Președintele Asociaţiei pentru Tehnologie şi Internet (APTI), Bogdan Manolea, a lansat recent un semnal de alarmă despre un proiect de lege pentru transpunerea directivei UE 2018/1972 (Codul european al comunicaţiilor), adoptat de guvernul Cîţu cu 3 zile înainte de a fi demis de Parlament.

Manolea susține că modificarea din Codul Comunicaţiilor a fost introdusă „discret″. Președintele APTI s-a referit mai ales la extinderea interceptării comunicaţiilor, inclusiv a „conţinutului comunicaţiilor criptate tranzitate”.

În prim-plan apare interceptarea mesajelor şi apelurilor prin platforme precum Skype, WhatsApp, Facebook Messanger, Signal, Wire sau Telegram.

„Între varianta (n.r. - proiectului de lege) din dezbatere publică şi cea adoptată de guvern apare o nouă adăugire în motivaţie numită ”Schimbări legislative relevante pentru domeniul securităţii naţionale”, două definiţii (scrise evident de persoane care nu au lucrat în domeniu, după formulările absolut improprii) şi art 102 inserat într-o zonă care n-are nimic de a face cu subiectul celorlalte 299 de pagini”, a declarat Bogdan Manolea pentru Ziarul Financiar.

Obligațiile furnizoriilor de servicii de găzduire electronică cu resurse IP

Conform sursei citate, cele două articole conțin următoarele prevederi: „Art.10^2. — (1) Furnizorii de servicii de găzduire electronică cu resurse IP şi furnizorii de servicii de comunicaţii interpersonale care nu se bazează pe numere au obligaţia să sprijine organele de aplicare a legii şi organele cu atribuţii în domeniul securităţii naţionale, în limitele competenţelor acestora, pentru punerea în executare a metodelor de supraveghere tehnică ori a actelor de autorizare dispuse în conformitate cu dispoziţiile Legii nr. 135/2010 privind Codul de procedură penală, cu modificările şi completările ulterioare, şi ale Legii nr. 51/1991 privind securitatea naţională, republicată, cu modificările şi completările ulterioare, respectiv:

1. a) să permită interceptarea legală a comunicaţiilor, inclusiv să suporte costurile aferente;
2. b) să acorde accesul la conţinutul comunicaţiilor criptate tranzitate în reţelele proprii;
3. c) să furnizeze informaţiile reţinute sau stocate referitoare la date de trafic, date de identificare a abonaţilor sau clienţilor, modalităţi de plată şi istoricul accesărilor cu momentele de timp aferente;
4. d) să permită, în cazul furnizorilor de servicii de găzduire electronică cu resurse IP, accesul la propriile sisteme informatice, în vederea copierii sau extragerii datelor existente.

(2) Obligaţiile prevăzute la alin. (1) lit. a) - c) se aplică în mod corespunzător şi furnizorilor de reţele sau servicii de comunicaţii electronice.”

În dialogul cu zf.ro, Bogdan Manolea a subliniat că modificările despre interceptări ar trebui să fie realizate prin Codul de Procedură Penală: „Aspectele legate de interceptarea legală comunicaţiilor, cu toate garanţiile de rigoare sunt prevăzute de Codul de Procedură Penală (CPP).

În mod logic, dacă ar fi vreo problemă sau este nevoie de actualizarea lor s-ar face tot printr-o modificare la acest cod. (indiciu: e o lege organică, greu de modificat).

Atenție la Codul de Procedură Penală

Doar că dincolo de a impune obligaţii similare şi unor alte categorii furnizori (care oricum, nu au legătura cu ANCOM) pe unde se plimbă în 2021 conţinutul şi legal, şi ilegal. (poate de discutat, dar atunci ar trebui în CPP şi nu pe şest), textul lărgeşte mult spectrul de acţiuni de interceptări şi acces, pe care CPP nu le prevede.

Mă opresc doar la 2 aici: «accesul la conţinutul comunicaţiilor criptate tranzitate în reţelele proprii;» nu există în CPP. Dincolo de faptul ca un furnizor (inclusiv cei de comunicaţii) ar trebui să îşi creeze un sistem de depistare a conţinutului criptat tranzitat, eu cred că ţinta sunt furnizorii care oferă astfel de servicii.

Aici sunt 2 variante - fie vor conţinutul decriptat direct de la furnizor sau pentru ca vor să spargă criptarea? (cât de legal, ilegal ar fi, este o altă discuţie), fie vor conţinutul criptat pentru că vor să obţină/determine partea care are cheia de criptare să o dezvăluie cumva.

Astea, ca şi altele din acelaşi spectru ridică nişte subiecte de privacy şi security mult prea complexe pentru a le rezolva în 2 propoziţii. Să nu mai zicem că textul Directivei de implementat zice exact pe dos – promovaţi criptarea, nu o subminaţi: «ar trebui promovată de exemplu utilizarea criptării, end-to-end dacă este cazul, şi, dacă este necesar, criptarea ar trebui să fie obligatorie în conformitate cu principiile securităţii şi protejării vieţii private în mod implicit şi din faza de proiectare»

«Să permită, în cazul furnizorilor de servicii de găzduire (...) accesul la propriile sisteme informatice, în vederea copierii sau extragerii datelor existente» nu există în CPP. O terminologie la fel de vagă ca cea din defuncta lege a securităţii cibernetice (declarata neconstituţională în 2015) face ca să ai practic acces la orice conţinut de pe orice server din România în condiţii total neclare.

Ca să poată probabil să justifice cumva integrarea în această lege, propunerea normativă mai şi creează o obligaţie de înregistrare a acestor noi furnizori la ANCOM, ceea ce contrazice flagrant legislaţia europeană în domeniu (în principal directiva e-commerce, implementată la noi prin legea 365/2002). Dar ce mai contează o obligaţie europeana, când e în joc «securitatea naţională»? Important e că le putem impune să îşi creeze, pe costuri proprii, infrastructura de interceptare şi când vine o hârtie de la organ să dea tot.”