le specifiche raccomandazioni dell’ITU-T (International Telecommunication Union – Telecommunication Standardization Bureau il settore dell’Unione internazionale delle telecomunicazioni che si occupa di regolare le telecomunicazioni telefoniche).

5. Blocco FQDN

All’articolo 98-decies del decreto legislativo n. 259 del 2003, al comma 2, sono aggiunti in fine i seguenti periodi: «In particolare, l’Autorità può imporre ai soggetti autorizzati a fornire reti o servizi di comunicazione elettronica norme per bloccare comunicazioni provenienti dall’estero che illegittimamente usino numerazione nazionale per identificarne l’origine, ovvero non rispettano le specifiche raccomandazioni dell’ITU-T. L’Autorità può ordinare il blocco dei sistemi dei nomi di dominio accessibili da utenza sita sul territorio nazionale in caso di pratiche commerciali aggressive, frodi o abusi sulla base di specifica propria regolamentazione.».

6. Gestione degli Alias

All’articolo 98-sexies del decreto legislativo n. 259 del 2003 sono apportate le seguenti modificazioni:
a) al comma 1, dopo il secondo periodo è inserito il seguente: «L’Autorità regolamenta e gestisce l’attribuzione, per il tramite di fornitori di servizi di messaggistica aziendale, all’utenza aziendale degli identificativi alfanumerici per l’invio di SMS/MMS.»;
b) il comma 4 è sostituito dal seguente:
«4. L’Autorità rende disponibile le risorse di numerazione, tra cui gli identificativi alfanumerici di cui al comma 1, per l’uso da parte dell’ utente finale presente sul territorio nazionale, salvo eccezioni determinate dalla stessa tra cui la messa a disposizione di una serie di numeri non
geografici che possano essere utilizzati per la fornitura di servizi di comunicazione elettronica diversi dai servizi di comunicazione interpersonale in tutto il territorio dell’Unione europea, fatti salvi il regolamento (UE) n. 531/2012 e l’articolo 98-decies comma 2 del presente decreto. […]

In an era dominated by technological advancements and rapid communication, the lawful interception of telecommunications plays a crucial role in maintaining public safety and national security. As societies become increasingly connected, the need for effective measures to monitor and intercept communication within legal boundaries becomes imperative. This article delves into the concept of lawful interception in telecommunications, examining its significance, methods, and the delicate balance it strikes between individual privacy and collective security.

Lawful interception refers to the legally authorized monitoring and interception of telecommunications, including telephone calls, emails, and other forms of digital communication. Governments, law enforcement agencies, and intelligence organizations utilize lawful interception as a tool to combat various forms of criminal activities, ranging from terrorism to organized crime. The primary objective is to gather information that can aid in preventing or investigating illegal activities while adhering to established legal frameworks.

One of the critical aspects of lawful interception is the existence of well-defined legal frameworks that govern the process. Different countries have distinct laws and regulations outlining the circumstances under which interception is permitted, the types of information that can be collected, and the oversight mechanisms in place to prevent abuse. Striking the right balance between protecting individual privacy rights and ensuring national security remains a constant challenge for lawmakers.

Lawful interception employs various methods to monitor and collect communication data. Traditional telephone wiretapping has evolved into sophisticated technologies capable of intercepting digital communications, such as VoIP (Voice over Internet Protocol) calls and instant messaging. Telecommunication service providers play a crucial role in facilitating lawful interception, and they are often required to implement the necessary infrastructure to enable authorized agencies to access relevant data.

While lawful interception is essential for maintaining public safety, it also raises significant concerns related to privacy and civil liberties. Striking the right balance between the need for surveillance and protecting individual rights requires careful consideration. Governments and organizations must implement robust oversight mechanisms, transparent legal frameworks, and stringent accountability measures to mitigate the risk of misuse.

Given the global nature of modern telecommunications, there is an increasing need for international cooperation and standardized practices in lawful interception. Interoperability between different countries’ systems and adherence to common standards can enhance the effectiveness of lawful interception efforts while ensuring that human rights and privacy are respected on a global scale.

Lawful interception of telecommunications is a complex and multifaceted practice that seeks to reconcile the need for security with respect for individual privacy. As technology continues to advance, the legal and ethical considerations surrounding lawful interception will evolve. Striking the right balance between safeguarding society and protecting individual rights remains a dynamic challenge that requires ongoing dialogue, collaboration, and a commitment to upholding the principles of justice and accountability.

Secfull®

In Italy, companies authorized to set up and operate networks for public use, as well as the more traditional telecommunications operators that offer electronic communications services for public use, must comply with the so-called Mandatory Services, as required by art. 57 of the Electronic Communications Code.

