Luca Annunziata

Data retention, tempi dimezzati

Il Governo ratifica il decreto emanato da Frattini in sede UE. E ora a chi non rispetta i termini stabiliti arriveranno multe (poco) salate

Roma - Nel pacchetto sicurezza presentato dal Governo non ci sono solo norme che puntano all'inasprimento delle leggi in vigore. Recependo un decreto UE del 2007 emanato dall'allora commissario europeo Franco Frattini, il Governo ha dimezzato i tempi di conservazione delle informazioni sul traffico telefonico: gli operatori saranno tenuti a conservare i tabulati non più per quattro ma per soli due anni, mentre restano invariate le tempistiche per il traffico originato attraverso altri servizi.

La discussa direttiva 2006/24/CE, nota anche come direttiva Frattini, ridimensiona i termini fissati nel 2005 dal decreto Pisanu: in sostanza a venire ulteriormente emendata sarà la legge sulla Privacy, che ora prevederà un tetto di 24 mesi per l'immagazzinamento dei dati sulle telefonate, 12 per gli SMS (fatta esclusione per il contenuto degli stessi) e soli 30 giorni per le chiamate senza risposta.

Proprio per gli "squilli" c'è stata la modifica più consistente: il limite di 30 giorni, di gran lunga inferiore al precedente di 12 mesi, è stato valutato come soddisfacente per consentire eventuali indagini giudiziarie, visto che anche una mancata conversazione può, ad esempio, mascherare un impulso lanciato per attivare un congegno esplosivo. Da qui la necessità di conservare le informazioni anche per quanto vera e propria comunicazione non è.
Se per le comunicazioni telefoniche i gestori sono tenuti a registrare orario della conversazione e numeri di telefono coinvolti, luogo di partenza e di arrivo della telefonata, per quanto attiene alle conversazioni in rete vanno immagazzinati indirizzo IP, nome dell'abbonato al servizio, indirizzo di posta elettronica e ovviamente il luogo di partenza della richiesta.

A cambiare è anche il meccanismo sanzionatorio per i gestori tlc e gli operatori che non rispetteranno le nuove regole. Ora il Garante per la Privacy potrà infliggere multe di ammontare compreso tra 10mila e 150mila euro, con valori crescenti in base alla gravità dell'infrazione e alle dimensioni dell'entità coinvolta.

I termini per il recepimento della direttiva erano scaduti lo scorso settembre. Le valutazioni delle modifiche erano slittate tuttavia allo scorso febbraio, ed erano state approvate in extremis dal parlamento e dal governo uscente prima della chiusura della legislatura. All'attuale consiglio dei ministri è toccato dunque provvedere alla ratifica del provvedimento e alle opportune disposizioni per la pubblicazione sulla Gazzetta Ufficiale.

Luca Annunziata
26 Commenti alla Notizia Data retention, tempi dimezzati
Ordina
  • Come sempre, hanno dato il contentino al popolo.

    Hanno detto che è vietato, e quindi implicitamente non lo fa più nessuno.

    In pratica invece:

    1) non c'è nessuno che controlli (avete mai sentito del Garante per la Privacy che fa ispezioni a sorpresa presso Telecom ed ISP vari per analizzare tutti i flussi dati e le basi dati esistenti 0 backup inclusi) per verificare che effettivamente tutti i dati presenti ricadano nel periodo ammesso per legge?)

    2) non c'è nessuno che può controllare: anche il Garante (e forse anche i servizi segreti) non sarebbe in grado, anche volendo, di verificare quante copie dei dati esistano, e dove siano depositate, o dove siano state trasmesse;

    3) è molto probabile che tutte le volte che viene fatta un'interrogazione a tali basi dati da chi può farlo (Ministero della Giustizia, servizi segreti, etc.) venga fatta qualche copia integrale dell'intera base dati, invece che estratto un singolo report dei numeri / indirizzi desiderati, e pertanto le basi dati che in teoria presso l'ISP hanno una vita limitata per legge assumono vita eterna presso altri enti che non saranno mai sottoposti a controllo.

    4) e non voglio neanche pensare a quante copie non autorizzate vengono fatte dal personale delle aziende TLC per scopi non dichiarati.


    ... parecchi anni fa un mio conoscente mi aveva riportato una sua ipotesi, e cioè che già da tempo nei CED di tutte le principali istituzioni venisse insinuato personale legato ad organizzazioni varie (lui ipotizzava organizzazioni criminali, ma altrettanto varrebbe per personale di servizi segreti vari, italiani e non).

