SlideShare a Scribd company logo

Intercettazioni e posta elettronica: le misure di sicurezza per i gestori

Babel
Babel

Il TechAdvisor Michelangelo Uberti spiega come gestire i decreti di intercettazione, tracciamento del traffico, sospensione o sequestro di una mailbox da parte delle Autorità Giudiziarie. La guida evidenzia le modalità corrette di erogazione delle prestazioni richieste e le procedure di messa in sicurezza delle piattaforme di posta elettronica, soffermandosi brevemente sull'applicazione sviluppata da Babel per gestire questo tipo di attività. Per approfondire i requisiti obbligatori dei gestori in materia di Autorità Giudiziaria vi invitiamo a scaricare l’articolo completo. Per qualsiasi domanda non esitate a contattarci utilizzando il form "Serve aiuto?" sul nostro Centro Risorse http://www.babel.it/it/centro-risorse.html

Technology
1 of 8
Download to read offline
Le prestazioni obbligatorie per le Autorità Giudiziarie applicate alle piattaforme di posta elettronica di Michelangelo Uberti La normativa di riferimento Il 15 dicembre 2005 il Garante per la Protezione dei Dati Personali ha pubblicato il provvedimento denominato Misure di sicurezza obbligatorie per le intercettazioni 1 il quale identifica le prestazioni obbligatorie che i fornitori di servizi telefonici e telematici devono erogare su richiesta delle Autorità Giudiziarie (AAGG). Da questo primo provvedimento derivano i quattro principali requisiti per l’erogazione delle prestazioni obbligatorie:  tracciamento del traffico (cd. intercettazione)  sospensione o limitazione dei servizi agli utenti  documentazione del traffico pregresso contabilizzato (cd. tabulati)  documentazione integrale del traffico storico (cd. sequestro) In fase successiva sono state pubblicate le Prescrizioni impartite con il Provvedimento del 15 dicembre 2005 relativo a "nuove misure di sicurezza presso i gestori per le intercettazioni" 2 che rappresentano un approfondimento sulle modalità di realizzazione basandosi sulle inadempienze dei principali service provider all’epoca esaminati. L'obbligatorietà dell'attuazione dei suddetti provvedimenti nonché della messa in sicurezza delle procedure e delle infrastrutture IT coinvolte è ribadita con la comunicazione Intercettazioni: misure di sicurezza presso i gestori3 del 20 settembre 2006: « le prescrizioni impartite dal Garante sono per legge efficaci e vincolanti nei confronti dei titolari del trattamento che ne sono destinatari, e non possono considerarsi condizionate all'adesione od approvazione di altre autorità ». Ulteriori riferimenti alle intercettazioni telefoniche, informatiche, telematiche o ambientali, anche di tipo preventivo sono presenti negli artt. 266 ss. e 226 disp. att. c.p.p. 1 http://www.garanteprivacy.it/garante/doc.jsp?ID=1203890 2 http://www.garanteprivacy.it/garante/doc.jsp?ID=1348670 3 http://www.garanteprivacy.it/garante/doc.jsp?ID=1341009 BABEL S.r.l. - P.zza S.Benedetto da Norcia 33 - 00040, Pomezia (RM) - Tel:. +39 06.9826.9600 - Fax. +39 06.9826.9680 E-Mail: info@babel.it – PEC: babel@pec.babel.it – WEB: http://www.babel.it Reg. Imprese di Roma N° 06062681009 - N.R.E.A. 953123 - P.I. e C.F. 06062681009 Cap. Soc. € 102.774,00 i.v. Società soggetta alla direzione e coordinamento della Par-tec S.p.A - Società iscritta al registro delle Imprese di Milano al numero 1293820015
L’intercettazione delle comunicazioni a mezzo e-mail La prima e più diffusa prestazione obbligatoria è sicuramente l’intercettazione dei messaggi inviati e ricevuti da un determinato utente. L’obiettivo è del tutto analogo a quello dell’intercettazione telefonica ma, a differenza di quest’ultima, può prevedere una fruizione asincrona in quanto i messaggi non devono necessariamente essere inoltrati in tempo reale. Le modalità in cui è possibile effettuare l’intercettazione sono principalmente due:  inserimento in rete di sonde abilitate ad analizzare tutto il traffico entrante, uscente e interno alla piattaforma di posta elettronica;  duplicazione delle code di gestione di flussi di posta e trattamento dei messaggi inviati da o destinati all’utente soggetto ad intercettazione. In entrambi i casi i “messaggi incriminati” devono essere consegnati ad un cosiddetto “punto di ascolto”, cioè una mailbox gestita da un operatore delle forze dell’ordine. Per assicurare la trasparenza dell’operazione all’utente intercettato e garantire la sicurezza della comunicazione è necessario rispettare alcuni requisiti imposti dalla normativa:  la mailbox sorgente deve essere diversa da quella dell’utente intercettato in modo da prevenire che eventuali messaggi di errore (es. undeliverable) non evidenzino l’erogazione della prestazione. Questa nuova mailbox deve contenere il riferimento al fornitore dei servizi e all’identificativo del procedimento penale (il cosiddetto “decreto”);  al fine di preservare le intestazioni (header) originali del messaggio intercettato, quest’ultimo deve essere inoltrato come allegato ad un nuovo messaggio di posta elettronica;  per evitare che un utente non autorizzato possa prendere visione del messaggio originale, è necessario che quest’ultimo venga cifrato con una password definita dall’operatore in fase di inserimento del decreto di intercettazione;  per assicurare che il messaggio non venga alterato durante il transito dal sistema sorgente a quello destinazione è necessario utilizzare (ove possibile) dei canali di comunicazione sicuri e caselle di Posta Elettronica Certificata (PEC). Per ridurre al minimo il transito su sistemi esterni è possibile prevedere che la mailbox del punto di ascolto risieda sulla stessa piattaforma dell’utente intercettato. La sospensione dell’accesso alla mailbox Questo tipo di intervento prevede la disabilitazione completa dell’accesso alla mailbox, sia per quanto riguarda la ricezione da parte dell’utente (es. via protocollo IMAP44 o POP35) che per 4 Internet Message Access Protocol v4 revision 1 – RFC3501 BABEL S.r.l. - P.zza S.Benedetto da Norcia 33 - 00040, Pomezia (RM) - Tel:. +39 06.9826.9600 - Fax. +39 06.9826.9680 E-Mail: info@babel.it – PEC: babel@pec.babel.it – WEB: http://www.babel.it Reg. Imprese di Roma N° 06062681009 - N.R.E.A. 953123 - P.I. e C.F. 06062681009 Cap. Soc. € 102.774,00 i.v. Società soggetta alla direzione e coordinamento della Par-tec S.p.A - Società iscritta al registro delle Imprese di Milano al numero 1293820015
quanto riguarda l’invio (es. via protocollo SMTP 6). Resta inteso che, anche in assenza di accessi lato utente, la mailbox continuerà ad essere attiva e pertanto continuerà a ricevere nuovi messaggi. La disabilitazione totale della ricezione di nuovi messaggi sulla mailbox è un’operazione facoltativa abilitabile a discrezione dell’Autorità Giudiziaria. La sospensione dell’accesso alla mailbox, analogamente alla sospensione/limitazione del funzionamento di una linea telefonica, consente di evitare che il soggetto indagato effettui delle comunicazioni non autorizzate o, nel caso peggiore, elimini dei messaggi archiviati che potrebbero essere utilizzati come prove nell’ambito di un procedimento penale. Le suddette limitazioni devono essere applicate a tutte le modalità di accesso previste dal servizio erogato, pertanto coinvolgono gli accessi da client di posta desktop e mobile e gli accessi da webmail (se presente). Documentazione del traffico storico Il tracciamento del traffico mail entrante e uscente è del tutto analogo all’analisi a posteriori dei tabulati telefonici relativi alle utenze di un soggetto indagato. Quest’ultima prestazione differisce dalle precedenti in quanto non è caratterizzata da un’attivazione una tantum, ovvero con una data inizio ed una di fine, ma prevede un’attività continuativa effettuata automaticamente dalla piattaforma di posta. L’accesso a tali informazioni può altresì essere una tantum in quanto non è necessario garantire l’invio o l’accesso costante ai log da parte dell’Autorità Giudiziaria. Facendo riferimento al caso specifico del servizio di posta elettronica, è richiesto il tracciamento delle seguenti informazioni:  indirizzo IP e indirizzo di posta elettronica del mittente;  indirizzo IP e nome a dominio pienamente qualificato (FQDN) del mail exchanger host, nel caso della tecnologia SMTP ovvero di qualsiasi tipologia di host relativo ad una diversa tecnologia utilizzata per la trasmissione della comunicazione;  indirizzo di posta elettronica, ed eventuale ulteriore identificativo, del destinatario della comunicazione;  indirizzo IP e nome a dominio pienamente qualificato (FQDN) del mail exchanger host, nel caso della tecnologia SMTP, ovvero di qualsiasi tipologia di host, relativamente ad una diversa tecnologia utilizzata, che ha provveduto alla consegna del messaggio; 5 Post Office Protocol v3 – RFC1939 6 Simple Mail Transfer Protocol – RFC2821 e RFC2822 BABEL S.r.l. - P.zza S.Benedetto da Norcia 33 - 00040, Pomezia (RM) - Tel:. +39 06.9826.9600 - Fax. +39 06.9826.9680 E-Mail: info@babel.it – PEC: babel@pec.babel.it – WEB: http://www.babel.it Reg. Imprese di Roma N° 06062681009 - N.R.E.A. 953123 - P.I. e C.F. 06062681009 Cap. Soc. € 102.774,00 i.v. Società soggetta alla direzione e coordinamento della Par-tec S.p.A - Società iscritta al registro delle Imprese di Milano al numero 1293820015
