MINISTERO DELLE COMUNICAZIONI
DECRETO 8 gennaio 2007
G.U.R.I. 29 gennaio 2007, n. 23
Requisiti tecnici degli strumenti di filtraggio che i fornitori di servizi di comunicazione elettronica devono utilizzare, al fine di impedire, con le modalità previste dalle leggi vigenti, l'accesso ai siti segnalati dal Centro nazionale per il contrasto alla pedopornografia. (1)
TESTO COORDINATO (al D.M. Imprese e Made in Italy 7 febbraio 2025)
Titolo modificato dall'art. 2, comma 2, del D.M. Imprese e Made in Italy 7 febbraio 2025.
IL MINISTRO DELLE COMUNICAZIONI DI CONCERTO CON IL MINISTRO PER LE RIFORME E LE INNOVAZIONI NELLA PUBBLICA AMMINISTRAZIONE
(modificato dall'art. 2, comma 2, del D.M. Imprese e Made in Italy 7 febbraio 2025)
Vista la legge 24 novembre 1981, n. 689;
Vista la legge 3 agosto 1998, n. 269, recante «Norme contro lo sfruttamento della prostituzione, della pornografia, del turismo sessuale in danno di minori, quali nuove forme di riduzione in schiavitù.» ed in particolare l'art. 14-quater inserito dall'art. 19, comma 1, della legge 6 febbraio 2006, n. 38;
Visto il decreto legislativo 1° agosto 2003, n. 259, recante «Codice delle comunicazioni elettroniche»;
Visto il decreto legislativo 30 giugno 2003, n. 196, «Codice in materia di protezione dei dati personali»;
Visto il decreto legislativo 9 aprile 2003, n. 70, recante «Attuazione della direttiva 2000/31/CE relativa a taluni aspetti giuridici dei servizi della società dell'informazione nel mercato interno, con particolare riferimento al commercio elettronico»;
Visto il decreto legislativo 30 dicembre 2003, n. 366;
Vista la legge 6 febbraio 2006, n. 38 «Disposizioni in materia di lotta contro lo sfruttamento sessuale dei bambini e la pedopornografia anche a mezzo Internet»;
Visto il decreto del Presidente della Repubblica 22 giugno 2004, n. 176;
Visto il decreto del Ministro delle comunicazioni 16 dicembre 2004, pubblicato nella Gazzetta Ufficiale n. 302 del 27 dicembre 2004;
Sentito il Garante per la protezione dei dati personali;
Sentite le associazioni maggiormente rappresentative dei fornitori di servizi di comunicazione elettronica;
Decreta:
Oggetto e definizioni
(modificato dagli artt. 1, comma 1, n. 1) e 2, comma 2, del D.M. Imprese e Made in Italy 7 febbraio 2025)
1. Il presente decreto definisce i requisiti tecnici degli strumenti di filtraggio che i fornitori di servizi di comunicazione elettronica devono utilizzare al fine di impedire, con le modalità previste dalle leggi vigenti, l'accesso ai siti segnalati dal Centro nazionale per il contrasto della pedopornografia istituito ai sensi dell'art. 14-bis della legge 3 agosto 1998, n. 269, come modificata dalla legge 6 febbraio 2006, n. 38.
2. Ai fini del presente decreto si intende per:
a) fornitore di servizi di comunicazione elettronica: ogni soggetto che fornisce un servizio di comunicazione elettronica al pubblico al fine di consentire all'utente l'accesso alla rete internet ovvero ad altre reti di comunicazione elettronica;
b) Centro: Centro nazionale per il contrasto della pedopornografia istituito ai sensi dell'art. 14-bis della legge 3 agosto 1998, n. 269, come modificata dalla legge 6 febbraio 2006, n. 38;
c) sito: spazio virtuale sulla rete internet composto da diverse pagine web accessibili tramite un URL o indirizzo web, ospitate su server, che contiene materiale pornografico realizzato con l'utilizzo di minori degli anni 18;
d) inibizione: l'attività del fornitore di servizi di comunicazione elettronica, finalizzata all'impedimento dell'accesso ai siti segnalati dal centro, mediante blocco dei nomi a dominio e indirizzi IP.