    Ma ovviamente questa è fantasia ...
  • ma cosa per il punto 1 NESSUNO HA ACCESSO AI DATI TRANNE GA
    nn ce ne è bisogno di controllarli in quanto implicitamente per il modo in cui vengono tracciati son sicuri e GA è cmq tracciato

    2) le copie dei dati son 2 dato che per i dati sensibili si ridonda di ogni informazione vengono sempre e comunque ridondate su una macchina speculare

    3)le query sono tracciate dai sistemi e in qualunque momento si puo sapere chi ha fatto cosa e quando..

    ripeto

    il personale dei ced a bologna nn ha accesso ai dati
    e viene tracciato tutto anche se fai un cat file.txt
    e e vuoi pure io posso spacciarmi di avere dati sensibili ma in realta' quando si lavora sui dati sensibili in teleco esiste un oprgano RETE che è predisposto alla creazione di file fittizzi
    non+autenticato
  • Ave.

    Non so a quanti possa realmente interessare ma a me farebbe piacere che un Parlamentare (se fosse degno di questo nome) facesse una interrogazione al Ministro dell'Interno per sapere SE i nostri Servizi Segreti riepttano queste "regole" o se non si può avere una risposta a questa domanda in quanto coperta da Segreto di Stato.

    A presto
    Nilok
    Nilok
    1925
  • purtroppo non esssendo piu in democrazia cio' non e' piu' possibileTriste
    non+autenticato
  • Cosa significa questa parte?
    "per quanto attiene alle conversazioni in rete vanno immagazzinati indirizzo IP, nome dell'abbonato al servizio, indirizzo di posta elettronica e ovviamente il luogo di partenza della richiesta."
    Cosa viene realmente salvato delle sessioni Internet?
    non+autenticato
  • Tutto Sorride
    Dipende da dove ti colleghi. In moltissimi casi (da Fastweb agli Internet Cafè alle reti aziendali) viene registrato tutto.
    Non viene salvato il contenuto vero e proprio, ma viene registrato a chi ti stai collegando che in moltissimi casi è come sapere cosa hai fatto. In pratica se vogliono possono sapere quanti e quali siti hai visitato negli ultimi anni. Non possono fare diversamente. E' come con il telefono, si registra numero chiamante e numero chiamato e durata.
    non+autenticato
  • una cosa che dovete capire e che esistono delle normative europee che dicono QUALI CAMPI bisogna filtrare e quali no quindi nn è a scelta dell'operatore
    non+autenticato
  • contenuto non disponibile
  • No. Non c'è nulla di chiaro. Fino a quando non salteranno fuori i log di connessione dei politici, il resto dell'Italia rimarrà schedato ed all'oscuro.
    non+autenticato
  • Guarda sinceramente a caldo nn ti saprei dire anche perche noi abbiamo ricevuto le specifiche di interfaccia e quelle funzionali dei flussi. ma per la normatica posso chiedere in ufficio se ti interessa
    non+autenticato
  • Ma io lo so benissimo. Il punto è che la gente non sà che se va in giro per siti porno (legali!) questi vengono registrati.
    La gente pensa che se uno si collega ad un sito che parla di omosessualità questo rimanga un segreto. Non è così. Il tuo provider sà tutto.
    Viene registrato che ti sei collegato a quel sito e che hai visto quella pagina. Non viene registrato il contenuto della pagina, ma si conosce il nome del file, il titolo etc etc. Metti assieme due anni di navigazione e ne escono delle belle.
    Non dico che sia giusto o sbagliato, dico solo che lo si dovrebbe sapere con più chiarezza. Un bell'articolo per Luca Annunziata?
    Dico anche che gli amministratori di sistema hanno troppa libertà, sono fuori controllo, e prima o poi (o magari è già successo) qualcuno tira giù dei dati per ricattare. Lo sai che tuo marito passa il tempo su siti per Gay? Lo sai che tua moglie passa il tempo su AdultFinder? Lo sai che il presidente di XYZ sposato e con 3 figli ogni 3 giorni si collega per due ore ai siti porno? Ha scaricato 143897 immagini, ha postato 378 volte sul forum di scambio coppie etc etc
    Anzi, magari non ci sarà neanche dolo, usciranno misteriosamente su internet dei bei file di log...
    non+autenticato
  • Ma tu ti droghi o cosa gli amministratori di sistema nn possono accedere a quei dati nemmeno se smontano gli hd e se li portano a casa
    P.S per la cronaca sugli hd locali si memorizzano solo i dati online mentre quelli + vecchi vengono storati con il centera e una volta li sopra manco col bazzuka li leggi
    non+autenticato
  • - Scritto da: Drago84
    > Ma tu ti droghi o cosa gli amministratori di
    > sistema nn possono accedere a quei dati nemmeno

    gw-border#conf t
    gw-border(config)#
    gw-border(config)#ip flow-export destination 1.2.3.4
    gw-border(config)#exit
    gw-border#copy run sta
    non+autenticato
  • Continuo a non capire. Nel caso di Fastweb e per la peculiarità della sua rete la parola "tutto" è comprensibile, ma per gli altri provider no.
    Non viene salvato solo l'indirizzo IP con cui ci si è collegati (data inizio collegamento - IP - data fine collegamento)?
    Vengono salvati anche gli IP contattati, le URL e le richieste DNS?
    Possibile che non esista un documento CHIARO che spiega cosa viene salvato e cosa no?
    E per quel che riguarda le e-mail?