 indirizzo IP utilizzato per la ricezione ovvero la consultazione dei messaggi di posta elettronica da parte del destinatario indipendentemente dalla tecnologia o dal protocollo utilizzato;  data e ora (GMT7) della connessione e della disconnessione dell'utente del servizio di posta elettronica su internet ed indirizzo IP utilizzato, indipendentemente dalla tecnologia e dal protocollo impiegato;  il servizio internet utilizzato (es. protocollo impiegato). Sono esclusi dal tracciamento alcuni casi in cui è palese che il traffico non documenta effettive comunicazioni tra utenti:  invio di una mail ad un dominio inesistente;  mail di servizio destinate o generate dal postmaster/mailer-daemon (ad es. mail di benvenuto o di superamento occupazione quota mailbox);  mail di servizio applicative (ad es. da root a root per la mancanza di spazio su disco);  mail entranti o uscenti scartate per vari motivi dagli antivirus/antispam. Il formato dei log/tabulati è accuratamente descritto nella tabella sottostante. Per ogni scenario di traffico sono stati indicati sia i campi richiesti (SI) che quelli non applicabili per motivi tecnici (N.A.). 7 Greenwich Mean Time – è il fuso orario di riferimento BABEL S.r.l. - P.zza S.Benedetto da Norcia 33 - 00040, Pomezia (RM) - Tel:. +39 06.9826.9600 - Fax. +39 06.9826.9680 E-Mail: info@babel.it – PEC: babel@pec.babel.it – WEB: http://www.babel.it Reg. Imprese di Roma N° 06062681009 - N.R.E.A. 953123 - P.I. e C.F. 06062681009 Cap. Soc. € 102.774,00 i.v. Società soggetta alla direzione e coordinamento della Par-tec S.p.A - Società iscritta al registro delle Imprese di Milano al numero 1293820015
Dati mail exchanger host Dati mail exchanger host Dati mittente Dati destinatario mittente destinatario Indirizzo IP Nome a della dominio della Indirizzo IP Data e Nome a dominio Servizio piattaforma piattaforma della ora (GMT) Identificativ Indirizzo di Indirizzo IP Indirizzo di della piattaforma internet Scenario di traffico host utilizzata host utilizzata piattaforma della o posta destinatari posta host che ha utilizzato Indirizzo IP per la per la host che ha connessio messaggio elettronic o per elettronica provveduto alla (protocollo) trasmissione trasmissione provveduto ne (message- a ricezione Destinatario consegna del della della alla consegna id) messaggio comunicazion comunicazion del messaggio e e I SCENARIO SI SI SI SI N.A. SI SI SI SI SMTP SI Invio e ricezione da interno a interno II SCENARIO SI SI SI SI N.A. SI SI SI SI SMTP SI Invio da interno ad altro mail server III SCENARIO N.A. SI SI SI N.A. SI SI SI SI SMTP SI Ricezione da altro mail server a interno IV SCENARIO SI SI SI SI N.A. SI SI SI SI SMTP SI Invio da interno a interno via Webmail V SCENARIO Invio da interno ad SI SI SI SI N.A. SI SI SI SI SMTP SI altro mail server via Webmail VI SCENARIO SI SI SI SI N.A. N.A. N.A. N.A SI POP3 N.A. Accesso alla casella di posta via IMAP4 VII SCENARIO SI SI SI SI N.A. N.A. N.A. N.A SI IMAP4 N.A. Accesso alla casella di posta via POP3 VIII SCENARIO SI SI SI SI N.A. N.A. N.A. N.A SI WEB N.A. Accesso alla casella di posta via Webmail BABEL S.r.l. - P.zza S.Benedetto da Norcia 33 - 00040, Pomezia (RM) - Tel:. +39 06.9826.9600 - Fax. +39 06.9826.9680 E-Mail: info@babel.it – PEC: babel@pec.babel.it – WEB: http://www.babel.it Reg. Imprese di Roma N° 06062681009 - N.R.E.A. 953123 - P.I. e C.F. 06062681009 Cap. Soc. € 102.774,00 i.v. Società soggetta alla direzione e coordinamento della Par-tec S.p.A - Società iscritta al registro delle Imprese di Milano al numero 1293820015
La durata e la modalità di conservazione dei log è descritta in altre norme che non saranno trattate in questo documento. Il sequestro del contenuto della mailbox La normativa prevede che, analogamente al sequestro di un classico archivio documentale in un ufficio, sia possibile effettuare il sequestro completo del contenuto di una mailbox residente nel server di posta di proprietà del gestore. Tale prestazione ha il semplice scopo di consentire l’analisi dello scambio di comunicazioni precedentemente avvenuto tra il soggetto indagato ed eventuali altri soggetti. Il sequestro è un’attività una tantum e pertanto “fotografa” lo stato della mailbox in un determinato momento senza prendere in considerazione i contenuti precedentemente rimossi (a meno che siano ancora presenti nel “Cestino”) o quelli che verranno introdotti successivamente. La consegna del materiale sequestrato può avvenire in tre modalità:  Inoltro di ogni singolo messaggio di posta elettronica presente nella mailbox con modalità analoghe a quelle previste per l’intercettazione (inoltro come allegato, cifratura, etc.);  consegna di un supporto fisico (CD, DVD) contenente una copia esatta della casella ad un rappresentante delle forze dell’ordine;  download di un archivio compresso e cifrato, anche in questo caso contenente una copia esatta della casella. La prima modalità, seppur prevista dalla normativa, è sicuramente la meno conveniente in quanto in caso di sequestro di una mailbox di grandi dimensioni si rischierebbe di saturare la casella del punto di ascolto e/o di incidere negativamente sulle performance del sistema sorgente. La modalità di erogazione delle prestazioni obbligatorie La normativa di riferimento descrive accuratamente le prestazioni erogabili da un fornitore di servizi ma non entra nel merito delle modalità di erogazione delle stesse. Le informazioni certe sono relativamente poche:  la richiesta di erogazione di una prestazione avviene mediante l’emissione di un decreto da parte dell’Autorità Giudiziaria, atto successivamente consegnato al fornitore dei servizi;  ogni decreto contiene l’identificativo del procedimento penale, la data di inizio e fine del decreto (fatta eccezione per il sequestro), la mailbox target ossia quella da intercettare, la mailbox destinataria ossia quella dell’operatore delle forze dell’ordine, la password per la cifratura della mail inoltrata come allegato; BABEL S.r.l. - P.zza S.Benedetto da Norcia 33 - 00040, Pomezia (RM) - Tel:. +39 06.9826.9600 - Fax. +39 06.9826.9680 E-Mail: info@babel.it – PEC: babel@pec.babel.it – WEB: http://www.babel.it Reg. Imprese di Roma N° 06062681009 - N.R.E.A. 953123 - P.I. e C.F. 06062681009 Cap. Soc. € 102.774,00 i.v. Società soggetta alla direzione e coordinamento della Par-tec S.p.A - Società iscritta al registro delle Imprese di Milano al numero 1293820015
 la mancata attuazione del decreto entro dei tempi prestabiliti può comportare l’emissione di una o più sanzioni amministrative;  la funzione aziendale preposta al trattamento dei dati giudiziari deve essere diversa da quella incaricata della gestione della piattaforma di posta. Nel rispetto dei suddetti punti è possibile stabilire quale sia la modalità di gestione ed erogazione più adatta alla propria realtà aziendale. Su richiesta di uno dei principali provider italiani, Babel ha realizzato una web application che, connessa alla piattaforma di posta, consente la gestione e l’attuazione dei decreti consegnati dall’AG. Lo strumento custom consente di effettuare le seguenti attività:  gestione e profilazione degli utenti (Amministratore e Operatore);  tracciamento di tutte le attività effettuate dagli utenti del sistema;  enforcement delle password policies (robustezza, scadenza, etc.);  accesso e ricerca nei tabulati di traffico storico;  gestione dei decreti di intercettazione e attuazione diretta sulla piattaforma di posta elettronica;  gestione dei decreti di sequestro e gestione del download del file compresso contenente l’intero contenuto della mailbox target;  gestione dei decreti di sospensione/limitazione del servizio ed attuazione diretta sulla piattaforma di posta elettronica. L’accesso all’interfaccia web avviene ovviamente via HTTPS8 con protezione mediante certificati SSL9 riconosciuti su internet. Per limitare gli accessi non autorizzati, tutti i dati giudiziari vengono salvati su una base dati cifrata e ogni accesso è tracciato su log immodificabili e non ripudiabili. 8 Hypertext Transfer Protocol Secure 9 Secure Sockets Layer BABEL S.r.l. - P.zza S.Benedetto da Norcia 33 - 00040, Pomezia (RM) - Tel:. +39 06.9826.9600 - Fax. +39 06.9826.9680 E-Mail: info@babel.it – PEC: babel@pec.babel.it – WEB: http://www.babel.it Reg. Imprese di Roma N° 06062681009 - N.R.E.A. 953123 - P.I. e C.F. 06062681009 Cap. Soc. € 102.774,00 i.v. Società soggetta alla direzione e coordinamento della Par-tec S.p.A - Società iscritta al registro delle Imprese di Milano al numero 1293820015
Licenza d'uso “Attribuzione - Non commerciale - Non opere derivate”, secondo i criteri internazionali Creative Commons (http://creativecommons.org/licenses/by-nc-nd/2.5/it/) BABEL S.r.l. - P.zza S.Benedetto da Norcia 33 - 00040, Pomezia (RM) - Tel:. +39 06.9826.9600 - Fax. +39 06.9826.9680 E-Mail: info@babel.it – PEC: babel@pec.babel.it – WEB: http://www.babel.it Reg. Imprese di Roma N° 06062681009 - N.R.E.A. 953123 - P.I. e C.F. 06062681009 Cap. Soc. € 102.774,00 i.v. Società soggetta alla direzione e coordinamento della Par-tec S.p.A - Società iscritta al registro delle Imprese di Milano al numero 1293820015

