Le informazioni relative all'intercettazione costituiscono la struttura portante dei metadati di ogni operazione di intercettazione legale. Nell'intercettazione legale, due categorie di dati sono fondamentali per ogni operazione di intercettazione: le informazioni relative all'intercettazione (IRI) e il contenuto della comunicazione (CC). Questi due tipi di dati costituiscono il nucleo di ciò che un operatore fornisce alle forze dell'ordine quando esegue un ordine di intercettazione e sono trasportati su interfacce di trasferimento separate - HI2 per le IRI e HI3 per le CC - nel quadro ETSI. Sebbene la maggior parte degli operatori comprenda la distinzione di base - l'IRI è un metadato, il CC è un contenuto - le implicazioni pratiche di questa distinzione sono più sfumate di quanto sembri a prima vista.
Questo articolo esamina il significato pratico di IRI e CC, gli elementi di dati che ciascuno di essi comprende, le modalità di generazione e consegna e i motivi per cui la distinzione è importante per gli operatori, le forze dell'ordine e il più ampio ecosistema delle intercettazioni legali.
Cosa significano le informazioni relative alle intercettazioni
Le informazioni relative alle intercettazioni comprendono tutti i metadati associati a una comunicazione intercettata. In termini più semplici, l'IRI risponde alle domande: chi ha comunicato, con chi, quando, per quanto tempo, con quale servizio e da dove? Non include la sostanza della comunicazione stessa, che è di competenza del CC. L'IRI è definito e strutturato secondo la serie ETSI TS 102 232, che specifica gli elementi dei dati, i formati di codifica e i meccanismi di consegna per le diverse tecnologie di rete.
Gli elementi di dati specifici inclusi nell'IRI variano a seconda del tipo di comunicazione e della tecnologia di rete coinvolta. Per una chiamata vocale tradizionale, l'IRI include tipicamente il numero chiamante (numero A), il numero chiamato (numero B), l'IMSI e l'IMEI del dispositivo del destinatario, l'ora di inizio della chiamata, l'ora di risposta, la durata della chiamata, gli identificatori di cella all'inizio e durante la chiamata (che forniscono informazioni sulla posizione) e la disposizione della chiamata (risposta, occupato, non risposta, inoltrata). Per una sessione di dati IP, l'IRI può includere l'indirizzo IP del destinatario, l'APN (Access Point Name) assegnato, i parametri del portatore, gli orari di inizio e fine della sessione e il volume di dati trasferiti.
L'IRI viene generato come una serie di eventi che corrispondono alla progressione della comunicazione. Gli standard ETSI definiscono tipi di eventi IRI specifici per le diverse fasi di una comunicazione, ad esempio un evento di impostazione della chiamata, un evento di risposta, un evento di rilascio della chiamata e vari eventi di servizi supplementari. Ogni evento contiene gli elementi di dati pertinenti e un timestamp preciso. La funzione di mediazione nella rete dell'operatore è responsabile del monitoraggio dei protocolli di segnalazione (SIP, Diameter, GTP, SS7 e altri) e della generazione degli eventi IRI corrispondenti in formato ETSI.
Una delle caratteristiche più importanti dell'IRI è la sua natura strutturata. Poiché l'IRI è codificato in formato ASN.1 secondo strutture di dati ben definite, può essere automaticamente analizzato, elaborato e analizzato dai sistemi di applicazione della legge. Questo formato strutturato consente correlazioni automatiche, analisi di modelli e operazioni di data mining che sarebbero molto più difficili con dati non strutturati. Il valore investigativo dell'IRI non deve essere sottovalutato: in molti casi, i metadati forniti dall'IRI hanno lo stesso valore del contenuto stesso, se non addirittura di più.
Definizione di CC: il livello di contenuto
Il contenuto della comunicazione è l'effettiva sostanza della comunicazione intercettata - le parole pronunciate in una telefonata, il testo di un SMS, le pagine web navigate durante una sessione di dati, i file allegati a una e-mail. Il CC rappresenta ciò che è stato comunicato, al contrario delle informazioni contestuali sulla comunicazione. Il CC viene trasmesso al LEMF attraverso l'interfaccia HI3.
Il formato del CC varia notevolmente a seconda del tipo di comunicazione. Per le chiamate vocali, il CC è un flusso audio in tempo reale, tipicamente codificato utilizzando codec come AMR (Adaptive Multi-Rate), AMR-WB (Wideband), o G.711. L'audio deve essere fornito in tempo reale, in modo che le forze dell'ordine possano monitorare la conversazione nel momento in cui si verifica, anche se in genere viene registrato per una successiva revisione. Per i messaggi SMS, il CC è il contenuto testuale del messaggio. Per le sessioni di dati, il CC è costituito dai pacchetti IP scambiati dall'obiettivo, che possono contenere traffico di navigazione web, contenuti di posta elettronica, dati applicativi, streaming multimediale e qualsiasi altro tipo di comunicazione basata su IP.
