Il Consiglio dei Ministri ha approvato il 20 marzo 2024, in esame definitivo, lo schema di D.Lgs. (rif. https://www.senato.it/service/PDF/PDFServer/BGT/1402010.pdf) recante le disposizioni correttive al D.Lgs. 207/2021, di attuazione della Direttiva (UE) 2018/1972, che modifica il Codice delle comunicazioni elettroniche (di seguito “Codice“). Lo ha reso noto Palazzo Chigi nella nota diramata post Cdm.

Vediamo gli impatti, diretti ed indiretti, sugli adempimenti previsti dall’art. 57 “Prestazioni Obbligatorie” che prevede che siano obbligatorie le prestazioni effettuate a fronte di richieste di informazioni da parte delle competenti autorità giudiziarie e delle agenzie preposte alla sicurezza nazionale per:

• i soggetti autorizzati all’impianto ed esercizio di reti e servizi di comunicazione elettronica ad uso pubblico,
• gli operatori che erogano i servizi individuati dall’articolo 3 del Decreto Legislativo 30 maggio 2008, n.109,
• gli operatori di transito internazionale di traffico,
• i fornitori di servizi di comunicazione interpersonale indipendente dal numero.

1. Nuove definizioni

Nel Codice vengono inserite le seguenti nuove definizioni afferenti principalmente alle reti WiFi (tra parentesi le nuove lettere):

• (b-bis): access point, cioè un dispositivo di rete che consente l’accesso ad un numero variabile di utenti tra una rete radio LAN e una rete di comunicazione elettronica;
• (cc-bis) Mac Address, vale a dire un codice di 12 caratteri in formato esadecimale conforme alla serie di standard IEEE 802, che identifica in modo univoco un dispositivo da connettere a una rete;
• (uuu-bis) SSID o Service set identifier, cioè il codice che permette di identificare in modo univoco una rete LAN;

E’ stata inoltre aggiunta la seguente nuova definizione:

• (t-bis) identificazione univoca indiretta dell’utente: identificazione univoca dell’utente effettuata acquisendo l’identità tecnica precedentemente validata e anagrafata da altri soggetti pubblici o esercenti un servizio di pubblica utilità

Tale definizione conferma l’interpretazione che LEX ET ARS (LEA) ha sempre dato nell’implementazione del progetto “SECFULL® TARGET” applicato alle reti WiFi, dove l’identificazione può avvenire in modo indiretto tramite la numerazione mobile MSISDN utilizzata per l’invio dell’OTP. Come vederemo più avanti, la nuova definizione è utilizzata anche per il riconoscimento degli utenti mediante sistemi di identità digitale equipollenti ad ogni effetto di legge ai documenti d’identità.

2. Acquisizione dati anagrafici dei clienti

L’Art. 1, comma 37 modifica l’art. 98-undetricies del d.lgs. n. 259 del 2003 prevdendo che i clienti siano identificati prima dell’attivazione, anche di singole componenti, dei servizi, al momento della consegna o messa a disposizione della scheda elettronica (S.I.M.) o della fornitura del profilo nel caso di eSIM digitale. Più precisamente, è stato specificato che tali imprese, nei casi di nuova attivazione e di portabilità del numero o cambio della S.I.M., devono adottare tutte le necessarie misure affinché venga garantita l’acquisizione dei dati anagrafici del titolare del contratto, riportati su un documento di identità, nonché del tipo e del numero, acquisendone copia. Inoltre, le
imprese suddette devono assicurare il corretto trattamento dei dati acquisiti, fatto salvo il caso in cui per l’identificazione del cliente vengano utilizzati sistemi di identità digitale equipollenti ad ogni effetto di legge ai documenti d’identità. Infine, è stato previsto che l’identificazione del titolare del contratto può essere effettuata anche, da remoto o in via indiretta.

Al comma 19 è stata introdotta una nuova ipotesi sanzionatoria nel caso di mancata identificazione degli utenti che richiedono attivazioni di SIM telefoniche. La disposizione di cui alla lettera f) estende l’applicazione delle sanzioni amministrative pecuniarie di cui al comma 19 dell’art.30 del Codice delle Comunicazioni Elettroniche anche all’ipotesi di inosservanza delle disposizioni di cui all’articolo 98-undetricies.

Per approfondimenti:

Obbligo d’identificazione prima dell’attivazione delle SIM o eSIM anche per singole componenti del servizio

3. Digital Services Act

E’ stato aggiornato il rinvio normativo all’applicazione dell’articolo 4 del nuovo regolamento (UE) sui servizi digitali n. 2022/2065 (Digital Service Act), relativo in particolare alla responsabilità dei prestatori di servizi intermediari, in luogo del rinvio all’art. 12 della previgente direttiva 2000/31/CE.

Per approfondimenti:

Digital Services Act (DSA) e tempi per adeguarsi

4. Reti WiFi

Il comma 29 modifica l’art. 68 del Codice, in materia di accesso alle reti locali in radiofrequenza, che è soggetto ad autorizzazione generale quando attraverso reti locali punto-multipunto in radiofrequenze (RLAN) si accede a una rete pubblica.

Inoltre, viene introdotto un nuovo comma 6-bis all’articolo 69 del Codice, in base al quale il collegamento tra access point appartenenti al medesimo operatore nonché a operatori distinti è ammesso a condizione che, in caso di interconnessione tra reti, si rispettino tutte le disposizioni del Codice, tra cui appunto quelle dell’art. 57 sulle Prestazioni Obbligatorie. Questo vuol dire, ad esempio, che quando gli access point e gli apparati di interconnessione alle rete Internet appartengono ad operatori diversi, entrambi devono cooperare per ottemperare alle prestazioni obbligatorie così come previsto dal comma 8 dell’art. 57.

Con il comma 30 viene modificato l’articolo 69 del Codice, relativo all’installazione e al funzionamento dei punti di accesso senza fili di portata limitata. La disposizione prevede attualmente, al comma 1, che le autorità competenti non possano limitare indebitamente l’installazione di tali punti di accesso, in particolare richiedendo permessi urbanistici o individuali preventivi. In deroga a tale principio è previsto che le autorità competenti possano richiedere autorizzazioni in edifici o siti di valore architettonico, storico, ambientale protetti a norma del diritto nazionale o se necessario per ragioni di pubblica sicurezza. A tale previsione, con la modifica al comma 1 dell’art. 69, la possibilità di chiedere autorizzazioni preventive, viene estesa agli edifici e ai siti di valore paesaggistico.

E’ utile ricordare che gli Operatori di reti o di servizi che, rispettivamente, intendano realizzare una rete WiFi che acceda ad Internet o offrire un servizio di accesso ad Internet per mezzo della rete WiFi che, per effetto dell’articolo 11 comma 5, nella richiesta di autorizzazione generale occorre fornire anche:

a) il nome del fornitore;
b) lo status giuridico, la forma giuridica e il numero di registrazione del fornitore, qualora il fornitore sia registrato
nel registro pubblico delle imprese o in un altro registro pubblico analogo nell’Unione;
c) l’eventuale indirizzo geografico della sede principale del fornitore nell’Unione e delle eventuali sedi secondarie in uno
Stato membro;
d) l’indirizzo del sito web del fornitore, se applicabile, associato alla fornitura di reti o servizi di comunicazione
elettronica;
e) una persona di contatto e suoi recapiti completi;
f) una breve descrizione delle reti o dei servizi che si intende fornire;
g) gli Stati membri interessati
h) la data presunta di inizio dell’attività;
i) l’impegno a rispettare le norme del decreto e del regime previsto per l’autorizzazione generale;
l) l’ubicazione delle stazioni radioelettriche, e nel caso di fornitura di accesso ai sensi dell’articolo 68, il MAC Address, il Service Set Identifier (SSID) e la frequenza utilizzata.

All’Allegato 1, alla lettera A, dopo il numero 11, è aggiunto l’11-ter “Il rispetto delle disposizioni vigenti in materia di pubblica sicurezza e tempestiva collaborazione con l’Autorità giudiziaria“.

4. Spoofing

Con il comma 36 viene modificato l’art. 98-decies del Codice, che disciplina l’accesso a numeri e servizi, aggiungendo al comma 2, alcuni poteri dell’AGCOM ( di seguito “Autorità”) in funzione di repressione delle frodi o abusi sull’utilizzo di numerazioni. Si prevede infatti che l’Autorità possa imporre ai soggetti autorizzati a fornire reti o servizi di comunicazione elettronica norme per bloccare comunicazioni provenienti dall’estero che illegittimamente usino numerazione nazionale per identificarne l’origine, ovvero non rispettino le specifiche raccomandazioni dell’ITU-T (International Telecommunication Union – Telecommunication Standardization Bureau il settore dell’Unione internazionale delle telecomunicazioni che si occupa di regolare le telecomunicazioni telefoniche).

5. Blocco FQDN

All’articolo 98-decies del decreto legislativo n. 259 del 2003, al comma 2, sono aggiunti in fine i seguenti periodi: «In particolare, l’Autorità può imporre ai soggetti autorizzati a fornire reti o servizi di comunicazione elettronica norme per bloccare comunicazioni provenienti dall’estero che illegittimamente usino numerazione nazionale per identificarne l’origine, ovvero non rispettano le specifiche raccomandazioni dell’ITU-T. L’Autorità può ordinare il blocco dei sistemi dei nomi di dominio accessibili da utenza sita sul territorio nazionale in caso di pratiche commerciali aggressive, frodi o abusi sulla base di specifica propria regolamentazione.».

6. Gestione degli Alias

All’articolo 98-sexies del decreto legislativo n. 259 del 2003 sono apportate le seguenti modificazioni:
a) al comma 1, dopo il secondo periodo è inserito il seguente: «L’Autorità regolamenta e gestisce l’attribuzione, per il tramite di fornitori di servizi di messaggistica aziendale, all’utenza aziendale degli identificativi alfanumerici per l’invio di SMS/MMS.»;
b) il comma 4 è sostituito dal seguente:
«4. L’Autorità rende disponibile le risorse di numerazione, tra cui gli identificativi alfanumerici di cui al comma 1, per l’uso da parte dell’ utente finale presente sul territorio nazionale, salvo eccezioni determinate dalla stessa tra cui la messa a disposizione di una serie di numeri non
geografici che possano essere utilizzati per la fornitura di servizi di comunicazione elettronica diversi dai servizi di comunicazione interpersonale in tutto il territorio dell’Unione europea, fatti salvi il regolamento (UE) n. 531/2012 e l’articolo 98-decies comma 2 del presente decreto. […]

Schema di decreto legislativo, approvato in via preliminare dal Consiglio dei ministri il 19 dicembre 2023, riguardante le modifica al decreto legislativo 1° agosto 2003, n. 259 (Codice delle Comunicazioni Elettroniche)

Come riportato nella “Relazione Illustrativa” allegata allo Schema di D.Lgs. in esame al Senato (Atto del Governo sottoposto a parere parlamentare – N. 108), il provvedimento trova il suo fondamento nella necessità di intervenire alla correzione e all’aggiornamento del decreto legislativo 1° agosto 2003, n. 259, come modificato dal decreto legislativo 8 novembre 2021, n. 207, che ha recepito la direttiva (UE) 2018/1972 del Parlamento Europeo e del Consiglio dell’11 dicembre 2018, che ha istituito il Codice Europeo delle comunicazioni elettroniche.

Vediamo ora quali sono le modifiche/correzioni che interessano precipuamente il contesto delle c.d. prestazioni di giustizia a carico degli operatori di Telecomunicazioni.

1. Obbligo identificazione dei clienti prima dell’attivazione delle SIM o eSIM anche per singole componenti del servizio

La modifica principale che riteniamo meriti di essere al momento evidenziata, è quella della modifica del comma 1 dell’art. 98 undetricies, per il quale riportiamo sia la versione attuale che quella, ad oggi, prevista dallo Schema di D.Lgs., per meglio apprezzarne le differenze:

Comma Vigente

1.Ogni impresa è tenuta a rendere disponibili, anche per via telematica, al centro di elaborazione dati del Ministero dell’interno gli elenchi di tutti i propri abbonati e di tutti gli acquirenti del traffico prepagato della telefonia mobile, che sono identificati prima dell’attivazione del servizio, al momento della consegna o messa a disposizione della occorrente scheda elettronica (S.I.M.). Le predette imprese, anche per il caso di nuova attivazione e di migrazione di S.I.M. card già attivate, adottano tutte le necessarie misure affinché venga garantita l’acquisizione dei dati anagrafici riportati su un documento di identità, nonché del tipo, del numero e della riproduzione del documento presentato dall’acquirente ed assicurano il corretto trattamento dei dati acquisiti, anche da remoto o in via indiretta purché vengano garantiti la corretta acquisizione dei dati necessari al riconoscimento dell’utente ed il rispetto delle norme a tutela della riservatezza dei dati personali.

L’Autorità giudiziaria ha facoltà di accedere per fini di giustizia ai predetti elenchi in possesso del centro di elaborazione dati del Ministero dell’interno.

Proposta di modifica

1. Ogni impresa è tenuta a rendere disponibili, anche per via telematica, al centro di elaborazione dati del Ministero dell’interno gli elenchi dei propri clienti titolari di contratti prepagati (acquirenti traffico) o post pagati (abbonati) della telefonia mobile. Il Ministero e l’Autorità, ognuno per le parti di propria competenza, assicurano che i clienti siano identificati prima dell’attivazione, anche di singole componenti, dei servizi, al momento della consegna o messa a disposizione della scheda elettronica (S.I.M.) o della fornitura del profilo nel caso di eSIM digitale. Le predette imprese, nei casi di nuova attivazione e di portabilità del numero o cambio della S.I.M, adottano tutte le necessarie misure affinché sia garantita l’acquisizione dei dati anagrafici del titolare del contratto riportati su un documento di identità, nonché del tipo, del numero, acquisendone copia ed assicurano il corretto trattamento dei dati acquisiti, fatto salvo il caso in cui per l’identificazione del cliente siano utilizzati sistemi di identità digitale equipollenti ad ogni effetto di legge ai documenti d’identità. L’identificazione del titolare del contratto può essere effettuata anche da remoto o in via indiretta, purché vengano garantiti la corretta acquisizione dei dati necessari al riconoscimento dell’utente ed il rispetto delle norme a tutela della riservatezza dei dati personali. L’Autorità giudiziaria ha facoltà di accedere per fini di giustizia ai predetti elenchi in possesso del centro di elaborazione dati del Ministero dell’interno.