Recommended

Posta Certificata
Posta CertificataPosta Certificata
Posta CertificataMario Varini
 
VII corso per difensori di ufficio - I mezzi di ricerca delle prove
VII corso per difensori di ufficio - I mezzi di ricerca delle proveVII corso per difensori di ufficio - I mezzi di ricerca delle prove
VII corso per difensori di ufficio - I mezzi di ricerca delle proveGiovanni Fiorino
 
Profili e Metodologie investigative
Profili e Metodologie investigativeProfili e Metodologie investigative
Profili e Metodologie investigativeMassimo Farina
 
Digital forensics presentazione 2010
Digital forensics presentazione 2010Digital forensics presentazione 2010
Digital forensics presentazione 2010Pasquale Lopriore
 
Captatori Informatici
Captatori InformaticiCaptatori Informatici
Captatori InformaticiFrancesco Paolo Micozzi
 
Il “captatore informatico”uno strumento d'indagine tra esigenze investigative...
Il “captatore informatico”uno strumento d'indagine tra esigenze investigative...Il “captatore informatico”uno strumento d'indagine tra esigenze investigative...
Il “captatore informatico”uno strumento d'indagine tra esigenze investigative...Giovanni Fiorino
 
La navigazione sicura nel web
La navigazione sicura nel webLa navigazione sicura nel web
La navigazione sicura nel webgmorelli78
 
Intercettazioni e analisi vocale metodi e tecniche per il riconoscimento del ...
Intercettazioni e analisi vocale metodi e tecniche per il riconoscimento del ...Intercettazioni e analisi vocale metodi e tecniche per il riconoscimento del ...
Intercettazioni e analisi vocale metodi e tecniche per il riconoscimento del ...Massimo Farina
 

Recommended

Posta Certificata
Posta CertificataPosta Certificata
Posta CertificataMario Varini
 
VII corso per difensori di ufficio - I mezzi di ricerca delle prove
VII corso per difensori di ufficio - I mezzi di ricerca delle proveVII corso per difensori di ufficio - I mezzi di ricerca delle prove
VII corso per difensori di ufficio - I mezzi di ricerca delle proveGiovanni Fiorino
 
Profili e Metodologie investigative
Profili e Metodologie investigativeProfili e Metodologie investigative
Profili e Metodologie investigativeMassimo Farina
 
Digital forensics presentazione 2010
Digital forensics presentazione 2010Digital forensics presentazione 2010
Digital forensics presentazione 2010Pasquale Lopriore
 
Captatori Informatici
Captatori InformaticiCaptatori Informatici
Captatori InformaticiFrancesco Paolo Micozzi
 
Il “captatore informatico”uno strumento d'indagine tra esigenze investigative...
Il “captatore informatico”uno strumento d'indagine tra esigenze investigative...Il “captatore informatico”uno strumento d'indagine tra esigenze investigative...
Il “captatore informatico”uno strumento d'indagine tra esigenze investigative...Giovanni Fiorino
 
La navigazione sicura nel web
La navigazione sicura nel webLa navigazione sicura nel web
La navigazione sicura nel webgmorelli78
 
Intercettazioni e analisi vocale metodi e tecniche per il riconoscimento del ...
Intercettazioni e analisi vocale metodi e tecniche per il riconoscimento del ...Intercettazioni e analisi vocale metodi e tecniche per il riconoscimento del ...
Intercettazioni e analisi vocale metodi e tecniche per il riconoscimento del ...Massimo Farina
 
Intercettazioni: guida alle nuove norme per i provider
Intercettazioni: guida alle nuove norme per i providerIntercettazioni: guida alle nuove norme per i provider
Intercettazioni: guida alle nuove norme per i providerBabel
 
Presentazione Pireo Gruppo Se.Co.Ges per Ufficiarredati.it 14/11/09
Presentazione Pireo Gruppo Se.Co.Ges per Ufficiarredati.it 14/11/09Presentazione Pireo Gruppo Se.Co.Ges per Ufficiarredati.it 14/11/09
Presentazione Pireo Gruppo Se.Co.Ges per Ufficiarredati.it 14/11/09Gianluca Mastroianni
 
