No, i fornitori devono consegnare tali dati soltanto se ne sono già in possesso. Lo stesso era previsto dal vecchio diritto: i fornitori devono consegnare tali dati soltanto se il pubblico ministero glieli richiede tramite decisione al fine di chiarire un reato. Il nuovo disciplinamento, che prevede una procedura standardizzata, permette di ridurre l’onere dei fornitori e delle autorità.

• Le persone obbligate a collaborare ai sensi dell’articolo 2 LSCPT sono:

- i fornitori di servizi postali (lett. a);

- i fornitori di servizi di telecomunicazione (FST; lett. b);

- i fornitori di servizi di comunicazione derivati (FSCD; lett. c);

- i gestori di reti di comunicazione interne (lett. d);

- le persone che mettono a disposizione di terzi il loro accesso a una rete pubblica di telecomunicazione (lett. e), e

• i rivenditori professionali di carte o di altri mezzi analoghi che consentono di accedere a una rete pubblica di telecomunicazione (lett. f) I FSCD comprendono in particolare:

- servizi online per la memorizzazione di dati (cloud storage, file hosting, share hoster, online storage, file sharing);

- servizi per caricare e condividere contenuti (p. es. video);

- cloud computing;

- mercati online (ma: i servizi di comunicazione all’interno di mercati online sono considerati servizi di telecomunicazione);

- media sociali (ma: i servizi di comunicazione all’interno di media sociali sono considerati servizi di telecomunicazione);

- location based services (servizi di localizzazione).

Ulteriori informazioni sono reperibili nel promemoria «FST-FSCD» sul sito Internet del Servizio SCPT.

Il Consiglio federale ha deciso di creare una base legale chiara per l’impiego di cosiddetti GovWare, che sarà ammesso soltanto per un catalogo di reati gravi più ristretto rispetto a quello normalmente previsto per la sorveglianza della corrispondenza postale e del traffico delle telecomunicazioni (art. 269 segg. CPP). Si tratta di reati per il cui perseguimento può essere disposta anche un’indagine sotto copertura (art. 286 cpv. 2 CPP). L’impiego sarà esplicitamente limitato alla sorveglianza del traffico delle telecomunicazioni. Restano non autorizzate le perquisizioni online dei computer o, ad esempio, la sorveglianza di un locale mediante il microfono o la telecamera di un computer. Inoltre, l’impiego deve essere in ogni caso ordinato dal pubblico ministero e approvato dal giudice delle misure coercitive.

Il GovWare è necessario affinché il perseguimento penale dei criminali possa restare al passo con gli sviluppi tecnologici. Non si tratta di intensificare la sorveglianza né tanto meno di «spiare» preventivamente i cittadini o di perquisire un computer. Le autorità di perseguimento penale devono tuttavia poter ricorrere ai mezzi di cui necessitano per perseguire reati gravi, altrimenti i criminali possono utilizzare mezzi di comunicazione moderni, a scapito del perseguimento penale: i trafficanti di droga potrebbero ad esempio concludere i loro affari tramite telefonia Internet crittografata, nella certezza di non essere sorvegliati.

Per evitare un uso abusivo dei GovWare occorre una combinazione di provvedimenti tecnici ed organizzativi. Sul piano tecnico è previsto quanto segue: le autorità di perseguimento penale definiscono le funzioni di sicurezza necessarie; un servizio indipendente verifica che queste funzioni di sicurezza siano complete e implementate conformemente agli standard riconosciuti. Le misure organizzative comprendono la descrizione, da parte delle autorità di perseguimento penale, di una procedura dettagliata per l’impiego e la gestione dei GovWare. Sono definite in particolare le autorizzazioni delle persone coinvolte o la modalità di impiego del sistema informatico. Infine, una verbalizzazione esaustiva di ogni passo, dalla domanda di autorizzazione fino alla fine della sorveglianza, ne garantisce la tracciabilità, anche per il giudice. Tutto ciò minimizza la possibilità di un abuso dei GovWare. Le informazioni ottenute da una sorveglianza telefonica possono essere utilizzate come prove in sede giudiziaria soltanto se la sorveglianza era stata ordinata e correttamente autorizzata anche per l’acquisizione di queste prove.

I fornitori di servizi di telecomunicazione conservano i metadati per sei mesi (art. 26 cpv. 5 LSCPT).

No, nei suoi accordi bilaterali con l’UE la Svizzera non ha recepito la direttiva sulla conservazione dei dati, che pertanto non è applicabile nel nostro Paese. Per quanto riguarda la conservazione preventiva dei dati, non si tratta dei contenuti, ma esclusivamente dei dati riguardanti i partecipanti, il momento, la durata, il luogo e i mezzi tecnici della comunicazione. Queste informazioni possono aiutare a chiarire un comportamento punibile o a individuare il luogo di permanenza di una persona scomparsa (ricerca d’emergenza). Con la sua decisione, la CGUE non vieta di per sé questa conservazione. La Corte esige tuttavia che la conservazione, l’utilizzo e l’accesso ai metadati siano disciplinati in maniera rigorosa. Queste regole accompagnatorie, assenti nella direttiva, sono tuttavia previste nel diritto svizzero. Secondo una valutazione dell’Ufficio federale di giustizia, la decisione della CGUE non mette pertanto direttamente in discussione la conservazione dei metadati in Svizzera.

