Le leggi ICT Doveri di un ISP dettati dalle leggi ICT vigenti riguardanti principalmente la data retention 30 ottobre 2019

Obiettivi Evidenziare i doveri a cui deve sottostare un fornitore di servizi internet (Isp) nell’espletamento della propria funzione Analizzare le leggi ICT attualmente in vigore Fornire un quadro globale della situazione per la data retention Lo studio non si pone l’obiettivo di essere esaustivo e legalmente corretto 30 ottobre 2019 © 2004 Hacking Team All Rights Reserved

Ambiente di riferimento Servizio di posta elettronica server presso il cliente server locale Navigazione internet E-banking Hosting e Housing Altri servizi: prenotazione alberghiera, … 30 ottobre 2019 © 2004 Hacking Team All Rights Reserved

Definizione di un ISP Carta delle Garanzie di Internet (Art. 2) Convention on Cybercrime del Consiglio d’Europa (Art. 1 comma c) Codice di Autoregolamentazione “Internet e Minori” Può essere d’aiuto: Legge CEE 34 del 1998 e 48 del 1998 30 ottobre 2019 © 2004 Hacking Team All Rights Reserved

Carta Garanzie Internet Codice di autoregolamentazione dei fornitori di servizi Internet proposte da: ANFoV (Associazione nazionale fornitori di videoinformazione) Gruppo di lavoro composto da: AIIP (Associazione italiana Internet provider), ANEE (Associazione nazionale editoria elettronica) e Telecom Italia e Olivetti Art. 6 Log per 1 anno (NON obbligatorio) 30 ottobre 2019 © 2004 Hacking Team All Rights Reserved

Privacy D. Lgs 196 del 2003 Non riguarda esclusivamente gli ISP ma tutte le società che trattano dati sensibili Art. 123, comma 2 dati strettamente necessari per la fatturazione 6 mesi (obbligatorio) Art. 132, comma 1 Conservazione dei dati (relativi alla fatturazione) riguardanti il traffico per finalità di accertamento e repressione di reati 30 mesi (obbligatorio) 30 ottobre 2019 © 2004 Hacking Team All Rights Reserved

Illecito Amministrativo D. Lgs 231 del 2001 Non riguarda esclusivamente gli ISP ma tutte le società Nessun riferimento a data retention Spetta alla società l’onere della prova (Art. 5, comma c.2) Adozione di modelli organizzativi e gestionali idonei a prevenire i reati (Art. 6) 30 ottobre 2019 © 2004 Hacking Team All Rights Reserved

Frode Informatica D. Lgs 547 del 1993 Non riguarda esclusivamente gli ISP ma tutte le società Nessun riferimento a data retention Spetta alla società l’onere della prova (Art. 11): consenso all’intercettazione delle comunicazioni anche telematiche 30 ottobre 2019 © 2004 Hacking Team All Rights Reserved

Direttiva commercio elettronico D. Lgs 70 del 2003 Nessun riferimento a data retention L’autorità giudiziaria o quella amministrativa avente funzioni di vigilanza può esigere che il prestatore, nell’esercizio delle sue attività, impedisca o ponga fine alle violazioni commesse (Artt. 14-16) Il prestatore non è assoggettato ad un obbligo generale di sorveglianza sulle informazioni che trasmette o memorizza (Art. 17, comma 1) Il prestatore è comunque tenuto: a) ad informare l'autorità giudiziaria qualora sia a conoscenza di presunte attività o informazioni illecite; b) a fornire, a richiesta delle autorità, le informazioni che consentano l'identificazione del destinatario dei suoi servizi con cui ha accordi di memorizzazione dei dati, al fine di individuare e prevenire attività illecite 30 ottobre 2019 © 2004 Hacking Team All Rights Reserved

Internet e Minori Codice di Autoregolamentazione “Internet e Minori (Novembre 2003) Emanato dalla commissione per l'assetto del sistema radiotelevisivo su mandato del Ministero delle Comunicazioni Sottoscritto dalle associazioni degli Internet Provider (AIIP, ANFoV, Assoprovider e Federcomin) Art. 3 Conservazione dei dati di connessione e loro comunicazione all’autorità giudiziaria, quando richiesto 6 mesi (NON obbligatorio) Il codice propone anche una distinzione delle responsabilità a seconda della tipologia del provider (Art. 4) 30 ottobre 2019 © 2004 Hacking Team All Rights Reserved