Il nuovo comma, conferma che il cliente sia identificato prima dell’attivazione, anche per singole componenti (novità prevista nello schema) dei servizi, al momento della consegna o messa a disposizione della scheda elettronica (S.I.M.) o della fornitura del profilo nel caso di eSIM (non prevista nel comma vigente).

Altra novità è la parte in cui è previsto che il Ministero e l’Autorità, ognuno per le parti di propria competenza, dovranno assicurare le modalità di identificazione del cliente; a prima vista non si comprende come il Ministero o l’Autorità possa assicurare l’identificazione del cliente, che è di competenza dell’operatore di TLC, a meno che con il capoverso il legislatore non intenda che i suddetti Enti attraverso opportuni interventi normativi (es. tramite Decreto Ministeriale), dovranno disciplinare nel dettaglio le modalità di identificazione del cliente che gli operatori dovranno adottare, come peraltro fatto con il Decreto del Ministero dell’Interno del 28/12/2018 che prevede, in sintesi, tre metodi di identificazione del cliente (tramite SPID, CIE e metodo indiretto).

E’ confermato che gli Operatori di telecomunicazioni, nei casi di nuova attivazione e di portabilità del numero o cambio della S.I.M. (fattispecie nel testo attuale non prevista), dovranno garantire l’acquisizione dei dati anagrafici del titolare del contratto riportati su un documento di identità, nonché del tipo, del numero, acquisendone copia assicurando il corretto trattamento dei dati acquisiti, fatto salvo, ed è questa la novità più rilevante, il caso in cui per l’identificazione del cliente vengano utilizzati sistemi di identità digitale equipollenti a ogni effetto di legge ai documenti d’identità, quali ad esempio SPID, CIE o TS, che viceversa a oggi non sono previsti per i casi di nuova attivazione di SIM (https://www.sicurezzaegiustizia.com/agcom-conferma-la-validita-dei-sistemi-di-identita-digitale-solo-per-le-operazioni-di-mnp-e-sostituzione-delle-sim/).

È confermata l’identificazione del titolare del contratto anche da remoto o in via indiretta.

2. Nuova sanzione in caso di inosservanza dell’art. 98 undetricies

Altra importante novella è quella dell’art. 30 (Sanzioni) ove al comma 19 è stata introdotta una nuova ipotesi sanzionatoria nel caso di inosservanza delle disposizioni dell’articolo 98 undetricies (Identificazione degli utenti)

Se la modifica verrà approvata, sarà prevista la “….. sanzione amministrativa pecuniaria da euro 25.000,00 a euro 5.000.000,00 e, nei casi più gravi, fino al 5% del fatturato risultante dall’ultimo bilancio approvato al momento della notifica della contestazione. e ordinano l’immediata cessazione della violazione….. Nel caso di violazione di particolare gravità o reiterazione degli illeciti….. per più di due volte in un quinquennio, l’Autorità irroga la sanzione amministrativa pecuniaria in misura non inferiore al 2 per cento e non superiore al 5 per cento del fatturato realizzato dallo stesso soggetto nell’ultimo bilancio approvato anteriormente alla notificazione della contestazione”.

Gli Operatori di telecomunicazioni, per evitare le sanzioni, dovranno quindi prestare particolare attenzione sia ai processi di identificazione, attivando anche procedure di controllo interne atte a evitare ad esempio casi, come già successo, di utilizzo da parte di Dealer di documentazione di ignari clienti utilizzata per attivare nuove SIM, che nel mettere a disposizione del CED del Ministero dell’Interno, anche per via telematica (ETNa), gli elenchi dei clienti della telefonia mobile.

Questa nuova fattispecie sanzionatoria, si aggiunge a quella attualmente già disciplinata dal comma 16 (art. 30) per i casi di violazione degli obblighi gravanti sugli operatori di cui all’articolo 57 (Prestazioni obbligatorie) del CCE.

In an era dominated by technological advancements and rapid communication, the lawful interception of telecommunications plays a crucial role in maintaining public safety and national security. As societies become increasingly connected, the need for effective measures to monitor and intercept communication within legal boundaries becomes imperative. This article delves into the concept of lawful interception in telecommunications, examining its significance, methods, and the delicate balance it strikes between individual privacy and collective security.

Lawful interception refers to the legally authorized monitoring and interception of telecommunications, including telephone calls, emails, and other forms of digital communication. Governments, law enforcement agencies, and intelligence organizations utilize lawful interception as a tool to combat various forms of criminal activities, ranging from terrorism to organized crime. The primary objective is to gather information that can aid in preventing or investigating illegal activities while adhering to established legal frameworks.

One of the critical aspects of lawful interception is the existence of well-defined legal frameworks that govern the process. Different countries have distinct laws and regulations outlining the circumstances under which interception is permitted, the types of information that can be collected, and the oversight mechanisms in place to prevent abuse. Striking the right balance between protecting individual privacy rights and ensuring national security remains a constant challenge for lawmakers.

Lawful interception employs various methods to monitor and collect communication data. Traditional telephone wiretapping has evolved into sophisticated technologies capable of intercepting digital communications, such as VoIP (Voice over Internet Protocol) calls and instant messaging. Telecommunication service providers play a crucial role in facilitating lawful interception, and they are often required to implement the necessary infrastructure to enable authorized agencies to access relevant data.

While lawful interception is essential for maintaining public safety, it also raises significant concerns related to privacy and civil liberties. Striking the right balance between the need for surveillance and protecting individual rights requires careful consideration. Governments and organizations must implement robust oversight mechanisms, transparent legal frameworks, and stringent accountability measures to mitigate the risk of misuse.

Given the global nature of modern telecommunications, there is an increasing need for international cooperation and standardized practices in lawful interception. Interoperability between different countries’ systems and adherence to common standards can enhance the effectiveness of lawful interception efforts while ensuring that human rights and privacy are respected on a global scale.

Lawful interception of telecommunications is a complex and multifaceted practice that seeks to reconcile the need for security with respect for individual privacy. As technology continues to advance, the legal and ethical considerations surrounding lawful interception will evolve. Striking the right balance between safeguarding society and protecting individual rights remains a dynamic challenge that requires ongoing dialogue, collaboration, and a commitment to upholding the principles of justice and accountability.

Secfull®

Il presente articolo, si propone di prendere in esame i profili più significativi legati all’accesso transfrontaliero alla prova digitale del Regolamento, nonché cercare di verificarne gli impatti da esso derivati verso l’Operatore di telecomunicazioni.

1. Le Prove Elettroniche. Quali dati fornire?

Come anticpiato nel precedente articolo, la definizione di Prova Elettronica la si rileva dall’Art. 3 paragrafo 8) del Regolamento, che sancisce che sono “i dati relativi… conservati… al momento della ricezione…”. Questa disposizione acquista notevole importanza nei confronti dei prestatori di servizi (da qui “Società Telco”) in termini di processo, in quanto rappresenta un limite intrinseco alla fornitura dei dati richiesti, i quali non potranno in alcun modo esorbitare da quelli conservati (sino) al momento della notifica, escludendo automaticamente tutti quelli che verranno a formarsi dopo la ricezione (notifica) dell’Ordine.

L’importanza della disposizione de qua è apprezzabile anche in considerazione del fatto che, per eseguire un Ordine di produzione, il Regolamento stabilisce 10 giorni di tempo (fatte salve le urgenze per le quali il termine è di 8 ore). Essendoci, quindi, la possibilità che trascorrano alcuni giorni dal momento in cui si riceve l’Ordine a quello di effettiva elaborazione dello stesso (e della relativa produzione dei dati), i prestatori di servizio dovranno prestare la massima attenzione, onde evitare di fornire i dati che si andranno a formare in quel lasso di tempo, rischiando di configurare in tal modo un’eccedenza di trattamento, ma dovranno evitare anche la cancellazione (definitiva) di dati avvenuta (a qualsiasi titolo) tra la data di notifica e l’elaborazione dei dati da fornire.

Per evitare l’eventualità che vengano forniti dati in eccedenza (o meno dati), il prestatore di servizio dovrà elaborare le richieste appena notificate, il che potrebbe avere significative ripercussioni a livello organizzativo in specie sulle Società Telco più piccole in quanto dovrà essere garantito un costante presidio sul Front End delle notifiche dell’EPOC e EPOC-PR. Alternativa, a mio avviso, è quella di agire a livello dei vari sistemi che conservano i dati oggetto del Regolamento, attraverso specifiche policy (di non facile attuazione), che garantiranno la corretta ricostruzione del dato effettivamente conservato al momento della notifica.

Andando ora ad esaminare l’art. 5 del Regolamento (Vedi Capitolo 6 “Ordine Europeo – Condizioni per l’emissione” dell’Articolo “Che cos’è il Regolamento E-Evidence”) ritengo opportuno porre l’attenzione su due condizioni.

Il Paragrafo 8 prevede, infatti, che per i dati conservati per una Autorità pubblica, questi possono essere richiesti tramite Ordine di produzione solo se l’Autorità pubblica è situata nel luogo di emissione;
8. Qualora i dati siano conservati o altrimenti trattati nell’ambito di un’infrastruttura fornita da un prestatore di servizi a un’autorità pubblica, è possibile emettere un ordine europeo di produzione solo se l’autorità pubblica per la quale i dati sono conservati o altrimenti trattati si trova nello Stato di emissione.
Anche il Considerando 44 conferma tale disciplina:
(44) Qualora i dati siano conservati o trattati nell’ambito di un’infrastruttura fornita da un prestatore di servizi a un’autorità pubblica, dovrebbe essere possibile emettere un ordine europeo di produzione o un ordine europeo di conservazione solo se l’autorità pubblica per la quale i dati sono conservati o altrimenti trattati è situata nello Stato di emissione.

Se ne ricava, quindi, che la produzione o la conservazione di dati appartenenti ad un Autorità pubblica sarà possibile solo qualora questa sia situata nello Stato di emissione. A parere dello scrivente, in tale disciplina è ravvisabile la necessità che eventuali dati trattati da un prestatore di servizio italiano, per conto di una Autorità pubblica italiana, debbano essere esonerati dall’essere oggetto di esecuzione dell’Ordine di produzione o conservazione. In altri termini, questa tipologia di dati dovrebbe essere inserita in una sorta di Black List, che escluda la possibilità che vengano trattati tale tipologia di dati.

Il Paragrafo 5 dell’art. 10 disciplina, invece, i casi di “immunità o privilegi” rilevati dal destinatario (prestatore di servizi), prevedendo una procedura di informazione del destinatario verso l’Autorità di esecuzione e di emissione, volta alla verifica della possibilità di fornire o meno i dati oggetto di “immunità o privilegi”.
In questa casistica, si ritiene che il prestatore del servizio debba attivare tutti i meccanismi di identificazione dei dati oggetto di “immunità o privilegi” tali, nei casi di richiesta di Ordine su tali dati, da consentire le dovute verifiche verso l’autorità di emissione e di esecuzione.

Anche il paragrafo 4 dell’art. 11 disciplina, i casi di “immunità e privilegi”, relativi ad un EPOC-PR, che possono essere rilevati dal destinatario (prestatore di servizi).
Valgono qui le considerazioni fatte per l’EPOC, circa la necessità di attivare meccanismi di identificazione dei dati oggetto di “immunità e privilegi” da consentirne le dovute verifiche verso l’autorità di emissione e di esecuzione.

2. Le Prove Elettroniche. Termini per adempiere

Come abbiamo visto, ai capitoli 9.1 e 9.2 del precedente articolo è riportata la disciplina dei termini per adempiere, per i quali vorremmo porre l’attenzione:

EPOC, è previsto un termine di 10 giorni (8 ore per i casi di emergenza) per adempiere.
Una riduzione così consistente circa i termini di adempimento, costituisce una notevole criticità per le Società Telco, soprattutto perché la disposizione del Regolamento pecca di una indicazione circa giorni e orari in cui poter inviare le richieste; tale mancanza fa presupporre alla necessità di adozione di un meccanismo di continuità del servizio da parte del prestatore di servizi di h. 24 7/7.
Ultimo aspetto da valutare, ma non per importanza, riferito al termine ridotto di 8 ore in situazione emergenziale, è quello riguardante l’intensità dei controlli da effettuare, da parte del prestatore dei servizi, prima di procedere alla produzione dei dati, i quali non potranno che limitarsi ad un livello superficiale, se non addirittura, essere totalmente assenti.

EPOC-PR, è previsto un termine di 60 giorni (prorogabili di altri 30) per conservare i dati.
La formulazione dell’art. 11 paragrafo 2 del Regolamento, contribuisce ad alimentare i dubbi inerenti al periodo nel quale il prestatore di servizio abbia l’obbligo di conservare i dati in attesa dell’emissione dell’EPOC finalizzato alla loro acquisizione:
(art. 11 paragrafo 2).
2. Qualora, durante il periodo di conservazione di cui al paragrafo 1 l’autorità di emissione confermi che è stata emessa una successiva richiesta di produzione, il destinatario conserva i dati per tutto il tempo necessario (n.d.r. cosa vuol dire per tutto il tempo necessario?) per la loro produzione una volta ricevuta la successiva richiesta di produzione.

Sarebbe stata sicuramente più efficace la previsione all’interno del paragrafo 2 dell’art. 11, di un termine massimo entro cui l’Autorità di emissione avrebbe dovuto notificare l’EPOC, al superamento del quale sarebbe dovuto decadere l’obbligo previsto in capo al prestatore di servizio di conservazione dei dati, con conseguente possibilità di cancellazione degli stessi.
Tale termine costituirebbe un sicuro deterrente alle ipotesi, seppur remote, di eccessivo lassismo da parte delle Autorità di emissione. La formula scelta dal legislatore comunitario, invece, lascia aperta la possibilità che i dati rimangano conservati per un periodo tale che, in alcuni casi, potrebbe contrastare con i principi fondanti del trattamento dei dati (i.e. Principio di minimizzazione dei dati sanciti dal GDPR). Infatti, la mancata previsione di un termine del tempo di conservazione, potrebbe rendere il trattamento di conservazione, lesivo di principi applicabili al trattamento dei dati personali sanciti nel Regolamento e nella relativa normativa di attuazione e integrazione (considerando 33 e 50 e art. 5, par. 1 lett. b) e e) del Regolamento.

