Posted inCertification / News

Modalità delle ispezioni

1. Ambito di riferimento

La garanzia di possesso di determinate qualità è una dichiarazione, spesso intesa quale atto di natura giuridica, di conoscenza di fatti e qualità verificati nella realtà, rilasciata da un soggetto qualificato in forma scritta contenuta in un documento chiamato appunto attestato o certificato di conformità. Nel settore commerciale l’attestazione di conformità è un processo compiuto per mezzo di attività da parte di un soggetto che è indipendente rispetto ai due principali attori che sono l’offerente e l’acquirente.
Nel settore ancora più specifico della lawful interception, a livello nazionale e internazionale di fatto non è definito alcun processo che riguardasse gli apparati o gli strumenti destinati allo specifico utilizzo, non nel metodo ma soprattutto nei contenuti con l’elencazione dei requisiti da possedere.

2. Iniziative della LIA in tale ambito

La LIA è stata fondata nel 2014 e ad oggi ha formato gratuitamente oltre 1.000 addetti della pubblica amministrazione e delle forze di polizia in 5 sessioni annuali distinte. Il 30 novembre 2018 la LIA ha terminato la definizione dell’elenco di requisiti (c.d. LIA Requirements) che i Prodotti operanti nello specifico ambito della lawful interception, strutturandolo per settore da ispezionare: Security, Privacy, ETSI standards, Leggi nazionali (specifiche del settore). Il 13 febbraio 2019 il Ministro della Giustizia con lettera protocollata m_dg.GAB.13/02/2019.0006292.U ha concesso il patrocinio alla Certificazione tecnica dei sistemi e dei servizi utilizzati per le intercettazioni offerta dalla LIA.

Terminata la fase di definizione dell’elenco di tali requisiti, la LIA si è posta il problema di quale potesse essere la metodologia più corretta per la loro verifica. Dopo alcune interlocuzioni tecniche di apporondimento e di confronto con l’ente italiano ACCREDIA, tale metodologia è stata indivuata nello standard ISO/IEC 17020:2012. E’ stato quindi definito l’intero framework di lavoro indicato dallo standard ISO e la LIA ha finalmente iniziato la sua attività in qualità di Organismo di Ispezione, dopo quindi un iter durato ben 8 anni a dimostrazione che la competenza in questo specifico settore non si improvvisa per le ovvie responsabilità che ne derivano. L’organigramma della LIA ha infine assegnato un nome alle singole figure che opereranno in conformità dello standard.

3. L’Organismo di Ispezione (OdI)

Un OdI ha il compito e la responsabilità di effettuare le valutazioni di conformità degli elementi sottoposti ad ispezione. Le valutazioni di conformità possono essere effettuate generalmente rispetto a regolamenti, a norme, a determinate specifiche tecniche, a schemi di ispezione anche propri, eventualmente integrati da specifiche richieste formalizzate nel contratto tra OdI e Cliente. In particolare si possono basare o sulla corrispondenza delle caratteristiche dell’oggetto esaminato a determinate specifiche, o su un giudizio professionale rispetto a requisiti generali, dove per requisiti generali si intendono quei requisiti che, per variabilità e per numerosità, non possono essere inclusi in un unico documento.

Gli elementi da sottoporre possono far parte della categoria: Prodotti, intesi come il risultato di uno o più processi, Processi, intesi come insieme di attività correlate o interagenti che trasformano elementi di ingresso in elementi di uscita, Servizi, intesi come risultato di un attività necessariamente effettuata all’interfaccia tra il fornitore ed il cliente, che è generalmente intangibile (Rif. ACCREDIA).

L’OdI deve sempre garantire il possesso della competenza e del know how necessari per svolgere il suo compito ispettivo. Premesso che tutte le ispezioni debbano essere svolte con imparzialità, gli organismi di ispezione si possono distinguere in tre tipi, in base alla loro indipendenza organizzativa : Tipo A: l’organismo di ispezione che svolge esclusivamente attività di valutazione della conformità ed è pertanto organismo di terza parte; Tipo B: l’organismo di ispezione è una è una parte separata e identificabile di un’organizzazione, e opera solamente per questa organizzazione madre. Tipo C: l’organismo di ispezione è una parte identificabile, ma non necessariamente separata, di un’organizzazione, e può svolgere attività sia per l’organizzazione madre, sia per altre organizzazioni.
Per comprendere le differenze tra ispezione e certificazione, si rimanda all’articolo di ACCREDIA in allegato.

Lo standard ISO/IEC 17020:2012 prevede che gli OdI ottemperino a determinati requisiti obbligatori tra cui: 1) predisporre un Sistema di Gestione della Qualità; 2) individuare le varie figure coinvolte e definire un organigramma interno; 3) predisporre un Regolamento delle attività ispettive.