Aspetti organizzativi della sicurezza presso i fornitori di servizi di comunicazione elettronica
(modificato dall'art. 2, comma 2, del D.M. Imprese e Made in Italy 7 febbraio 2025)
1. I fornitori di servizi di comunicazione elettronica adottano un modello organizzativo che consenta la conoscibilità ed il trattamento delle pertinenti informazioni solo al personale autorizzato, preventivamente comunicato al Centro. Attivano altresì idonei meccanismi di presidio che garantiscono la sicurezza e la riservatezza delle informazioni trattate.
Sicurezza dei flussi informativi di scambio con il Centro
(sostituito dall'art. 1, comma 1, n. 2), del D.M. Imprese e Made in Italy 7 febbraio 2025)
1. Il centro provvede a comunicare, secondo le modalità telematiche indicate nell'allegato tecnico costituente parte integrante del presente decreto, ai fornitori di servizi di comunicazione elettronica di cui all'elenco fornito dal Ministero delle imprese e del made in Italy, la lista dei siti cui applicare gli strumenti di filtraggio, garantendo l'integrità, la riservatezza e la certezza del mittente del dato trasmesso.
2. I fornitori di servizi di comunicazione elettronica sono tenuti a rispettare la riservatezza del contenuto della lista dei siti cui applicare gli strumenti di filtraggio.
3. I fornitori di servizi di comunicazione elettronica sono tenuti a procedere alle operazioni di inibizione e ripristino entro 6 ore dalla comunicazione di cui al comma 1, fornendo notizia al Centro delle avvenute operazioni di inibizione, secondo le modalità e i criteri di cui al comma 1, ferme restando in ogni caso le competenze dell'Autorità giudiziaria.
4. Le modalità di comunicazione indicate nei commi 1 e 3, definite nell'allegato tecnico, possono essere modificate con decreto del Ministero delle imprese e del made in Italy di concerto con il Ministero dell'interno, anche al fine di adeguarle all'evoluzione delle tecnologie.
Livelli di inibizione
1. I siti segnalati dal Centro possono essere inibiti al livello minimo di nome a dominio ovvero a livello di indirizzo IP ove segnalato in via esclusiva.
Requisiti tecnici degli strumenti di filtraggio
(modificato dall'art. 2, commi 1 e 2, del D.M. Imprese e Made in Italy 7 febbraio 2025)
1. I fornitori di servizi di comunicazione elettronica installano gli strumenti di filtraggio in base alle caratteristiche tecniche ed in particolare alla gerarchia della porzione di rete da loro amministrata. I fornitori di servizi di comunicazione elettronica devono informare, altresì, il Centro ed il Ministero delle imprese e del made in Italy dell'avvenuta attivazione degli strumenti di filtraggio conformi ai requisiti di cui al presente decreto entro i termini indicati all'art. 8.
2. La funzione di inibizione del sistema di filtraggio si basa sul blocco delle richieste di accesso ai livelli indicati all'art. 4.
3. Il filtro opera esclusivamente sulla lista dei siti fornita dal Centro e deve avere le seguenti caratteristiche:
a) garantire l'impossibilità di accedere e di apportare modifiche non autorizzate all'elenco dei siti inibiti;
b) permettere l'inibizione dei siti segnalati indipendentemente dalla codifica dei caratteri utilizzata;
c) escludere che i fornitori di servizi di comunicazione elettronica siano autorizzati, ai fini del presente decreto e salvo i casi espressamente previsti dalle leggi vigenti, al trattamento dei dati relativi agli accessi effettuati dai singoli utenti.
4. La funzione di inibizione dei sistemi di filtraggio è indipendente, in particolare:
a) dalle caratteristiche e dalle tecnologie dei sistemi e delle risorse impiegate dall'utente;
b) dal linguaggio a marcatori usato nelle pagine web e dal tipo dei file presenti;
c) dal linguaggio script usato per le pagine web generate dinamicamente.