3 corso pec come funziona
3 corso pec come funziona3 corso pec come funziona
3 corso pec come funzionaConfimpresa
 
4 corso pec come funziona
4 corso pec come funziona4 corso pec come funziona
4 corso pec come funzionaConfimpresa
 
Articolo Pec
Articolo PecArticolo Pec
Articolo PecFabrizio Di Crosta
 
PEC (CdO Roma)
PEC (CdO Roma)PEC (CdO Roma)
PEC (CdO Roma)marco scialdone
 
La Posta Elettronica Certificata
La Posta Elettronica CertificataLa Posta Elettronica Certificata
La Posta Elettronica Certificatamarco scialdone
 
La posta elettronica certificata (PEC)
La posta elettronica certificata (PEC)La posta elettronica certificata (PEC)
La posta elettronica certificata (PEC)Salvatore Cordiano
 
Posta certificata
Posta certificataPosta certificata
Posta certificatajamboo
 
Il Cowo e la Legge.
Il Cowo e la Legge.Il Cowo e la Legge.
Il Cowo e la Legge.Coworking Cowo®
 
Fatturazione elettronica verso la PA? Con Menocarta.net basta un click
Fatturazione elettronica verso la PA? Con Menocarta.net basta un clickFatturazione elettronica verso la PA? Con Menocarta.net basta un click
Fatturazione elettronica verso la PA? Con Menocarta.net basta un clickSMAU
 
Corso cad modulo 3_dsga_sl
Corso cad modulo 3_dsga_slCorso cad modulo 3_dsga_sl
Corso cad modulo 3_dsga_slGrimaldi Mario
 
Gdpr's new regulations and the criticalities detected by the privacy guaranto...
Gdpr's new regulations and the criticalities detected by the privacy guaranto...Gdpr's new regulations and the criticalities detected by the privacy guaranto...
Gdpr's new regulations and the criticalities detected by the privacy guaranto...Sergio Guida
 
05 Paolo Lessio, Processo civile telematico
05 Paolo Lessio, Processo civile telematico05 Paolo Lessio, Processo civile telematico
05 Paolo Lessio, Processo civile telematicopaolo.lessio
 
Topologie
TopologieTopologie
TopologieEmilia Calzetta
 
Paolo lessio, processo civile telematico 3
Paolo lessio, processo civile telematico 3Paolo lessio, processo civile telematico 3
Paolo lessio, processo civile telematico 3Andrea Rossetti
 
“Le firme nei processi di fatturazione elettronica”
“Le firme nei processi di fatturazione elettronica” “Le firme nei processi di fatturazione elettronica”
“Le firme nei processi di fatturazione elettronica” ANORC - Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale
 
Paolo Lessio, Processo Civile Telematico 1
Paolo Lessio, Processo Civile Telematico 1Paolo Lessio, Processo Civile Telematico 1
Paolo Lessio, Processo Civile Telematico 1Andrea Rossetti
 
1 corso pec
1 corso pec1 corso pec
1 corso pecConfimpresa
 
Fatturare alla Pubblica Amministrazione. Normativa, soluzioni e tempistiche.
Fatturare alla Pubblica Amministrazione. Normativa, soluzioni e tempistiche.Fatturare alla Pubblica Amministrazione. Normativa, soluzioni e tempistiche.
Fatturare alla Pubblica Amministrazione. Normativa, soluzioni e tempistiche.Sefin spa
 
Sophos Complete Security: arte e scienza della sicurezza
Sophos Complete Security: arte e scienza della sicurezzaSophos Complete Security: arte e scienza della sicurezza
Sophos Complete Security: arte e scienza della sicurezzaBabel
 
L’innovazione a difesa della tradizione: il caso dell’Archivio Storico della ...
L’innovazione a difesa della tradizione: il caso dell’Archivio Storico della ...L’innovazione a difesa della tradizione: il caso dell’Archivio Storico della ...
L’innovazione a difesa della tradizione: il caso dell’Archivio Storico della ...Babel
 

More Related Content

Similar to Intercettazioni e posta elettronica: le misure di sicurezza per i gestori

Intercettazioni: guida alle nuove norme per i provider
Intercettazioni: guida alle nuove norme per i providerIntercettazioni: guida alle nuove norme per i provider
Intercettazioni: guida alle nuove norme per i providerBabel
 
Presentazione Pireo Gruppo Se.Co.Ges per Ufficiarredati.it 14/11/09
Presentazione Pireo Gruppo Se.Co.Ges per Ufficiarredati.it 14/11/09Presentazione Pireo Gruppo Se.Co.Ges per Ufficiarredati.it 14/11/09
Presentazione Pireo Gruppo Se.Co.Ges per Ufficiarredati.it 14/11/09Gianluca Mastroianni
 
3 corso pec come funziona
3 corso pec come funziona3 corso pec come funziona
3 corso pec come funzionaConfimpresa
 
4 corso pec come funziona
4 corso pec come funziona4 corso pec come funziona
4 corso pec come funzionaConfimpresa
 
La Posta Elettronica Certificata
La Posta Elettronica CertificataLa Posta Elettronica Certificata
La Posta Elettronica Certificatamarco scialdone
 
La posta elettronica certificata (PEC)
La posta elettronica certificata (PEC)La posta elettronica certificata (PEC)
La posta elettronica certificata (PEC)Salvatore Cordiano
 
Posta certificata
Posta certificataPosta certificata
Posta certificatajamboo
 
Fatturazione elettronica verso la PA? Con Menocarta.net basta un click
Fatturazione elettronica verso la PA? Con Menocarta.net basta un clickFatturazione elettronica verso la PA? Con Menocarta.net basta un click
Fatturazione elettronica verso la PA? Con Menocarta.net basta un clickSMAU
 
Corso cad modulo 3_dsga_sl
Corso cad modulo 3_dsga_slCorso cad modulo 3_dsga_sl
Corso cad modulo 3_dsga_slGrimaldi Mario
 
Gdpr's new regulations and the criticalities detected by the privacy guaranto...
Gdpr's new regulations and the criticalities detected by the privacy guaranto...Gdpr's new regulations and the criticalities detected by the privacy guaranto...
Gdpr's new regulations and the criticalities detected by the privacy guaranto...Sergio Guida
 
05 Paolo Lessio, Processo civile telematico
05 Paolo Lessio, Processo civile telematico05 Paolo Lessio, Processo civile telematico
05 Paolo Lessio, Processo civile telematicopaolo.lessio
 
Paolo lessio, processo civile telematico 3
Paolo lessio, processo civile telematico 3Paolo lessio, processo civile telematico 3
Paolo lessio, processo civile telematico 3Andrea Rossetti
 
Paolo Lessio, Processo Civile Telematico 1
Paolo Lessio, Processo Civile Telematico 1Paolo Lessio, Processo Civile Telematico 1
Paolo Lessio, Processo Civile Telematico 1Andrea Rossetti
 
Fatturare alla Pubblica Amministrazione. Normativa, soluzioni e tempistiche.
Fatturare alla Pubblica Amministrazione. Normativa, soluzioni e tempistiche.Fatturare alla Pubblica Amministrazione. Normativa, soluzioni e tempistiche.
Fatturare alla Pubblica Amministrazione. Normativa, soluzioni e tempistiche.Sefin spa
 

Similar to Intercettazioni e posta elettronica: le misure di sicurezza per i gestori (20)

Intercettazioni: guida alle nuove norme per i provider
Intercettazioni: guida alle nuove norme per i providerIntercettazioni: guida alle nuove norme per i provider
Intercettazioni: guida alle nuove norme per i provider
 
Presentazione Pireo Gruppo Se.Co.Ges per Ufficiarredati.it 14/11/09
Presentazione Pireo Gruppo Se.Co.Ges per Ufficiarredati.it 14/11/09Presentazione Pireo Gruppo Se.Co.Ges per Ufficiarredati.it 14/11/09
Presentazione Pireo Gruppo Se.Co.Ges per Ufficiarredati.it 14/11/09
 
3 corso pec come funziona
3 corso pec come funziona3 corso pec come funziona
3 corso pec come funziona
 
4 corso pec come funziona
4 corso pec come funziona4 corso pec come funziona
4 corso pec come funziona
 
Articolo Pec
Articolo PecArticolo Pec
Articolo Pec
 
PEC (CdO Roma)
PEC (CdO Roma)PEC (CdO Roma)
PEC (CdO Roma)
 
La Posta Elettronica Certificata
La Posta Elettronica CertificataLa Posta Elettronica Certificata
La Posta Elettronica Certificata
 
La posta elettronica certificata (PEC)
La posta elettronica certificata (PEC)La posta elettronica certificata (PEC)
La posta elettronica certificata (PEC)
 
Posta certificata
Posta certificataPosta certificata
Posta certificata
 
Il Cowo e la Legge.
Il Cowo e la Legge.Il Cowo e la Legge.
Il Cowo e la Legge.
 