Concordo, pertanto, con il Parere del Comitato 23/2018, ove a pag. 6 evidenzia:
Il Comitato rileva che, per l’ordine europeo di conservazione (EPOC-PR), non vi è alcuna garanzia che la conservazione dei dati sarà limitata a ciò che è necessario produrre. Infatti il periodo di conservazione potrebbe superare 60 giorni poiché non è previsto un termine entro cui l’autorità di emissione comunichi al destinatario di astenersi dall’emettere o di revocare un ordine di produzione. Il Comitato raccomanda quindi che sia fissato almeno un termine entro cui l’autorità di emissione debba comunicare di astenersi dall’emettere o di revocare l’ordine di produzione al fine di rispettare il principio della minimizzazione dei dati previsto dal RGPD.
Termine che purtroppo non è stato recepito.

L’Ordine di conservazione (EPOC-PR) comporterà per i prestatori di servizio, lo sviluppo di specifiche policy volte a stabilire ove e come conservare il dato e a garantirne l’immodificabilità e l’integrità degli stessi.
Tali Policy dovranno ovviamente essere compliant alle normative vigenti in tema di Privacy (GDPR), a quelle sul rispetto dell’integrità e immodificabilità del dato ed a quelle che disciplineranno le modalità dell’eventuale cancellazione dell’eventuale copia digitale prodotta e non più richiesta con l’EPOC, da parte dell’Autorità di emissione, come previsto dal Paragrafo 3 dell’art 11:
3. Qualora la conservazione non fosse più necessaria, l’autorità di emissione ne informa il destinatario senza indebito ritardo e l’obbligo di conservazione sulla base dell’ordine europeo di conservazione cessa di sussistere.

3. Rimborso Spese

Come riportato al Capitolo 10 del precedente articolo, il Considerando 68 e l’art. 14 (Rimborso spese) prevedono rimborsi verso il prestatore di servizi, qualora analoga possibilità sia prevista dall’ordinamento nazionale.
Art. 14
1. Laddove tale possibilità sia prevista dal diritto nazionale dello Stato di emissione per gli ordini interni in situazioni analoghe, il prestatore di servizi può chiedere allo Stato di emissione il rimborso delle sue spese, conformemente al diritto nazionale di tale Stato. Gli Stati membri comunicano le proprie norme interne di rimborso alla Commissione, che le rende pubbliche.
2. Il presente articolo non si applica al rimborso dei costi del sistema informatico decentrato di cui all’articolo 25.

Tale rimborso, a mio avviso, riveste più una valenza estetica che di contenuto. Ritengo, infatti, assai difficile (o alquanto complicato), procedere con una richiesta di rimborso nei confronti di un altro Paese la quale, in termini di gestione, potrebbe comportare anche un costo maggiore rispetto al ristoro stesso.
Un ulteriore dubbio riguarda anche la collaborazione degli Stati membri nella comunicazione delle rispettive norme interne in tema di rimborsi.
L’eventuale inadempimento, infatti, non risulta disciplinato a livello comunitario, pertanto si ritiene altamente probabile che tale comunicazione venga effettuata solo da alcuni paesi.
Su questo il tempo ci darà ragione…. o torto.
In Italia i rimborsi per le prestazioni obbligatorie di giustizia, sono disciplinate dal c.d. Listino Ministeriale del 28/12/2017 (Decreto 28 dicembre 2017 – Disposizione di riordino delle spese per le prestazioni obbligatorie di cui all’art. 96 del d.lgs. n. 259 del 2003) ove nell’allegato sono descritte le prestazioni e i rimborsi previsti. Le voci disciplinate dal predetto Listino, non ricomprendono i dati disciplinati dal Regolamento, ad eccezione del traffico che rimane comunque una prestazione gratuita.

4. Sanzioni

Al Capitolo 11 del precedente articolo, abbiamo visto che il Regolamento prevede un sistema sanzionatorio (Considerando 69 e art. 15), rimandando la competenza dell’attuazione del regime sanzionatorio a ciascuno Stato membro.
In merito a questo punto, ci potrebbe essere la “spinta” (visto che già una norma esiste, estendiamola al Regolamento) ad applicare l’attuale apparato sanzionatorio previsto, in caso di inadempimento delle prestazioni obbligatorie (art. 57 CCE), dall’art. 30 co. 16 del Codice Comunicazioni Elettroniche (CCE), agli inadempimenti previsti dal Regolamento.
A mio avviso dovrebbe, viceversa, essere previsto uno specifico regime sanzionatorio, in quanto il Regolamento prevede nella definizione di “prestatore di servizio”, una base di soggetti più ampia rispetto a quella del Codice delle Comunicazioni Elettroniche (art. 57).

Il 28 luglio 2023 sono stati pubblicati sulla Gazzetta Ufficiale dell’Unione europea i due atti preposti alla regolamentazione dell’accesso “transfrontaliero” delle prove digitali (c.d. E-Evidence). Il regolamento (UE) 2023/1543 relativo agli ordini europei di produzione e di conservazione di prove elettroniche nei procedimenti penali è entrato in vigore subito, il 18 agosto 2023. La direttiva (UE) 2023/1544, recante norme armonizzate sulla designazione di stabilimenti designati e sulla nomina di rappresentanti legali ai fini dell’acquisizione di prove elettroniche nei procedimenti penali, dovrà essere recepita il 18 febbraio del 2026.

1) L’accesso transfrontaliero delle prove digitali

Al termine di un percorso lungo 5 anni, caratterizzato da un’intensa opera di collaborazione tra tutte le parti coinvolte, hanno visto luce, con la pubblicazione sulla Gazzetta Ufficiale dell’Unione europea del 28 luglio 2023, L. 191, due atti preposti alla regolamentazione dell’accesso “transfrontaliero” delle prove digitali (c.d. E-Evidence):
• la direttiva (UE) 2023/1544 del Parlamento europeo e del Consiglio, del 12 luglio 2023, recante norme armonizzate sulla designazione di stabilimenti designati e sulla nomina di rappresentanti legali ai fini dell’acquisizione di prove elettroniche nei procedimenti penali;
• e il regolamento (UE) 2023/1543 del Parlamento europeo e del Consiglio, del 12 luglio 2023, relativo agli ordini europei di produzione e di conservazione di prove elettroniche nei procedimenti penali.
Il termine fissato dalla direttiva per il recepimento è il 18 febbraio del 2026, mentre il Regolamento entrerà in vigore a far data dal 18 agosto dello stesso anno.
I regolamenti e le direttive sono atti normativi di diritto derivato adottabili dall’Unione.
Consistono in atti tipici, in quanto disciplinati rispettivamente dai paragrafi 1 e 2 dell’art. 288 [1] del TFUE (trattato sul funzionamento dell’Unione europea), possono essere emanati come atti legislativi e provocano effetti giuridici obbligatori, seppur parzialmente diversi, nei confronti dei loro destinatari.
Il Regolamento, infatti, ha portata generale, è vincolante in tutti i suoi elementi ed è direttamente applicabile negli Stati membri dell’Unione senza la necessità (anzi, vietando) l’emanazione di un atto recettivo da parte dello Stato.
La Direttiva invece, si caratterizza per la sua portata meno vincolante, obbliga il destinatario (o i destinatari) in termini di obiettivi da raggiungere per il tramite della stessa e, di norma, fissa il termine entro il quale questi debbano essere raggiunti, lasciando agli Stati membri ampio margine di discrezionalità per quanto concerne le modalità e gli strumenti da adoperare per il loro raggiungimento (es. atto legislativo nazionale, regolamento, ecc.).
La base giuridica del Regolamento sulle prove elettroniche, si poggia sull’articolo 82 paragrafo 1 del TFUE, relativo alla cooperazione giudiziaria in materia penale, che dispone:
“1. La cooperazione giudiziaria in materia penale nell’Unione è fondata sul principio di riconoscimento reciproco delle sentenze e delle decisioni giudiziarie e include il ravvicinamento delle disposizioni legislative e regolamentari degli Stati membri nei settori di cui al paragrafo 2 e all’articolo 83. Il Parlamento europeo e il Consiglio, deliberando secondo la procedura legislativa ordinaria, adottano le misure intese a: a) definire norme e procedure per assicurare il riconoscimento in tutta l’Unione di qualsiasi tipo di sentenza e di decisione giudiziaria; b) prevenire e risolvere i conflitti di giurisdizione tra gli Stati membri; c) sostenere la formazione dei magistrati e degli operatori giudiziari; d) facilitare la cooperazione tra le autorità giudiziarie o autorità omologhe degli Stati membri in relazione all’azione penale e all’esecuzione delle decisioni.”

Come sottolineato dalla Commissione nella valutazione d’impatto che ha accompagnato le proposte di Regolamento, <<l’articolo 82, paragrafo 1, specifica che la cooperazione giudiziaria in materia penale deve basarsi sul principio del riconoscimento reciproco. Tale base giuridica si applicherebbe all’eventuale legislazione in materia di cooperazione diretta con i prestatori di servizi, nell’ambito della quale l’autorità dello Stato membro di emissione si rivolgerebbe direttamente a un’entità (il prestatore di servizi) nello Stato di esecuzione imponendole di assolvere a determinati obblighi. Ciò introdurrebbe una nuova dimensione nel riconoscimento reciproco, che va oltre la cooperazione giudiziaria tradizionale nell’Unione, attualmente basata su procedure che coinvolgono due autorità giudiziarie, una nello Stato di emissione e l’altra nello Stato di esecuzione>>. [0]

1.1) Cenni sulla Direttiva

La direttiva costituisce uno strumento essenziale ai fini dell’applicazione del futuro regolamento relativo agli ordini europei di produzione e di conservazione di prove elettroniche in materia penale, in quanto è volta a definire le norme concernenti la nomina dei rappresenti legali dei prestatori di servizi, le cui figure assurgeranno al ruolo di incaricati a ricevere e rispondere a tali ordini. La creazione di tali figure si è rivelata necessaria a causa della mancanza di un obbligo giuridico generale in capo ai prestatori di servizi non UE di essere fisicamente presenti nell’Unione nonostante prestino servizi al suo interno.

Il presente articolo, si propone di prendere in esame i profili più significativi del Regolamento di maggior impatto nei confronti del prestatore di servizi, legati all’accesso transfrontaliero della prova digitale.
Nel correlato articolo “Il regolamento E-Evidence – I principali impatti per i TELCO”, si forniscono alcune valutazioni riguardanti gli impatti del Regolamento verso gli Operatori di Telecomunicazioni.

2) I lavori della Commissione

Il principale obiettivo perseguito dai lavori della Commissione che ha portato al termine dell’iter legislativo alla promulgazione dei due su citati atti, è quello richiesto a gran voce dai ministri della giustizia e degli affari interni per il Consiglio GAI e dai rappresentanti delle altre istituzioni dell’Unione, di poter consentire alle Autorità Giudiziarie di procedere agevolmente e velocemente all’accesso delle prove digitali, che rivestono particolare importanza per combattere le gravi forme di criminalità e del terrorismo, tema da sempre ritenuto di primaria importanza e stimolato ulteriormente dagli attentati di Bruxelles del 2016.
La Commissione, partendo dal presupposto che l’accesso alle prove elettroniche da parte delle Autorità Giudiziarie dell’Unione, allo stato attuale, si riveli un processo lungo e complicato (e spesso infruttuoso) data la collocazione delle stesse in un altro paese membro, sommato al fatto che lo siano anche le sedi dei prestatori di servizi che le detengono (in alcune ipotesi in paesi terzi), ha individuato la necessità di porre in essere un processo che, viceversa, necessiti di maggiore velocità e flessibilità.
Nel contesto attuale, infatti, l’acquisizione delle prove elettroniche da parte delle Autorità Giudiziarie risulta esperibile per il tramite di una procedura farraginosa, in quanto soggetta ad una disciplina disorganica e frammentata, causata dalla numerosità delle norme attualmente vigenti in materia di cooperazione giudiziaria (vedasi ad esempio OEI, Convenzione di Bruxelles in materia di assistenza giudiziaria del 2000, Rogatoria, ecc.).
Inoltre, l’assenza di un obbligo legale armonizzato circa i tempi di conservazione (c.d. data retention) di svariate tipologie di dati, consente ai prestatori di servizi di poter cancellare quelli in loro possesso nel minor tempo possibile, rendendo più difficoltosa la raccolta delle prove da parte delle Autorità Giudiziarie nel contesto di un procedimento penale.
Infatti, il più delle volte, tali tempistiche (spesso arbitrariamente adottate dai prestatori dei servizi) si rilevano non compatibili con il ricorso agli ordinari istituti di cooperazione giudiziaria.
Nell’aprile 2018, a seguito delle richieste del Consiglio europeo di migliorare i processi di acquisizione delle prove elettroniche, convogliandoli all’interno di una disciplina olistica (in luogo di quella attuale, come già evidenziato, frammentata ed eterogenea) la Commissione ha proposto, al fine di facilitare e velocizzare l’accesso, che quest’ultimo potesse essere espletato indipendentemente dall’ubicazione dei dati e dello stabilimento del prestatore che fornisce servizi nell’ambito dell’Unione Europea, prevedendo nuove norme volte a consentire alle Autorità Giudiziarie di un paese UE, di richiedere direttamente l’accesso alle prove elettroniche conservate da qualsiasi prestatore di servizi che operi nell’Unione europea, senza passare per l’Autorità Giudiziaria del Paese di esecuzione, favorendo così un meccanismo agile e soprattutto veloce [0].
La normativa proposta era composta da due atti legislativi:
1. un regolamento relativo agli ordini europei di produzione e di conservazione di prove elettroniche;
2. una direttiva recante norme armonizzate sulla nomina di rappresentanti legali ai fini dell’acquisizione di prove elettroniche.

3) Cosa sono le prove elettroniche?

Stando alla definizione del Consiglio Europeo per prove elettroniche si intendono l’insieme dei dati digitali utilizzati per indagare e perseguire i reati.
Tali prove includono:
e-mail;
SMS o contenuti provenienti dalle applicazioni di messaggistica;
contenuti audiovisivi;
informazioni sull’account online degli utenti.
Questi dati possono essere utilizzati per identificare una persona od ottenere maggiori informazioni sulle sue attività.

