di G. Cassano – stagista del Centro Studi & Ricerce SCiNT
Il Centro Studi&Ricerche SCiNT è da sempre attento ai temi dell’innovazione tecnologica e dell’internazionalizzazione.
La sua natura di Centro formativo e informativo ne fa il luogo ideale di promozione di dibattiti e incontri tra professionisti ed utenti della rete interessati a tali temi.
Soprattutto, SCiNT è consapevole dell’importanza che ha un’innovazione tecnologica sempre più avanzata, ma anche sempre più immune dai rischi connessi all’enorme utilizzo di dati e informazioni che vengono scambiati via web.
Il principale di questi rischi è certamente quello che riguarda la sicurezza informatica.
Recentemente, lo staff di SCiNT ha mandato in stampa un saggio sulla “Privacy in Internet” (“La Privacy in Internet”, a cura di Andrea Lisi, Edizioni Simone, 2003) che, tra le varie tematiche correlate alla privacy, fa il punto anche sulle tecniche di prevenzione proprie di un sistema informatico sicuro.
Il discorso sulla sicurezza informatica è infatti strettamente connesso a quello di privacy, perché un sistema che voglia garantire la privacy dei dati in esso contenuti deve, a rigore di logica, essere sicuro.
Ebbene, è sicuro un sistema che sia in grado di soddisfare le tre proprietà fondamentali della confidenzialità, integrità e disponibilità delle informazioni.
Ogni sistema informatico deve, cioè, poter garantire che l’utente possa accedere, in maniera esclusiva, alle informazioni di sua competenza (confidenzialità), che l’utente possa modificare solo informazioni di sua competenza (integrità) e, infine, che sia preventivamente bloccata ogni azione intrapresa da persone non autorizzate che vogliano impossessarsi di una qualunque risorsa del sistema (disponibilità).
Per questo motivo, il legislatore ha sentito l’esigenza di regolare la materia, salvaguardando, con la L. 675/96, la prima legge in Italia sulla sicurezza informatica, soprattutto l’integrità delle informazioni, dando molta enfasi ai rischi di perdita o distruzione(anche accidentale) di dati e, conseguentemente, al fatto che un sistema fosse fisicamente ben protetto, con rigide procedure per l’ accesso ai locali in cui erano situati i calcolatori .
Tale legge risultava, però, per molti versi, imprecisa e frastagliata (ed, infatti, oggi si attende la pubblicazione in G.U. del cod. “Codice sulla Privacy, che dovrebbe assicurare maggiore uniformità alla materia), per cui si è reso necessario, col D.P.R. 318/99, “recepirla e completarla”, con adattamenti maggiormente rispondenti alla continua ed inesorabile evoluzione dei sistemi informatici.
La L. 675/96 si è, comunque, occupata dei vari aspetti della disponibilità ed integrità dei dati, mentre il D.P.R. 318/99 ha disciplinato ampliamente gli aspetti tecnici delle misure di sicurezza da applicare alle varie operazioni che hanno per oggetto tali dati.
Ma quali sono le informazioni e i dati il cui trattamento dev’ essere salvaguardato?
E’ dato informatico, qualunque elemento o informazione, traducibile in una serie di bit, che, una volta accertato e verificato, può servire di base ad ulteriori ricerche o consentire di giungere a determinate conclusioni.
Il nostro legislatore distingue i dati personali dai dati sensibili.
E’ dato personale, ai sensi dell’art. 1, secondo comma, lett. c), della L.675/96, “qualunque informazione relativa a persona fisica, persona giuridica, ente o associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale”.
Per il trattamento di questi dati personali, basta un’autorizzazione generale del Garante.
Sono, invece, dati sensibili, ai sensi dell’art. 22 della L. 675/96, “quelli idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, associazioni religiose, politiche o sindacali, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale di una persona.
I dati sensibili possono essere oggetto di trattamento solo col consenso scritto dell’interessato e previa autorizzazione del Garante.
Tornando ora al contenuto del Documento Programmatico della Sicurezza Informatica facciamo un passo avanti quando affermiamo che, nel caso di trattamento dei dati di cui all’art. 22 e 24 della L. 675/96 (l’art.24 è relativo alle iscrizioni nei Casellari Giudiziari)effettuato mediante gli elaboratori, accessibili mediante una rete di telecomunicazioni disponibili al pubblico, dev’essere predisposto e aggiornato un sistema di “misure minime di sicurezza”.
