Che cos'è l'intercettazione legale?

L'intercettazione legale (LI) è il monitoraggio legalmente autorizzato delle telecomunicazioni - comprese le chiamate vocali, i messaggi di testo, la posta elettronica, la navigazione in Internet, le sessioni VoIP e la messaggistica istantanea - effettuato dalle forze dell'ordine, dai servizi di intelligence o da altri enti governativi autorizzati, sotto la supervisione giudiziaria o normativa. A differenza della sorveglianza illegale o della raccolta di dati di massa, l'intercettazione legale si rivolge a individui specifici o a canali di comunicazione sulla base di un ordine del tribunale, di un mandato o di uno strumento giuridico equivalente, e viene eseguita in conformità alla legislazione nazionale e agli standard internazionali.

Lo scopo dell'intercettazione legale è quello di sostenere le indagini penali, le operazioni antiterrorismo, gli obiettivi di sicurezza nazionale e, in alcune giurisdizioni, l'applicazione delle normative. Gli operatori di telecomunicazioni, i fornitori di servizi Internet (ISP), le piattaforme di comunicazione over-the-top (OTT) e, sempre più spesso, i fornitori di servizi cloud sono tenuti per legge a integrare nelle loro infrastrutture funzionalità tecniche che consentano l'intercettazione autorizzata. Questo obbligo significa che ogni fornitore di servizi di comunicazione elettronica deve implementare e mantenere interfacce di intercettazione, sistemi di mediazione e meccanismi di consegna che possano essere attivati su richiesta dalle agenzie autorizzate.

L'intercettazione legale è fondamentalmente diversa dalla conservazione dei dati. Mentre la conservazione dei dati comporta l'archiviazione globale dei metadati delle comunicazioni (ad esempio, chi ha chiamato chi, quando e per quanto tempo) per un periodo definito, l'intercettazione legale cattura il contenuto effettivo della comunicazione - le parole pronunciate, il testo del messaggio, i file trasmessi - in tempo reale o quasi. Entrambe le discipline sono strettamente correlate e spesso gestite attraverso piattaforme di conformità integrate, ma servono a scopi legali e operativi distinti.

Breve storia dell'intercettazione legale

Il concetto di intercettazione legale delle comunicazioni è vecchio quanto le telecomunicazioni moderne. Nell'era della telefonia analogica, l'intercettazione era relativamente semplice: una intercettazione fisica su una linea di rame poteva catturare le conversazioni vocali. Con l'evoluzione delle reti da architetture a commutazione di circuito a quelle a commutazione di pacchetto e con lo spostamento delle comunicazioni dalle linee fisse ai dispositivi mobili e alle piattaforme basate su Internet, la complessità tecnica dell'intercettazione legale è cresciuta in modo esponenziale.

Negli Stati Uniti, il Communications Assistance for Law Enforcement Act (CALEA) del 1994 è stato uno dei primi quadri legislativi completi a richiedere ai vettori di telecomunicazioni di progettare i propri sistemi con capacità di intercettazione incorporate. In Europa, il Consiglio dell'Unione europea ha adottato nel 1996 la risoluzione 96/C 329/01, che stabilisce i requisiti internazionali per l'intercettazione, ponendo le basi per un'intercettazione legale armonizzata tra gli Stati membri dell'UE. L'Istituto europeo per gli standard di telecomunicazione (ETSI) ha successivamente sviluppato gli standard tecnici - a partire dall'ES 201 671 per poi evolversi nella famiglia TS 102 232 - che definiscono il modo in cui i dati di intercettazione devono essere formattati, crittografati e consegnati alle forze dell'ordine.