In Svizzera l’ingerenza nei diritti fondamentali mediante la conservazione dei metadati è limitata al minimo indispensabile. Anche se i dati sono conservati preventivamente senza sospetto di reato, la polizia e il pubblico ministero non vi hanno tuttavia un accesso illimitato, poiché non sono in possesso dello Stato, bensì sono conservati presso il rispettivo fornitore di servizi di telecomunicazione. La legge prevede inoltre ostacoli elevati all’accesso: le autorità di perseguimento penale possono infatti consultare i dati soltanto se diverse condizioni sono adempiute. In particolare, nei procedimenti penali e nelle procedure d'assistenza giudiziaria la sorveglianza può essere ordinata soltanto se sussiste il sospetto fondato che sia stato commesso un crimine o un delitto. Inoltre, la gravità del reato deve giustificare la sorveglianza. Infine, è necessario che le operazioni d'inchiesta già svolte non abbiano dato esito positivo o che altrimenti le indagini risulterebbero vane o eccessivamente difficili. Per la ricerca d’emergenza devono sussistere seri indizi che facciano supporre che la salute o la vita della persona dispersa sia in grave pericolo. L’adempimento di queste condizioni è verificato d'ufficio, per ogni singolo caso, da un giudice. La sorveglianza non resta segreta: alla persona sorvegliata sono comunicati motivo, tipo e durata della sorveglianza, al più tardi dopo la conclusione della procedura preliminare.

Una rinuncia alla conservazione preventiva dei dati ostacolerebbe il perseguimento dei reati e comporterebbe pertanto conseguenze indesiderate per la sicurezza pubblica. La polizia non potrebbe più analizzare le tracce lasciate dagli autori telefonicamente e su Internet, a prescindere dal fatto che si tratti di criminalità informatica, pornografia infantile, traffico di droga, omicidi, reati patrimoniali o terrorismo. Anche la ricerca di persone disperse o condannate sarebbe ostacolata: sarebbe ad esempio difficile ricostruire l’ultimo luogo da dove una persona ha effettuato una telefonata.

• Nella procedura penale civile, il pubblico ministero (art. 269 cpv. 1 CPP).
• Nella procedura penale militare, i giudici istruttori militari (art. 70 cpv. 1 PPM).
• Il Servizio delle attività informative della Confederazione (SIC) (art. 26 segg. LAIn).
• Al di fuori della procedura penale, le autorità designate dal diritto cantonale – spesso la polizia cantonale – o dal diritto federale, in caso di ricerca d’emergenza e di ricerca di condannati (art. 37 cpv. 3 LSCPT).

Chi compra una carta SIM deve presentare un documento d’identità al proprio fornitore di servizi di telecomunicazione affinché ne faccia una copia. In caso di identificazione dell’acquirente della carta SIM mediante un documento elettronico d’identità (Ie) valido o di identificazione online l’acquirente non deve necessariamente presentarsi di persona. L’identificazione tramite un documento d’identità (senza conservazione di una copia) in occasione dell’acquisto di una carta SIM prepagata era obbligatoria già secondo il vecchio diritto. Visto che alcuni fornitori non hanno sempre ottemperato a questo obbligo e che i clienti a volte si sono registrati anche con nomi di fantasia (p. es. Paolino Paperino di Paperopoli), la nuova OSCPT (art. 20) chiede che venga conservata una copia ben leggibile del documento d’identità, affinché la polizia e il pubblico ministero possano utilizzare queste informazioni se necessarie per chiarire un reato. Questo obbligo di presentare un documento d’identità vige per tutti i clienti (carte prepagate e postpagate). Per l’identificazione (registrazione) finalizzata all’accesso a una rete WLAN continua a non essere necessario un documento d’identità.

• Sì, questi timori sono ingiustificati, poiché la misura di sorveglianza può essere ordinata soltanto da un’autorità in applicazione della legge (CPP o LAIn) e deve essere approvata da un giudice dei provvedimenti coercitivi o dal Tribunale amministrativo federale.
• Un’autorità di perseguimento penale (pubblico ministero) può disporre una sorveglianza soltanto nel quadro di un procedimento penale e in presenza di un reato grave (in merito si veda il catalogo dei reati).
• Il Servizio delle attività informative della Confederazione (SIC) può ordinare una sorveglianza anche in via preventiva e al di fuori di un procedimento penale, ma necessita l’approvazione del Tribunale amministrativo federale e del capo del DDPS (previa consultazione dei capi del DFAE e del DFGP).