L'intercettazione dei dati produce un volume di CC significativamente maggiore rispetto all'intercettazione vocale. Una singola chiamata vocale genera un flusso audio continuo ma con una larghezza di banda relativamente bassa, mentre una sessione di dati può generare gigabyte di traffico a seconda dell'attività dell'obiettivo. Questa disparità ha importanti implicazioni per il dimensionamento dei sistemi LI, per la larghezza di banda dei canali di trasmissione HI3 e per la capacità di archiviazione richiesta al LEMF.
La consegna del CC deve essere tempestiva. Per le intercettazioni vocali, ciò significa consegna in tempo reale con una latenza minima. Per le intercettazioni di dati, in genere è richiesta una consegna quasi in tempo reale, anche se i requisiti esatti possono variare a seconda della giurisdizione. I meccanismi di trasporto per la consegna dei CC sono definiti negli standard ETSI e in genere utilizzano connessioni TCP o UDP sicure, con crittografia per proteggere il contenuto durante il transito.
Perché la distinzione è importante
La distinzione tra IRI e CC non è meramente tecnica, ma ha importanti implicazioni legali, operative e strategiche. Dal punto di vista legale, molte giurisdizioni trattano i metadati e i contenuti in modo diverso. Alcuni ordini di intercettazione possono autorizzare la raccolta sia di IRI che di CC, mentre altri possono limitarsi ai soli metadati. Le soglie legali per l'ottenimento dell'autorizzazione possono essere diverse, con l'intercettazione dei contenuti che di solito richiede uno standard di prova più elevato o una categoria di reato più grave. Gli operatori devono essere in grado di attivare intercettazioni solo IRI e intercettazioni combinate IRI-plus-CC in modo indipendente, poiché l'ambito dell'ordine di intercettazione determina quali dati possono essere raccolti e consegnati.
Da un punto di vista operativo, l'IRI e il CC presentano caratteristiche diverse in termini di volume, formato, requisiti di elaborazione e meccanismi di consegna. L'IRI è relativamente compatto e strutturato e si presta bene all'elaborazione e all'analisi automatizzata. Il CC è potenzialmente voluminoso e varia ampiamente nel formato, richiedendo approcci diversi per la gestione, l'archiviazione e l'analisi. Gli operatori devono progettare i loro sistemi LI per gestire entrambi i tipi di dati in modo efficiente, con buffering appropriato, controllo del flusso e meccanismi di qualità del servizio.
Dal punto di vista strategico e investigativo, l'IRI e il CC forniscono tipi diversi di intelligence. L'IRI consente l'analisi dei modelli, la mappatura delle reti, la localizzazione e l'identificazione dei modelli di comunicazione nel tempo. Il CC fornisce informazioni dirette sulla sostanza di comunicazioni specifiche, ma può richiedere uno sforzo significativo per l'elaborazione e l'analisi, in particolare per le intercettazioni di dati che producono grandi volumi di contenuti multimediali misti. Le forze dell'ordine riconoscono sempre più il valore strategico dei metadati e, in alcune indagini, l'IRI può essere l'obiettivo principale dell'attività di intercettazione.
L'IRI nelle reti moderne
La transizione dalle reti a commutazione di circuito a quelle a commutazione di pacchetto ha ampliato in modo significativo la portata e la complessità dell'IRI. Nelle reti telefoniche tradizionali, l'IRI era relativamente semplice: la segnalazione dell'impostazione della chiamata forniva un insieme ben definito di elementi di metadati. Nelle moderne reti IP, il panorama delle segnalazioni è molto più vario e complesso e coinvolge protocolli come SIP, Diameter, GTP-C e vari protocolli di livello applicativo.
VoLTE, ad esempio, utilizza la segnalazione SIP sul core IMS (IP Multimedia Subsystem), combinata con Diameter per l'autenticazione e il controllo dei criteri e GTP per la gestione dei portatori. Per generare un IRI completo per una chiamata VoLTE, la funzione di mediazione deve monitorare più protocolli contemporaneamente e correlare gli eventi risultanti in un record IRI coerente. Gli standard ETSI definiscono elementi di dati IRI specifici per i servizi basati su IMS, ma l'implementazione pratica può essere impegnativa.
