Mercoledì 20 settembre, la Commissione Giustizia del Senato ha approvato il documento conclusivo proposto dai relatori sull’indagine conoscitiva sul tema delle intercettazioni. La relazione finale si compone di molti paragrafi che analizzano, ciascuno, un argomento che i diversi relatori hanno trattato durante le audizioni.
Uno di questi è dedicato alla “certificazione degli strumenti di captazione” nel quale le attività della Lawful Interception Academy vengono prese ad esempio per i risultati raggiunti, il modello a cui si è ispirato che è lo standard ISO 17020 che assicura imparzialità sia tecnica che economica. L’effetto finale sarebbe anche quello di creare un albo ministeriale dei fornitori autorizzati, cosiddetta “white list” (così chiamata dal senatore Scarpinato durante l’audizione della LIA nella fase delle domande).
Di seguito si riportano alcuni passaggi estratti dalla reazione finale della commissione Giustizia in tema di “certificazione degli strumenti di captazione”:
il presidio tecnologico è fondamentale con riferimento all’affidabilità degli strumenti di captazione e dei risultati dell’attività captativa. Si evidenzia anche in questo ambito la mancanza di un dettato tecnico regolamentare nazionale attraverso norme di rango secondario.
non appare sufficiente la autocertificazione dell’appaltatore in sede di affidamento, anche in ragione del fatto che l’autodichiarazione di conformità riguarda l’aderenza ai requisiti indicati dal bando di gara e nei capitolati tecnici, i quali non contengono di regola una elencazione di tutti gli elementi necessari (come quello della sicurezza, del trattamento, degli standard ETSI per l’inoltro dei dati ai sistemi dell’autorità giudiziaria)
l’autocertificazione dei requisiti tecnici non garantisce la conformità dei programmi impiegati in particolare per l’attività di raccolta e conservazione dei dati, la cui utilizzabilità può essere compromessa anche da discostamenti procedurali o tecnici di piccola entità
al fine di ovviare parzialmente al problema dell’affidabilità degli operatori e dei software, è stata prospettata la possibilità di realizzare un sistema certificativo nazionale, attuato da una parte terza (imparzialità sia tecnica che economica) sulla base di standard di riferimento (Privacy; Sicurezza, standard tecnici definiti dall’Istituto Europeo per le norme di Telecomunicazioni) sul modello delle best practices europee rispetto agli standard di qualità dettati dalla norma ISO 9001 e di sicurezza delle informazioni dettati dalla norma ISO 27001 o di quello sperimentato dalla Lawful Interception Academy
alcune Procure hanno inserito la certificazione – come quella sperimentata dalla Lawful Interception Academy – come requisito opzionale nella fase di accreditamento delle società interessate
alla luce dei vantaggi che un sistema di certificazione può assicurare, occorrerebbe introdurre un obbligo di certificazione per le imprese del settore con riferimento ai requisiti di sicurezza delle informazioni e dei modelli organizzativi, verificati da parte di enti terzi qualificati ed accreditati a loro volta. Un modello da attuare potrebbe essere rappresentato dalla creazione di un albo ministeriale dei fornitori autorizzati, cosiddetta white list
con riferimento specifico alla certificazione dei software, invece, è stato rappresentato che tale garanzia non può spingersi fino a rendere inservibile questi strumenti che, come è noto, debbono essere aggiornati con l’evolversi delle tecnologie al fine di non “essere scoperti”. Come soluzione è stata prospettata l’adozione di sistemi simili a quelli antipirateria, che tramite firme digitali e sistemi basati sulla verifica d’integrità dei codici consentono ad un software di funzionare solo se modificato e “certificato” dal produttore: se qualcosa cambia non funzionano più
una soluzione alternativa potrebbe essere ravvisata nella individuazione di una autorità che valuti i requisiti tecnici dei captatori informatici forniti da enti privati (in particolare, che verifichi il captatore fornito, il server e i processi adottati dal fornitore).