Le statistiche (www.li.admin.ch/it/stats) mostrano che è disposta una sorveglianza in circa l’1,5 per cento di tutti i reati. In concreto, nel 2019 sono state ordinate 8666 sorveglianze a fronte di 544 781 reati, anche se diverse misure di sorveglianza possono riguardare un’unica persona, ad esempio se occorre sorvegliare il collegamento di rete fissa e vari cellulari di uno spacciatore di droga.

No. Chi mette a disposizione di terzi il proprio accesso a Internet deve semplicemente fornire al Servizio SCPT eventuali dati e tollerare una sorveglianza effettuata dal suddetto servizio. Il Servizio SCPT lo farà soltanto se la polizia e il pubblico ministero conducono indagini finalizzate a chiarire un reato e se la sorveglianza è stata disposta dal pubblico ministero e approvata dal giudice competente.

No. Questi accessi pubblici continueranno naturalmente a essere ammessi. Tuttavia, per chiarire reati gravi, la polizia e il pubblico ministero potranno, su approvazione del giudice, analizzare anche le comunicazioni avvenute attraverso questi punti di accesso. Per loro devono essere identificabili anche gli utenti di Internet, se le condizioni legali per tali indagini sono adempiute, come già previsto per gli abbonati alle reti di telefonia fissa e mobile. Altrimenti i criminali possono nascondersi troppo facilmente dietro l’anonimato.

Per chiarire reati, la polizia e il pubblico ministero devono poter identificare anche gli utenti di punti di accesso WLAN pubblici, se le condizioni legali per le pertinenti indagini sono adempiute. Ciò è possibile soltanto se gli utenti si collegano a una tale WLAN con dati di accesso, dopo essersi identificati prima perlomeno indirettamente. Soluzioni a tal fine, a misura di utente e poco costose per i fornitori, sono già in uso attualmente, ad esempio nelle stazioni, negli autopostali o negli aeroporti. Il login e l’identificazione nella WLAN avvengono ad esempio tramite un codice di conferma inviato per SMS sul cellulare. Sono tuttavia ipotizzabili anche altri metodi d’identificazione quali la carta di credito, il boarding pass in aeroporto o il voucher collegato al numero della camera d’albergo. Tali sistemi per l’identificazione semplice e rapida, ad esempio via SMS, sono già impiegati da molti fornitori. Le autorità di perseguimento penale possono così individuare in maniera realistica la persona che utilizza o ha utilizzato la WLAN per pianificare o commettere un reato. Non è tuttavia richiesta una copia del documento d’identità.

Per le autorità di perseguimento penale ciò rappresenta un progresso rispetto al passato, poiché non era prevista alcuna prescrizione che imponeva di identificarsi in certo qual modo nelle WLAN pubbliche. Resta tuttavia una lacuna laddove gli utenti continuano a non doversi identificare. Questo obbligo di identificazione vale infatti soltanto per le WLAN gestite in modo professionale.

• Devono poter essere identificati soltanto gli utenti di WLAN gestite in modo professionale, ad esempio nelle stazioni o negli aeroporti. Molti fornitori utilizzano già oggi sistemi per l’identificazione semplice e rapida, ad esempio tramite SMS.
• Chi gestisce una propria WLAN pubblica non deve adottare alcuna misura e non deve poter identificare nessuno, nemmeno se la WLAN è gestita ad esempio durante un festival all’aperto. Su ordine delle autorità di perseguimento penale e previa approvazione giudiziaria devono essere forniti soltanto i dati disponibili. Lo stesso vale per i proprietari di alberghi o ristoranti che mettono una WLAN a disposizione degli avventori.
• I fornitori di servizi Internet di scarsa importanza economica o nel settore dell’istruzione e della ricerca possono essere esonerati dagli obblighi di sorveglianza. Tali fornitori con obblighi di sorveglianza ridotti non sono tenuti a conservare i metadati dei collegamenti Internet a WLAN pubbliche. Memorizzano soltanto i dati identificativi rilevati al momento dell’identificazione fino a sei mesi dalla scadenza dell’autorizzazione di accesso dell’utente alla WLAN pubblica.
• Per gli utenti non cambia nulla e la loro navigazione su Internet non è limitata in alcun modo.

No. I privati che mettono a disposizione di terzi il loro accesso a Internet non devono né sorvegliare nessuno né memorizzare appositamente dati per fornirli alla polizia e al pubblico ministero per le indagini finalizzate a chiarire un reato. Tuttavia devono trasmettere i dati disponibili e fornire informazioni, qualora il pubblico ministero lo richieda al Servizio SCPT per mezzo di una decisione. Devono anche tollerare le sorveglianze disposte e approvate eseguite dal Servizio SCPT.