L'ultimo decennio ha introdotto nuove sfide. L'ascesa dei servizi di messaggistica OTT come WhatsApp, Telegram e Signal - molti dei quali utilizzano la crittografia end-to-end - ha costretto i legislatori e gli organismi di normazione a ripensare le modalità di applicazione degli obblighi di intercettazione legale alle piattaforme di comunicazione non tradizionali. L'ETSI ha risposto con TS 103 707 (LI per i servizi OTT) e TR 103 854 (LI per i veicoli connessi), mentre l'UE ha adottato il Codice europeo delle comunicazioni elettroniche (EECC, direttiva 2018/1972) per estendere gli obblighi di intercettazione a una gamma più ampia di fornitori di servizi.

Quadri giuridici per l'intercettazione legale in tutto il mondo

L'intercettazione legale è regolata da un mosaico di leggi nazionali, direttive regionali e convenzioni internazionali. Sebbene gli strumenti giuridici specifici varino da Paese a Paese, il principio di fondo è costante: i fornitori di servizi di telecomunicazione devono consentire l'accesso autorizzato alle comunicazioni in presenza di un ordine legale valido. Di seguito è riportata una panoramica dei principali quadri giuridici che definiscono gli obblighi di intercettazione legale in tutto il mondo.

Unione Europea

Il Codice europeo delle comunicazioni elettroniche (Direttiva 2018/1972) è la pietra miliare della politica di intercettazione a livello europeo. Richiede a tutti i fornitori di servizi di comunicazione elettronica - tra cui la telefonia tradizionale, il VoIP, la posta elettronica e le piattaforme di messaggistica interpersonale - di consentire l'intercettazione legale quando richiesto dalle autorità nazionali. Ogni Stato membro dell'UE recepisce la direttiva nella legislazione nazionale. In Germania, la Telekommunikationsgesetz (TKG), in particolare la Sezione 108 (ex Sezione 110), combinata con la Technische Richtlinie TR TKÜV, definisce i precisi requisiti tecnici e operativi che gli operatori devono soddisfare. La Bundesnetzagentur (Agenzia federale per le reti) è l'autorità di regolamentazione che certifica i sistemi di intercettazione e ne controlla la conformità. Inoltre, il Regolamento UE sulle prove elettroniche (UE) 2023/1543 introduce un nuovo quadro transfrontaliero per l'accesso alle prove elettroniche attraverso le ordinanze europee di produzione e conservazione, con piena applicazione a partire dal 18 agosto 2026.

Stati Uniti

Il Communications Assistance for Law Enforcement Act (CALEA) del 1994 impone ai vettori di telecomunicazioni di progettare le proprie apparecchiature e i propri sistemi per consentire la sorveglianza legale. Il CALEA è stato progressivamente esteso ai fornitori di accesso a Internet a banda larga e ad alcuni servizi VoIP. Il Federal Bureau of Investigation (FBI) e il Dipartimento di Giustizia controllano la conformità, mentre gli standard tecnici sono mantenuti dall'Alliance for Telecommunications Industry Solutions (ATIS) e dalla Telecommunications Industry Association (TIA). Il Foreign Intelligence Surveillance Act (FISA) fornisce un quadro giuridico separato per le intercettazioni legate all'intelligence, amministrato dalla Corte FISA.

Regno Unito

L'Investigatory Powers Act 2016 (comunemente noto come Snooper's Charter) fornisce la base giuridica per le intercettazioni legali nel Regno Unito. Stabilisce un quadro per l'emissione di mandati di intercettazione, mandati di interferenza con le apparecchiature e autorizzazioni alla raccolta di dati in massa. La legge ha creato l'Investigatory Powers Commissioner's Office (IPCO) come organo di controllo indipendente. I fornitori di servizi sono obbligati a mantenere capacità di intercettazione permanenti e devono conformarsi alle Technical Capability Notices emesse dall'Home Secretary.

