Diritti interna

Doveri interna

ricerca avanzata

'Nuove misure di sicurezza presso i gestori per le intercettazioni': prescrizioni impartite - 19 settembre 2006 [1348670]

[doc. web n. 1348670]

19 settembre 2006

Prescrizioni impartite con il Provvedimento del 15 dicembre 2005 relativo a "nuove misure di sicurezza presso i gestori per le intercettazioni"

 Eutelia S.p.A. Fastweb S.p.A. H3G S.p.A.
 TELECOM ITALIA S.p.A. Vodafone Omnitel N.V. WIND Telecomunicazioni S.p.A.

 


 Eutelia S.p.A.

 Prescrizione impartita il 15/12/2005 
(riferimento alle lettere del dispositivo del provvedimento)

  Prospetto riassuntivo delle prescrizioni che non risultano dall´attuale documentazione, da adottare se già non attuate, e della cui predisposizione occorre dare comunque conferma al Garante

 lettera a)  n. 3 e n. 5, non risultano adottate le prescritte misure relative ai sistemi di autenticazione.
 Lettera b)  Le misure non risultano adottate.
 Lettera c)  Le misure non risultano adottate.

 Annotazioni

Preliminarmente si rileva che le informazioni fornite dalla società risultano piuttosto sintetiche. Dall´esame delle stesse, si evince come la società si sia limitata a "fotografare" la situazione presente al suo interno nell´ambito delle intercettazioni, piuttosto che a fornire il prescritto riscontro all´Autorità.

In via generale, quindi, le misure predisposte non risultano del tutto conformi alle prescrizioni contenute nel Provvedimento. In particolare, manca la descrizione dei controlli che debbono essere effettuati sulla qualità e coerenza delle credenziali di autenticazione (punto 3) e non risultano predisposte misure di autenticazione robuste (punto 5).

Con particolare riferimento alle prescrizioni indicate alla lettera b), le misure non sono state adottate, dichiarando la società di utilizzare ancora vari sistemi ritenuti inadeguati, tra i quali il telefax e la posta ordinaria.

top


 Fastweb S.p.A.

Prescrizione impartita il 15/12/2005 
(riferimento alle lettere del dispositivo del provvedimento)

Prospetto riassuntivo delle prescrizioni che non risultano dall´attuale documentazione, da adottare se già non attuate, e della cui predisposizione occorre dare comunque conferma al Garante

 lettera a)  n. 3 e n. 5, le misure prescritte non risultano attuate.
 Lettera b)  Le misure prescritte non risultano adottate.
 Lettera c)  n. 2 e n. 3, le misure prescritte non risultano adottate.

Annotazioni

Con riferimento alle prescrizioni impartite con la lettera a) del Provvedimento, le misure che la società ha predisposto (o in alcuni casi sta predisponendo) risultano genericamente conformi. Manca, tuttavia, la descrizione dei controlli che debbono essere effettuati sulla qualità e coerenza delle credenziali di autenticazione (punto 3), mentre vi è un mero richiamo alle procedure di autenticazione robuste di cui al punto 5), indicate tra le misure non attuate, la cui messa in servizio è prevista soltanto per il secondo trimestre del 2007.

In relazione alle prescrizioni di cui alla lettera b), queste non sono state attuate, dichiarando la società di continuare ad utilizzare in modo prevalente per le comunicazioni il telefax.

In merito alle misure prescritte alla lettera c), la società prevede, in alcuni casi, di completare l´adeguamento entro la fine di ottobre 2006. Alle misure prescritte al n. 3, viceversa, non viene fatto alcun cenno.

top


 H3G S.p.A.

Prescrizione impartita il 15/12/2005 
(riferimento alle lettere del dispositivo del provvedimento)

 Prospetto riassuntivo delle prescrizioni che non risultano dall´attuale documentazione, da adottare se già non attuate, e della cui predisposizione occorre dare comunque conferma al Garante

 lettera a)

n. 1, limitatamente alla ripartizione della visibilità dei dati personali sulla base dell´area geografica di competenza.

n. 3, con riferimento al controllo della qualità e della coerenza delle credenziali di autenticazione per l´accesso informatico ai dati trattati, non risulta completato l´adeguamento alle misure prescritte.

n. 5, non risulta completata l´adozione delle procedure di autenticazione robuste.

 Lettera b) Le misure non risultano adottate.
 Lettera c)

n. 3, non risulta rispettata la prescrizione che prevede la cancellazione immediata dei dati personali una volta comunicati all´a.g., in quanto la società conserva dati di traffico relativi alle intercettazioni per ulteriori trenta giorni dalla loro iniziale elaborazione per eventuali richieste di reinvio da parte degli uffici giudiziari.

Annotazioni

Con particolare riferimento alle misure prescritte alla lettera a), non risulta realizzata la ripartizione della visibilità dei dati sulla base dell´area geografica di competenza, come prescritto dal Garante.