Sanzioni amministrative
(modificato dall'art. 2, comma 2, del D.M. Imprese e Made in Italy 7 febbraio 2025)
1. Ferma restando l'eventuale responsabilità penale dei fornitori di servizi di comunicazione elettronica, le violazioni alle disposizioni di cui all'art. 14-quater della legge 3 agosto 1998, n. 269 come modificata dalla legge 6 febbraio 2006, n. 38 sono punite con l'irrogazione di una sanzione amministrativa pecuniaria da euro 50.000 a euro 250.000 da parte degli Ispettorati territoriali del Ministero delle comunicazioni.
2. Nel caso di violazione delle disposizioni richiamate al comma 1 non si applica il pagamento in misura ridotta di cui all'art. 16 della legge 24 novembre 1981, n. 689.
3. I competenti Uffici della Polizia postale e delle comunicazioni che hanno accertato la violazione, salvo che ricorra l'ipotesi prevista nell'art. 24 della legge 24 novembre 1981, n. 689, presentano rapporto, con la prova delle eseguite contestazioni o notificazioni, all'Ispettorato territoriale del luogo in cui è stata commessa la violazione.
Rimozione del blocco di un sito segnalato dal Centro
(modificato dall'art. 2, comma 2, del D.M. Imprese e Made in Italy 7 febbraio 2025)
1. Il Centro segnala ai fornitori di servizi di comunicazione elettronica, con le medesime forme di cui all'art. 3, la cessazione delle esigenze che impediscono l'accesso ad un sito, in precedenza oggetto di blocco.
2. I fornitori di servizi di comunicazione elettronica procedono alla rimozione delle inibizioni entro 12 ore dalla comunicazione del Centro.
Disposizioni transitorie e finali
(modificato dall'art. 2, commi 1 e 2, del D.M. Imprese e Made in Italy 7 febbraio 2025)
1. I fornitori di servizi di comunicazione elettronica si dotano degli strumenti di filtraggio conformi ai requisiti previsti dall'art. 5 ed attivano rispettivamente:
a) entro 90 giorni dalla pubblicazione nella Gazzetta Ufficiale della Repubblica italiana del presente decreto, gli strumenti di filtraggio necessari ad inibire l'accesso ai siti identificati mediante il nome a dominio così come previsto dall'art. 4;
b) entro 150 giorni dalla pubblicazione nella Gazzetta Ufficiale della Repubblica italiana del presente decreto, gli strumenti di filtraggio necessari ad inibire l'accesso ai siti identificati anche mediante l'indirizzo IP così come previsto dall'art. 4.
2. Dopo sei mesi dall'approvazione del presente decreto, e poi con cadenza semestrale, il Ministero delle imprese e del made in Italy, la Presidenza del Consiglio dei Ministri - Dipartimento per le innovazioni e le tecnologie ed il Ministero dell'interno - Centro nazionale per il contrasto della pedopornografia, procedono:
a) alla verifica dei risultati ottenuti dalle attività regolate dal presente decreto;
b) alla verifica delle tecnologie adottate e della loro congruenza con gli scopi della legge 6 febbraio 2006, n. 38, recante «Disposizioni in materia di lotta contro lo sfruttamento sessuale dei bambini e la pedopornografia anche a mezzo Internet».
3. All'esito dei risultati delle verifiche, il Ministro delle imprese e del made in Italy e il Ministro per le riforme e le innovazioni nella pubblica amministrazione potranno procedere, sentiti i rappresentanti delle associazioni maggiormente rappresentative dei fornitori di servizi di comunicazione elettronica, a modifiche del presente decreto.
Il presente decreto sarà trasmesso agli organi di controllo per gli adempimenti di competenza e pubblicato nella Gazzetta Ufficiale della Repubblica italiana.