Queste misure minime possono definirsi come il complesso delle misure fisiche, logistiche ed organizzative che configurano il livello minimo di protezione richiesto, in relazione ai rischi sopraelencati.
Ai sensi dell’art. 15, co. 2 e 3, della L. 675/96, tali misure sono individuate con D.P.R., su proposta del Ministro di Grazia e Giustizia, sentiti l’Autorità per l’Informatica nella P.A. ed il Garante, e sono adeguate, con cadenza almeno biennale, con successivi regolamenti, in relazione all’evoluzione tecnica del settore.
Per meglio comprendere di cosa stiamo parlando, converrà fare un esempio per ogni tipo di misura minima.
Tra le misure fisiche o tecniche, si può citare la custodia dei dati personali e sensibili in armadi blindati o ignifughi, a cui possono accedere i soli incaricati del trattamento.
Tra le misure di prevenzione logiche si può citare quella che prevede di assegnare ad ogni incaricato un proprio codice di accesso e la relativa password, per l’accesso a sistemi, pubblici o privati, in rete.
Le password assegnate inizialmente devono essere poi sostituite, a cura dell’utilizzatore del sistema, e consegnate in busta chiusa ad un custode della password, preventivamente nominato.
Tra le misure minime organizzative si può infine citare la verifica della validità delle richieste di accesso ai dati personali, da effettuarsi sempre prima di consentire l’accesso stesso.
Altro aspetto importante del Documento Programmatico sulla Sicurezza è l’individuazione dettagliata dei soggetti coinvolti dalla normativa.
Essi sono:
- l’utilizzatore, proprietario del sistema e dei dati in esso elaborati;
- il fornitore (del sistema) responsabile del sistema consegnato all’utilizzatore.
L’utilizzatore ha come onere primario quello di definire la politica di sicurezza, facendola, comunque, precedere da una fase di preparazione dei criteri e delle metodologie più idonee allo scopo.
Spetta, cioè, all’utilizzatore fare in modo che i meccanismi utilizzati risultino concretamente efficaci.
Affinchè questo obiettivo sia raggiunto appieno, occorre che il processo di valutazione preventivo delle risorse aziendali da proteggere sia il più dettagliato e aggiornato possibile.
Occorre, cioè, un costante monitoraggio delle misure di protezione, sia minime che massime, sia che siano riferite a dati sensibili che a dati comuni, sia relative a strumenti elettronici che a materiale cartaceo.
Ebbene, il processo di valutazione preventivo, necessario ai fini della stesura di un buon documento sulla sicurezza, avrà possibilità di riuscita, quanto più la fase dell’analisi dei rischi da prevenire sarà dettagliata.
In estrema sintesi, per compiere una buona analisi preventiva di valutazione dei rischi bisogna partire dallo schema del sistema di elaborazione dei dati, analizzare le caratteristiche della rete e i possibili punti di accesso dall’esterno, individuare le postazioni di lavoro abilitate ad accedere ai dati, compiere un’analisi dei rischi, identificare gli incaricati del trattamento e, quindi, configurare la corretta “policy” delle abilitazioni all’accesso agli archivi, distribuendo, in maniera dettagliata, compiti e responsabilità.
E’ doveroso evidenziare, a questo punto, che l’applicazione delle misure minime non mette comunque al riparo dalla responsabilità civile, perché l’art. 18 della L. 675/96 stabilisce che “chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento, ai sensi dell’art. 2050 del codice civile.
A conferma dell’alto livello di sicurezza e protezione che il legislatore italiano ha voluto adottare, la responsabilità di chiunque cagioni ad altri un danno, per effetto del trattamento dei dati personali, è, quindi, equiparata alla disciplina della responsabilità derivante dall’esercizio di attività pericolose.
In particolare, la comunicazione e diffusione dei dati integra attività pericolosa, quando si pone in contrasto con rilevanti interessi della collettività, o con finalità di difesa e sicurezza dello Stato o, ancora, di prevenzione, accertamento o repressione di reati (per maggiori approfondimenti, si rimanda alla lettura integrale dell’art. 21 della L. 675/96).
Ciò significa che il titolare o i titolari del trattamento deve risarcire il danno “se non prova di aver adottato tutte le misure idonee ad evitare il danno”.