Asia-Pacifico

La legge australiana sulle telecomunicazioni (intercettazione e accesso) del 1979 (TIA Act), modificata dal Telecommunications and Other Legislation Amendment (Assistance and Access) Act 2018, impone ai fornitori di costruire capacità di intercettazione e, in modo controverso, di fornire assistenza tecnica per aggirare la crittografia quando richiesto. In India, la sezione 5(2) dell'Indian Telegraph Act 1885, insieme alle Information Technology (Procedure and Safeguards for Interception, Monitoring and Decryption of Information) Rules 2009, autorizza il governo centrale e i governi statali a ordinare l'intercettazione. La legge giapponese sulle intercettazioni per le indagini criminali del 1999 fornisce un quadro più restrittivo, limitando le intercettazioni ai reati gravi e richiedendo un'autorizzazione giudiziaria.

Medio Oriente e Africa

Molti Paesi del Medio Oriente e dell'Africa hanno emanato leggi sulle intercettazioni legali come parte di un quadro più ampio di cybersecurity o di sicurezza nazionale. La legge federale n. 34 del 2021 degli Emirati Arabi Uniti sulla lotta alle voci e ai crimini informatici contiene disposizioni in materia di intercettazioni legali. Il Regulation of Interception of Communications and Provision of Communication-related Information Act 70 del 2002 (RICA) del Sudafrica stabilisce un quadro di riferimento completo per le intercettazioni che include requisiti per la cooperazione con i provider e la conservazione dei dati. Queste regioni stanno adottando sempre più spesso standard basati sull'ETSI per l'implementazione tecnica.

Gli standard di intercettazione legale dell'ETSI sono utilizzati non solo in Europa, ma sono stati adottati o citati dalle autorità di regolamentazione in Medio Oriente, Africa, Asia e America Latina. Gli standard definiscono un'architettura in tre parti: la funzione di intercettazione interna (Internal Interception Function, IIF), che si trova all'interno della rete dell'operatore e isola le comunicazioni dell'obiettivo; la funzione di mediazione e consegna (Mediation and Delivery Function, MF/DF), che formatta, correla e cripta i dati intercettati; e la struttura di monitoraggio delle forze dell'ordine (Law Enforcement Monitoring Facility, LEMF), che è il sistema dell'agenzia che riceve ed elabora le informazioni consegnate. Questa architettura garantisce una netta separazione tra la rete dell'operatore e il dominio delle forze dell'ordine.

Come funziona l'intercettazione legale? L'architettura tecnica

L'architettura tecnica di un sistema di intercettazione legale è progettata per garantire che la sorveglianza autorizzata possa essere effettuata in modo efficiente, sicuro e senza interrompere le normali operazioni di rete. Sebbene le implementazioni varino a seconda del tipo di rete e del fornitore, l'architettura di base segue un modello standardizzato definito dall'ETSI e adottato a livello globale. La comprensione di questi componenti è essenziale per gli operatori che pianificano la loro infrastruttura di conformità.

Fase 1: attivazione del mandato e provisioning del target

Il processo di intercettazione legale inizia quando un'agenzia per l'applicazione della legge (LEA) presenta un ordine legale valido - in genere un mandato emesso da un tribunale o un'autorizzazione giudiziaria - al fornitore di servizi. Il mandato specifica l'identità dell'obiettivo (ad esempio un numero di telefono, un indirizzo e-mail, un indirizzo IP o un identificatore di dispositivo), l'ambito dell'intercettazione (contenuti, metadati o entrambi) e la durata autorizzata. La funzione di amministrazione LI del provider convalida il mandato e inserisce l'obiettivo nel sistema di gestione delle intercettazioni, spesso denominato Lawful Interception Management System (LIMS). Questo sistema mantiene il ciclo di vita di tutti i mandati attivi e garantisce che vengano intercettati solo gli obiettivi autorizzati.