La definizione di “prova elettronica”, inoltre, si ravvisa nello stesso Regolamento, essendo questa contenuta nell’art. 3 (Definizioni) al paragrafo 8, mentre nei successivi paragrafi (da 9 a 12) ne sono disciplinati i dettagli:
8) «prove elettroniche»: i dati relativi agli abbonati, i dati sul traffico o i dati relativi al contenuto conservati in formato elettronico da o per conto di un prestatore di servizi al momento della ricezione, di un certificato di ordine europeo di produzione (EPOC) o di un certificato di ordine europeo di conservazione (EPOC-PR);
9) «dati relativi agli abbonati»: i dati detenuti da un prestatore di servizi relativi all’abbonamento ai suoi servizi, riguardanti:
a) l’identità di un abbonato o di un cliente, come il nome, la data di nascita, l’indirizzo postale o geografico, i dati di fatturazione e pagamento, il numero di telefono o l’indirizzo e-mail forniti;
b) il tipo di servizio e la sua durata, compresi i dati tecnici e i dati che identificano le misure tecniche correlate o le interfacce usate dall’abbonato o dal cliente o a questo fornite al momento della registrazione o dell’attivazione iniziale e i dati connessi alla convalida dell’uso del servizio, ad esclusione di password o altri mezzi di autenticazione usati al posto di una password, forniti dall’utente o creati a sua richiesta;
10) «dati richiesti al solo scopo di identificare l’utente»: gli indirizzi IP e, se necessario, le porte sorgenti e le marche temporali pertinenti, vale a dire la data e l’ora, o gli equivalenti tecnici di tali identificativi e le informazioni connesse, se richiesto dalle autorità di contrasto o dalle autorità giudiziarie al solo scopo di identificare l’utente in una specifica indagine penale;
11) «dati sul traffico»: i dati riguardanti la fornitura di un servizio offerto da un prestatore di servizi, che servono per fornire informazioni di contesto o supplementari sul servizio e che sono generati o trattati da un sistema di informazione del prestatore di servizi, come la fonte e il destinatario di un messaggio o altro tipo di interazione, sull’ubicazione del dispositivo, la data, l’ora, la durata, le dimensioni, il percorso, il formato, il protocollo usato e il tipo di compressione, e altre comunicazioni elettroniche e i dati, diversi dai dati relativi agli abbonati, relativi all’inizio e alla fine di una sessione di accesso utente a un servizio, come la data e l’ora d’uso, la connessione al servizio (log-in) e la disconnessione (log-off) dal medesimo;
12) «dati relativi al contenuto»: qualsiasi dato in formato digitale, come testo, voce (n.d.r. no voce intercettazione), video, immagini o suono, diverso dai dati relativi agli abbonati o dai dati sul traffico.

Estendendo l’analisi alla restante parte del Regolamento, si rileva che la tipologia dei dati oggetto del Regolamento viene definita anche all’interno del “Considerando”, precipuamente al n° 31, il quale sancisce che:
(31) Il presente regolamento dovrebbe comprende le seguenti categorie di dati: dati relativi agli abbonati, dati relativi al traffico e dati relativi al contenuto. Tale categorizzazione è conforme agli ordinamenti giuridici di molti Stati membri e al diritto dell’Unione, in particolare alla direttiva 2002/58/CE e alla giurisprudenza della Corte di giustizia, come pure al diritto internazionale, segnatamente la Convenzione di Budapest.
Si badi come la definizione in oggetto, non menziona in alcun modo l’intercettazione delle conversazioni (telefoniche né, tanto meno, telematiche) le quali, pertanto, si ritiene che debbano rimanere assolutamente escluse dalla applicabilità del Regolamento.

Concetto quest’ultimo peraltro avvalorato anche dal disposto del Considerando 19:
(19) Il presente regolamento dovrebbe disciplinare l’acquisizione dei dati conservati dal prestatore di servizi solamente al momento della ricezione di un ordine europeo di produzione o di un ordine europeo di conservazione. Non dovrebbe imporre un obbligo generale di conservazione dei dati per i prestatori di servizi e non dovrebbe avere l’effetto di comportare una conservazione generalizzata e indifferenziata dei dati. Il presente regolamento non dovrebbe inoltre autorizzare l’intercettazione di dati o l’ottenimento di dati che sono conservati dopo la ricezione di un ordine europeo di produzione o di un ordine europeo di conservazione.

Ovviamente, ciò non significa che per le Autorità Giudiziarie resti esclusa la possibilità di avvalersi dell’istituto dell’intercettazione, il quale continuerà a poter essere richiesto ad esempio, per il tramite del noto meccanismo dell’OEI (Ordine Europeo d’Indagine) [2].
Altro concetto importante, e che il Regolamento tratta dati precostituiti e quindi già conservati dal prestatore di servizio, al momento in cui riceve l’Ordine (EPOC o EPOC-PR).
Tale fattispecie è rilevabile dal citato art. 3 (Definizioni) paragrafo 8) che nel definire le prove elettroniche, sancisce che sono “i dati relativi… conservati ….. al momento della ricezione ….”.

4) Principi fondamentali del Regolamento – il Prestatore di servizi

Analizzando il testo del Regolamento, è possibile ricavarne una serie di principi fondamentali, i quali, oltre ad aver costituito la fonte di ispirazione dei lavori della Commissione, rappresentano una novità assoluta in tema di accesso alle prove.
Tale innovazione introdotta dal Regolamento, infatti, è senza dubbio rappresentata dalla facoltà concessa all’Autorità richiedente di poter accedere alle prove richiedendole direttamente al fornitore di servizio, prescindendo dal luogo in cui fisicamente questi risieda o dove abbia conservato i dati, senza dover passare dall’Autorità Giudiziaria del paese di esecuzione.
Tale facoltà è concessa alle Autorità comunitarie in ordine al principio della reciproca fiducia tra Paesi membri, ricavabile dal disposto contenuto nel Considerando 12 [3] attraverso il quale il Regolamento “…. consente alle autorità nazionali competenti di inviare tali ordini direttamente ai prestatori di servizio” senza passare dall’Autorità Giudiziaria del Paese di esecuzione.
Tale meccanismo, dunque, permetterà un significativo accorciamento dei tempi di acquisizione, consentendo all’Autorità di emissione di concentrare in un’unica richiesta la produzione di dati [0].
Dalla lettura combinata del Considerando 26 [4] e del Considerando 21 [5], si evince l’ambito di applicazione del Regolamento in oggetto, i quale si applicherà a tutti i prestatori che offrono servizi nell’Unione, a prescindere dall’ubicazione della loro sede o stabilimento. Ne deriva, quindi, che nei casi in cui un prestatore operante all’interno dell’Unione non abbia uno stabilimento (sede) all’interno di essa, dovrà nominare almeno un Rappresentante legale (vedi anche art. 7 paragrafo 1 [6]) per assolvere agli obblighi previsti dal Regolamento. Pertanto, in tali casi, ossia se lo stabilimento del prestatore di servizio o il luogo dove questi conserva i dati non siano ubicati nell’Unione, fermo restando che questi offra servizi in uno o più paesi comunitari (Vedi Considerando 26 [4] e art. 2 paragrafo 1 [7]), dovrà necessariamente nominare un Rappresentante legale al quale potranno essere notificati gli Ordini di produzione e di conservazione per la loro esecuzione.
La definizione di prestatore di servizio, invece, la si rileva dall’art. 3 (Definizioni) paragrafo 3 [8] e in specie dal Considerando 27 [9].
L’art. 3 paragrafo 3, identifica 3 categorie di prestatori di servizio che forniscono:
• servizi di comunicazione elettronica;
• servizi di domini internet e di numerazioni IP;
• altri servizi della società dell’informazione, che non possono essere considerati prestatori di servizi di comunicazione elettronica ma offrono agli utenti la possibilità di comunicare tra loro oppure servizi che possono essere utilizzati per memorizzare o altrimenti trattare dati per loro conto.

Nel Considerando 27 [9], invece, si è voluto estendere l’area di intervento del Regolamento, ai «servizi cloud e altri servizi di hosting che forniscono una vasta gamma di risorse informatiche, quali reti, server o altre infrastrutture, mezzi di conservazione, app e servizi che permettono di conservare dati a diversi scopi».
Lo stesso Considerando prevede altresì l’esclusione di alcune categorie, quali i prestatori di servizi della società dell’informazione quando non offre ai propri utenti la possibilità di comunicare tra loro, ma solo con il prestatore di servizi, o non offre la possibilità di memorizzare o altrimenti trattare dati, ovvero se la conservazione di dati non costituisce una componente propria, ovvero una parte essenziale del servizio fornito agli utenti, quali i servizi giuridici, di ingegneria architettonica e contabili forniti online a distanza, esso non dovrebbe rientrare nella definizione di «prestatore di servizi» di cui al presente regolamento, anche se i servizi forniti da tale prestatore sono servizi della società dell’informazione ai sensi della direttiva (UE) 2015/1535.

5) Ordini di produzione e di conservazione

Le tipologie di ordini che, a norma del Regolamento l’Autorità di emissione potrà adottare sono due:
• Ordini di Produzione di prove elettroniche – EPOC
• Ordini di Conservazione di prove elettroniche – EPOC-PR
Attraverso tali ordini, come già detto, viene consentito alle Autorità di accedere direttamente ai dati conservati dal fornitore del servizio, indipendentemente dal luogo in questi si trovino.
Gli ordini di produzione (EPOC) permetteranno alle Autorità Giudiziarie di uno Stato membro di chiedere direttamente l’accesso alle prove elettroniche conservate da un prestatore di servizi stabilito o rappresentato in un altro Stato membro.
Quest’ultimo dovrà rispondere entro il termine massimo di 10 giorni dalla richiesta (notifica) o, in caso di emergenza, entro 8 ore.
Gli ordini di conservazione (EPOC-PR), invece, sono finalizzati ad impedire la cancellazione delle prove elettroniche da parte del prestatore di servizi durante il trattamento dell’Ordine di produzione, per un periodo max di 60 giorni (prorogabili di altri 30).
Le prove sottoposte a tale regime imposto dall’Ordine di conservazione, inoltre, potranno essere acquisite successivamente solamente a seguito di un Ordine di produzione.

6) Ordine Europeo – Condizioni per l’emissione

6.1) L’EPOC

L’Ordine di produzione è definito dall’art. 3 (Definizioni) paragrafo 1 del Regolamento:
1) «ordine europeo di produzione»: (EPOC) la decisione che dispone la produzione di prove elettroniche, emessa o convalidata da un’autorità giudiziaria di uno Stato membro (n.d.r. di emissione) a norma dell’articolo 4, paragrafi 1, 2, 4 e 5, e rivolta a uno stabilimento designato o a un rappresentante legale di un prestatore di servizi che offre servizi nell’Unione, qualora tale stabilimento designato o rappresentante legale sia ubicato in un altro Stato membro vincolato dal presente regolamento;
Le condizioni necessarie per l’emissione dell’EPOC sono sancite dall’articolo 5 del Regolamento, rubricato, appunto, Condizioni di emissione dell’ordine europeo di produzione [10], a norma del quale è richiesta:
• garanzia delle condizioni sancite dall’art. 5;
• che l’Ordine sia necessario e proporzionato ai fini del procedimento;
• che sia emesso solo se possibile emettere analogo provvedimento per casi interni analoghi.
Le condizioni di emissione dell’Ordine sancite dall’articolo 5 paragrafo 3 [10] (vedi anche Considerando 40 [11] e 41 [12] è che l’EPOC, per la richiesta di dati relativi agli abbonati o per ottenere dati richiesti al solo scopo di identificare l’utente, quali definiti all’articolo 3, paragrafo 10, si basano alternativamente sia sul profilo quantitativo del reato da perseguire, che sul profilo qualitativo, a seconda dell’oggetto dell’Ordine stesso.
Sotto il primo profilo, quello quantitativo, può essere emesso un EPOC o un EPOC-PR per qualsiasi reato e per l’esecuzione di una pena o di una misura di sicurezza detentiva di almeno quattro mesi mentre, per la richiesta di dati di traffico o di contenuti (Art. 5 paragrafo 4 [10]), considerata la natura più sensibile di questa tipologia, si devono autorizzare l’emissione di ordini europei di produzione nei procedimenti penali solo per reati punibili con una pena detentiva della durata massima di almeno 3 anni, fatta eccezione per i reati informatici per i quali si prevede la possibilità di richiedere l’EPOC per tali reati, anche qualora comportino una pena detentiva della durata massima inferiore a 3 anni.
Sono posti sotto il secondo profilo, quello qualitativo, i reati connessi al terrorismo ai sensi della direttiva (UE) 2017/541 del Parlamento europeo e del Consiglio, come pure i reati relativi all’abuso e allo sfruttamento sessuale dei minori di cui alla direttiva 2011/93/UE del Parlamento europeo e del Consiglio, per i quali non è richiesta la soglia minima della pena edittale (durata massima di 3 anni) ma ciò che rileva è la tipologia del reato da perseguire.
Completando l’analisi dell’articolo 5 del Regolamento, si ritiene opportuno porre l’attenzione su due ulteriori condizioni che rivestono una posizione parzialmente diversa rispetto alle precedenti e che, per tale motivo, si rilevano elementi di specificità:
# Il Paragrafo 8 prevede, infatti, che per i dati conservati per una autorità pubblica, questi possono essere richiesti tramite Ordine solo se la quest’ultima è situata nel luogo di emissione,
8. Qualora i dati siano conservati o altrimenti trattati nell’ambito di un’infrastruttura fornita da un prestatore di servizi a un’autorità pubblica, è possibile emettere un ordine europeo di produzione solo se l’autorità pubblica per la quale i dati sono conservati o altrimenti trattati si trova nello Stato di emissione.

Anche il Considerando 44 conferma tale disciplina:
(44) Qualora i dati siano conservati o trattati nell’ambito di un’infrastruttura fornita da un prestatore di servizi a un’autorità pubblica, dovrebbe essere possibile emettere un ordine europeo di produzione o un ordine europeo di conservazione solo se l’autorità pubblica per la quale i dati sono conservati o altrimenti trattati è situata nello Stato di emissione.
Se ne ricava, quindi, che la produzione di dati appartenenti ad una autorità pubblica sarà possibile solo qualora questa sia situata nello Stato di emissione.