Roma, 8 gennaio 2007
Il Ministro delle comunicazioni
GENTILONI SILVERI
Il Ministro per le riforme e le innovazioni nella pubblica amministrazione
NICOLAIS
Registrato alla Corte dei conti il 24 gennaio 2007
Ufficio di controllo atti Ministeri delle attività produttive, registro n. 1, foglio n. 37
ALLEGATO TECNICO
(introdotto dall'art. 1, comma 1, n. 3), del D.M. Imprese e Made in Italy 7 febbraio 2025)
MODALITA' DI COMUNICAZIONE LISTA DEI SITI CUI APPLICARE STRUMENTI DI FILTRAGGIO ART. 3 DECRETO INTERMINISTERIALE 8 GENNAIO 2007
1. Definizioni
a) Fornitore di servizi di comunicazione elettronica (ISP): ogni soggetto che fornisce un servizio di comunicazione elettronica al pubblico al fine di consentire all'utente l'accesso alla rete internet ovvero ad altre reti di comunicazione elettronica;
b) Centro nazionale per il contrasto della pedopornografia sulla rete internet (CNCPO): l'organo istituito ai sensi dell'art. 14-bis della legge 3 agosto 1998, n. 269, come modificata dalla legge 6 febbraio 2006, n. 38;
c) Sito: spazio virtuale sulla rete internet composto da diverse pagine web accessibili tramite un URL o indirizzo web, ospitate su server, che contiene materiale pornografico realizzato con l'utilizzo di minori degli anni 18;
d) Inibizione: l'attività dell'ISP, finalizzata a impedire l'accesso ai siti segnalati dal CNCPO;
e) Ripristino: l'attività dell'ISP finalizzata a riabilitare l'accesso ai siti inibiti su segnalazione del CNCPO;
f) Fully qualified domain name (FQDN): il nome a dominio che include tutti i domini di livello superiore;
g) Uniform resource locator (URL): sequenza di caratteri che identifica univocamente l'indirizzo di una risorsa in internet, come un documento o un'immagine;
h) D.I.: il presente decreto;
i) Singolarità: evento che presenta caratteristiche di unicità o straordinarietà;
j) Lista: elenco dei siti comunicati dal CNCPO cui applicare gli strumenti di filtraggio;
k) ASCII: acronimo di American standard code for information interchange (ovvero codice standard americano per lo scambio di informazioni), sistema di codifica dei caratteri usato nei calcolatori.
2. Attività previste
Il decreto interministeriale di cui all'art. 14-quater della legge n. 269/1998, attuativo della legge n. 38 del 2006, prevede, in capo agli ISP, una serie di attività, tra cui:
2.1. Inibizione
L'attività di inibizione prevede che gli ISP impediscano l'accesso ai siti segnalati dal CNCPO, ai sensi dell'art. 4 del D.I., mediante l'inibizione almeno al livello minimo di nome a dominio (FQDN).
I fornitori di servizi di comunicazione elettronica sono tenuti a procedere alle inibizioni entro 6 ore dalla comunicazione, fornendo la comunicazione dell'avvenuto oscuramento al Centro, secondo i criteri previsti dalla normativa.
I siti inibiti devono essere reindirizzati a una pagina web, implementata dagli ISP, il cui contenuto è comunicato dal CNCPO con file.html.
2.2. Ripristino
Il centro segnala ai fornitori di servizi di comunicazione elettronica, con le medesime forme di cui all'art. 3, la cessazione delle esigenze che impediscono l'accesso a un sito, in precedenza oggetto di blocco.
I fornitori di servizi di comunicazione elettronica procedono alla rimozione delle inibizioni entro 12 ore dalla comunicazione del Centro.
3. Modalità di comunicazione
3.1. Comunicazione della black list dei siti da inibire e/o ripristinare
La black list, in formato.csv, contenente i siti da inibire verrà trasmessa periodicamente dal CNCPO agli ISP via posta elettronica certificata tramite l'account dipps012.B3L4@pecps.interno.it con le tempistiche di cui al punto 5 del presente documento.
Tale file.csv, provvisto di identificativo progressivo della lista, data di creazione della stessa, viene trasmesso in allegato al messaggio PEC, criptato con chiave asimmetrica con tecnologia PGP, che prevede chiavi pubbliche e private.
L'identificativo in argomento evidenzia l'avvenuto aggiornamento della black list da parte del CNCPO.
L'ultima lista comunicata dal CNCPO sostituisce la precedente.