Fatturazione elettronica verso la PA? Con Menocarta.net basta un click
Fatturazione elettronica verso la PA? Con Menocarta.net basta un clickFatturazione elettronica verso la PA? Con Menocarta.net basta un click
Fatturazione elettronica verso la PA? Con Menocarta.net basta un click
 
Corso cad modulo 3_dsga_sl
Corso cad modulo 3_dsga_slCorso cad modulo 3_dsga_sl
Corso cad modulo 3_dsga_sl
 
Gdpr's new regulations and the criticalities detected by the privacy guaranto...
Gdpr's new regulations and the criticalities detected by the privacy guaranto...Gdpr's new regulations and the criticalities detected by the privacy guaranto...
Gdpr's new regulations and the criticalities detected by the privacy guaranto...
 
05 Paolo Lessio, Processo civile telematico
05 Paolo Lessio, Processo civile telematico05 Paolo Lessio, Processo civile telematico
05 Paolo Lessio, Processo civile telematico
 
Topologie
TopologieTopologie
Topologie
 
Paolo lessio, processo civile telematico 3
Paolo lessio, processo civile telematico 3Paolo lessio, processo civile telematico 3
Paolo lessio, processo civile telematico 3
 
“Le firme nei processi di fatturazione elettronica”
“Le firme nei processi di fatturazione elettronica” “Le firme nei processi di fatturazione elettronica”
“Le firme nei processi di fatturazione elettronica”
 
Paolo Lessio, Processo Civile Telematico 1
Paolo Lessio, Processo Civile Telematico 1Paolo Lessio, Processo Civile Telematico 1
Paolo Lessio, Processo Civile Telematico 1
 
1 corso pec
1 corso pec1 corso pec
1 corso pec
 
Fatturare alla Pubblica Amministrazione. Normativa, soluzioni e tempistiche.
Fatturare alla Pubblica Amministrazione. Normativa, soluzioni e tempistiche.Fatturare alla Pubblica Amministrazione. Normativa, soluzioni e tempistiche.
Fatturare alla Pubblica Amministrazione. Normativa, soluzioni e tempistiche.
 

More from Babel

Sophos Complete Security: arte e scienza della sicurezza
Sophos Complete Security: arte e scienza della sicurezzaSophos Complete Security: arte e scienza della sicurezza
Sophos Complete Security: arte e scienza della sicurezzaBabel
 
L’innovazione a difesa della tradizione: il caso dell’Archivio Storico della ...
L’innovazione a difesa della tradizione: il caso dell’Archivio Storico della ...L’innovazione a difesa della tradizione: il caso dell’Archivio Storico della ...
L’innovazione a difesa della tradizione: il caso dell’Archivio Storico della ...Babel
 
L’innovazione a difesa della tradizione: il caso dell’Archivio Storico della ...
L’innovazione a difesa della tradizione: il caso dell’Archivio Storico della ...L’innovazione a difesa della tradizione: il caso dell’Archivio Storico della ...
L’innovazione a difesa della tradizione: il caso dell’Archivio Storico della ...Babel
 
Dalla virtualizzazione al private cloud: Il Patronato INCA rinnova la fiducia...
Dalla virtualizzazione al private cloud: Il Patronato INCA rinnova la fiducia...Dalla virtualizzazione al private cloud: Il Patronato INCA rinnova la fiducia...
Dalla virtualizzazione al private cloud: Il Patronato INCA rinnova la fiducia...Babel
 
Will iPython replace Bash?
Will iPython replace Bash?Will iPython replace Bash?
Will iPython replace Bash?Babel
 
La gestione integrata della sicurezza in ANSA: dal firewalling all'UTM
La gestione integrata della sicurezza in ANSA: dal firewalling all'UTMLa gestione integrata della sicurezza in ANSA: dal firewalling all'UTM
La gestione integrata della sicurezza in ANSA: dal firewalling all'UTMBabel
 
Installare i server via rete con Cobbler
Installare i server via rete con CobblerInstallare i server via rete con Cobbler
Installare i server via rete con CobblerBabel
 
Shell Control Box - Il Gusto della Sicurezza
Shell Control Box - Il Gusto della SicurezzaShell Control Box - Il Gusto della Sicurezza
Shell Control Box - Il Gusto della SicurezzaBabel
 
Tracciamento delle attività di amministrazione mediante i BalaBit Shell Contr...
Tracciamento delle attività di amministrazione mediante i BalaBit Shell Contr...Tracciamento delle attività di amministrazione mediante i BalaBit Shell Contr...
Tracciamento delle attività di amministrazione mediante i BalaBit Shell Contr...Babel
 
La Desktop Virtualization
La Desktop VirtualizationLa Desktop Virtualization
La Desktop VirtualizationBabel
 
Crittografia e integrazione dei sistemi con Python
Crittografia e integrazione dei sistemi con PythonCrittografia e integrazione dei sistemi con Python
Crittografia e integrazione dei sistemi con PythonBabel
 
Babel presenta: Opsview
Babel presenta: OpsviewBabel presenta: Opsview
Babel presenta: OpsviewBabel
 
Monitoraggio di infrastrutture IT mediante Opsview Enteprise V4
Monitoraggio di infrastrutture IT mediante Opsview Enteprise V4Monitoraggio di infrastrutture IT mediante Opsview Enteprise V4
Monitoraggio di infrastrutture IT mediante Opsview Enteprise V4Babel
 
OpenVAS, lo strumento open source per il vulnerability assessment
OpenVAS, lo strumento open source per il vulnerability assessmentOpenVAS, lo strumento open source per il vulnerability assessment
OpenVAS, lo strumento open source per il vulnerability assessmentBabel
 
Testing with MySQL embedded
Testing with MySQL embeddedTesting with MySQL embedded
Testing with MySQL embeddedBabel
 
Cross compiler per uso domestico
Cross compiler per uso domesticoCross compiler per uso domestico
Cross compiler per uso domesticoBabel
 
Sicurezza flessibile con SELinux: architettura e configurazione
Sicurezza flessibile con SELinux: architettura e configurazioneSicurezza flessibile con SELinux: architettura e configurazione
Sicurezza flessibile con SELinux: architettura e configurazioneBabel
 
Ridirezionamento di I/O con Bash: un breve approfondimento
Ridirezionamento di I/O con Bash: un breve approfondimentoRidirezionamento di I/O con Bash: un breve approfondimento
Ridirezionamento di I/O con Bash: un breve approfondimentoBabel
 
Nagios in alta affidabilità con strumenti open source
Nagios in alta affidabilità con strumenti open sourceNagios in alta affidabilità con strumenti open source
Nagios in alta affidabilità con strumenti open sourceBabel
 
Il fenomeno dello spam: origine e contromisure
Il fenomeno dello spam: origine e contromisureIl fenomeno dello spam: origine e contromisure
Il fenomeno dello spam: origine e contromisureBabel
 

More from Babel (20)

Sophos Complete Security: arte e scienza della sicurezza
Sophos Complete Security: arte e scienza della sicurezzaSophos Complete Security: arte e scienza della sicurezza
Sophos Complete Security: arte e scienza della sicurezza
 
L’innovazione a difesa della tradizione: il caso dell’Archivio Storico della ...
L’innovazione a difesa della tradizione: il caso dell’Archivio Storico della ...L’innovazione a difesa della tradizione: il caso dell’Archivio Storico della ...
L’innovazione a difesa della tradizione: il caso dell’Archivio Storico della ...
 