Quanto alle prescrizioni di cui ai punti 3) e 5), stessa lettera, la società ha dichiarato che le relative misure sono tuttora in corso di adozione e l´implementazione delle stesse verrà completata soltanto entro l´ultimo trimestre del 2006.

In merito alle misure prescritte alla lettera b) del Provvedimento, queste non sono state adottate, in quanto H3G dichiara di mantenere attivi, per lo scambio di informazioni con l´a.g., i canali ad oggi già esistenti. H3G non ha quindi sfruttato l´opportunità data dal Provvedimento, di scegliere tra i diversi sistemi indicati, quello o quelli che già presentano un elevato livello di affidabilità.

Con riferimento alle prescrizioni di cui alla lettera c) del Provvedimento, in via generale le soluzioni predisposte dalla società risultano conformi alle prescrizioni contenute nello stesso. Non è corretta, tuttavia, la conservazione dei dati di traffico relativi alle intercettazioni per ulteriori trenta giorni dalla loro iniziale elaborazione per eventuali richieste di reinvio da parte dell´a.g.

top


 TELECOM ITALIA S.p.A.

 Prescrizione impartita il 15/12/2005(riferimento alle lettere del dispositivo del provvedimento)

 Prospetto riassuntivo delle prescrizioni che non risultano dall´attuale documentazione, da adottare se già non attuate, e della cui predisposizione occorre dare comunque conferma al Garante

 lettera a)

n. 1, nella parte in cui prescrive la rigida partizione della visibilità dei dati per area geografica. Ciò, con particolare riferimento alla "rete fissa" e all´attività di fatturazione verso le procure, che risulta affidata a due soli incaricati, senza tenere conto della distinzione indicata nel provvedimento.
n. 5, non risulta ancora attuata la prescritta procedura di autenticazione robusta con particolare riguardo alla rete mobile.

 Lettera b)  Le misure non risultano adottate.
 Lettera c) 

n. 2, in particolare non sono stati predisposti strumenti di cifratura per la protezione dei dati nel sistema informativo in uso presso la rete mobile.
n. 3, non è conforme alle prescrizioni impartite la conservazione dei documenti contenenti dati personali elaborati per corrispondere alle richieste dell´a.g. per ulteriori novanta giorni rispetto alla loro iniziale elaborazione.

Annotazioni

Con riferimento a quanto prescritto alla lettera a), ad un attento esame della documentazione pervenuta, effettuato congiuntamente con il Dipartimento risorse tecnologiche, si rileva che non risulta attuata per la "rete fissa" la prescrizione relativa alla "rigida partizione della visibilità dei dati" per area geografica. Infatti la suddivisione in tre aree geografiche indicata nella risposta al punto 1) non risulta poi mantenuta con riferimento all´attività di fatturazione verso le Procure, affidata a due soli incaricati che si occupano degli aspetti amministrativi, e pertanto dei dati personali connessi a tali trattamenti, senza tenere conto della distinzione indicata nel provvedimento.

Dalla lettura di quanto comunicato in merito all´adeguamento alle prescrizioni indicate ai punti 2), 3) e 4), questo risulta realizzato.

Con riferimento al punto 5), si è provveduto a verificare il rispetto delle prescrizioni impartite in merito all´affidabilità delle procedure di autenticazione rappresentate da TI (smart card con certificato digitale, in dotazione individuale, associate a PIN). Al riguardo, emerge innanzitutto che il termine di 180 giorni indicato nel Provvedimento non è stato rispettato. TI infatti prevede "al più tardi la realizzazione entro l´anno" dell´adeguamento del "Portale AG", in uso presso la rete mobile. Sistema questo che sarà comunque oggetto di sostituzione in quanto TI intende adottare anche per la rete mobile il sistema cd. "Minerva" ora in uso per la sola rete fissa e già in linea con le prescrizioni del Garante.

In relazione alle prescrizioni indicate alla lettera b) le misure non risultano essere state adottate, in quanto TI dichiara di mantenere attivi, per lo scambio di informazioni con l´a.g., i canali ad oggi già esistenti. TI non ha quindi sfruttato l´opportunità data dal Provvedimento, di scegliere tra i diversi sistemi indicati, quello o quelli che già presentano un elevato livello di affidabilità.

TI ha rappresentato di aver comunque realizzato uno studio di fattibilità di alcune soluzioni che sarebbero conformi alle misure prescritte nel Provvedimento, con riferimento alle intercettazioni sia di conversazioni telefoniche sia di posta elettronica. La realizzazione dei progetti individuati sarebbe comunque subordinata alla formale condivisione ed accettazione degli stessi da parte degli uffici giudiziari. Al riguardo TI ha rappresentato comunque l´esigenza di mantenere attivi, nella situazione attuale, i canali di scambio delle informazioni ad oggi esistenti, necessari per l´espletamento delle prestazioni obbligatorie richieste per finalità di giustizia.

