Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

 

Pubblica amministrazione

L'insicurezza dei sistemi informativi pubblici
di Massimiliano Minerva* - 09.10.03

I soggetti pubblici, in virtù dei loro compiti istituzionali, raccolgono e trattano grandi quantità di informazioni, codificate in forma di dati, sui cittadini, le imprese, le istituzioni, il territorio e i principali fenomeni della vita del Paese, informazioni che per poter essere utilizzate devono essere, innanzitutto, conoscibili.
La conoscibilità di tali dati è costituita dall'insieme delle regole che ne disciplinano la fruibilità in favore dei soggetti interessati a cura dei soggetti pubblici che li raccolgono e li trattano. Essa comporta due fondamentali qualità dei dati:
- la sicurezza, intesa come insieme delle misure tese ad assicurare l'accesso ai soli dati conoscibili a un soggetto interessato, e
- l'usabilità, intesa come la facilità con cui un soggetto interessato ed abilitato a conoscere il dato riesce ad accedervi con le tecnologie disponibili, tenuto conto della sua situazione fisica, psichica e culturale.

Gli aspetti di sicurezza coinvolgono tutti i settori dell'informatica e non solo:
- sicurezza logica, intesa come insieme di caratteristiche e procedure per la salvaguardia dei dati;
- sicurezza fisica, intesa come insieme di caratteristiche e procedure per la salvaguardia delle infrastrutture utilizzate (edifici, locali, strumentazioni, ecc.);
- organizzazione dei beni e delle risorse umane, che vanno acquisite ed organizzate nella nuova prospettiva;
- politica del personale, come formazione e sensibilizzazione del personale pubblico sulle tematiche e sulle politiche della sicurezza.

Quanto al contenuto della sicurezza informatica, anche e soprattutto nel settore pubblico, dopo aver effettuato una approfondita analisi dei rischi ed aver predisposto un documento programmatico sulla sicurezza, occorre adottare concretamente misure atte a:
1. garantire la disponibilità delle risorse, compresi i dati allorché conoscibili, e dei servizi del sistema informatico;
2. impedire attacchi rivolti a violare la riservatezza dei dati e delle informazioni, consentendone la fruizione soltanto a persone o sistemi informatici autorizzati;
3. assicurare l'integrità dei dati e delle informazioni e più in generale delle risorse, non consentendo modifiche non autorizzate.

Fino ad oggi la materia della sicurezza dei sistemi informativi pubblici è stata sostanzialmente trascurata, e la situazione attuale - come dimostrano i sempre più frequenti attacchi ai siti istituzionali e le ripetute infiltrazioni di virus, worm, ecc. nelle reti degli uffici pubblici - è grave: secondo i più avvertiti analisti, si rischia la paralisi di enti di importanza strategica o la sospensione dell'erogazione di servizi al pubblico, anche di quelli essenziali.
Occorre, dunque, un'inversione di tendenza anche perché tutta la normativa in materia di documento informatico (a prescindere dall'utilizzo della firma digitale) contenuta nel Testo unico della documentazione amministrativa (DPR 445/2000, TUDA), presuppone un elevato livello di sicurezza (che comprende, si è visto, la garanzia dell'integrità del dato) dei sistemi informatici pubblici in cui tali documenti (o informazioni) risiedono o che sono preposti all'erogazione di un servizio pubblico o di pubblico interesse.

Si pensi, a titolo di esempio, alle seguenti disposizioni, destinate a rimanere sulla carta o, addirittura, ove attuate, a creare seri rischi di affidabilità e credibilità nell'istituzione pubblica, qualora non vi siano adeguate garanzie di sicurezza dei relativi sistemi e questi subiscano un blocco o un malfunzionamento, temporaneo o prolungato:

- Le pubbliche amministrazioni ed i privati hanno facoltà di sostituire, a tutti gli effetti, i documenti dei propri archivi, le scritture contabili, la corrispondenza e gli altri atti di cui per legge o regolamento è prescritta la conservazione, con la loro riproduzione su supporto fotografico, su supporto ottico o con altro mezzo idoneo a garantire la conformità dei documenti agli originali (art. 6, comma 1, TUDA);
- Gli atti formati con strumenti informatici, i dati e i documenti informatici delle pubbliche amministrazioni, costituiscono informazione primaria ed originale da cui è possibile effettuare, su diversi tipi di supporto, riproduzioni e copie per gli usi consentiti dalla legge (art. 9, comma 1);
- Le pubbliche amministrazioni provvedono a definire e a rendere disponibili per via telematica moduli e formulari elettronici validi ad ogni effetto di legge (art. 9, comma 3);
- Tutte le istanze e le dichiarazioni da presentare alla pubblica amministrazione o ai gestori o esercenti di pubblici servizi possono essere inviate anche per fax e via telematica (art. 38, comma. 1);
- Quando l'amministrazione procedente opera l'acquisizione d'ufficio ai sensi del precedente comma, può procedere anche per fax e via telematica (art. 43, comma 3).

Si pensi anche, da ultimo, alla importante disposizione di cui all'art. 19 (Dati identificativi delle questioni pendenti dinanzi al giudice amministrativo e contabile) della L 229/2003 (semplificazione 2001):

1. I dati identificativi delle questioni pendenti dinanzi al giudice amministrativo e contabile sono resi accessibili a chi vi abbia interesse mediante pubblicazione sul sistema informativo interno e sul sito istituzionale della rete INTERNET delle autorità emananti.
2. Le sentenze e le altre decisioni del giudice amministrativo e contabile, rese pubbliche mediante deposito in segreteria, sono contestualmente inserite nel sistema informativo interno e sul sito istituzionale della rete INTERNET, osservando le cautele previste dalla normativa in materia di tutela dei dati personali.

