Business Hi-Tech

Bogdan Manolea, APTI: Guvernul Cîţu a introdus discret în Codul Comunicaţiilor o extindere a interceptării comunicaţiilor, inclusiv a „conţinutului comunicaţiilor criptate tranzitate”, adică a mesajelor şi apelurilor prin platforme precum Skype, WhatsApp, Facebook Messanger, Signal, Wire sau Telegram. Proiectul mai poate fi modificat în Senat

Bogdan Manolea, APTI: Guvernul Cîţu a introdus discret...

Autor: Adrian Seceleanu

09.12.2021, 13:11 15816

Proiectul de lege pentru transpunerea directivei UE 2018/1972 (Codul european al comunicaţiilor), adoptat de Guvernul Cîţu cu 3 zile înainte de a fi demis de Parlament, introduce, discret, o lărgire a domeniului şi spectrului interceptării comunicaţiilor electronice, inclusiv a accesului la datele de trafic, date de conţinut şi la „conţinutul comunicaţiilor criptate tranzitate”, adică la conţinutul comunicaţiilor realizate prin platforme precum Skype, WhatsApp, Facebook Messanger, Signal, Wire sau Telegram, conform Asociaţiei pentru Tehnologie şi Internet (APTI).

“Între varianta (proiectului de lege – n. red.) din dezbatere publică şi cea adoptată de guvern apare o nouă adăugire în motivaţie numită „Schimbări legislative relevante pentru domeniul securităţii naţionale”, două definiţii (scrise evident de persoane care nu au lucrat în domeniu, după formulările absolut improprii) şi art 102 inserat într-o zonă care n-are nimic de a face cu subiectul celorlalte 299 de pagini”, notează Bogdan Manolea, director executiv al APTI.
Cele două articole sună astfel:
“Art.10^2. — (1) Furnizorii de servicii de găzduire electronică cu resurse IP şi furnizorii de servicii de comunicaţii interpersonale care nu se bazează pe numere au obligaţia să sprijine organele de aplicare a legii şi organele cu atribuţii în domeniul securităţii naţionale, în limitele competenţelor acestora, pentru punerea în executare a metodelor de supraveghere tehnică ori a actelor de autorizare dispuse în conformitate cu dispoziţiile Legii nr. 135/2010 privind Codul de procedură penală, cu modificările şi completările ulterioare, şi ale Legii nr. 51/1991 privind securitatea naţională, republicată, cu modificările şi completările ulterioare, respectiv:

a) să permită interceptarea legală a comunicaţiilor, inclusiv să suporte costurile aferente;

b) să acorde accesul la conţinutul comunicaţiilor criptate tranzitate în reţelele proprii;

c) să furnizeze informaţiile reţinute sau stocate referitoare la date de trafic, date de identificare a abonaţilor sau clienţilor, modalităţi de plată şi istoricul accesărilor cu momentele de timp aferente;

d) să permită, în cazul furnizorilor de servicii de găzduire electronică cu resurse IP, accesul la propriile sisteme informatice, în vederea copierii sau extragerii datelor existente.

(2) Obligaţiile prevăzute la alin. (1) lit. a) - c) se aplică în mod corespunzător şi furnizorilor de reţele sau servicii de comunicaţii electronice.”

Manolea traduce prevederile din proiect astfel:

“Furnizorii de servicii de găzduire electronică cu resurse IP” – sunt de fapt aceiaşi cu furnizorii de găzduire web (de fapt, deja reglementaţi în legea 365/2002), care oferă serviciile <<pe teritoriul României>> conform definiţiei nou inventate din art 4 alineatul (1), noul punct 9^5.
<<Serviciu de comunicaţii interpersonale care nu se bazează pe numere>> - este ce se numea acum câţiva ani „mesagerie instatanee sau mesaje chat” şi practic intra în categoria asta Skype, WhatsApp, Facebook Messanger, Signal, Wire, Telegram sau pentru cei mai nostalgici Yahoo Messanger, AIM, ICQ sau chiar IRC. Atenţie, aceştia nu sunt doar cei care oferă serviciile „ pe teritoriul României”. (cuvânt cheie- indiciu: „tranzitat”)
<<Organele cu atribuţii în domeniul securităţii naţionale>>- este aceiaşi terminologie vagă deja declarată neconstituţională în 2008 (şi alte decizii). Oricum nimeni nu este în stare sa facă lista lor, cu atât mai mult cu privire la atribuţiile exacte, legea din 1991 find la fel de vagă şi astăzi.

Bogdan Manolea susţine că modificările privind interceptările ar trebui să fie realizate prin Codul de Procedură Penală.

“Aspectele legate de interceptarea legală comunicaţiilor, cu toate garanţiile de rigoare sunt prevăzute de Codul de Procedură Penală (CPP). În mod logic, dacă ar fi vreo problemă sau este nevoie de actualizarea lor s-ar face tot printr-o modificare la acest cod. (indiciu: e o lege organică, greu de modificat).
Doar că dincolo de a impune obligaţii similare şi unor alte categorii furnizori (care oricum, nu au legătura cu ANCOM) pe unde se plimbă în 2021 conţinutul şi legal, şi ilegal. (poate de discutat, dar atunci ar trebui în CPP şi nu pe şest), textul lărgeşte mult spectrul de acţiuni de interceptări şi acces, pe care CPP nu le prevede. Mă opresc doar la 2 aici:
<<accesul la conţinutul comunicaţiilor criptate tranzitate în reţelele proprii;>> nu există în CPP.
Dincolo de faptul ca un furnizor (inclusiv cei de comunicaţii) ar trebui să îşi creeze un sistem de depistare a conţinutului criptat tranzitat, eu cred că ţinta sunt furnizorii care oferă astfel de servicii. Aici sunt 2 variante - fie vor conţinutul decriptat direct de la furnizor sau pentru ca vor să spargă criptarea? (cât de legal, ilegal ar fi, este o altă discuţie) , fie vor conţinutul criptat pentru că vor să obţină/determine partea care are cheia de criptare să o dezvăluie cumva. Astea, ca şi altele din acelaşi spectru ridică nişte subiecte de privacy şi security mult prea complexe pentru a le rezolva în 2 propoziţii.
Să nu mai zicem că textul Directivei de implementat zice exact pe dos – promovaţi criptarea, nu o subminaţi: „ar trebui promovată de exemplu utilizarea criptării, end-to-end dacă este cazul, şi, dacă este necesar, criptarea ar trebui să fie obligatorie în conformitate cu principiile securităţii şi protejării vieţii private în mod implicit şi din faza de proiectare”
„să permită, în cazul furnizorilor de servicii de găzduire (...) accesul la propriile sisteme informatice, în vederea copierii sau extragerii datelor existente.”nu există în CPP.
O terminologie la fel de vagă ca cea din defuncta lege a securităţii cibernetice (declarata neconstituţională în 2015) face ca să ai practic acces la orice conţinut de pe orice server din România în condiţii total neclare.
Ca să poată probabil să justifice cumva integrarea în această lege, propunerea normativă mai şi creează o obligaţie de înregistrare a acestor noi furnizori la ANCOM, ceea ce contrazice flagrant legislaţia europeană în domeniu (în principal directiva e-commerce, implementată la noi prin legea 365/2002). Dar ce mai contează o obligaţie europeana, când e în joc „securitatea naţională”? Important e că le putem impune să îşi creeze, pe costuri proprii, infrastructura de interceptare şi când vine o hârtie de la „organ” să dea tot”.

Pentru alte știri, analize, articole și informații din business în timp real urmărește Ziarul Financiar pe WhatsApp Channels

AFACERI DE LA ZERO