Cosa accade se un pirata informatico cerca di introdursi nei sistemi delle Procure e della polizia giudiziaria per carpire il frutto del lavoro di indagine, come intercettazioni telefoniche o ambientali? Quale resistenza verrà opposta al tentativo di intrusione? Di questo si è occupata l'Autorità Garante della protezione dei dati personali, la quale, dopo una lunga indagine, ha emesso il "provvedimento in materia di misure di sicurezza nelle attività di intercettazione da parte delle Procure della Repubblica" in data 18 luglio 2013 .

L'indagine conoscitiva avviata dall'Autorità già dallo scorso anno ha interessato alcune Procure della Repubblica di medie dimensioni (Bologna, Catanzaro, Perugia, Potenza e Venezia) ed aveva lo scopo di "valutare le misure tecnologiche e organizzative adottate negli Uffici giudiziari nell'attività di intercettazione di conversazioni telefoniche o di comunicazioni, anche informatiche e telematiche. Misure di sicurezza erano già state prescritte ai gestori di servizi di comunicazione elettronica che attivano la trasmissione dei dati relativi alle intercettazioni su richiesta dell'Autorità giudiziaria".

Il quadro "farraginoso" che ne è scaturito è stato tale da spingere l'Autorità Privacy ad emanare il provvedimento in questione.

Dai riscontri efffettuati, scrive il Garante, "è emerso un quadro variegato e disomogeneo che ha posto l'esigenza di mettere in campo interventi volti al rafforzamento del livello di sicurezza dei dati e dei sistemi usati per gestirli, nonché di estendere tali interventi alla generalità degli Uffici inquirenti".

Gli interventi posti in essere dal Garante Privacy interessano i Centri Intercettazioni Telecomunicazioni (C.I.T.) e gli Uffici di polizia giudiziaria delegata all'attività di intercettazione e consistono in tre fondamentali indicazioni:

Misure di sicurezza fisica
Previsto un controllo all'accesso nelle sale d'ascolto  e nei locali dove vengono custoditi server  e o terminali per la ricezione dei flussi informativi. L'accesso sarà possibile solo tramite badge individuali nominalmente assegnati o dispositivi biometrici. Gli accessi dovranno essere tracciati. Prevista anche la predisposizione di impianti di videosorveglianza a circuito chiuso per il controllo dei locali.

Misure di sicurezza informatica
L'accesso deve avvenire solamente da postazioni sicure ed individuate preliminarmente. Le intercettazioni (quali ascolto, consultazione, registrazione, duplicazione e archiviazione delle informazioni, trascrizione delle intercettazioni, manutenzione dei sistemi, distruzione delle registrazioni e dei supporti), indica il Garante, "dovranno essere annotate in registri informatici con tecniche che ne assicurino la inalterabilità". Le tracce foniche, le altre informazioni acquisite e le eventuali copie di sicurezza (backup) dovranno essere conservate in forma cifrata. Ogni estrazione di dati dovrà essere effettuata con procedure crittografiche. Lo scambio di dati tra Autorità giudiziaria e gestori di servizi Internet dovrà avvenire attraverso sistemi basati su protocolli di rete sicuri e in modo cifrato.

Remotizzazione degli ascolti
Per "remotizzazione" si intende il "reindirizzamento dei flussi delle comunicazioni intercettate dai centri presso le Procure verso gli Uffici di polizia giudiziaria delegata". Anche in questo caso si dovranno adottare le medesime misure di sicurezza viste in precedenza. Aggiunge il Garante: "i collegamenti tra le Procure e gli Uffici di polizia giudiziaria dovranno essere realizzati con connessioni "punto-punto" dedicate o con collegamenti in rete protetti (tipo Vpn)".

Le procure avranno 18 mesi di tempo per adeguarsi alle indicazioni dell'Autorità.