# Il paragrafo 5 dell’art. 10 [12 b] disciplina, invece, i casi di “immunità o privilegi” rilevati dal destinatario (prestatore di servizi), prevedendo una procedura di informazione del destinatario verso l’Autorità di esecuzione e di emissione, volta alla verifica della possibilità di fornire o meno i dati oggetto di “immunità o privilegi”.

6.2) L’EPOC-PR

La definizione dell’Ordine di produzione è riscontrabile nell’art. 3 (Definizioni) paragrafo 2 del Regolamento:
2) «ordine europeo di conservazione»: (EPOC-PR) la decisione che dispone la conservazione di prove elettroniche ai fini di una richiesta di produzione successiva, e che è emessa o convalidata da un’autorità giudiziaria di uno Stato membro (n.d.r. di emissione) a norma dell’articolo 4, paragrafi 3, 4 e 5, e rivolta a uno stabilimento designato o a un rappresentante legale di un prestatore di servizi che offre servizi nell’Unione, qualora tale stabilimento designato o rappresentante legale sia ubicato in un altro Stato membro vincolato dal presente regolamento.

Nell’art. 6 (Condizioni di emissione dell’ordine europeo di produzione) paragrafo 2 e 3 [14] del Regolamento, sono esplicitate le condizioni necessarie per poter procedere all’emissione di un EPOC-PR, che sono:
• deve essere necessario e proporzionato al fine di impedire la rimozione, la cancellazione o la modifica di dati in vista della presentazione di una successiva richiesta di produzione dei medesimi tramite l’assistenza giudiziaria, un ordine europeo d’indagine (OEI) o un Ordine europeo di produzione, tenendo conto dei diritti della persona oggetto di indagini o imputata;
• che sia emesso solo se possibile emettere analogo provvedimento per casi interni analoghi;
• può essere emesso per tutti i reati (art. 6 paragrafo 3 [14]).
Immunità e Privilegi
Il paragrafo 4 dell’art. 11 [15] disciplina, i casi di “immunità e privilegi” che possono essere rilevati dal destinatario (prestatore di servizi).

7) Ordine europeo – Esecuzione

7.1) L’EPOC

Analizzando maggiormente nel dettaglio l’Ordine di produzione, come già accennato si ravvisano due tipologie di EPOC che possono essere emessi, alternativamente, a secondo la categoria di dati che si richiedono:
• Dati di traffico e contenuti;
• Dati relativi agli abbonati o per ottenere dati richiesti al solo scopo di identificare l’utente, quali definiti all’articolo 3, paragrafo 10). [16]
L’Art. 4 (Autorità di emissione) paragrafi 1 e 2, disciplina quale Autorità possa emettere un EPOC.
1. Per la prima categoria di dati sopra indicata, l’organo preposto all’emissione dell’EPOC può essere, un organo giurisdizionale (inteso, quest’ultimo, secondo la definizione comunitaria), un magistrato inquirente competente nel caso interessato o qualsiasi altra Autorità competente definita dallo Stato di emissione, previo esame di un giudice, un organo giurisdizionale o un magistrato inquirente nello Stato di emissione;
2. Per la seconda categoria di dati, l’EPOC può essere emesso da un giudice, un organo giurisdizionale, un magistrato inquirente o un pubblico ministero competente nel caso interessato.
Come si nota, per i dati di traffico e dei contenuti, non è prevista la possibilità per il pubblico ministero di emettere l’EPOC (Vedi anche Considerando 36 [16 b]).
Per la seconda categoria di dati, l’EPOC può essere emesso sia da un giudice, un organo giurisdizionale, un magistrato inquirente che da un pubblico ministero competente nel caso interessato.

7.1.1) La Cifratura

Un aspetto di sicuro rilievo che, come tale, merita di essere evidenziato, è l’utilizzo di un sistema di cifratura, richiamato dal Considerando 20 [21].
Tale Considerando dispone esplicitamente che il Regolamento non debba pregiudicare, il prestatore di servizio, nell’attivare meccanismi di cifratura dei dati e che questi dovranno essere forniti a prescindere dall’uso di questo meccanismo, ferma restando la totale assenza di obblighi in capo al prestatore di decifrare tali dati.
Quest’ultima specifica rappresenta una novità rispetto alle prime versioni di proposta del Regolamento, nelle quali il Considerando 19 sanciva:
(19) Il presente regolamento disciplina l’acquisizione solo dei dati conservati, ossia dei dati detenuti dal prestatore di servizi al momento della ricezione di un certificato di ordine europeo di produzione o di conservazione. Non impone un obbligo generale di conservare i dati né autorizza l’intercettazione di dati o l’ottenimento di dati che saranno conservati dopo la ricezione del certificato di ordine di produzione o di conservazione. I dati devono essere forniti a prescindere dal fatto che siano criptati o meno.
Dalla comparazione dei due testi, si rileva che il vecchio disposto (Considerando 19) si limitava a specificare che i dati si sarebbero dovuti fornire a prescindere dal fatto che essi fossero o meno soggetti a cifratura, potendo sottintendere, in questo modo, un obbligo per il prestatore di servizio di fornirli in chiaro.

7.2) L’EPOC-PR

Parzialmente diversa risulta la disciplina riguardante L’EPOC-PR, il quale può essere emesso per qualsiasi categoria di dati.
Tale disciplina è contenuta all’interno dell’Art. 4 (Autorità di emissione) paragrafo 3 [18], il quale si occupa di fornire anche indicazioni, relative all’Autorità autorizzata all’emissione di un EPOC-PR.
Nello specifico, tale Ordine, può essere emesso da un giudice, un organo giurisdizionale o un magistrato inquirente competente nel caso interessato, o qualsiasi altra Autorità competente definita dallo Stato di emissione, previo esame di un giudice, un organo giurisdizionale o un magistrato inquirente o un pubblico ministero nello Stato di emissione.
Scopo dell’EPOC-PR è quindi quello di impedire la rimozione, la cancellazione o la modifica dei dati, in attesa di richiederne l’acquisizione successivamente tramite un EPOC. È indubbio il carattere strumentale teso a congelare i dati in un determinato momento e evitare così che vengano cancellati in attesa dell’emissione dell’EPOC.

7.3) EPOC, EPOC-PR – Negazione all’esecuzione

Nell’art. 16 ai paragrafi 4 e 5, è previsto per il prestatore di servizi, di negare l’esecuzione dell’EPOC e EPOC-PR solo se:
• non è stato emesso o convalidato da un’autorità di emissione conformemente al regolamento;
• non è stato emesso in relazione a un reato previsto di cui all’articolo 5, paragrafo 4;
• il destinatario non ha potuto ottemperare per impossibilità materiale dovuta a circostanze che non possono essergli imputate, o perché l’ordine contiene errori manifesti;
• l’ordine non riguarda dati conservati dal prestatore di servizi o per suo conto al momento della ricezione dell’ordine;
• il servizio esula dall’ambito di applicazione del regolamento;
• i dati richiesti sono protetti da immunità o privilegi concessi a norma del diritto dello Stato di esecuzione o i dati richiesti sono disciplinati da norme sulla determinazione o la limitazione della responsabilità penale relative alla libertà di stampa o alla libertà di espressione in altri mezzi di comunicazione, che impediscono l’esecuzione o l’applicazione dell’ordine;
• in situazioni eccezionali, dalle sole informazioni contenute nell’ordine risulta che sussistono fondati motivi per ritenere che l’esecuzione dell’ordine comporterebbe una violazione manifesta di un diritto fondamentale pertinente sancito dall’articolo 6 TUE e dalla Carta.
L’autorità di esecuzione decide se eseguire o meno l’ordine sulla base di qualsiasi informazioni fornite dal destinatario e dopo aver consultato l’autorità di emissione.

8) EPOC – La notifica all’Autorità di esecuzione (dati di traffico e Contenuti)

Per la categoria di dati inerenti al traffico e i contenuti, l’art. 8 (Notifica all’Autorità di emissione) paragrafo 1, prevede una procedura consistente in un contestuale notifica dell’EPOC, da parte dell’Autorità di emissione, sia prestatore di servizio che all’Autorità di esecuzione (del Paese di emissione), disponendo:
1. Qualora un ordine europeo di produzione sia emesso per ottenere dati sul traffico, fatta eccezione per i dati richiesti al solo scopo di identificare l’utente ai sensi dell’articolo 3, punto 10), o per ottenere dati relativi al contenuto, l’autorità di emissione ne dà notifica all’autorità di esecuzione trasmettendole l’EPOC contestualmente alla trasmissione dell’EPOC al destinatario conformemente all’articolo 9, paragrafi 1 e 2.
Tale procedura “rafforzata” prevista per l’acquisizione dei dati di traffico e dei contenuti risalta il principio della delicatezza ed è finalizzata a costituire un regime più articolato per l’accesso a quest’ultimi, rispetto alle altre tipologie di dati. La possibilità di accedere a tali dati, tra l’altro, è soggetta anche ad un’altra limitazione, di tipo qualitativo, circa i reati da perseguire, come abbiamo avuto modo di evidenziare nel cap.6.
La notifica all’Autorità di esecuzione, inoltre, risulta rivestita di forza sospensiva, ai sensi del paragrafo 4 dello stesso articolo 8, il quale sancisce che:
4. La notifica all’autorità di esecuzione di cui al paragrafo 1 del presente articolo ha effetto sospensivo sugli obblighi del destinatario di cui all’articolo 10, paragrafo 2, tranne nei casi di emergenza quali definiti all’articolo 3, punto 18).

9) Termini per adempiere

9.1) EPOC

Ulteriore aspetto che si ritiene meritevole di un’analisi maggiormente particolareggiata, è quello rappresentato dai termini stabiliti dal Regolamento entro i quali i prestatori di servizi dovranno adempiere agli ordini ricevuti.
A tal proposito, l’art. 10 paragrafo 2 [19] (Esecuzione dell’EPOC) prevede una tempistica max di 10 giorni (salvo condizione di urgenza per le quali il termine per adempiere viene ridotto a 8 ore).
Va considerato, tuttavia, che la notifica all’Autorità di esecuzione (per le richieste di traffico e contenuti), come già accennato, è dotata di effetto sospensivo, e ciò comporta che il prestatore di servizio dovrà attendere la valutazione dell’Autorità di esecuzione ai sensi dell’art. 10 paragrafo 2) [19].
Se ne ricava una disposizione suscettibile di interpretazioni contrastanti circa l’individuazione del corretto computo dei termini previsti per adempiere.
A parere dello scrivente, tale disposizione va interpretata nel senso che, qualora l’Autorità di esecuzione non faccia valere entro 10 giorni motivi di rifiuto, il prestatore di servizi sarà tenuto ad adempiere all’Ordine dell’Autorità di emissione a far data dall’11° giorno, in quanto deve attendere la scadenza del periodo di 10 giorni concessi all’Autorità di esecuzione per fornire una valutazione (l’Autorità di esecuzione potrebbe infatti rispondere il 10 giorno e casomai nel tardo pomeriggio/sera).
Tale disposizione, a causa della (a mio avviso) infelice forma con cui sia stata espressa, si presta a ingenerare un’evidente sovrapposizione dei termini finali, anche se un aiuto parziale ci viene fornito dall’articolo 10 paragrafo 2) [19] nella parte in cui recita: il destinatario provvede affinché i dati richiesti siano trasmessi…….. al termine di tale periodo di 10 giorni…” dove la locuzione al termine va interpretata dopo lo scadere delle ore 24:00 del decimo giorno.

Come già anticipato, lo stesso articolo 10, al paragrafo 4 disciplina un regime emergenziale, volto ad accelerare ulteriormente il processo di acquisizione dei dati, riducendo i termini di esecuzione da 10 gg a 8 ore:
4. In caso di emergenza, il destinatario trasmette i dati richiesti senza indebito ritardo, al più tardi entro otto ore dalla ricezione dell’EPOC. Qualora sia prevista una notifica all’autorità di esecuzione a norma dell’articolo 8, quest’ultima può, se decide di far valere un motivo di rifiuto a norma dell’articolo 12, paragrafo 1, senza indugio e al più tardi entro 96 ore dalla ricezione della notifica, notificare all’autorità di emissione e al destinatario che essa si oppone all’uso dei dati o che i dati possono essere utilizzati solo alle condizioni da essa specificate. Se l’autorità di esecuzione fa valere un motivo di rifiuto e se i dati sono già stati trasmessi dal destinatario all’autorità di emissione, quest’ultima cancella i dati o ne limita in altro modo l’uso oppure, nel caso in cui l’autorità di esecuzione abbia specificato condizioni, rispetta tali condizioni quando utilizza i dati.
L’articolo 3 paragrafo 18, prova a definire i casi di emergenza:
18) «caso di emergenza»: una situazione in cui sussiste una minaccia imminente per la vita, l’integrità fisica o la sicurezza di una persona, o per un’infrastruttura critica, quale definita all’articolo 2, lettera a), della direttiva 2008/114/CE, il cui danneggiamento o la cui distruzione comporterebbe una minaccia imminente per la vita, l’integrità fisica o la sicurezza di una persona, anche attraverso un grave danno alla fornitura di beni essenziali alla popolazione o all’esercizio delle funzioni fondamentali dello Stato;
Il paragrafo, pur definendo tale regime, non menziona specificatamente le casistiche per le quali si possa definire una situazione di emergenza, lasciando quindi ampia discrezionalità all’Autorità di emissione di emanare un Ordine emergenziale, al quale i prestatori dovranno adempiere in un lasso di tempo molto limitato.