By Mandatory Services we mean those services paid by the subjects with general authorization identified by the art. 57 of the Electronic Communications Code (Legislative Decree 259/2003), updated following the entry into force on 24 December 2021 of Legislative Decree 8 November 2021, n. 207 (hereinafter “Code”), to be guaranteed towards the judicial authorities and national security agencies. The aim is, for example, to track both Internet connections and the technical identity of the user who connects, storing them in accordance with the provisions of the Privacy Code, for the purposes of detecting and suppressing crimes and for national security. When requesting general authorisation, the Operators declare that they fully accept the provisions of the Code, very often self-certifying in an unconscious manner albeit in good faith, that they have implemented every technical, organizational and managerial measure necessary to cover the services provided for by the ‘art. 57 of the Code. This declaration represents the only form of guarantee for compliance with the provisions of the Code, as in our country there is no office, body or authority responsible for effectively verifying, both preventively and continuously, the coverage of mandatory benefits.

In cases where non-compliance with these requirements is evident, ie when the person who requested the general authorization has not in fact implemented any envisaged measures, the Ministry of Business and Made in Italy, formerly MISE and today MIMIT, requested by the authorities to whom these services must be guaranteed and, as required by art. 30 paragraph 16 of the Code, imposes a pecuniary administrative sanction which can be between 170.000 euros and 2.500.000 euros. If the violation of obligations is particularly serious or repeated more than twice in a five-year period, the Ministry may additionally order the suspension of the activity for a period not exceeding two months or the revocation of the general authorization.

Article 57 – Mandatory services (ex art. 96 Code 2003)

1. They are mandatory for subjects authorized to set up and operate electronic communications networks and services for public use, as well as for operators who provide the services identified by article 3 of Legislative Decree 30 May 2008, n.109, for international traffic transit operators, the services carried out in response to requests for information from the competent judicial authorities and agencies responsible for national security. The times and methods are agreed with the aforementioned Authorities. Without prejudice to the provisions of the decree referred to in paragraph 6 regarding requests made by judicial authorities.

2. Services for the purposes of justice and prevention of serious crimes carried out in response to interception requests by the competent judicial authorities are mandatory for persons authorized to set up and operate electronic communications networks and services for public use. The times and methods are established by the decree referred to in paragraph 6.

3. The subjects authorized for machine-to-machine communications – IoT (Internet-of-Things) and for Edge Computing services are exempted from the obligations referred to in paragraphs 1 and 2, limited to the provision of such services and with the exclusion of cases in where the use of such services can contribute to providing interpersonal communication services.

4. It is mandatory for parties authorized to set up and operate electronic communications networks and services for public use, including international traffic transit operators, to prepare tools for monitoring and combating threats, including in real time. cybernetics and prompt collaboration in response to requests for information and intervention to protect national security by the competent state authorities. The times and methods are agreed with the aforementioned authorities.

5. When events are detected that may affect the security of information systems, electronic communications operators shall immediately inform the National Cyber Security Agency. The Agency, when it is aware of a threat that could affect the security of information systems, in order to prevent the threat, orders the electronic communications operators who have set up the tools provided for in paragraph 4, to activate the tools contrast using, where appropriate, technical markers indicated by the same.

6. The flat-rate annual fee for the mandatory services referred to in paragraphs 1 to 4 is identified by decree of the Minister of Justice and the Minister of Economic Development, in agreement with the Minister of Economy and Finance. The decree:

a) regulates the types of mandatory services and determines their tariffs, taking into account the evolution of costs and services, so as to achieve cost savings of at least 50 percent compared to the tariffs charged. The tariff includes the costs for all services simultaneously activated or used by each network identity;

b) identifies the subjects required to provide mandatory interception services, including among service providers whose infrastructures allow access to the network or the distribution of information or communication contents, and those who in any capacity provide electronic communication services or applications , even if usable through non-own access or transport networks;

c) defines the obligations of the subjects required to perform the mandatory services and the methods of carrying them out, including the observance of homogeneous IT procedures in the transmission and management of communications of an administrative nature, also with regard to the preliminary phases to the payment of the same services.

7. In case of failure to comply with the obligations contained in the decree referred to in paragraph 6, article 32, paragraphs 2, 3, 4, 5 and 6 and article 30, paragraph 16 apply.

8. For the purposes of providing the services referred to in paragraph 6, operators are obliged to negotiate the interconnection methods between themselves, in order to guarantee the supply and interoperability of the services themselves. The Ministry can intervene if necessary on its own initiative or, in the absence of agreement between the operators, at the request of one of them.

9. Pending the adoption of the decree referred to in paragraph 6, the provisions in force, including those of a regulatory nature, continue to apply.