Più in generale si può dire che tutte le iniziative di e-government oggi in campo, insieme al progetto di una pubblica amministrazione digitale (tutti i documenti e gli atti delle PA consultabili on line, tutti i servizi pubblici erogabili per via telematica), si fondano sull'implicito presupposto che i sistemi nei quali sono memorizzati i dati e i documenti siano sicuri (diano adeguate garanzie di disponibilità, riservatezza e, soprattutto, integrità delle informazioni).

A parte la documentazione tecnica (non regole tecniche, ma mere indicazioni) dettate dall'AIPA (il Documento sulla Sicurezza dei servizi in rete del 14 novembre 2001 e  le  Linee guida per la definizione di un piano per la sicurezza dei sistemi informativi automatizzati nella Pubblica Amministrazione, pubblicate on line il 28 ottobre 1999, i principali interventi del Governo (in particolare del Dipartimento per l'Innovazione e le tecnologie) e dell'AIPA (ora Centro nazionale per l'informatica nella pubblica amministrazione, CNIPA, cfr. art. 176 del Codice in materia di protezione dei dati personali, entrato in vigore il 30.7.2003), si possono così sintetizzare (prima del 2000 non si registrano iniziative pubbliche nel settore):

RACCOMANDAZIONE AIPA n. 1/2000 - Norme provvisorie in materia di sicurezza dei siti Internet delle amministrazioni centrali e degli enti pubblici

-  CIRCOLARE AIPA/CR/32 del 22 giugno 2001 - I dati pubblici: linee guida per la conoscibilità, l'accesso, la comunicazione e la diffusione

-  Direttiva del Presidente del Consiglio dei Ministri del 16 gennaio 2002 - Dipartimento per l'Innovazione e le Tecnologie - Sicurezza Informatica e delle Telecomunicazioni nelle Pubbliche Amministrazioni Statali -

-  Decreto del Presidente del Consiglio dei Ministri 11 aprile 2002 - Schema nazionale per la valutazione e la certificazione della sicurezza delle tecnologie dell'informazione, ai fini della tutela delle informazioni classificate, concernenti la sicurezza interna ed esterna dello Stato

Decreto interministeriale 24 luglio 2002 istitutivo del Comitato tecnico nazionale sulla sicurezza ICT - Comitato tecnico nazionale sicurezza informatica nella pubblica amministrazione

Quanto all'ultima iniziativa citata (istituzione del Comitato sicurezza ICT), si osserva che il tipo di organismo prescelto appare inadeguato, tenuto conto delle ambiziose finalità che il decreto istitutivo si prefigge:
1) redazione del Piano nazionale della sicurezza delle tecnologie dell'informazione e comunicazione della pubblica amministrazione, e relativa verifica dello stato di avanzamento;
2) definizione del modello organizzativo nazionale di sicurezza ICT per la pubblica amministrazione, del quale verifica la relativa attivazione e applicazione;
3) formulazione di proposte in materia di regolamentazione della certificazione e valutazione della sicurezza,
4) elaborazione di linee guida per la predisposizione delle intese con il Dipartimento della funzione pubblica in materia di formazione dei dipendenti pubblici in tema di sicurezza ICT.

In questo panorama normativo ed istituzionale piuttosto deludente ad oggi continuano a mancare norme tecniche ed organizzative di riferimento per il settore pubblico, non essendo mai stato attuato il precetto di cui all'art. 7, comma 1, lett. a) del decreto legislativo n. 39/1993 (istitutivo dell'Autorità per l'informatica nella pubblica amministrazione), secondo il quale l'AIPA aveva il compito, tra l'altro, di "dettare criteri tecnici riguardanti la sicurezza dei sistemi". Da notare che la norma citata del DLgv 39/1993 non è stata abrogata, né modificata dalla norma istitutiva del Centro nazionale per l'informatica nella pubblica amministrazione, organismo di recente subentrato all'AIPA, per cui è da ritenere che la fondamentale previsione normativa attenda ancora di essere attuata.

I criteri o regole tecniche, avrebbero una efficacia ben più vincolante delle direttive, delle circolari o dei documenti tecnici emanati sino ad ora e la loro adozione generalizzata da parte degli enti consentirebbe di aumentare da subito il livello di sicurezza dei sistemi, tenendo però presente che la sicurezza dovrebbe essere un fattore intrinseco al sistema informatico (che deve nascere sicuro), e che è molto più difficile e costoso aggiungere sicurezza ad un sistema che non implementarla fin dal momento della sua progettazione.

In conclusione, delle due l'una: o si potenzia il Comitato facendolo diventare una struttura permanente e dotandolo di mezzi e risorse adeguate, oppure si sollecita il CNIPA a dare attuazione all'art. 7 del DLgv 39/1993 in materia di sicurezza, se necessario, attribuendo normativamente a tale rinnovato organismo più specifici e pregnanti poteri, come quello di disporre accertamenti e verifiche ispettive presso le PA (magari con riferimento alle sole amministrazioni centrali), avvalendosi dei corpi di polizia specializzati in materia (Polizia postale e delle comunicazioni, Guardia di finanza, ecc.).