L’innovazione a difesa della tradizione: il caso dell’Archivio Storico della ...
L’innovazione a difesa della tradizione: il caso dell’Archivio Storico della ...L’innovazione a difesa della tradizione: il caso dell’Archivio Storico della ...
L’innovazione a difesa della tradizione: il caso dell’Archivio Storico della ...
 
Dalla virtualizzazione al private cloud: Il Patronato INCA rinnova la fiducia...
Dalla virtualizzazione al private cloud: Il Patronato INCA rinnova la fiducia...Dalla virtualizzazione al private cloud: Il Patronato INCA rinnova la fiducia...
Dalla virtualizzazione al private cloud: Il Patronato INCA rinnova la fiducia...
 
Will iPython replace Bash?
Will iPython replace Bash?Will iPython replace Bash?
Will iPython replace Bash?
 
La gestione integrata della sicurezza in ANSA: dal firewalling all'UTM
La gestione integrata della sicurezza in ANSA: dal firewalling all'UTMLa gestione integrata della sicurezza in ANSA: dal firewalling all'UTM
La gestione integrata della sicurezza in ANSA: dal firewalling all'UTM
 
Installare i server via rete con Cobbler
Installare i server via rete con CobblerInstallare i server via rete con Cobbler
Installare i server via rete con Cobbler
 
Shell Control Box - Il Gusto della Sicurezza
Shell Control Box - Il Gusto della SicurezzaShell Control Box - Il Gusto della Sicurezza
Shell Control Box - Il Gusto della Sicurezza
 
Tracciamento delle attività di amministrazione mediante i BalaBit Shell Contr...
Tracciamento delle attività di amministrazione mediante i BalaBit Shell Contr...Tracciamento delle attività di amministrazione mediante i BalaBit Shell Contr...
Tracciamento delle attività di amministrazione mediante i BalaBit Shell Contr...
 
La Desktop Virtualization
La Desktop VirtualizationLa Desktop Virtualization
La Desktop Virtualization
 
Crittografia e integrazione dei sistemi con Python
Crittografia e integrazione dei sistemi con PythonCrittografia e integrazione dei sistemi con Python
Crittografia e integrazione dei sistemi con Python
 
Babel presenta: Opsview
Babel presenta: OpsviewBabel presenta: Opsview
Babel presenta: Opsview
 
Monitoraggio di infrastrutture IT mediante Opsview Enteprise V4
Monitoraggio di infrastrutture IT mediante Opsview Enteprise V4Monitoraggio di infrastrutture IT mediante Opsview Enteprise V4
Monitoraggio di infrastrutture IT mediante Opsview Enteprise V4
 
OpenVAS, lo strumento open source per il vulnerability assessment
OpenVAS, lo strumento open source per il vulnerability assessmentOpenVAS, lo strumento open source per il vulnerability assessment
OpenVAS, lo strumento open source per il vulnerability assessment
 
Testing with MySQL embedded
Testing with MySQL embeddedTesting with MySQL embedded
Testing with MySQL embedded
 
Cross compiler per uso domestico
Cross compiler per uso domesticoCross compiler per uso domestico
Cross compiler per uso domestico
 
Sicurezza flessibile con SELinux: architettura e configurazione
Sicurezza flessibile con SELinux: architettura e configurazioneSicurezza flessibile con SELinux: architettura e configurazione
Sicurezza flessibile con SELinux: architettura e configurazione
 
Ridirezionamento di I/O con Bash: un breve approfondimento
Ridirezionamento di I/O con Bash: un breve approfondimentoRidirezionamento di I/O con Bash: un breve approfondimento
Ridirezionamento di I/O con Bash: un breve approfondimento
 
Nagios in alta affidabilità con strumenti open source
Nagios in alta affidabilità con strumenti open sourceNagios in alta affidabilità con strumenti open source
Nagios in alta affidabilità con strumenti open source
 
Il fenomeno dello spam: origine e contromisure
Il fenomeno dello spam: origine e contromisureIl fenomeno dello spam: origine e contromisure
Il fenomeno dello spam: origine e contromisure
 

