Presentato un emendamento al decreto legge Giustizia del 10 agosto scorso per consentire la cyber offensive anche per l’ambito delle investigazioni “civili”, ossia contro mafia e terrorismo. Emendamento Bicchielli (Noi Moderati): “Siano qualificati come strategici i dati delle intercettazioni nei nuovi server”.
Rendere più efficiente il contrasto alla criminalità informatica. Questo è l’obiettivo della proposta di emendamento al decreto legge ‘Giustizia’ del 10 agosto per consentire la cyber offensive anche per l’ambito delle investigazioni “civili”, ossia contro mafia e terrorismo.
In particolare, si attribuiscono al procuratore nazionale antimafia e antiterrorismo i necessari poteri di impulso e coordinamento e si implementano le operazioni sotto copertura finalizzate alla lotta contro le forme più gravi dei reati cybernetici di terrorismo ed eversione allineando le disposizioni in tema di operazioni cosiddette ‘undercover’ alle esigenze emerse rispetto all’incremento della gravità delle conseguenze dei reati informatici sulle infrastrutture critiche informatizzate. Infine, si integra la disciplina dell’Agenzia per la cybersicurezza nazionale in materia di operatività in caso di incidenti di sicurezza informatica o di attacchi informatici e si disciplina la collaborazione tra l’Agenzia e la Procura nazionale antimafia e antiterrorismo.
Emendamento Bicchielli (Noi Moderati): “Siano qualificati come strategici i dati delle intercettazioni dei nuovi server”
Sempre al medesimo decreto legge Giustizia, in conversione alla Camera dei Deputati, è di particolare rilevanza anche l’emendamento presentato dal deputato Pino Bicchielli di Noi Moderati.
Il decreto legge dispone “l’istituzione apposite infrastrutture digitali interdistrettuali al fine di assicurare “i più elevati e uniformi livelli di sicurezza, aggiornamento tecnologico, efficienza, economicità e capacità di risparmio energetico dei sistemi informativi funzionali alle attività di intercettazione eseguite da ciascun ufficio del pubblico ministero”.
Ma il decreto non fornisce alcuna specifica puntuale sulla modalità di gestione o sugli standard da applicare, ma rimanda tutto a decreti, tranne per l’esclusione dell’accesso in chiaro (anche in questo caso, senza ulteriore specifiche e senza individuare le tecnologie che possano garantire tale intendimento).
“Siano qualificati come strategici i dati trattati, gestiti, conservati o comunque in transito” sui nuovi server dislocati in 4 sedi. Questo prevede l’emendamento dell’on. Bicchielli.
Il nuovo database sarà realizzato dal Ministero della Giustizia, che non può avere accesso ai dati in chiaro, perché restano coperti dal segreto investigativo.
“La cifratura degli stessi dati in chiaro”, prevede, infine, l’emendamento Bicchielli, “debba avvenire attraverso crittografia end to end e che i sistemi di cifratura debbano rispondere al criterio della post quantum resilience attraverso l’adozione di tecnologia che assicuri la distribuzione quantistica delle chiavi (c.d. quantum key distribution)”.
Intercettazioni, oltre 150 milioni per i nuovi server dislocati in 4 sedi
“Oggi le intercettazioni sono eseguite da 134 Procure della Repubblica, che restano sovrane sull’accesso ai dati. La gestione dell’infrastruttura è in capo al ministero della Giustizia e sarà dislocata in 4 sedi”, ha spiegato il ministro della Giustizia Carlo Nordio. Il ministro ha anche definito “costosa” la nuova infrastruttura “per rendere più razionale e soprattutto più garantita la conservazione di questi dati”.
Ecco i costi
Per l’attuazione delle nuove infrastrutture digitali è autorizzata la spesa di:
43 milioni di euro per l’anno 2023
e di 50 milioni di euro annui per ciascuno degli anni 2024 e 2025, per la realizzazione delle infrastrutture informatiche
e di 3 milioni di euro annui a decorrere dall’anno 2023 per la gestione, la manutenzione evolutiva e l’assistenza informatica dedicata.
I prossimi decreti
Con decreto del Ministro della giustizia, da adottare entro 60 giorni da oggi, data di entrata in vigore del decreto-legge, sono individuate le infrastrutture e sono definiti i requisiti tecnici essenziali al fine di assicurare la migliore capacità tecnologica, il più elevato livello di sicurezza e l’interoperabilità dei sistemi.
Con ulteriore decreto del Ministro della giustizia sono definiti i requisiti tecnici specifici per la gestione dei dati, che assicurano l’autenticità, l’integrità e la riservatezza dei dati medesimi anche in relazione al conferimento e ai sistemi di ripristino, ed è disciplinato il collegamento telematico tra le nuove infrastrutture e i luoghi di ascolto presso le procure della Repubblica, garantendo il massimo livello di sicurezza e riservatezza.
I requisiti tecnici delle infrastrutture garantiscono l’autonomia delle funzioni del procuratore della Repubblica di direzione, organizzazione e sorveglianza sulle attività di intercettazione e sui relativi dati, nonché sugli accessi e sulle operazioni compiute sui dati stessi. Fermi il segreto investigativo e le garanzie di riservatezza e sicurezza dei dati, il Ministero della giustizia assicura l’allestimento e la manutenzione delle infrastrutture nel rispetto delle predette funzioni e, in ogni caso, con esclusione dell’accesso ai dati in chiaro, perché restano coperti dal segreto investigativo.
Con successivo decreto del Ministro della giustizia, da adottare entro il 1° marzo 2024, è disposta l’attivazione presso le nuove infrastrutture, previo accertamento della loro piena funzionalità, dell’archivio digitale del codice di procedura penale.
Quindi solo quest’ultimo decreto del ministero, sarà autorizzata la migrazione dei dati dalle singole procure della Repubblica e il conferimento dei nuovi dati. I tempi, le modalità e i requisiti di sicurezza della migrazione e del conferimento sono definiti con decreto del Ministro della giustizia.
Inoltre, le intercettazioni relative ai procedimenti penali iscritti successivamente alla data del 28 febbraio 2025 saranno effettuate mediante le nuove infrastrutture digitali.
I decreti saranno adottati sentiti il Consiglio superiore della magistratura, il Garante per la protezione dei dati personali e il Comitato interministeriale per la cybersicurezza. Ciascuno dei pareri è espresso entro 20 giorni dalla trasmissione della richiesta, decorsi i quali il provvedimento può essere comunque adottato.