3.2. Riscontro sulle operazioni di inibizione e/o ripristino e altre comunicazioni
Gli ISP forniscono un riscontro al CNCPO circa le avvenute operazioni di inibizione e/o ripristino, rispondendo al messaggio PEC di cui al punto 3.1. Il messaggio di riscontro deve fare riferimento all'identificativo della lista, alla data, alla tipologia e all'orario dell'operazione effettuata.
In caso di criticità nell'invio della PEC di riscontro, i fornitori di servizi di comunicazione elettronica possono utilizzare un diverso account di posta elettronica, purchè aziendale, scrivendo all'indirizzo segnalazioni.pedofilia@poliziadistato.it previo contatto telefonico con il personale del CNCPO.
Analogamente, qualora si presentino problematiche per la ricezione, da parte del CNCPO, della mail pec di riscontro, potrà essere utilizzato il medesimo account segnalazioni.pedofilia@poliziadistato.it
4. Tipologia dei dati trasmessi
4.1. Struttura della black list
a) Nella prima riga del file.csv è presente il codice progressivo della black list, associato alla data in formato GG/MM/AAAA, incrementato a ogni invio successivo;
b) Nella prima colonna del file.csv è presente l'elenco delle URL che riconducono a materiale di pornografia minorile, cui poter applicare gli strumenti di filtraggio;
c) Nella seconda colonna del file.csv è presente la corrispondente lista dei siti di cui al punto 1, identificati a livello minimo dei nomi a dominio, cui applicare gli strumenti di filtraggio ai sensi dell'art. 4 del D.I
I caratteri presenti nelle URL di cui ai precedenti punti b) e c), sono quelli previsti dal set di caratteri ASCII esteso.
4.2. Singolarità nelle comunicazioni del CNCPO
Qualora un ISP evidenzi la presenza di una singolarità, come, ad esempio, la presenza nella black list di nomi a dominio e indirizzi IP assegnati a ISP nazionali, ovvero da essi registrati o gestiti, il provider ne dà immediata comunicazione al CNCPO, scrivendo all'indirizzo segnalazioni.pedofilia@poliziadistato.it per riceverne indicazioni in merito. Il messaggio deve contenere l'identificativo della lista e la descrizione della singolarità riscontrata.
5. Tempistiche
Il CNCPO trasmette la lista aggiornata dei siti cui applicare gli strumenti di filtraggio:
dal lunedì al venerdì, secondo le modalità di comunicazione di cui al paragrafo 3.1, entro le ore 10,00 a.m.;
sabato e festivi, ove necessario, secondo le modalità di comunicazione di cui al paragrafo 3.1, entro le ore 10,00 a.m., previo avviso ai referenti degli ISP per i casi di aggiornamento della lista nelle giornate del sabato e festive di cui al successivo punto 6.
Gli ISP acquisiscono l'elenco aggiornato e completano le operazioni di inibizione e ripristino entro le successive ore 16,00, al termine delle quali i fornitori di servizi di comunicazione elettronica danno riscontro al CNCPO secondo quanto previsto al punto 3.2.
Gli ISP provvedono a segnalare al CNCPO, entro le ore 12,00 dello stesso giorno, eventuali singolarità riscontrate e il Centro, entro le successive ore 14,00, provvede a pubblicare l'eventuale lista aggiornata con un nuovo identificativo, per le conseguenti modifiche.
Ogni altra comunicazione derivante da casi di necessità e urgenza viene effettuata tramite le modalità di cui al punto 3.2, previa comunicazione al referente di cui al successivo punto 6.
6. Aspetti organizzativi
Gli ISP comunicano, entro dieci giorni dalla ricezione del presente documento, l'indirizzo PEC da utilizzare per le comunicazioni di cui al precedente paragrafo 3, unitamente a un account di posta elettronica ordinaria, purchè aziendale, i propri referenti responsabili per le esigenze connesse alla black list e il recapito di telefonia fissa e/o mobile degli stessi, da poter utilizzare per le comunicazioni urgenti e ogni ulteriore, eventuale necessità.
Analogamente, il CNCPO comunica ai fornitori di servizi di comunicazione elettronica i riferimenti telefonici del personale preposto alla gestione della black list, ai quali gli ISP possono chiedere informazioni.