Intercettazioni e posta elettronica: le misure di sicurezza per i gestori

  • 1. Le prestazioni obbligatorie per le Autorità Giudiziarie applicate alle piattaforme di posta elettronica di Michelangelo Uberti La normativa di riferimento Il 15 dicembre 2005 il Garante per la Protezione dei Dati Personali ha pubblicato il provvedimento denominato Misure di sicurezza obbligatorie per le intercettazioni 1 il quale identifica le prestazioni obbligatorie che i fornitori di servizi telefonici e telematici devono erogare su richiesta delle Autorità Giudiziarie (AAGG). Da questo primo provvedimento derivano i quattro principali requisiti per l’erogazione delle prestazioni obbligatorie:  tracciamento del traffico (cd. intercettazione)  sospensione o limitazione dei servizi agli utenti  documentazione del traffico pregresso contabilizzato (cd. tabulati)  documentazione integrale del traffico storico (cd. sequestro) In fase successiva sono state pubblicate le Prescrizioni impartite con il Provvedimento del 15 dicembre 2005 relativo a "nuove misure di sicurezza presso i gestori per le intercettazioni" 2 che rappresentano un approfondimento sulle modalità di realizzazione basandosi sulle inadempienze dei principali service provider all’epoca esaminati. L'obbligatorietà dell'attuazione dei suddetti provvedimenti nonché della messa in sicurezza delle procedure e delle infrastrutture IT coinvolte è ribadita con la comunicazione Intercettazioni: misure di sicurezza presso i gestori3 del 20 settembre 2006: « le prescrizioni impartite dal Garante sono per legge efficaci e vincolanti nei confronti dei titolari del trattamento che ne sono destinatari, e non possono considerarsi condizionate all'adesione od approvazione di altre autorità ». Ulteriori riferimenti alle intercettazioni telefoniche, informatiche, telematiche o ambientali, anche di tipo preventivo sono presenti negli artt. 266 ss. e 226 disp. att. c.p.p. 1 http://www.garanteprivacy.it/garante/doc.jsp?ID=1203890 2 http://www.garanteprivacy.it/garante/doc.jsp?ID=1348670 3 http://www.garanteprivacy.it/garante/doc.jsp?ID=1341009 BABEL S.r.l. - P.zza S.Benedetto da Norcia 33 - 00040, Pomezia (RM) - Tel:. +39 06.9826.9600 - Fax. +39 06.9826.9680 E-Mail: info@babel.it – PEC: babel@pec.babel.it – WEB: http://www.babel.it Reg. Imprese di Roma N° 06062681009 - N.R.E.A. 953123 - P.I. e C.F. 06062681009 Cap. Soc. € 102.774,00 i.v. Società soggetta alla direzione e coordinamento della Par-tec S.p.A - Società iscritta al registro delle Imprese di Milano al numero 1293820015
  • 2. L’intercettazione delle comunicazioni a mezzo e-mail La prima e più diffusa prestazione obbligatoria è sicuramente l’intercettazione dei messaggi inviati e ricevuti da un determinato utente. L’obiettivo è del tutto analogo a quello dell’intercettazione telefonica ma, a differenza di quest’ultima, può prevedere una fruizione asincrona in quanto i messaggi non devono necessariamente essere inoltrati in tempo reale. Le modalità in cui è possibile effettuare l’intercettazione sono principalmente due:  inserimento in rete di sonde abilitate ad analizzare tutto il traffico entrante, uscente e interno alla piattaforma di posta elettronica;  duplicazione delle code di gestione di flussi di posta e trattamento dei messaggi inviati da o destinati all’utente soggetto ad intercettazione. In entrambi i casi i “messaggi incriminati” devono essere consegnati ad un cosiddetto “punto di ascolto”, cioè una mailbox gestita da un operatore delle forze dell’ordine. Per assicurare la trasparenza dell’operazione all’utente intercettato e garantire la sicurezza della comunicazione è necessario rispettare alcuni requisiti imposti dalla normativa:  la mailbox sorgente deve essere diversa da quella dell’utente intercettato in modo da prevenire che eventuali messaggi di errore (es. undeliverable) non evidenzino l’erogazione della prestazione. Questa nuova mailbox deve contenere il riferimento al fornitore dei servizi e all’identificativo del procedimento penale (il cosiddetto “decreto”);  al fine di preservare le intestazioni (header) originali del messaggio intercettato, quest’ultimo deve essere inoltrato come allegato ad un nuovo messaggio di posta elettronica;  per evitare che un utente non autorizzato possa prendere visione del messaggio originale, è necessario che quest’ultimo venga cifrato con una password definita dall’operatore in fase di inserimento del decreto di intercettazione;  per assicurare che il messaggio non venga alterato durante il transito dal sistema sorgente a quello destinazione è necessario utilizzare (ove possibile) dei canali di comunicazione sicuri e caselle di Posta Elettronica Certificata (PEC). Per ridurre al minimo il transito su sistemi esterni è possibile prevedere che la mailbox del punto di ascolto risieda sulla stessa piattaforma dell’utente intercettato. La sospensione dell’accesso alla mailbox Questo tipo di intervento prevede la disabilitazione completa dell’accesso alla mailbox, sia per quanto riguarda la ricezione da parte dell’utente (es. via protocollo IMAP44 o POP35) che per 4 Internet Message Access Protocol v4 revision 1 – RFC3501 BABEL S.r.l. - P.zza S.Benedetto da Norcia 33 - 00040, Pomezia (RM) - Tel:. +39 06.9826.9600 - Fax. +39 06.9826.9680 E-Mail: info@babel.it – PEC: babel@pec.babel.it – WEB: http://www.babel.it Reg. Imprese di Roma N° 06062681009 - N.R.E.A. 953123 - P.I. e C.F. 06062681009 Cap. Soc. € 102.774,00 i.v. Società soggetta alla direzione e coordinamento della Par-tec S.p.A - Società iscritta al registro delle Imprese di Milano al numero 1293820015
  • 3. quanto riguarda l’invio (es. via protocollo SMTP 6). Resta inteso che, anche in assenza di accessi lato utente, la mailbox continuerà ad essere attiva e pertanto continuerà a ricevere nuovi messaggi. La disabilitazione totale della ricezione di nuovi messaggi sulla mailbox è un’operazione facoltativa abilitabile a discrezione dell’Autorità Giudiziaria. La sospensione dell’accesso alla mailbox, analogamente alla sospensione/limitazione del funzionamento di una linea telefonica, consente di evitare che il soggetto indagato effettui delle comunicazioni non autorizzate o, nel caso peggiore, elimini dei messaggi archiviati che potrebbero essere utilizzati come prove nell’ambito di un procedimento penale. Le suddette limitazioni devono essere applicate a tutte le modalità di accesso previste dal servizio erogato, pertanto coinvolgono gli accessi da client di posta desktop e mobile e gli accessi da webmail (se presente). Documentazione del traffico storico Il tracciamento del traffico mail entrante e uscente è del tutto analogo all’analisi a posteriori dei tabulati telefonici relativi alle utenze di un soggetto indagato. Quest’ultima prestazione differisce dalle precedenti in quanto non è caratterizzata da un’attivazione una tantum, ovvero con una data inizio ed una di fine, ma prevede un’attività continuativa effettuata automaticamente dalla piattaforma di posta. L’accesso a tali informazioni può altresì essere una tantum in quanto non è necessario garantire l’invio o l’accesso costante ai log da parte dell’Autorità Giudiziaria. Facendo riferimento al caso specifico del servizio di posta elettronica, è richiesto il tracciamento delle seguenti informazioni:  indirizzo IP e indirizzo di posta elettronica del mittente;  indirizzo IP e nome a dominio pienamente qualificato (FQDN) del mail exchanger host, nel caso della tecnologia SMTP ovvero di qualsiasi tipologia di host relativo ad una diversa tecnologia utilizzata per la trasmissione della comunicazione;  indirizzo di posta elettronica, ed eventuale ulteriore identificativo, del destinatario della comunicazione;  indirizzo IP e nome a dominio pienamente qualificato (FQDN) del mail exchanger host, nel caso della tecnologia SMTP, ovvero di qualsiasi tipologia di host, relativamente ad una diversa tecnologia utilizzata, che ha provveduto alla consegna del messaggio; 5 Post Office Protocol v3 – RFC1939 6 Simple Mail Transfer Protocol – RFC2821 e RFC2822 BABEL S.r.l. - P.zza S.Benedetto da Norcia 33 - 00040, Pomezia (RM) - Tel:. +39 06.9826.9600 - Fax. +39 06.9826.9680 E-Mail: info@babel.it – PEC: babel@pec.babel.it – WEB: http://www.babel.it Reg. Imprese di Roma N° 06062681009 - N.R.E.A. 953123 - P.I. e C.F. 06062681009 Cap. Soc. € 102.774,00 i.v. Società soggetta alla direzione e coordinamento della Par-tec S.p.A - Società iscritta al registro delle Imprese di Milano al numero 1293820015