Non è ravvisabile nel Regolamento, alcuna disciplina specifica, circa il criterio relativo al computo dei termini; ne deriva, quindi, che si debba applicare le disposizioni previste dal Regolamento (CEE, Euratom) n. 1182/71 del Consiglio del 3 giugno 1971 (Vedi in particolare Art. 3 Paragrafo 2 lett. b).
L’unica eccezione è quella rappresentata dall’art. 17 (Procedura di riesame in caso di obblighi contrastanti) paragrafo 9, il quale prevede che:
….
9. Ai fini delle procedure di cui al presente articolo (n.d.r. Riesame), i termini sono calcolati in conformità del diritto nazionale dell’autorità di emissione
Interpretando letteralmente la disposizione contenuta all’interno del Paragrafo, se ne ricava la necessità, in capo al prestatore di servizi di conoscere i termini stabiliti dal diritto interno del Paese di emissione.
Si ritiene che tale presupposto rappresenti una criticità nell’economia del processo di fornitura dei dati, in quanto la sua osservazione richiederebbe la conoscenza delle norme di settore di tutti i Paesi membri.
Da ultimo, si ritiene opportuno evidenziare, alla luce di quanto già accennato in precedenza, che i dati che i prestatori di servizi saranno chiamati a fornire saranno solo quelli disponibili (sino) alla data di notifica dell’Ordine di produzione (quindi non quelli successivi).
Pertanto, particolare attenzione dovrà essere prestata dal prestatore dei servizi (anche attuando, ove necessario, specifici sviluppi sui sistemi di retention e di specifiche policy) nel “congelare” i dati memorizzati alla data di notifica dell’Ordine.

9.2) EPOC-PR

Per quanto riguarda l’Ordine di conservazione (EPOC-PR), la disciplina dei termini di esecuzione è affidata all’art. 11 (Esecuzione dell’EPOC-PR) paragrafo 1[20], il quale prevede una tempistica max di 60 giorni prorogabili di altri 30.
Come già menzionato nei capitoli precedenti, per l’acquisizione dei dati conservati si rileverà necessario un successivo Ordine di produzione, ai sensi dell’articolo 11 par.1 [20]
Qualora l’Autorità di emissione informi il prestatore di servizi circa l’emissione di un Ordine di Produzione, questi dovrà garantire la conservazione dei dati sino a che l’EPOC non sia stato notificato (art. 11 paragrafo 2).
2. Qualora, durante il periodo di conservazione di cui al paragrafo 1 l’autorità di emissione confermi che è stata emessa una successiva richiesta di produzione, il destinatario conserva i dati per tutto il tempo necessario per la loro produzione una volta ricevuta la successiva richiesta di produzione.
Il Paragrafo 3 disciplina la casistica della cancellazione dei dati qualora l’Autorità di emissione informi il prestatore di servizi che i dati non siano più necessari.
3. Qualora la conservazione non fosse più necessaria, l’autorità di emissione ne informa il destinatario senza indebito ritardo e l’obbligo di conservazione sulla base dell’ordine europeo di conservazione cessa di sussistere.

10) Rimborso spese

Il Considerando 68 e l’art. 14 (Rimborso spese) prevedono rimborsi verso il prestatore di servizi, qualora analoga possibilità sia prevista dall’ordinamento nazionale.
Art. 14
1. Laddove tale possibilità sia prevista dal diritto nazionale dello Stato di emissione per gli ordini interni in situazioni analoghe, il prestatore di servizi può chiedere allo Stato di emissione il rimborso delle sue spese, conformemente al diritto nazionale di tale Stato. Gli Stati membri comunicano le proprie norme interne di rimborso alla Commissione, che le rende pubbliche.
2. Il presente articolo non si applica al rimborso dei costi del sistema informatico decentrato di cui all’articolo 25.

11) Sanzioni

Il Considerando 69 e l’art. 15 (Sanzioni), dispone che la competenza dell’attuazione del regime sanzionatorio spetti a ciascuno Stato membro.
Art. 15
1. Fatti salvi i diritti nazionali che prevedono l’irrogazione di sanzioni penali, gli Stati membri stabiliscono le norme relative alle sanzioni pecuniarie applicabili in caso di violazione degli articoli 10 e 11 e dell’articolo 13, paragrafo 4, in conformità dell’articolo 16, paragrafo 10, e adottano tutte le misure necessarie per assicurarne l’applicazione. Le sanzioni pecuniarie previste devono essere effettive, proporzionate e dissuasive. Gli Stati membri garantiscono che possano essere imposte sanzioni pecuniarie pari fino al 2% del fatturato mondiale totale annuo del prestatore di servizi nell’esercizio precedente. Gli Stati membri notificano tali norme e misure alla Commissione senza ritardo e provvedono poi a dare immediata notifica delle eventuali modifiche successive.
2. Fatti salvi gli obblighi in materia di protezione dei dati, i prestatori di servizi non sono ritenuti responsabili negli Stati membri per il pregiudizio causato agli utenti o a terzi derivanti esclusivamente dall’ottemperanza in buona fede a un EPOC o a un EPOC-PR.

12) Esecuzione forzata – Riesame

Gli artt. 16 e 17 del Regolamento disciplinano, rispettivamente, i casi di mancata esecuzione dell’Ordine (da parte del prestatore di servizio) e quello del riesame.
Nell’art. 16 è disciplinato il procedimento di esecuzione “forzata” che l’Autorità di emissione richiede all’Autorità di esecuzione in caso di inottemperanza del prestatore di servizio.
Da questo istituto nasce, in capo all’Autorità di esecuzione, la facoltà di decidere se negare la prosecuzione dell’Ordine proveniente dall’Autorità di emissione o se ingiungere al prestatore di servizio di eseguire l’Ordine.
L’art. 17 tratta, invece, l’istituto del Riesame:
art. 17 Paragrafo 1. Se ritiene che l’ottemperanza all’ordine europeo di produzione sia in contrasto con un obbligo previsto dal diritto applicabile di un paese terzo, il destinatario informa l’autorità di emissione e l’autorità di esecuzione dei motivi per non eseguire l’ordine europeo di produzione, conformemente alla procedura di cui all’articolo 10, paragrafi 8 e 9, utilizzando il modulo di cui all’allegato III («obiezione motivata»).
In ordine a questo paragrafo, cioè che si ritiene possa avere effetti gravosi per i prestatori di servizio concerne la valutazione sul “… contrasto con obbligo previsto dal diritto… di un paese terzo…”, i quali dovrebbero così essere tenuti a conoscere la legislazione applicabile di qualsiasi Paese terzo e a valutare se l’Ordine si ponga in contrasto con la stessa.
Questo potrebbe indurre un comportamento di “massima” tutela del prestatore di servizio, richiedendo il riesame per tutte le richieste in specie o eseguire le richieste senza valutazione alcuna.
Per meglio comprendere lo scenario, facciamo l’esempio di questa triangolazione:
EPOC emesso da un’Autorità francese, con prestatore di servizio italiano per reati commessi da un Argentino nel territorio francese.
In questo caso il prestatore italiano dovrebbe verificare se l’Ordine francese sia compatibile con il diritto argentino.
Processo che si renderebbe alquanto complicato da adempiere correttamente da parte del Prestatore di servizi, considerando anche i tempi brevi per adempiere che potrebbero far vanificare eventuali verifiche intraprese.

13) Sistemi Informativi

Il Capo V disciplina il sistema informativo che dovrebbe essere dedicato alla gestione delle richieste degli Ordini e dell’invio dei dati e per tutte le attività di comunicazione. Ogni prestatore di servizio dovrà, infatti, essere collegato al sistema informatico decentrato.
Art. 19 paragrafo 1
1. La comunicazione scritta tra le autorità competenti e gli stabilimenti designati o i rappresentanti legali a norma del presente regolamento, compresi lo scambio di moduli previsti dal presente regolamento e i dati richiesti tramite un ordine europeo di produzione o un ordine europeo di conservazione, ha luogo tramite il sistema informatico decentrato sicuro e affidabile («sistema informatico decentrato»)

Gli Stati membri sostengono le spese per i punti di accesso al sistema informatico decentrato:
Art. 23 paragrafo 1
1. Ciascuno Stato membro sostiene i costi di installazione, funzionamento e manutenzione dei punti di accesso al sistema informatico decentrato per i quali lo Stato membro è responsabile.
I prestatori di servizio dovranno, viceversa, sostenere i costi per l’accesso al sistema informatico.

Art. 23 paragrafo 5
5. I prestatori di servizi sostengono tutti i costi necessari per potersi integrare con successo nel sistema informatico decentrato o interagire con esso in altro modo.

All’art. 25 (Atti di esecuzione) paragrafo 3, viene sancito che gli atti di esecuzione di cui al paragrafo 1, sono adottati entro il 18 agosto 2025.
Paragrafo 1
a) le specifiche tecniche che definiscono i metodi di comunicazione per via elettronica ai fini del sistema informatico decentrato;
b) le specifiche tecniche per i protocolli di comunicazione;
c) gli obiettivi in materia di sicurezza delle informazioni e le pertinenti misure tecniche che garantiscono le norme minime di sicurezza delle informazioni e un livello elevato di cybersicurezza per il trattamento e la comunicazione delle stesse nell’ambito del sistema informatico decentrato;
d) gli obiettivi minimi di disponibilità e i possibili requisiti tecnici correlati per i servizi forniti dal sistema informatico decentrato.

Il 19 ottobre 2023, a Bruxelles, è avvenuto il Kik-Off meeting dell’”Expert group on the E-Evidence decentralised IT system”, che avrà il compito di definire quanto previsto dal su citato articolo 25.

14) Monitoraggi – Reporting

Nell’art. 28 sono previste le attività di monitoraggio e reporting delle richieste.
I prestatori di servizio dovranno adottare un sistema di reportistica (art. 28 paragrafo 4) inerente alle richieste degli Ordini.
Le statistiche raccolte dell’anno civile precedente, potranno essere trasmesse alla Commissione entro il 31 marzo.

15) I moduli per le richieste

Il Regolamento prevede, infine, anche una serie di modulistica da utilizzare per i vari casi disciplinati (es. richiesta, riesame, impossibilità ad eseguire l’Ordine, ecc.).
Da evidenziare che nei moduli di richiesta (sia EPOC che EPOC-PR) per quanto riguarda il dato di traffico, è previsto il solo traffico mobile (voce e dati).

16) Valutazione della Commissione

Entro il 18 agosto 2029, la Commissione effettuerà una valutazione del presente regolamento.
La Commissione dovrà stilare una relazione di valutazione al Parlamento europeo, al Consiglio, al Garante europeo della protezione dei dati e all’Agenzia dell’Unione europea per i diritti fondamentali, che dovrà includere una valutazione dell’applicazione del presente regolamento e dei risultati conseguiti in relazione ai suoi obiettivi nonché una valutazione dell’impatto del presente Regolamento sui diritti fondamentali.

NOTE

[0]
Parere del Comitato 23/2018 sulle proposte della Commissione relative agli ordini europei di produzione e di conservazione di prove elettroniche in materia penale (articolo 70, paragrafo 1, lettera b) Adottato il 26 settembre 2018. https://edpb.europa.eu/sites/default/files/files/file1/edpb-2018-09-26-eevidence_it.pdf

[1]
Art. 288
Per esercitare le competenze dell’Unione, le istituzioni adottano regolamenti, direttive, decisioni, raccomandazioni e pareri.
Il regolamento ha portata generale. Esso è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.
La direttiva vincola lo Stato membro cui è rivolta per quanto riguarda il risultato da raggiungere, salva restando la competenza degli organi nazionali in merito alla forma e ai mezzi.
La decisione è obbligatoria in tutti i suoi elementi. Se designa i destinatari è obbligatoria soltanto nei confronti di questi.
Le raccomandazioni e i pareri non sono vincolanti.

[2]
artt. 23-24 e 43-44 del decreto legislativo del 21 giugno 2017, n. 108 di attuazione della Direttiva sull’OEI, in materia di “ordine di intercettazione”

[3]
Considerando 12
Il meccanismo dell’ordine europeo di produzione e dell’ordine europeo di conservazione per le prove elettroniche nei procedimenti penali si basa sul principio della fiducia reciproca tra gli Stati membri e sulla presunzione di conformità da parte degli Stati membri al diritto dell’Unione, allo Stato di diritto e, in particolare, ai diritti fondamentali, che sono elementi essenziali dello spazio di libertà, di sicurezza e di giustizia dell’Unione. Tale meccanismo consente alle autorità nazionali competenti di inviare tali ordini direttamente ai prestatori di servizi.

[4]
Considerando 26
Il presente regolamento dovrebbe applicarsi ai prestatori di servizi che offrono servizi nell’Unione, e dovrebbe essere possibile emettere gli ordini di cui al presente regolamento in relazione ai dati riguardanti servizi offerti nell’Unione. I servizi offerti esclusivamente al di fuori dell’Unione non dovrebbero rientrare nell’ambito di applicazione del presente regolamento, anche se il prestatore di servizi è stabilito nell’Unione. Pertanto, il presente regolamento non dovrebbe consentire l’accesso a dati diversi dai dati relativi ai servizi offerti all’utente nell’Unione da tali prestatori di servizi

[5]
Considerando 21
In molti casi i dati non sono più conservati o altrimenti trattati nel dispositivo dell’utente ma sono messi a disposizione su un’infrastruttura cloud che consente l’accesso da qualsiasi luogo. Per fornire tali servizi i prestatori non hanno bisogno di essere stabiliti o di avere server in una specifica giurisdizione. Pertanto l’applicazione del presente regolamento non dovrebbe dipendere dal luogo effettivo in cui sono stabiliti il prestatore di servizi o la struttura per il trattamento o la conservazione dei dati.

[6]
Articolo 7 (Destinatari degli ordini europei di produzione e degli ordini europei di conservazione) paragrafo 1
1. Gli ordini europei di produzione e gli ordini europei di conservazione sono rivolti direttamente a uno stabilimento designato o a un rappresentante legale del prestatore di servizi interessato.