Con riferimento poi alle prescrizioni di cui alla lettera c) il richiamo dei "moderni sistemi di cifratura" è strettamente collegato a quanto dichiarato in merito alle prescrizioni indicate alla lettera a) per i sistemi "Portale AG" e "Minerva" ed emerge che il sistema non è ancora attuato per i dati relativi alla rete mobile. Non risulta inoltre corretta la conservazione dei tabulati per ulteriori novanta giorni dalla loro iniziale elaborazione in caso di assenza di conferma da parte degli uffici giudiziari e al fine di sopperire ad eventuali ulteriori e identiche richieste da parte degli uffici stessi.

top


 Vodafone Omnitel N.V.

 Prescrizione impartita il 15/12/2005
(riferimento alle lettere del dispositivo del provvedimento)

 Prospetto riassuntivo delle prescrizioni che non risultano dall´attuale documentazione,  da adottare se già non attuate, e della cui predisposizione occorre dare comunque conferma al Garante

 lettera a)

n. 1, in quanto non risulta adottato il prescritto modello organizzativo relativo alla ripartizione della visibilità dei dati sulla base dell´area geografica di competenza.
n. 3, non risulta completato l´adeguamento alle misure prescritte con riferimento al controllo della qualità e della coerenza delle credenziali di autenticazione per l´accesso informatico ai dati trattati.
n. 5, non risulta ancora completata l´adozione delle procedure di autenticazione richieste.

 Lettera b)  Le misure non risultano adottate.
 Lettera c)

 n. 1, n. 2 e n. 3, le attività di adeguamento sono state avviate, ma saranno completate solo entro la fine dell´anno.

Annotazioni

Con riferimento alle prescrizioni di cui alla lettera a) del Provvedimento, non emerge la realizzazione della prescrizione relativa alla ripartizione della visibilità dei dati sulla base dell´area geografica di competenza.

Non risulta attuata la prescrizione di cui ai punti 3) e 5), in quanto, pur avendo Vodafone dichiarato di avere in corso di adozione un robusto sistema di riconoscimento utente (collegamento web cifrato, username e password legate al dominio Windows e certificati digitali ad personam), tale sistema sarà  presumibilmente attivo solo entro la fine dell´anno e "salvo imprevisti tecnici".

In relazione alle prescrizioni indicate alla lettera b) del Provvedimento, le misure non sono state adottate, in quanto Vodafone dichiara di mantenere attivi, per lo scambio di informazioni con l´a.g., i canali ad oggi già esistenti. Vodafone non ha quindi sfruttato l´opportunità data dal Provvedimento, di scegliere tra i diversi sistemi indicati, quello o quelli che già presentano un elevato livello di affidabilità.

In merito alle misure prescritte alla lettera c), la società dichiara di aver avviato le attività di adeguamento dei sistemi di protezione dei dati trattati per scopi di giustizia alle prescrizioni contenute nel Provvedimento, attività che dovrebbero anch´esse concludersi solo entro la fine del 2006.

top


 WIND Telecomunicazioni S.p.A.

Prescrizione impartita il 15/12/2005 
(riferimento alle lettere del dispositivo del provvedimento)
 

 Prospetto riassuntivo delle prescrizioni che non risultano dall´attuale documentazione, da adottare se già non attuate, e della cui predisposizione occorre dare comunque conferma al Garante

 lettera a)

n. 1, nella parte in cui prescrive la rigida partizione dei dati per area geografica.
n. 5, in quanto le procedure di autenticazione utilizzate non hanno le caratteristiche richieste.

 Lettera b)  Le misure non risultano adottate.
 Lettera c)

 n. 2, l´adozione di moderni sistemi di cifratura per la protezione dei dati nel sistema informativo non risulta realizzata.

 Annotazioni

Con riferimento a quanto prescritto alla lettera a), non risulta essere stata realizzata la ripartizione della visibilità dei dati sulla base dell´area geografica di competenza, come prescritto.

Con riguardo alla prescrizione relativa alle credenziali di autenticazione, la società ha rappresentato l´esistenza di tre livelli di controllo negli accessi (i primi due livelli sono misure fisiche, il terzo è la semplice autenticazione dell´utente attraverso username e password). Tali misure non risultano in linea con le prescrizioni, essendo queste dirette a realizzare sistemi di strong authentication, ossia sistemi in grado di assicurare una protezione "robusta" dei dati, quali, ad esempio, token, procedure di riconoscimento di caratteristiche biometriche e certificati digitali.

In relazione alle prescrizioni di cui alla lettera b) del Provvedimento, le misure non risultano adottate, in quanto Wind dichiara di mantenere attivi, per lo scambio di informazioni con l´a.g., i canali ad oggi già esistenti. Wind non ha quindi sfruttato l´opportunità data dal Provvedimento, di scegliere tra i diversi sistemi indicati, quello o quelli che già presentano un elevato livello di affidabilità.

Per quanto riguarda le misure prescritte nella lettera c) del Provvedimento, non risultano ancora attuate quelle concernenti l´adozione di moderni sistemi di cifratura, avendo la società dichiarato di aver riscontrato "difficoltà tecniche" al riguardo. In proposito, si rileva che non vengono indicati nemmeno i tempi previsti per attuare tale prescrizione.

top