  • 4. indirizzo IP utilizzato per la ricezione ovvero la consultazione dei messaggi di posta elettronica da parte del destinatario indipendentemente dalla tecnologia o dal protocollo utilizzato;  data e ora (GMT7) della connessione e della disconnessione dell'utente del servizio di posta elettronica su internet ed indirizzo IP utilizzato, indipendentemente dalla tecnologia e dal protocollo impiegato;  il servizio internet utilizzato (es. protocollo impiegato). Sono esclusi dal tracciamento alcuni casi in cui è palese che il traffico non documenta effettive comunicazioni tra utenti:  invio di una mail ad un dominio inesistente;  mail di servizio destinate o generate dal postmaster/mailer-daemon (ad es. mail di benvenuto o di superamento occupazione quota mailbox);  mail di servizio applicative (ad es. da root a root per la mancanza di spazio su disco);  mail entranti o uscenti scartate per vari motivi dagli antivirus/antispam. Il formato dei log/tabulati è accuratamente descritto nella tabella sottostante. Per ogni scenario di traffico sono stati indicati sia i campi richiesti (SI) che quelli non applicabili per motivi tecnici (N.A.). 7 Greenwich Mean Time – è il fuso orario di riferimento BABEL S.r.l. - P.zza S.Benedetto da Norcia 33 - 00040, Pomezia (RM) - Tel:. +39 06.9826.9600 - Fax. +39 06.9826.9680 E-Mail: info@babel.it – PEC: babel@pec.babel.it – WEB: http://www.babel.it Reg. Imprese di Roma N° 06062681009 - N.R.E.A. 953123 - P.I. e C.F. 06062681009 Cap. Soc. € 102.774,00 i.v. Società soggetta alla direzione e coordinamento della Par-tec S.p.A - Società iscritta al registro delle Imprese di Milano al numero 1293820015
  • 5. Dati mail exchanger host Dati mail exchanger host Dati mittente Dati destinatario mittente destinatario Indirizzo IP Nome a della dominio della Indirizzo IP Data e Nome a dominio Servizio piattaforma piattaforma della ora (GMT) Identificativ Indirizzo di Indirizzo IP Indirizzo di della piattaforma internet Scenario di traffico host utilizzata host utilizzata piattaforma della o posta destinatari posta host che ha utilizzato Indirizzo IP per la per la host che ha connessio messaggio elettronic o per elettronica provveduto alla (protocollo) trasmissione trasmissione provveduto ne (message- a ricezione Destinatario consegna del della della alla consegna id) messaggio comunicazion comunicazion del messaggio e e I SCENARIO SI SI SI SI N.A. SI SI SI SI SMTP SI Invio e ricezione da interno a interno II SCENARIO SI SI SI SI N.A. SI SI SI SI SMTP SI Invio da interno ad altro mail server III SCENARIO N.A. SI SI SI N.A. SI SI SI SI SMTP SI Ricezione da altro mail server a interno IV SCENARIO SI SI SI SI N.A. SI SI SI SI SMTP SI Invio da interno a interno via Webmail V SCENARIO Invio da interno ad SI SI SI SI N.A. SI SI SI SI SMTP SI altro mail server via Webmail VI SCENARIO SI SI SI SI N.A. N.A. N.A. N.A SI POP3 N.A. Accesso alla casella di posta via IMAP4 VII SCENARIO SI SI SI SI N.A. N.A. N.A. N.A SI IMAP4 N.A. Accesso alla casella di posta via POP3 VIII SCENARIO SI SI SI SI N.A. N.A. N.A. N.A SI WEB N.A. Accesso alla casella di posta via Webmail BABEL S.r.l. - P.zza S.Benedetto da Norcia 33 - 00040, Pomezia (RM) - Tel:. +39 06.9826.9600 - Fax. +39 06.9826.9680 E-Mail: info@babel.it – PEC: babel@pec.babel.it – WEB: http://www.babel.it Reg. Imprese di Roma N° 06062681009 - N.R.E.A. 953123 - P.I. e C.F. 06062681009 Cap. Soc. € 102.774,00 i.v. Società soggetta alla direzione e coordinamento della Par-tec S.p.A - Società iscritta al registro delle Imprese di Milano al numero 1293820015
  • 6. La durata e la modalità di conservazione dei log è descritta in altre norme che non saranno trattate in questo documento. Il sequestro del contenuto della mailbox La normativa prevede che, analogamente al sequestro di un classico archivio documentale in un ufficio, sia possibile effettuare il sequestro completo del contenuto di una mailbox residente nel server di posta di proprietà del gestore. Tale prestazione ha il semplice scopo di consentire l’analisi dello scambio di comunicazioni precedentemente avvenuto tra il soggetto indagato ed eventuali altri soggetti. Il sequestro è un’attività una tantum e pertanto “fotografa” lo stato della mailbox in un determinato momento senza prendere in considerazione i contenuti precedentemente rimossi (a meno che siano ancora presenti nel “Cestino”) o quelli che verranno introdotti successivamente. La consegna del materiale sequestrato può avvenire in tre modalità:  Inoltro di ogni singolo messaggio di posta elettronica presente nella mailbox con modalità analoghe a quelle previste per l’intercettazione (inoltro come allegato, cifratura, etc.);  consegna di un supporto fisico (CD, DVD) contenente una copia esatta della casella ad un rappresentante delle forze dell’ordine;  download di un archivio compresso e cifrato, anche in questo caso contenente una copia esatta della casella. La prima modalità, seppur prevista dalla normativa, è sicuramente la meno conveniente in quanto in caso di sequestro di una mailbox di grandi dimensioni si rischierebbe di saturare la casella del punto di ascolto e/o di incidere negativamente sulle performance del sistema sorgente. La modalità di erogazione delle prestazioni obbligatorie La normativa di riferimento descrive accuratamente le prestazioni erogabili da un fornitore di servizi ma non entra nel merito delle modalità di erogazione delle stesse. Le informazioni certe sono relativamente poche:  la richiesta di erogazione di una prestazione avviene mediante l’emissione di un decreto da parte dell’Autorità Giudiziaria, atto successivamente consegnato al fornitore dei servizi;  ogni decreto contiene l’identificativo del procedimento penale, la data di inizio e fine del decreto (fatta eccezione per il sequestro), la mailbox target ossia quella da intercettare, la mailbox destinataria ossia quella dell’operatore delle forze dell’ordine, la password per la cifratura della mail inoltrata come allegato; BABEL S.r.l. - P.zza S.Benedetto da Norcia 33 - 00040, Pomezia (RM) - Tel:. +39 06.9826.9600 - Fax. +39 06.9826.9680 E-Mail: info@babel.it – PEC: babel@pec.babel.it – WEB: http://www.babel.it Reg. Imprese di Roma N° 06062681009 - N.R.E.A. 953123 - P.I. e C.F. 06062681009 Cap. Soc. € 102.774,00 i.v. Società soggetta alla direzione e coordinamento della Par-tec S.p.A - Società iscritta al registro delle Imprese di Milano al numero 1293820015
  • 7. la mancata attuazione del decreto entro dei tempi prestabiliti può comportare l’emissione di una o più sanzioni amministrative;  la funzione aziendale preposta al trattamento dei dati giudiziari deve essere diversa da quella incaricata della gestione della piattaforma di posta. Nel rispetto dei suddetti punti è possibile stabilire quale sia la modalità di gestione ed erogazione più adatta alla propria realtà aziendale. Su richiesta di uno dei principali provider italiani, Babel ha realizzato una web application che, connessa alla piattaforma di posta, consente la gestione e l’attuazione dei decreti consegnati dall’AG. Lo strumento custom consente di effettuare le seguenti attività:  gestione e profilazione degli utenti (Amministratore e Operatore);  tracciamento di tutte le attività effettuate dagli utenti del sistema;  enforcement delle password policies (robustezza, scadenza, etc.);  accesso e ricerca nei tabulati di traffico storico;  gestione dei decreti di intercettazione e attuazione diretta sulla piattaforma di posta elettronica;  gestione dei decreti di sequestro e gestione del download del file compresso contenente l’intero contenuto della mailbox target;  gestione dei decreti di sospensione/limitazione del servizio ed attuazione diretta sulla piattaforma di posta elettronica. L’accesso all’interfaccia web avviene ovviamente via HTTPS8 con protezione mediante certificati SSL9 riconosciuti su internet. Per limitare gli accessi non autorizzati, tutti i dati giudiziari vengono salvati su una base dati cifrata e ogni accesso è tracciato su log immodificabili e non ripudiabili. 8 Hypertext Transfer Protocol Secure 9 Secure Sockets Layer BABEL S.r.l. - P.zza S.Benedetto da Norcia 33 - 00040, Pomezia (RM) - Tel:. +39 06.9826.9600 - Fax. +39 06.9826.9680 E-Mail: info@babel.it – PEC: babel@pec.babel.it – WEB: http://www.babel.it Reg. Imprese di Roma N° 06062681009 - N.R.E.A. 953123 - P.I. e C.F. 06062681009 Cap. Soc. € 102.774,00 i.v. Società soggetta alla direzione e coordinamento della Par-tec S.p.A - Società iscritta al registro delle Imprese di Milano al numero 1293820015
  • 8. Licenza d'uso “Attribuzione - Non commerciale - Non opere derivate”, secondo i criteri internazionali Creative Commons (http://creativecommons.org/licenses/by-nc-nd/2.5/it/) BABEL S.r.l. - P.zza S.Benedetto da Norcia 33 - 00040, Pomezia (RM) - Tel:. +39 06.9826.9600 - Fax. +39 06.9826.9680 E-Mail: info@babel.it – PEC: babel@pec.babel.it – WEB: http://www.babel.it Reg. Imprese di Roma N° 06062681009 - N.R.E.A. 953123 - P.I. e C.F. 06062681009 Cap. Soc. € 102.774,00 i.v. Società soggetta alla direzione e coordinamento della Par-tec S.p.A - Società iscritta al registro delle Imprese di Milano al numero 1293820015