Convention on Cybercrime Convention on cyber crime del Consiglio d’Europa approvata ed aperta alla ratifica degli stati membri dal 11 Novembre 2001 Introduzione della responsabilità (civile, penale o amministrativa) dell’ente (legal person) per i reati descritti (Art. 12) Nessun riferimento a data retention Unico mezzo che il provider ha per escludere la propria responsabilità è quello di denunciare all’Autorità giudiziaria l’esistenza del sito pornografico irregolare ed isolare il sito in parola solo su ordine motivato della stessa Qualora invece il provider venga allertato (con ordine di blocco) dalle autorità di un’attività illecita riguardante la tutela dei minori, è tenuto ad interrompere tale attività (Art. 528 bis) 30 ottobre 2019 © 2004 Hacking Team All Rights Reserved

Camera di Commercio Nessun riferimento a data retention Elenco dei diritti e dei doveri della Camera di Commercio sarà presto sottoposto alla Commissione europea. Nessun riferimento a data retention I provider dovranno impegnarsi: alla fornitura di servizi di accesso alla Rete continuativi e di buon livello tecnico, senza sospensioni salvo preavviso, e con informazioni chiare sul numero di utenti che potranno avvalersi del singolo abbonamento. I contratti dovranno avere la durata di un anno I dati personali dell'utente dovranno essere conservati nel pieno rispetto delle norme sulla privacy, ed essere accessibili dall'autorità giudiziaria solo dopo una formale richiesta. 30 ottobre 2019 © 2004 Hacking Team All Rights Reserved

Conclusioni: data retention Argomento Riferimento Retention Obbligatorietà Mantenimento dei log delle attività strettamente legate al servizio Carta delle Garanzie di Internet (AIIP) 1 anno NO Trattamento dei dati strettamente necessari per la fatturazione Testo unico sulla privacy 6 mesi SI Conservazione dei dati (relativi alla fatturazione) riguardanti il traffico per finalità di accertamento e repressione di reati 30 mesi Compilazione e custodia dei log relativi agli accessi effettuati Articoli della Camera di Commercio di Milano Non specificata Codice di Autoregolamentazione “Internet e Minori” Conservazione dei dati relativi al traffico telefonico D. Lgs. 45 del 2004 24 mesi 30 ottobre 2019 © 2004 Hacking Team All Rights Reserved

Conclusioni: doveri Riferimento Attività Obbligatorietà Carta delle Garanzie di Internet (AIIP) Sensibilizzazione degli utenti Concetto di responsabilità nel contratto Avvertimento delle autorità in caso di contenuti illeciti o offensivi NO Testo unico sulla privacy Soddisfacimento di tutti i requisiti minimi stabiliti SI D. Lgs. 231/2001[1] Adottare i modelli organizzativi e gestionali idonei a prevenire i reati Onere della prova in caso di mancata individuazione delcolpevole Pedopornografia Denunciare all’Autorità giudiziaria Convention on Cybercrime Adottare misure “appropriate e ragionevoli” Codice di Autoregolamentazione “Internet e Minori” Definizione di una sorta di collaborazione con la Polizia Postale e le Autorità Costituzione di un ben definito contratto (con attenta e precisa spiegazione del servizio e delle responsabilità) da far firmare agli utenti D. Lgs. 70/2003 Bloccare l’illecito in caso di comando delle Autorità 30 ottobre 2019 © 2004 Hacking Team All Rights Reserved

Quindi… Non c'è nessun obbligo per le aziende diverse da quelle dei fornitori di accesso alla rete telefonica per la tenuta dei file di log telematici Grande confusione del settore Leggi interpretabili e poco chiare Attenzione alle news per eventuali sviluppi Sottoporre i risultati dello studio ad un esperto di problematiche legali che li possa convalidare 30 ottobre 2019 © 2004 Hacking Team All Rights Reserved