    Salvare tutto è un po' impossibile, poiché si tratta di una quantità enorme di dati. E poi è del tutto inutile, dato che basta che crei un programma che apre pagine a caso in background occupando un quota limitata di banda per "sporcare" i log in maniera considerevole tale da renderli quasi inutili.

    Un conto è l'IP di collegamento, un conto sono tutti i siti visitati.
    non+autenticato
  • NN CI SONO NESSUN DNS O URL O CAVOLATE VARIE -.- NN SI PUO' TENER TRACCIA DEI CONTENUTI SOLO DELLE SESSIONI
    non+autenticato
  • Il problema è che per identificare in maniera univoca una persona che sta dietro una LAN di un ufficio oppure usa Fastweb e simili è necessario salvare anche gli IP ed il nome di dominio di destinazione. In pratica questo significa che per due anni quelle persone sono schedate e sezionate. Quando sai a che siti ti colleghi anche se non conosci il contenuto della comunicazione puoi sicuramente risalire alle abitudine sessuali, religiose etc etc di una persona.
    L'importante è che quei dati siano veramente blindati altrimenti la ricattabilità delle persone è a mille.
    non+autenticato
  • La mia societa' ha creato il progetto x la data retention di telecom e ti assicuro che i criteri son belli duri nn basta conservare l'ip, in italia esiste un solo accaunt capace di visualizzare quei dati (magistratura) che a loro volta sono traciati stavolta la telecom si è data da fareOcchiolino
    Cmq un dato carino è che tra anagrafica dialup wifi adsl voce e telefonia son circa 5 tb di dati giornalieri da dover digerire e storareSorride
    non+autenticato
  • Ps Dimenticavo per la conservazione si usa Centera di emc2 e quelli con cavolo che li sfondi chi sa di cosa sto parlando capirà
    non+autenticato
  • Ma quanto sei ingenuo?
    non+autenticato
  • contenuto non disponibile
  • tutto tranne il contenuto della connessione ad esempio :timestamp,durata sessione,ip, i dati sono separati fisicamente (non è un db perche una mole del genere nn è adatta a un db)leggendo una singola tabella non è possibile risalire a un cavolo e cmq i dati sono cifrati su + strati e nessuno puo leggerli tranne una sola utenza che è a sua volta loggata puoi avere anche accesso root ai dati nn riesciresti a leggerli e cmq esiste un meccanismo che cancella dal centera i dati + vecchi di un anno...quindi la privacy è tutelata qualunque cosa succeda
    non+autenticato
  • Ci crediamo che i dati sono al sicuro ma il problema è un altro.
    Il problema è che viene salvato tutto riguardo ad un utente. Quali e quanti siti porno visita al mese, quante volte va su gmail,
    quante volte legge repubblica.it, quante volte ha scaricaro da rapidshare, quante volte ha scritto sul forum xyz etc etc
    E questo deve essere fatto per forza perchè nonostante la legge per la privacy dica il contrario quando un utente usa Fastweb o una LAN aziendale per riuscire a ricondurre ad un utente preciso qualcosa che è accaduto in rete bisogna loggare tutto.
    Usando una LAN si esce tutti con lo stesso indirizzo IP. Per sapere chi ha fatto cosa bisogna associare l'indirizzo IP privato di partenza con il dominio e l'IP di destinazione. Questo significa che è facilissimo profilare ed analizzare tutto, ripeto tutto, quello che uno ha fatto negli ultimi due anni su Internet. Ed è legale, o meglio in una sorta di limbo poco chiaro.
    non+autenticato
  • TUTTO nn significa loggare il contenuto delle connessioni e cmq per legge ai fini di magistratura si deve poter tener traccia di chi fa cosa ed èè giustissimo.. l'importante è che la strutura sia ben organizzata
    (giusto per la cronaca bisogna farlo x LEGGE in questo momento noi abbiam fatto data retention e reportistica per
    TELECOM
    WIND
    H3g
    e dovrebbe partire pure poste mobile
    )
    non+autenticato