Eravamo stati (purtroppo) buoni profeti! Lo Stato e il Garante della Privacy non sono in grado di imporre regole serie e affidabili in tema di intercettazioni telefoniche!

Infatti l’Autorità Garante ha nuovamente proprogato al 2016 le misure da adottare, in parte addirittura rimandandole “sine die”. La vicenda è lunga e la sintetizziamo in breve.

A seguito della infinita sequela di notizie reative a intercettazione telefoniche e in conseguenza del c.d. “Caso Genchi“, ancora nel 2012 il Garante della Privacy ha avviato delle verifiche in alcune Procure, nel corso delle quali sono emerse numerose criticità.

Così, con un Provvedimento del luglio 2013, l’Autorità ha prescritto numerose misure, tra le quali:

– misure di sicurezza fisica antincendio (oltre agli armadi ignifughi), di sicurezza e antintrusione, di controllo accessi, TVCC, biometrici, ecc.;

– misure di sicurezza informatica, cifratura, di logging delle operazioni, di firma sicura;

– particolari misure in caso di remotizzazione di solo ascolto o anche registrazione, analoghe alle precedenti;

– inoltre, tecniche di strong authentication, VPN, firewalling, comunicazioni crittate punto-punto, registri informatici (oltre che cartacei), cancellazione sicura, uso della PEC.

Una vera e propria rivoluzione diretta a proteggere la riservatezza degli intercettati e a limitare la fuoriuscita illecita di conversazioni. Eppure, a seguito di (formalmente) cortesi contatti con il Ministero della Giustiza, che prospettava le difficoltà, ancora a luglio 2014 il Garante aveva deciso di proprogare l’adozione delle misure a giugno 2015.

In seguito al Provvedimento del 2014, ad agosto di quell’anno, nel darvene notizia, avevamo osservato che molte delle misure imposte erano sacrosante, ma alcune (ad esempio in materia di biometria), ci erano sembrate eccessive e, soprattutto, scarsamente applicabili.

Nella medesiama circostanza, ci chiedevamo: “Qualcuno crede che in questi tempi stretti verranno adottate tutte le misure previste? … si troveranno i fondi per pagare le ingenti misure previste?“.

E’ andata proprio così.

Il termine per adempiere (giugno 2015) stava arrivando e le misure non erano state adottate. Così il 10 giugno scorso, il Ministero della Giustizia ha rappresentato la necessità di “adeguare entro il 31 dicembre 2015 i contratti in essere con le società fornitrici dei beni e servizi necessari per le intercettazioni”: un modo per dire che ad oggi non s’è fatto poco o nulla.

A tal punto, il Provvvedimento del Garante al 25 giugno di quest’anno, ma pubbligato in Gazzetta Ufficiale solo il 15 luglio. Con una genialata della quale può andare fiera una burocrazia che non vorremmo più vedere.

La deliberazione, infatti, testualmente prevede “di dover riconoscere priorità alle misure di tipo logico-informatico, caratterizzate da minor costo e massima resa, e di valutare successivamente se l’attuazione … anche alla luce dell’evoluzione tecnologica, consenta di superare le prescrizioni di tipo strutturale imposte con il provvedimento del 2013“. Un modo per dire: soldi non ce ne sono e le altre misure sono ormai vecchie, inutile applicarle!

In conseguenza, il Garante ha esclusivamente imposto (si fa per dire…) il rispetto delle seguenti prescrizioni, da attuarsi entro luglio 2016:

trasmissione cifrata delle comunicazioni telematiche intercettate;

annotazione in registri informatici inalterabili dei riferimenti temporali relativi alle attività svolte e al personale operante.

Per il resto, l’Autorità ha deciso di sospendere “il termine per l’attuazione delle altre misure prescritte con il provvedimento del 2013, con riserva di rivalutarne la rilevanza alla luce delle iniziative che saranno state nel frattempo intraprese dal Ministero”.

Ancora nel 2014 chiosavamo così l’articolo scritto all’epoca: “una domanda sorge spontanea: se una misura di questo genere fosse stata imposta ad aziende private, l’Autorità, da un lato, e il Ministero della Giustizia e le procure, dall’altro, avrebbe tenuto lo stesso comportamento?“.

Oggi aggiungiamo: se in una azienda pritata decidessimo di stabilire “di riconoscere priorità alle misure di tipo logico-informatico, caratterizzate da minor costo e massima resa”, la cosa sarebbe ritenuta lecita?

Ai posteri l’ardua sentenza…

Adeia Consulting s.r.l.