[7]
art. 2 (Ambito di applicazione) al paragrafo 1:
Il presente regolamento si applica ai prestatori di servizi che offrono servizi nell’Unione.
[8]
Art. 3 (Definizioni) paragrafo 3
3) «prestatore di servizi»: la persona fisica o giuridica che fornisce una o più delle seguenti categorie di servizi, ad eccezione dei servizi finanziari di cui all’articolo 2, paragrafo 2, lettera b), della direttiva 2006/123/CE del Parlamento europeo e del Consiglio:
a) servizi di comunicazione elettronica quali definiti all’articolo 2, punto 4), della direttiva (UE) 2018/1972;
b) servizi di nomi di dominio internet e di numerazione IP, quali l’assegnazione di indirizzi IP, i servizi di registri di nomi di dominio, di registrar di nomi di dominio e i servizi per la privacy o proxy connessi ai nomi di dominio;
c) altri servizi della società dell’informazione di cui all’articolo 1, paragrafo 1, lettera b), della direttiva (UE) 2015/1535 che:
i) consentono ai loro utenti di comunicare fra di loro; o
ii) rendono possibile la conservazione o il trattamento di dati per conto degli utenti ai quali è fornito il servizio, quando la conservazione dei dati è una componente propria del servizio fornito all’utente;

[9]
Considerando 27
I prestatori di servizi più pertinenti per l’acquisizione di prove nei procedimenti penali sono i prestatori di servizi di comunicazione elettronica e specifici prestatori di servizi della società dell’informazione che facilitano l’interazione tra utenti. Pertanto, entrambi i gruppi dovrebbero rientrare nell’ambito di applicazione del presente regolamento. I servizi di comunicazione elettronica sono definiti nella direttiva (UE) 2018/1972 del Parlamento europeo e del Consiglio e comprendono i servizi di comunicazioni interpersonali, quali Voice over IP (VoIP), la messaggistica istantanea e i servizi di posta elettronica. Il presente regolamento dovrebbe essere applicabile anche a prestatori di servizi della società dell’informazione ai sensi della direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio che non possono essere considerati prestatori di servizi di comunicazione elettronica ma offrono agli utenti la possibilità di comunicare tra loro oppure servizi che possono essere utilizzati per memorizzare o altrimenti trattare dati per loro conto. Ciò sarebbe in linea con i termini utilizzati nella Convenzione del Consiglio d’Europa sulla criminalità informatica (STC n. 185) («Convenzione di Budapest»), firmata a Budapest il 23 novembre 2001 («convenzione di Budapest»). Il trattamento dei dati dovrebbe essere inteso nel senso tecnico di creazione o manipolazione di dati, vale a dire di operazioni tecniche volte a produrre o modificare dati attraverso la potenza di elaborazione informatica. Le categorie di prestatori di servizi che rientrano nel presente regolamento dovrebbero includere, ad esempio, i mercati online che offrono ai consumatori e alle imprese la possibilità di comunicare tra loro e altri servizi di hosting, anche quando il servizio è fornito attraverso cloud computing, nonché le piattaforme di gioco online e le piattaforme di gioco d’azzardo online. Se un prestatore di servizi della società dell’informazione non offre ai propri utenti la possibilità di comunicare tra loro, ma solo con il prestatore di servizi, o non offre la possibilità di memorizzare o altrimenti trattare dati, ovvero se la conservazione di dati non costituisce una componente propria, ovvero una parte essenziale del servizio fornito agli utenti, quali i servizi giuridici, di ingegneria architettonica e contabili forniti online a distanza, esso non dovrebbe rientrare nella definizione di «prestatore di servizi» di cui al presente regolamento, anche se i servizi forniti da tale prestatore sono servizi della società dell’informazione ai sensi della direttiva (UE) 2015/1535.

[10]
Articolo 5 (Condizioni di emissione dell’ordine europeo di produzione)
1. L’autorità di emissione può emettere un ordine europeo di produzione laddove siano soddisfatte le condizioni stabilite dal presente articolo.
2. L’ordine europeo di produzione è necessario e proporzionato ai fini del procedimento di cui all’articolo 2, paragrafo 3, tenuto conto dei diritti della persona oggetto di indagini o imputata, e può essere emesso solo se un ordine dello stesso tipo avrebbe potuto essere emesso alle stesse condizioni in un caso interno analogo.
3. L’ordine europeo di produzione per ottenere dati relativi agli abbonati o per ottenere dati richiesti al solo scopo di identificare l’utente, quali definiti all’articolo 3, punto 10), può essere emesso per qualsiasi reato e per l’esecuzione di una pena o di una misura di sicurezza detentiva di almeno quattro mesi, a seguito di un procedimento penale, irrogata con decisione non pronunciata in contumacia, nei casi in cui la persona condannata è latitante.
4. Un ordine europeo di produzione per ottenere dati sul traffico, ad eccezione dei dati richiesti al solo scopo di identificare l’utente, quali definiti all’articolo 3, punto 10), del presente regolamento, o per ottenere dati relativi al contenuto è emesso solo:
……..

[11]
Considerando 40
Considerata la natura più sensibile dei dati relativi al traffico, ad eccezione dei dati richiesti al solo scopo di identificare l’utente ai sensi del presente regolamento, e dei dati relativi al contenuto, occorre effettuare una distinzione per quanto riguarda l’ambito di applicazione materiale del presente regolamento. Dovrebbe essere possibile emettere un ordine europeo di produzione per ottenere i dati relativi agli abbonati o per ottenere i dati richiesti al solo scopo di identificare l’utente, ai sensi del presente regolamento, per qualsiasi reato; mentre un ordine europeo di produzione per ottenere dati relativi al traffico, ad eccezione dei dati richiesti al solo scopo di identificare l’utente ai sensi del presente regolamento, o per ottenere dati relativi al contenuto dovrebbe essere soggetto a requisiti più severi, a causa del carattere più sensibile di questi dati. Il presente regolamento dovrebbe prevedere una soglia in relazione al suo ambito di applicazione, consentendo un approccio più proporzionato, insieme a una serie di altre condizioni e garanzie ex ante ed ex post per assicurare il rispetto della proporzionalità e dei diritti degli interessati. Tale soglia non dovrebbe però limitare l’efficacia del presente regolamento e il suo uso da parte degli operatori. Autorizzare l’emissione di ordini europei di produzione nei procedimenti penali solo per reati punibili con una pena detentiva della durata massima di almeno 3 anni limiterà l’ambito di applicazione del presente regolamento ai reati più gravi senza compromettere eccessivamente le possibilità di uso dello stesso da parte degli operatori. Tale limitazione escluderebbe dall’ambito di applicazione del presente regolamento un numero significativo di reati che gli Stati membri considerano meno gravi e puniscono con una pena massima inferiore. Tale limitazione offrirà inoltre il vantaggio di essere facilmente applicabile nella pratica.

[12]
Considerando 41
Esistono reati specifici per i quali le prove sono tipicamente disponibili esclusivamente in formato elettronico, per natura particolarmente effimero. Si tratta dei reati connessi all’informatica, anche quando non sono considerati gravi di per sé ma potrebbero causare un danno esteso o considerevole, in particolare i reati che comportano un effetto individuale scarso ma un danno complessivo di elevato volume. Per la maggior parte dei reati commessi a mezzo di un sistema d’informazione, l’applicazione della stessa soglia fissata per gli altri tipi di reato comporterebbe l’impunità nella maggior parte dei casi. Questa considerazione giustifica l’applicazione del presente regolamento per tali reati anche qualora comportino una pena detentiva della durata massima inferiore a 3 anni. Anche i reati connessi al terrorismo ai sensi della direttiva (UE) 2017/541 del Parlamento europeo e del Consiglio, come pure i reati relativi all’abuso e allo sfruttamento sessuale dei minori di cui alla direttiva 2011/93/UE del Parlamento europeo e del Consiglio, non dovrebbero richiedere la soglia minima di una pena detentiva della durata massima di 3 anni.

[12 b]
Art. 10 (Esecuzione dell’EPOC)
5. Qualora il destinatario ritenga, sulla base delle sole informazioni contenute nell’EPOC, che l’esecuzione dell’EPOC possa interferire con le immunità o i privilegi o con le norme sulla determinazione o la limitazione della responsabilità penale relative alla libertà di stampa o alla libertà di espressione in altri mezzi di comunicazione, a norma del diritto dello Stato di esecuzione, ne informa l’autorità di emissione e l’autorità di esecuzione utilizzando il modulo di cui all’allegato III.
Qualora non abbia avuto luogo alcuna notifica all’autorità di esecuzione a norma dell’articolo 8, l’autorità di emissione tiene conto delle informazioni di cui al primo comma del presente paragrafo e decide, di propria iniziativa o su richiesta dell’autorità di esecuzione, se ritirare, adattare o mantenere l’ordine europeo di produzione.
Qualora abbia avuto luogo una notifica all’autorità di esecuzione a norma dell’articolo 8, l’autorità di emissione tiene conto delle informazioni di cui al primo comma del presente paragrafo e decide se ritirare, adattare o mantenere l’ordine europeo di produzione. L’autorità di esecuzione può decidere di far valere i motivi di rifiuto di cui all’articolo 12.

[14]
Art. 6 (Condizioni di emissione dell’ordine europeo di conservazione)
2. Un ordine europeo di conservazione deve essere necessario e proporzionato al fine di impedire la rimozione, la cancellazione o la modifica di dati in vista della presentazione di una successiva richiesta di produzione dei medesimi tramite l’assistenza giudiziaria, un ordine europeo d’indagine (OEI) o un ordine europeo di produzione, tenendo conto dei diritti della persona oggetto di indagini o imputata.
3. Un ordine europeo di conservazione può essere emesso per tutti i reati, laddove avrebbe potuto essere emesso alle stesse condizioni in un caso interno analogo, e per l’esecuzione di una pena o di una misura di sicurezza detentiva di almeno quattro mesi, a seguito di un procedimento penale, irrogata con decisione non pronunciata in contumacia, nei casi in cui la persona condannata è latitante.

[15]
Art. 11 (Esecuzione dell’EPOC-PR)
4. Qualora ritenga, sulla base delle sole informazioni contenute nell’EPOC-PR, che l’esecuzione dell’EPOC-PR possa interferire con le immunità o i privilegi o con le norme sulla determinazione o la limitazione della responsabilità penale relative alla libertà di stampa o alla libertà di espressione in altri mezzi di comunicazione, a norma del diritto dello Stato di esecuzione, il destinatario ne informa l’autorità di emissione e l’autorità di esecuzione usando il modulo di cui all’allegato III.

[16]
Art. 3 (Definizioni)
10) «dati richiesti al solo scopo di identificare l’utente»: gli indirizzi IP e, se necessario, le porte sorgenti e le marche temporali pertinenti, vale a dire la data e l’ora, o gli equivalenti tecnici di tali identificativi e le informazioni connesse, se richiesto dalle autorità di contrasto o dalle autorità giudiziarie al solo scopo di identificare l’utente in una specifica indagine penale;

[16 b]
Considerando 36
È opportuno che nel processo di emissione o di convalida di un ordine europeo di produzione o di un ordine europeo di conservazione intervenga sempre un’autorità giudiziaria. Considerata la natura più sensibile dei dati relativi al traffico, ad eccezione dei dati richiesti al solo scopo di identificare l’utente ai sensi del presente regolamento, e dei dati relativi al contenuto, l’emissione o la convalida di un ordine europeo di produzione per ottenere tali categorie di dati richiede il riesame da parte di un giudice. Poiché i dati relativi agli abbonati e i dati richiesti al solo scopo di identificare l’utente ai sensi del presente regolamento sono meno sensibili, un ordine europeo di produzione per ottenere tali dati può essere emesso o convalidato anche da un pubblico ministero competente.
………

[18]
Art. 4 (Autorità di emissione)
3. Un ordine europeo di conservazione relativo a dati di qualsiasi categoria può essere emesso solamente da:
a) un giudice, un organo giurisdizionale, un magistrato inquirente o un pubblico ministero competente nel caso interessato; o
b) qualsiasi altra autorità competente, definita dallo Stato di emissione che, nel caso di specie, agisca in qualità di autorità inquirente nel procedimento penale e sia competente a disporre l’acquisizione di prove in conformità del diritto nazionale; in tal caso, l’ordine europeo di conservazione è convalidato, previo esame della sua conformità alle condizioni di emissione di un ordine europeo di conservazione ai sensi del presente regolamento, da un giudice, un organo giurisdizionale, un magistrato inquirente o un pubblico ministero nello Stato di emissione.

[19]
Art. 10 (Esecuzione dell’EPOC)
Qualora sia prevista una notifica all’autorità di esecuzione a norma dell’articolo 8 e tale autorità non abbia fatto valere alcun motivo di rifiuto a norma dell’articolo 12 entro 10 giorni dalla ricezione dell’EPOC, il destinatario provvede affinché i dati richiesti siano trasmessi direttamente all’autorità di emissione o alle autorità di contrasto, come indicato nell’EPOC, al termine di tale periodo di 10 giorni. Se l’autorità di esecuzione conferma all’autorità di emissione e al destinatario, già prima della scadenza di tale termine di 10 giorni, che non farà valere motivi di rifiuto, il destinatario agisce quanto prima dopo tale conferma e al più tardi al termine del periodo di 10 giorni”

[20]
Art. 11 (Esecuzione dell’EPOC-PR)
1. Quando riceve un EPOC-PR il destinatario provvede, senza indebito ritardo, a conservare i dati richiesti. L’obbligo di conservare i dati cessa dopo 60 giorni, a meno che l’autorità di emissione confermi, usando il modulo di cui all’allegato V, che è stata emessa una successiva richiesta di produzione. Durante tale periodo di 60 giorni l’autorità di emissione, usando il modulo di cui all’allegato VI, può prorogare la durata dell’obbligo di conservare i dati di un ulteriore periodo di 30 giorni, se necessario per consentire l’emissione di una successiva richiesta di produzione.

[21]
Considerando 20
L’applicazione del presente regolamento non dovrebbe pregiudicare l’uso della cifratura da parte dei prestatori di servizi o dei loro utenti. I dati richiesti per mezzo di un ordine europeo di produzione o di un ordine europeo di conservazione dovrebbero essere forniti o conservati a prescindere dal fatto che siano criptati o meno. Tuttavia, il presente regolamento non dovrebbe stabilire alcun obbligo per i prestatori di servizi di decifrare i dati.

FONTI

• https://www.magistraturaindipendente.it/lordine-di-produzione-e-di-conservazione-europeo-delle-prove-elettroniche.htm
• https://www.consilium.europa.eu/it/policies/e-evidence/
• https://www.consilium.europa.eu/it/press/press-releases/2019/03/08/e-evidence-package-council-agrees-its-position-on-rules-to-appoint-legal-representatives-for-the-gathering-of-evidence/
• Oscar Calavita,”La proposta di regolamento sugli ordini di produzione e conservazione europei: Commissione, Consiglio e Parlamento a confronto – in “La legislazione penale” 30/03/2021

1. Introduzione

È stato richiesto all’AGCOM, da parte di un operatore, di effettuare una valutazione in merito alla necessità di acquisire copia dei documenti di identità e del codice fiscale dell’utente, in fase di nuova attivazione SIM, sostituzione SIM o di richiesta di MNP, nel caso in cui il cliente proceda in tali operazioni utilizzando il proprio SPID o la propria carta di Identità elettronica.