Da ciò si può dedurre, a posteriori, che non bastano le misure minime, perché, per mettersi realmente al riparo da furti, perdite o alterazioni di dati, occorre prendere in considerazione altre misure idonee ulteriori, dalle copie di sicurezza, custodite in postazioni remote, alle tessere magnetiche, ai sistemi di riconoscimento vocale, all’aggiornamento degli antivirus a cadenze ravvicinate.
Le ratio dell’introduzione delle misure idonee ulteriori è stata ravvisata nell’esigenza che i dati personali oggetto di trattamento siano custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati ed alle specifiche caratteristiche del trattamento, in modo da ridurre davvero al minimo i rischi di distruzione o perdita, di accesso non autorizzato o trattamento di dati non consentito o non conforme alle finalità della raccolta.
E’ questa la ragione per cui sarà la giurisprudenza a stabilire, in concreto, quale sia il livello di sicurezza idoneo ad escludere la sanzione civilistica del risarcimento ex art. 2050.
Le sanzioni penali sono, invece, previste per chi non applica il decreto nei termini stabiliti.
Esse sono previste dall’art. 36 della L. 675/96, come modificata dal D.Lgs.vo 467/01.
In particolare, le sanzioni penali per chi non applica il decreto vanno dall’arresto fino a due anni all’ammenda di 40.000 euro.
In caso di regolarizzazione nel termine indicato dal Garante, il pagamento di una somma pari ad ¼ della sanzione massima estingue il reato.
Allo scopo di vigilare sull’applicazione obbligatoria del decreto sulla sicurezza, l’Autorità Garante della Privacy ha delegato la Guardia di Finanza ad attuare un programma di ispezioni su tutto il territorio nazionale, riguardante sia la P.A., sia le imprese.
Inoltre, da gennaio 2004, cioè con l’entrata in vigore di quasi tutte le disposizioni del “Nuovo Codice sulla Privacy”, troverà piena applicazione la norma che prevede la formazione continua per gli incaricati del trattamento dei dati sensibili, al fine di renderli pienamente edotti dei rischi individuati e dei modi per prevenire danni.
Volendo,a conclusione di questa breve panoramica, fare un monitoraggio per capire quali sono stati gli sviluppi dell’applicazione del D.P.R. 318/99, il Centro Studi&Ricerche SCiNT ha rilevato che, dal 1999 ad oggi, moltissimi dei soggetti tenuti all’applicazione del Documento Programmatico sulla Sicurezza Informatica si attengono sempre più scrupolosamente ad esso, non solo per non incorrere nelle sanzioni civili e penali, ma perché si rendono conto realmente dell’importanza che ha la sicurezza del trattamento e dell’ utilizzo dei dati nell’attuale mondo dell’ informatizzazione.
Certamente, la maggior parte dei professionisti e delle aziende tenuti ad ottemperare al D.P.R. 318/99 preferiscono verificare la conformità delle soluzioni adottate, affidandosi a personale qualificato in materia, personale che, recandosi presso i locali dei clienti, effettua un’analisi sistematica dello status applicativo della normativa in oggetto, suggerendo le eventuali variazioni e/o integrazioni da apportare, con riguardo sia al modello organizzativo adottato, sia alla modulistica utilizzata.
Intorno ai temi dell’innovazione e della sicurezza informatica, il Centro Studi&Ricerche SCiNT offre attività di informazione e consulenza, potendosi avvalere di collaboratori provenienti da realtà formative diverse, che hanno approfondito queste tematiche e ne seguono continuamente l’evoluzione.
Il raggiungimento di un adeguato livello di sicurezza implica, in ogni caso, oneri economici rilevanti, correlati, da un lato, alla tecnologia di cui ciascun operatore si dota, dall’altro alle coperture assicurative che i gestori più avveduti tendono a procurarsi per l’eventualità di richieste risarcitorie da parte di soggetti terzi.
Questi costi saranno probabilmente recuperati, almeno in parte, mediante l’aumento del prezzo finale dei servizi offerti al pubblico.
Nel medio e nel lungo periodo, il pubblico potrà, però, ben comprendere ed apprezzare l’importanza di vedere i propri dati personali gestiti secondo adeguati criteri di sicurezza.
(Gabriella Cassano)