Fase 2: Funzione di intercettazione interna (IIF)

Una volta che l'obiettivo è stato fornito, la funzione di intercettazione interna - integrata negli elementi di rete dell'operatore come switch, session border controller, media gateway, sonde DPI (deep packet inspection) o nodi LI dedicati - inizia a isolare le comunicazioni dell'obiettivo. Nel caso di una chiamata vocale tradizionale, l'IIF cattura la segnalazione (impostazione della chiamata, eliminazione, eventi di inoltro) e il flusso multimediale (l'audio vero e proprio). Per il traffico Internet, può catturare i dati della sessione IP, l'attività di navigazione web, il contenuto della posta elettronica o i messaggi istantanei. L'IIF opera in modo trasparente all'interno della rete: l'obiettivo non deve essere a conoscenza dell'intercettazione e la qualità del servizio per tutti gli altri utenti non deve essere compromessa.

Fase 3: Funzione di mediazione e consegna (MF/DF)

La funzione di mediazione riceve i dati grezzi intercettati dall'IIF, li normalizza nel formato richiesto dallo standard ETSI pertinente (tipicamente ASN.1 codificato secondo TS 102 232), correla le informazioni correlate all'intercettazione (IRI) con il contenuto della comunicazione (CC), applica la crittografia per la trasmissione sicura e consegna i dati formattati all'agenzia di applicazione della legge attraverso l'interfaccia di consegna. La funzione di consegna gestisce il canale di comunicazione sicuro verso la struttura di monitoraggio della LEA, occupandosi della gestione della sessione, del controllo del flusso e della conferma della consegna. Questo componente è fondamentale perché traduce i diversi formati interni dei vari elementi di rete in un formato di handover standardizzato che qualsiasi LEMF conforme può elaborare.

Fase 4: Struttura di monitoraggio delle forze dell'ordine (LEMF)

Il LEMF è il sistema gestito dall'agenzia di polizia che riceve, decodifica, archivia e presenta le comunicazioni intercettate. Il LEMF riceve due tipi di dati: IRI (metadati come i record dei dettagli delle chiamate, le informazioni sulle sessioni, gli identificatori degli abbonati e i dati sulla posizione) e CC (il contenuto effettivo - flussi audio, testo dei messaggi, trasferimenti di file). I moderni LEMF forniscono interfacce grafiche per gli analisti, supportano il monitoraggio in tempo reale, la ricerca storica, la correlazione degli obiettivi e la gestione dei casi. L'operatore non ha visibilità sul LEMF e non ha accesso ai dati intercettati una volta consegnati.

Chi deve rispettare i requisiti di intercettazione legale?

La portata degli obblighi di intercettazione legale si è notevolmente ampliata negli ultimi due decenni. Inizialmente limitata ai tradizionali vettori di telecomunicazioni - operatori di telefonia fissa e di rete mobile - la rete normativa copre ora una gamma molto più ampia di entità. Capire se la vostra organizzazione rientra nell'ambito di applicazione è il primo passo verso la conformità.

In che modo l'ICS supporta la conformità alla legge sulle intercettazioni

ICS - International Carrier Services GmbH - è un'azienda specializzata in tecnologie per l'intercettazione legale e la conformità con sede in Germania. Forniamo soluzioni end-to-end per operatori e fornitori di servizi che devono implementare, mantenere o aggiornare la loro infrastruttura di intercettazione legale. Il nostro portafoglio comprende il Lawful Interception Management System (LIMS) per la gestione dei mandati, la mediazione e il passaggio di consegne; dispositivi hardware plug-and-play per una rapida implementazione; operazioni LI gestite per i provider che preferiscono esternalizzare la loro funzione di conformità; e servizi di consulenza che coprono l'interpretazione normativa, la progettazione del sistema e la certificazione.

Le nostre soluzioni sono certificate dalla Bundesnetzagentur tedesca e costruite su architetture conformi all'ETSI che supportano TS 102 232, TS 103 707, TS 102 657 e TR 103 854. Che si tratti di una rete mobile, di un servizio fisso a banda larga, di una piattaforma VoIP o di un'applicazione di messaggistica OTT, ICS offre la tecnologia, l'esperienza e il supporto operativo per garantire il rispetto degli obblighi di intercettazione legale, in qualsiasi giurisdizione e con qualsiasi tecnologia di rete.