L’AGCOM nella riunione tenutasi in Commissione per le Infrastrutture e le reti del 27 settembre 2023, ha riconosciuto l’utilizzo dei sistemi di identità digitale SPID, CIE e CNS (previsti dall’art. 64 del CAD) nell’ambito delle procedure di sostituzione o cambio delle SIM e della Mobile Number Portability (MNP), regolate dalla delibera n. 86/21/CIR.

Come riportato nel Comunicato Stampa dell’AGCOM del 4 ottobre 2023 [1], l’Autorità sintetizza così il suo parere:

1. lo SPID, la CIE e la carta nazionale dei servizi (CNS), di cui alla Legge 11 settembre 2020, n.120, costituiscono strumenti di identificazione personale efficaci e sicuri che garantiscono la validazione di tutte le informazioni inerenti sia il documento di identità sia del codice fiscale;
   l’utilizzo di tali nuovi strumenti consente una sicura identificazione del soggetto e si configura come valida alternativa alla raccolta video/fotografica dei relativi documenti (carta di identità e codice fiscale) da parte di ciascun singolo operatore;
2. la possibilità di utilizzare SPID, CIE o CNS nelle procedure di mobilità o attivazione/cambio SIM, non necessita di una preventiva modifica in tal senso delle disposizioni della delibera n. 86/21/CIR, bensì appare sufficiente integrare le modalità attuative della delibera in questione mediante una revisione dell’Accordo quadro per
3. l’applicazione delle norme riguardanti la MNP del 9 maggio 2022;
4. nessun commento può essere espresso sull’applicazione di tali strumenti se non previsti dalla normativa primaria.

2. Considerazioni

Il tema principale posto all’esame dell’Autorità, ovvero l’attivazione della SIM per un nuovo Cliente, non è trattato in maniera esplicita nel parere fornito, crediamo correttamente poiché il riconoscimento dell’utente è regolamentato dalla normativa primaria. Senza entrare nel merito, è tuttavia necessario evidenziare che l’utilizzo dei su citati metodi di identità digitale, per le richieste (di utenti già clienti dell’operatore [2]) di migrazione tra gestori (Mobile Number Portability), SIM aggiuntive e di sostituzione/cambio SIM sono già disciplinati, sin dal 2017, dall’art. 1 co. 46 della Legge 124/2017 (1) che demanda ad un Decreto del Ministero dell’Interno, le specifiche delle misure da adottare per l’identificazione indiretta o da remoto.

Il Decreto Ministeriale è stato emanato dal Ministero dell’Interno il 28/12/2018 (GU Serie Generale n.31 del 6-2-2019) e prevede, in sintesi, tre metodi di identificazione:
1. con metodo indiretto tramite SPID,
2. con metodo indiretto tramite CIE e CNS,
3. identificazione a vista da remoto.

Negli Allegati A e B del DM, sono dettagliatamente descritte le procedure di identificazione da adottare a cura degli operatori, per i casi di migrazione, SIM aggiuntive o sostituzione/cambio SIM, a secondo i 3 metodi individuati ove, per i metodi 1 e 2 (identificazione con SPID, CIE e CNS), non è previsto l’invio della scansione del documento (fronte/retro) come, viceversa, previsto per il metodo (n. 3) dell’identificazione a vista da remoto.

In tema di identificazione indiretta tramite video riconoscimento da remoto, possiamo citare anche l’art. 38 co 6-bis della Legge di conversione n. 120/2020 del Decreto Semplificazione 76/2020, che ha dato una interpretazione del su citato art. 1, comma 46, della legge 4 agosto 2017, n. 124:

6-bis. L’articolo 1, comma 46, della legge 4 agosto 2017, n. 124, si interpreta nel senso che le misure di identificazione in via indiretta o da remoto del cliente già adottate dagli operatori di telefonia mobile, sia in caso di nuova attivazione che di migrazione di S.I.M. card già attivate, basate su sistemi di registrazione audio-video che garantiscano, anche ai fini di giustizia, la corretta e completa acquisizione dei dati necessari al riconoscimento dell’utente, la genuinità della ripresa e il rispetto delle norme a tutela della riservatezza dei dati personali, effettuate sotto la responsabilità del medesimo operatore, sono ritenute compatibili con le previsioni, gli obiettivi ed i requisiti di cui all’articolo 55 (ora 98 undetricies [3]), comma 7, del codice di cui al decreto legislativo 1° agosto 2003, n. 259.

L’interpretazione del suddetto art. 1, riguardo la valenza dell’identificazione da remoto, è stata poi recepita dal vigente comma 2 dell’art. 98 undetricies (2) che ha sostituito l’art. 55 del CCE (sostituzione apportata dall’art. 1 del D.Lgs. novembre 2021, n. 207).

Per quanto sopra evidenziato, possiamo tentare di fornire una interpretazione circa l’attivazione di una SIM per un nuovo cliente. Non essendo disciplinata nella normativa sopra citata, per l’identificazione è applicabile stricto sensu:
• il riconoscimento diretto (presso la struttura commerciale dell’operatore), oppure
• il video riconoscimento da remoto,
quindi con acquisizione delle informazioni anagrafiche e della riproduzione del documento di riconoscimento fornito.

Per altro verso, invece, nei casi di migrazione, di SIM aggiuntiva o di sostituzione/cambio SIM, al fine di garantire “la corretta acquisizione dei dati necessari al riconoscimento dell’utente”, è consigliabile acquisire anche la tracciatura del metodo di identificazione digitale utilizzato (i.e. se tramite SPID, CIE o CNS) e, per l’identificazione tramite SPID, anche il nome del gestore utilizzato dal cliente; informazioni, ovviamente, aggiuntive ai consueti dati anagrafici del Cliente, che dovranno essere messi a disposizione del Centro elaborazioni dati del Ministero dell’Interno (ETNa), come previsto dall’art. 98 undetricies co. 1 (2).

3. Conclusioni

Con il suo ultimo parere in materia, l’AGCOM conferma il principio secondo cui la norma necessita di essere continuamente supervisionata per consentirle di essere conforme con l’avanzare delle nuove tecnologie. L’identificazione diretta oppure indiretta tramite video riconoscimento, previste dalla norma primaria, appare non più coerente con le opportunità offerte al giorno d’oggi dall’identità digitale, soprattutto se si considera che i nuovi strumenti sono già disciplinati per i processi di MNP.

Adottare al momento il parere dell’Autorità per utilizzare lo SPID, la CIE e la carta nazionale dei servizi (CNS) anche per le nuove attivazioni di SIM non appare, tuttavia, conforme con la normativa primaria. Si auspica, in tal senso, un intervento del Legislatore per tenere in debita considerazione l’illustre parere dell’Autorità ed allineare così la normativa primaria e secondaria sull’argomento.

Riferimenti

[1] Link Comunicato stampa AGCOM
https://www.agcom.it/documents/10179/31723786/Comunicato+stampa+04-10-2023+1696424306316/aecfd8e0-74f1-4fe3-a00a-ddede4f02db4?version=1.1

[2] Art. 1 comma 46 Legge 124/201
Al fine di semplificare le procedure di migrazione tra operatori di telefonia mobile e le procedure per l’integrazione di SIM card aggiuntive o per la sostituzione di SIM card richieste da utenti già clienti di un operatore, con decreto del Ministro dell’interno, di concerto con il Ministro dello sviluppo economico, da adottare entro sei mesi dalla data di entrata in vigore della presente legge, sono previste misure per l’identificazione in via indiretta del cliente, anche utilizzando il sistema pubblico dell’identità digitale previsto dall’articolo 64 del codice dell’amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82, e successive modificazioni, in modo da consentire che la richiesta di migrazione e di integrazione di SIM card e tutte le operazioni ad essa connesse possano essere svolte per via telematica.
Dall’attuazione delle disposizioni previste dal presente comma non devono derivare nuovi o maggiori oneri a carico della finanza pubblica.

[3] Art. 98 undetricies D.Lgs. n. 259/2003
1. Ogni impresa è tenuta a rendere disponibili, anche per via telematica, al centro di elaborazione dati del Ministero dell’interno gli elenchi di tutti i propri abbonati e di tutti gli acquirenti del traffico prepagato della telefonia mobile, che sono identificati prima dell’attivazione del servizio, al momento della consegna o messa a disposizione della occorrente scheda elettronica (SIM)
Le predette imprese, anche per il caso di nuova attivazione e di migrazione di SIM card già attivate, adottano tutte le necessarie misure affinché venga garantita l’acquisizione dei dati anagrafici riportati su un documento di identità’ nonché del tipo, del numero e della riproduzione del documento presentato dall’acquirente ed assicurano il corretto trattamento dei dati acquisiti, anche da remoto o in via indiretta purché vengano garantiti la corretta acquisizione dei dati necessari al riconoscimento dell’utente ed il rispetto delle norme a tutela della riservatezza dei dati personali.
L’Autorità giudiziaria ha facoltà di accedere per fini di giustizia ai predetti elenchi in possesso del centro di elaborazione dati del Ministero dell’interno.
2. L’obbligo di identificazione di cui al comma 1 non si applica alle schede elettroniche (S.I.M.) utilizzate per la fornitura di servizi di tipo “internet delle cose”, installate senza possibilità di essere estratte all’interno degli oggetti connessi e che, anche se disinstallate, non possono essere utilizzate per effettuare traffico vocale, inviare SMS o fruire del servizio di connessione a internet.

In Italy, companies authorized to set up and operate networks for public use, as well as the more traditional telecommunications operators that offer electronic communications services for public use, must comply with the so-called Mandatory Services, as required by art. 57 of the Electronic Communications Code.

By Mandatory Services we mean those services paid by the subjects with general authorization identified by the art. 57 of the Electronic Communications Code (Legislative Decree 259/2003), updated following the entry into force on 24 December 2021 of Legislative Decree 8 November 2021, n. 207 (hereinafter “Code”), to be guaranteed towards the judicial authorities and national security agencies. The aim is, for example, to track both Internet connections and the technical identity of the user who connects, storing them in accordance with the provisions of the Privacy Code, for the purposes of detecting and suppressing crimes and for national security. When requesting general authorisation, the Operators declare that they fully accept the provisions of the Code, very often self-certifying in an unconscious manner albeit in good faith, that they have implemented every technical, organizational and managerial measure necessary to cover the services provided for by the ‘art. 57 of the Code. This declaration represents the only form of guarantee for compliance with the provisions of the Code, as in our country there is no office, body or authority responsible for effectively verifying, both preventively and continuously, the coverage of mandatory benefits.

In cases where non-compliance with these requirements is evident, ie when the person who requested the general authorization has not in fact implemented any envisaged measures, the Ministry of Business and Made in Italy, formerly MISE and today MIMIT, requested by the authorities to whom these services must be guaranteed and, as required by art. 30 paragraph 16 of the Code, imposes a pecuniary administrative sanction which can be between 170.000 euros and 2.500.000 euros. If the violation of obligations is particularly serious or repeated more than twice in a five-year period, the Ministry may additionally order the suspension of the activity for a period not exceeding two months or the revocation of the general authorization.

Article 57 – Mandatory services (ex art. 96 Code 2003)

1. They are mandatory for subjects authorized to set up and operate electronic communications networks and services for public use, as well as for operators who provide the services identified by article 3 of Legislative Decree 30 May 2008, n.109, for international traffic transit operators, the services carried out in response to requests for information from the competent judicial authorities and agencies responsible for national security. The times and methods are agreed with the aforementioned Authorities. Without prejudice to the provisions of the decree referred to in paragraph 6 regarding requests made by judicial authorities.

2. Services for the purposes of justice and prevention of serious crimes carried out in response to interception requests by the competent judicial authorities are mandatory for persons authorized to set up and operate electronic communications networks and services for public use. The times and methods are established by the decree referred to in paragraph 6.

3. The subjects authorized for machine-to-machine communications – IoT (Internet-of-Things) and for Edge Computing services are exempted from the obligations referred to in paragraphs 1 and 2, limited to the provision of such services and with the exclusion of cases in where the use of such services can contribute to providing interpersonal communication services.

4. It is mandatory for parties authorized to set up and operate electronic communications networks and services for public use, including international traffic transit operators, to prepare tools for monitoring and combating threats, including in real time. cybernetics and prompt collaboration in response to requests for information and intervention to protect national security by the competent state authorities. The times and methods are agreed with the aforementioned authorities.

5. When events are detected that may affect the security of information systems, electronic communications operators shall immediately inform the National Cyber Security Agency. The Agency, when it is aware of a threat that could affect the security of information systems, in order to prevent the threat, orders the electronic communications operators who have set up the tools provided for in paragraph 4, to activate the tools contrast using, where appropriate, technical markers indicated by the same.

6. The flat-rate annual fee for the mandatory services referred to in paragraphs 1 to 4 is identified by decree of the Minister of Justice and the Minister of Economic Development, in agreement with the Minister of Economy and Finance. The decree:

a) regulates the types of mandatory services and determines their tariffs, taking into account the evolution of costs and services, so as to achieve cost savings of at least 50 percent compared to the tariffs charged. The tariff includes the costs for all services simultaneously activated or used by each network identity;

b) identifies the subjects required to provide mandatory interception services, including among service providers whose infrastructures allow access to the network or the distribution of information or communication contents, and those who in any capacity provide electronic communication services or applications , even if usable through non-own access or transport networks;

c) defines the obligations of the subjects required to perform the mandatory services and the methods of carrying them out, including the observance of homogeneous IT procedures in the transmission and management of communications of an administrative nature, also with regard to the preliminary phases to the payment of the same services.

7. In case of failure to comply with the obligations contained in the decree referred to in paragraph 6, article 32, paragraphs 2, 3, 4, 5 and 6 and article 30, paragraph 16 apply.

8. For the purposes of providing the services referred to in paragraph 6, operators are obliged to negotiate the interconnection methods between themselves, in order to guarantee the supply and interoperability of the services themselves. The Ministry can intervene if necessary on its own initiative or, in the absence of agreement between the operators, at the request of one of them.

9. Pending the adoption of the decree referred to in paragraph 6, the provisions in force, including those of a regulatory nature, continue to apply.