La LIA, in qualità di OdI, effettua quindi le verifiche fornendo Servizi di “terza parte” e rispettando criteri oggettivi di indipendenza e di imparzialità sia tecnica che economica, e quanto altro connesso con tali Servizi. L’OdI ed il suo personale non sono impegnati in attività che possono entrare in conflitto con l’indipendenza di giudizio e con l’integrità professionale in relazione alle loro attività di ispezione. In particolare, essi non sono direttamente coinvolti nelle fasi di progetto, fabbricazione, fornitura, installazione, utilizzo e manutenzione dei Prodotti sottoposti ad ispezione. Il personale dell’OdI non può essere impegnato in altre attività, anche al di fuori dell’OdI, che possano influenzare la sua obiettività ovvero in attività che possano creare conflitti di interesse per le ispezioni.

La LIA inoltre assicura la riservatezza delle informazioni ottenute nel corso delle proprie attività di ispezione in ottemperanza al Regolamento Europeo sulla Protezione dei Dati (GDPR) e al Codice della privacy italiano (Decreto Legislativo 30 giugno 2003 n.196 e s.m.i.).
Il Cliente rimane il proprietario degli impianti e dei documenti forniti dallo stesso per l’effettuazione dell’ispezione, compresa la proprietà intellettuale. I documenti forniti dal Cliente mantengono l’identificazione fatta dallo stesso, alla quale è aggiunta l’identificazione interna con il numero di pratica, o come allegati specifici riportati nel Rapporto di Ispezione. Tutto il personale dell’OdI è tenuto alla riservatezza delle informazioni ottenute nel corso delle attività di ispezione ed è tenuto alla tutela dei diritti di proprietà.

4. Regolamento delle Ispezioni della LIA

In accordo al Sistema di Gestione della Qualità della LIA in qualità di OdI, a seguito di una esplicita richiesta del Cliente che dovrà pervenire via email/pec, il primo step è rappresentato dall’individuazione del Prodotto da ispezionare e da indicare nell’apposito Modulo 14-01 che il Cliente riceverà, da compilare e rinviare all’OdI. Assieme al Modulo sarà inviato il “Regolamento per la gestione delle attività di Ispezione” ed il “Tariffario delle attività di Ispezione” i cui valori economici sono ispirati esattamente al tariffario applicato dall’ente ACCREDIA.

Una volta che l’OdI riceverà il Modulo 14-01 compilato e firmato, a seguire sarà formulato un relativo “Piano di ispezione e controllo” i cui valori saranno inseriti nell’offerta tecnico-economica che il Cliente riceverà relativamente al servizio richiesto. Se il Cliente accettata l’offerta, seguirà poi la stipula del Contratto con l’OdI per il servizio richiesto.

A valle della stipula del contratto, il Cliente dovrà inviare la documentazione di Prodotto richiesta, che sarà oggetto della prima fase di ispezione. La seconda fase dell’ispezione del Prodotto potrà essere effettuata anche presso la sua sede seguendo la check list della metodologia della LIA e andrà a esaminare lo stato attuale del Prodotto sotto i 4 profili di Security, Privacy, ETSI Standards e Leggi Nazionali. E’ utile precisare che qualunque integrazione alla documentazione già inviata all’OdI, in forma di approfondimento o dichiarazione che si renda necessaria durante la fase ispettiva, deve essere prodotta per iscritto, datata e firmata. Tutte le evidenze oggettive sono inserite nel Rapporto di Ispezione.

In assenza di “non conformità” l’esito dell’ispezione è considerato positivo e quindi potrà essere emesso un Certificato di Conformità che può essere esposto su ogni campione di Prodotto ed inserito nel pubblico registro dei Certificati di Conformità emessi dalla LIA. Considerando lo specifico e delicato ambito in cui il Prodotto opererà, il periodo di validità del Certificato di Conformità è di 1 anno se la Versione del Prodotto non cambia. Se la Versione cambia allora occorre richiedere un nuovo servizio di ispezione, se invece la Versione non cambia allora la nuova ispezione è focalizzata alla verifica del mantenimento della conformità già rilevata ed avrà una durata temporale inferiore.

5. Garanzie ottenute con la conformità

Nella seduta del 28 luglio 2021 il CSM ha fatto riferimento all’opportunità di ricorrere a soggetti certificatori che potrebbe concorrere al raggiungimento di importanti garanzie:

  • per il Cittadino che l’intero processo delle attività di intercettazione sia presidiato da strutture tecniche adeguate ad assicurare l’integrità, la continuità, la non manipolabilità, la non replicabilità, la confidenzialità delle comunicazioni;
  • per il Procuratore della Repubblica di disporre di elementi valutativi affidabili nella scelta della società cui affidare le attività tecniche;
  • per l’Operatore di polizia di avere un qualificato e competente interlocutore, con il quale confrontarsi in maniera permanente, ogni volta che debbano risolvere criticità tecnologiche od assumere decisioni in tale ambito.