Nelle reti 5G, la complessità aumenta ulteriormente. L'architettura basata sui servizi del core 5G introduce nuove funzioni di rete e interfacce di segnalazione che devono essere monitorate per la generazione di IRI. L'architettura LI del 3GPP per il 5G definisce posizioni specifiche dei punti di intercettazione (POI) ed elementi di dati IRI per i servizi 5G, ma gli operatori devono assicurarsi che le loro funzioni di mediazione possano estrarre le informazioni richieste dai flussi di segnalazione 5G.
L'impatto della crittografia sul CC
Una delle sfide più significative per la distribuzione di CC nelle reti moderne è la crescente diffusione della crittografia. Le comunicazioni crittografate end-to-end, come quelle fornite dalle applicazioni di messaggistica con E2EE, non possono essere intercettate in modo significativo a livello di rete. L'operatore può catturare i pacchetti crittografati, ma senza le chiavi di crittografia il contenuto è incomprensibile. Ciò crea una situazione in cui l'operatore può fornire l'IRI (che è generato dalla segnalazione di rete e non dipende dall'accesso al contenuto) ma non può fornire CC utilizzabile.
La sfida della crittografia è diventata uno dei principali dibattiti politici nella comunità delle intercettazioni legali. Le forze dell'ordine sostengono che la crittografia crea punti ciechi che ostacolano le indagini penali, mentre i sostenitori della privacy sostengono che una crittografia forte è essenziale per proteggere i diritti fondamentali. La risoluzione di questo dibattito, se verrà raggiunta, avrà profonde implicazioni per la componente CC dell'intercettazione legale. Nel frattempo, gli operatori devono fornire tutti i CC a cui sono tecnicamente in grado di accedere, pur essendo trasparenti con le forze dell'ordine riguardo alle limitazioni imposte dalla crittografia.
Considerazioni pratiche per gli operatori
Gli operatori che implementano sistemi di LI devono garantire che le loro funzioni di mediazione siano in grado di generare IRI e CC completi, accurati e tempestivi per tutti i servizi e le tecnologie di rete del loro portafoglio. Ciò richiede una profonda integrazione con l'infrastruttura di segnalazione dell'operatore, solide capacità di analisi dei protocolli e un'attenta attenzione alla correlazione dei dati e alla tempistica.
I test sono essenziali per verificare che l'IRI e il CC siano generati correttamente. Gli operatori devono condurre test completi rispetto alle definizioni della struttura dei dati IRI dell'ETSI, assicurandosi che tutti gli elementi di dati richiesti siano presenti e popolati correttamente per ogni tipo di evento. L'invio di CC deve essere testato per verificarne la fedeltà, la tempistica e la completezza su tutti i tipi di media supportati.
Infine, gli operatori devono mantenere i loro sistemi LI in funzione dell'evoluzione delle loro reti. Nuovi servizi, nuovi protocolli e nuove tecnologie di rete richiederanno aggiornamenti alla generazione di IRI e alle capacità di acquisizione di CC. Un sistema di intercettazione legale che era pienamente conforme al momento dell'implementazione può diventare non conforme quando la rete cambia, rendendo la manutenzione e lo sviluppo continui una parte fondamentale del programma di conformità.
Conclusione
IRI e CC sono i due pilastri della fornitura di dati di intercettazione legali. L'IRI fornisce i metadati strutturati che consentono l'analisi dei modelli, la localizzazione e la mappatura delle comunicazioni. Il CC fornisce il contenuto effettivo delle comunicazioni intercettate, offrendo una visione diretta delle comunicazioni degli obiettivi. Insieme, formano un quadro completo che supporta le indagini delle forze dell'ordine. Per gli operatori, la comprensione delle implicazioni tecniche, legali e operative dell'IRI e del CC, e la creazione di sistemi LI che gestiscano entrambi in modo efficace, è essenziale per soddisfare gli obblighi di intercettazione legale nelle moderne reti di telecomunicazione.
La raccolta accurata di informazioni sulle intercettazioni è fondamentale per le operazioni di intercettazione legali. Gli operatori devono assicurarsi che i loro sistemi acquisiscano tutti i campi di informazioni sulle intercettazioni richiesti.
Articoli correlati
Per ulteriori letture su argomenti correlati, esplorate questi articoli:
- HI1 vs HI2 vs HI3: capire le tre interfacce di intercettazione legale
- Come funziona una funzione di mediazione: Il ponte tra la rete e le forze dell'ordine
- ETSI TS 103 120 spiegato: Interfacce di Handover per le moderne reti IP
Risorse esterne
Le seguenti risorse esterne forniscono ulteriore contesto e documentazione ufficiale:
