PARLAMENTO EUROPEO

Documento di seduta

17 settembre 2002

RELAZIONE
sulla comunicazione della Commissione al Parlamento europeo, al Consiglio, al Comitato Economico e Sociale e al Comitato delle Regioni "Sicurezza delle reti e sicurezza dell'informazione: proposta di un approccio strategico europeo"

(COM(2001) 298 - C5-0657/2001 - 2001/2280(COS))

Commissione per le libertà e i diritti dei cittadini, la giustizia e gli affari interni

Relatrice: Elena Ornella Paciotti

PAGINA REGOLAMENTARE

Con lettera del 7 giugno 2001 la Commissione ha trasmesso al Parlamento la sua comunicazione al Parlamento europeo, al Consiglio, al Comitato Economico e Sociale e al Comitato delle Regioni "Sicurezza delle reti e sicurezza dell'informazione: proposta di un approccio strategico europeo" (COM(2001) 298 - 2001/2280(COS)).

Nella seduta del 13 dicembre 2001 la Presidente del Parlamento ha comunicato di aver deferito tale comunicazione alla commissione per le libertà e i diritti dei cittadini, la giustizia e gli affari interni per l'esame di merito e, per parere, alla commissione giuridica e per il mercato interno, alla commissione per l'industria, il commercio estero, la ricerca e l'energia nonché alla commissione per la cultura, la gioventù, l'istruzione, i mezzi d'informazione e lo sport (C5-0657/2001).

Nella riunione del 10 ottobre 2001 la commissione per le libertà e i diritti dei cittadini, la giustizia e gli affari interni ha nominato relatrice Elena Ornella Paciotti.

Nelle riunioni del 23 maggio 2002, 17 giugno 2002, 8 luglio 2002, 12 settembre 2002 ha esaminato la comunicazione della Commissione e il progetto di relazione.

Nell'ultima riunione indicata ha approvato la proposta di risoluzione con 27 voti favorevoli, 1 contrario e 2 astensioni.

Erano presenti al momento della votazione Jorge Salvador Hernández Mollar (presidente), Robert J.E. Evans (vicepresidente), Giacomo Santini (vicepresidente), Elena Ornella Paciotti(relatrice), Niall Andrews, Roberta Angelilli, Alima Boumediene-Thiery, Marco Cappato (in sostituzione di Mario Borghezio), Michael Cashman, Charlotte Cederschiöld, Ozan Ceyhun, Carlos Coelho, Gérard M.J. Deprez, Giuseppe Di Lello Finuoli, Adeline Hazan, Anna Karamanou (in sostituzione di Martin Schulz), Timothy Kirkhope, Eva Klamt, Alain Krivine (in sostituzione di Ole Krarup), Bill Newton Dunn, José Ribeiro e Castro, Martine Roure, Miet Smet (in sostituzione di Hubert Pirker), Patsy Sörensen, The Earl of Stockton (in sostituzione di The Lord Bethell), Joke Swiebel, Fodé Sylla, Anna Terrón i Cusí, Maurizio Turco, Christian Ulrik von Boetticher e Olga Zrihen Zaari (in sostituzione di Walter Veltroni) .

Il parere della commissione per l'industria, il commercio estero, la ricerca e l'energia è allegato; la commissione giuridica e per il mercato interno ha deciso il 27 novembre 2001 di non esprimere parere; la commissione per la cultura, la gioventù, l'istruzione, i mezzi d'informazione e lo sport ha deciso 21 novembre 2001 di non esprimere parere.

La relazione è stata depositata il 17 settembre 2002.

PROPOSTA DI RISOLUZIONE

Risoluzione del Parlamento europeo sulla comunicazione della Commissione al Parlamento europeo, al Consiglio, al Comitato Economico e Sociale e al Comitato delle Regioni "Sicurezza delle reti e sicurezza dell'informazione: proposta di un approccio strategico europeo" (COM(2001) 298 - C5-0657/2001 - 2001/2280(COS))

Il Parlamento europeo,

- vista la comunicazione della Commissione (COM(2001) 298 - C5-0657/20011),

- vista la sua Raccomandazione del del 6 settembre 2001 sulla strategia intesa a creare una società dell'informazione sicura migliorando la sicurezza delle infrastrutture dell'informazione e mediante la lotta alla criminalità informatica del 6 settembre 2001, nonché la Convenzione del Consiglio d'Europa in merito alla criminalità informatica, firmata a Budapest il 26 novembre 20012;

- vista la proposta di decisione quadro del Consiglio relativa agli attacchi contro i sistemi di informazione del 19 aprile 2002, che mette in opera, per gli aspetti corrispondenti, la Convenzione del Consiglio d'Europa citata più sopra (COM (2002)173);

- viste le Conclusioni dei Consigli europei di Stoccolma del marzo 2001 e di Siviglia del 21-22 giugno 2002 e la Comunicazione della Commissione "eEurope 2005: una società dell'informazione per tutti", che ribadiscono l'urgenza di assicurare la sicurezza delle reti;

- viste le altre risoluzioni pertinenti in materia, compresa la sua Risoluzione del 5 settembre 2001 sull'esistenza di un sistema d'intercettazione globale per le comunicazioni private ed economiche (sistema d'intercettazione ECHELON) e le più recenti iniziative a livello internazionale (G8, OCSE, ONU)3,

- visto l'articolo 47, paragrafo 1, del suo regolamento,

  • visti la relazione della commissione per le libertà e i diritti dei cittadini, la giustizia e gli affari interni e il parere della commissione per l'industria, il commercio estero, la ricerca e l'energia (A5-0311/2002),

Quanto all'importanza di reti sicure nel quadro della società dell'informazione

A. considerando che la convergenza delle reti di comunicazione elettronica sta avanzando ad un ritmo serrato e che tali reti stanno assumendo un'importanza economica e sociale sempre più cruciale,

B. considerando che questa convergenza rende necessario creare, nell'Unione europea, un quadro politico e giuridico adeguato, che garantisca il mantenimento della sicurezza delle reti e dell'informazione, condizione fondamentale per la società

dell'informazione,

C. considerando che una adeguata sicurezza delle reti costituisce una fattore chiave per lo sviluppo dei servizi in rete, del commercio elettronico e per il buon funzionamento del mercato interno,

D. considerando che le soluzioni per incrementare la sicurezza saranno efficaci soltanto se tutti i soggetti interessati (autorità pubbliche, consumatori, ricercatori universitari, imprese), compresi i cittadini, prenderanno coscienza dei rischi per la sicurezza e della propria responsabilità per quanto riguarda le misure preventive da adottare,

E. considerando che le soluzioni per incrementare la sicurezza saranno efficaci soltanto se queste saranno applicate da tutti gli attori del mercato, preferibilmente sulla base di norme internazionali aperte,

F. considerando che i Computer Emergency Response Team (CERT) presenti nei vari Stati membri operano in modo eterogeneo, il che rende la cooperazione inutilmente complessa,

1. rileva che tale sicurezza é oggi insoddisfacente visto che il 60% delle imprese europee ha già riscontrato seri problemi negli ultimi due anni, che solo il 14% di esse attua una politica di sicurezza delle reti e che la mancanza di sicurezza è l'ostacolo principale all'utilizzo di Internet per il 62% delle PMI e per l'81% delle grandi imprese;4

2. Rileva altresì che spesso gli utenti non sembrano in grado di difendersi dalle minacce alla sicurezza delle reti, che comprendono attacchi dolosi ed eventi imprevisti quali:

• intercettazioni delle comunicazioni sia con che senza filo, tramite i sistemi di sorveglianza elettronica SOTA, router, gateway e server di rete; accesso non autorizzato tramite decifrazione di password o usurpazione dell'identità;

• cadute della rete, a causa di attacchi rivolti al server, al router o attacchi di tipo "saturazione" o "diniego di servizio" o attacchi all'integrità dei dati, tramite esecuzione di software maligni, come i virus, che modificano o distruggono i dati,

• incidenti ambientali ed eventi imprevisti (come le catastrofi naturali).

• attacchi criminosi riconducibili in certi casi anche a finalità terroristiche

3. Prende atto del fatto che oggetto degli attacchi alle reti possono essere infrastrutture essenziali come quelle di trasporto, di comunicazione, di fornitura di energia e di acqua, di servizi finanziari e banche e che, di conseguenza, la vulnerabilità delle reti costituisce un grave rischio per il corretto funzionamento dell'economia dell'Unione e la vita quotidiana dei cittadini;

4. considera, a fronte di tali debolezze, inadeguata una risposta basata solo sull'approccio volontario degli attori in causa, per l'eterogeneità dei comportamenti, per la mancanza di standard comuni e per l'evoluzione rapida delle tecnologie; ritiene al contempo opportuno che i produttori mettano a punto prodotti sicuri e partecipino allo sviluppo nel campo della sicurezza dei prodotti;

5. sottolinea la necessità di assicurare quanto prima che tutti i cittadini, le imprese e le amministrazioni abbiano accesso ai servizi elettronici pubblici di ogni amministrazione dell'Unione europea attraverso un sistema di accesso autenticato sicuro e personalizzato, da garantire tramite l'utilizzo della firma digitale e la fissazione di standard europei immediatamente operativi nei confronti delle istituzioni dell'UE;

6. sottolinea l'importanza di associare i settori interessati alla definizione di una politica per la sicurezza delle reti, l'integrità delle reti e la sicurezza dell'informazione negli ambienti IP;

7. prende atto del moltiplicarsi a livello internazionale di iniziative pubbliche e private per assicurare l'affidabilità delle reti quali il White House Office of Cyberspace Security negli stati Uniti, la rete per lo scambio di informazioni sulla sicurezza istituita nell'ambito del G8, le reti di Europol e Interpol;

8. concorda con il Consiglio Europeo il Consiglio e la Commissione sulla necessità di un approccio europeo per garantire che il mercato interno dei servizi di comunicazione possa avvalersi dei vantaggi delle soluzioni comuni ed operare efficacemente sulla scena mondiale;

9. ricorda che i responsabili della fornitura dei servizi in rete sono già tenuti ad attuare le misure per garantire un livello di riservatezza dei dati appropriato, in base all'articolo 17 della direttiva generale sulla protezione dei dati (95/46/CE), riconfermato nelle disposizioni successive relative alla sicurezza e integrità della rete5;

10. sottolinea la necessità di sviluppare quanto prima definizioni comuni di sicurezza delle reti, integrità delle reti e sicurezza dell'informazione;

11. chiede alla Commissione di elaborare un piano di azione per promuovere l'utilizzo della firma digitale, ad esempio attraverso la fissazione di standard europei immediatamente operativi nei confronti delle istituzioni dell'UE;

quanto agli aspetti istituzionali

12. Invita la Commissione a fornire al Parlamento e al Consiglio le informazioni relative ai problemi riscontrati nella applicazione delle direttive esistenti in materia di protezione dei dati, in particolare riguardo agli articoli relativi alla sicurezza delle reti;

13. considera indifferibile la definizione di una strategia europea che pur essendo neutrale rispetto al tipo di tecnologia utilizzata:

a) definisca o aggiorni gli standard in materia di sicurezza delle reti di telecomunicazione e ne assicuri l'interoperabilità;

b) favorisca lo sviluppo di sistemi di criptaggio e di certificazione su scala europea, e rafforzi le misure a protezione dei dati;

c) assicuri la prevenzione e la lotta efficace al crimine nel rispetto delle garanzie di legge;

d) sensibilizzi i cittadini, utenti e operatori pubblici e privati attraverso campagne di informazione a livello nazionale ed europeo favorendo la diffusione delle migliori pratiche in materia;

e) rafforzi la ricerca scientifica nei settori più carenti, quali la valutazione della sicurezza delle tecnologie informatiche, la loro integrazione nel sistema, la protezione dell'utilizzatore finale e le tecnologie di miglioramento della protezione della vita privata incluse quelle volte a contrastare i sistemi Echelon, Magic Lantern e Carnivore;

14. concorda con la Commissione sulla necessità di istituire, quanto prima una task force sulla sicurezza delle reti che abbia come obiettivi:

- l'identificazione delle autorità nazionali responsabili della gestione delle reti;

- l'identificazione delle autorità nazionali responsabili del coordinamento e della catena di comando per la gestione di crisi nellíambito delle infrastrutture critiche ed elettroniche dell'UE;

- il coordinamento delle attività di dette autorità e lo scambio delle migliori prassi;

- la creazione di un centro di eccellenza responsabile della prevenzione e dello scambio di informazioni;

- la raccolta e l'analisi dei dati relativi ai problemi legati alla sicurezza delle reti;

- l'analisi dei rischi attuali e futuri legati alla sicurezza;

- l'organizzazione di forum di discussione a livello europeo fra gli attori della sicurezza (autorità pubbliche, consumatori, ricercatori universitari, imprese);

15. esorta la Commissione a far sì che tale task force tenga conto nel suo operato di quanto è già stato espresso al forum sulla criminalità informatica e associ il forum ai futuri lavori;

16. chiede alla Commissione di definire chiaramente, dopo aver scrupolosamente consultato gli Stati membri e il settore privato, gli obiettivi, i compiti e le responsabilità della futura task force e di dotarla di risorse umane e finanziarie sufficienti;

17. invita la Commissione a esaminare prioritariamente i bisogni in termini di sicurezza e a condurre studi su un sistema di allarme tempestivo in ambito di infrastrutture elettroniche per le reti preposte all'erogazione di:

a) infrastrutture critiche, servizi pubblici essenziali e servizi che attengono alla salute delle persone,

b) sistemi di allarme tempestivo e loro interoperabilità,

c) promozione dello sviluppo dell'e-government e dell'e-business;

18. considera che un primo intervento legislativo dell'Unione in questo ambito dovrebbe fondarsi sulle competenze a questa riconosciute in materia di reti transeuropee (Titolo XV TCE) e, per gli aspetti richiedenti un armonizzazione, in materia di mercato interno (art. 95 TCE). L'istituzione della Task force dovrebbe essere prevista dalla stessa normativa che fissa gli obiettivi da conseguire a livello europeo;

19. invita la Commissione a presentare quanto prima una valutazione dell'impatto finanziario dell'intervento dell'unione in questo settore fornendo dati comparativi su analoghi iniziative a livello degli stati membri o di stati terzi (es. USA);

20. concorda con il Consiglio europeo, il Consiglio e la Commissione sulla necessità di un approccio europeo in vista di nuova legislazione o di un aggiornamento di quella esistente in materia di poteri di indagine, perseguimento dei reati e pene per attività criminali o terroristiche contro infrastrutture critiche;

21. invita la Commissione e il Consiglio a inserire il più possibile tale dibattito nel quadro dei compiti di Eurojust al fine di sviluppare un quadro giuridico armonizzato per l'individuazione e la repressione dei reati informatici;

22. incarica il suo Presidente a trasmettere la presente risoluzione al Consiglio, alla Commissione, ai Governi e ai Parlamenti degli Stati membri, al Consiglio d'Europa.

 

MOTIVAZIONE

Introduzione

La comunicazione sulla sicurezza delle reti e dell'informazione risale a un anno fà e intende definire una strategia globale per la sicurezza delle reti elettroniche, come richiesto dal Consiglio europeo di Stoccolma del 23 e 24 marzo 2001. La comunicazione fa seguito alla precedente comunicazione della Commissione "Garantire la sicurezza e l'affidabilità nelle comunicazioni elettroniche" dell'8 ottobre 1997 (COM (97) 503).

L'approccio suggerito completa la comunicazione quadro sul Cybercrime del 22 gennaio 2001 ed è stato ripreso e approfondito dal Consiglio dei Ministri Telecom del 6 dicembre 2001, che ha adottato una dettagliata risoluzione, ed è stato arricchito con la proposta della Commissione relativa a una decisione quadro sugli attacchi ai sistemi di informazione del 19 aprile 2002.

Il Consiglio europeo di Barcellona del marzo 2002 aveva invitato la Commissione a predisporre un nuovo Piano d'azione e-Europe 2005, che si sarebbe dovuto occupare anche della sicurezza delle reti e dell'informazione in una prospettiva interpilastri. La Commissione ha presentato tale Piano al Consiglio europeo di Siviglia del 21-22 giugno 2002, che lo ha adottato.

Stato attuale della legislazione comunitaria e prospettive

Il legislatore comunitario è già intervenuto in materia di sicurezza delle reti in tre settori fondamentali:

a) la protezione dei dati: in particolare con la direttiva 95/46/CE relativa alla tutela delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali (articolo 17) e con la direttiva 97/66/CE del Parlamento europeo e del Consiglio del 15 dicembre 1997 sul trattamento dei dati personali e sulla tutela della vita privata nel settore delle telecomunicazioni (articolo 4 e 5), che sarà sostituita dalla Direttiva approvata dal Consiglio il 25 giugno 2002 - Rapporto Cappato A5-0130/2002)

b) le politiche delle telecomunicazioni: la ricerca di maggiore sicurezza nelle reti è alla base anche della direttiva 99/93/CE del Parlamento europeo e del Consiglio, del 13 dicembre 1999, relativa ad un quadro comunitario per le firme elettroniche e della direttiva 2000/31/CE sul commercio elettronico. Un altro aspetto relativo alla sicurezza delle reti riguarda la protezione delle stesse da catastrofi naturali o guasti di ampia entità (direttiva 97/33/CE sull'interconnessione, articolo 10, e direttiva 98/10/CE sulla telefonia vocale, articolo 13).

c) la lotta alla criminalità informatica: un aspetto specifico della sicurezza delle reti riguarda la lotta al crimine in rete. A questo proposito i testi di riferimento sono la comunicazione della Commissione sulla criminalità informatica (COM (2000)890); la raccomandazione del Consiglio del 25 giugno 2001 sui punti di contatto accessibili 24 ore al giorno ai fini della lotta contro la criminalità ad alta tecnologia, la proposta di decisione quadro del Consiglio relativa agli attacchi contro i sistemi di informazione (COM(2002)173)

La prospettiva della Comunicazione è di legare i tre aspetti summenzionati, in una strategia integrata, prevedendo un ampio quadro di interventi che vanno dalla

• Sensibilizzazione del pubblico, anche perché impari a proteggersi a iniziative più specifiche come:

• Istituzione di un sistema europeo di segnalazione e analisi dei problemi;

• Sostegno alle attività di ricerca in materia di sicurezza;

• Normalizzazione e certificazione;

• Libera circolazione dei prodotti di cifratura;

• Sicurezza nella Pubblica amministrazione;

• Cooperazione internazionale.

Giustificazione di un intervento comunitario

Negli Stati Uniti il settore privato ha assunto un ruolo pro-attivo, con meccanismi di auto- regolamentazione, come codici di buona condotta e programmi di sicurezza. Il settore privato ha, infatti, un interesse nel promuovere un clima di fiducia nell'utilizzo delle reti e nell'avere un intervento legislativo minimo.

Tuttavia lasciare all'approccio volontario non sempre è sufficiente per garantire la sicurezza, inoltre gli schemi messi a punto dai privati rispondono più ad esigenze di mercato che di difesa di diritti fondamentali dei cittadini. Inoltre i privati, come per esempio i rivenditori di software, non rispondono per i danni derivanti dal loro comportamento in relazione alla sicurezza. Come ricorda la Commissione nella sua comunicazione "gli utenti e i fornitori che adottano un basso livello di sicurezza non incorrono in una responsabilità civile". Per questo motivo l'Unione europea ha adottato un approccio legislativo. La finalità è sviluppare una cultura della sicurezza e favorire lo scambio di informazioni sicure, utilizzando gli strumenti che esistono già nel mercato, ma che non sono sufficientemente conosciuti o non sono compatibili fra loro.

L'intervento comunitario si giustifica anche per il fatto che i servizi di comunicazione e di informazione sono transfrontalieri, così come sono transfrontalieri i pericoli che incombono per la sicurezza. È necessario un'azione strategica europea per favorire lo sviluppo del commercio elettronico e per creare un vero e proprio mercato interno dei servizi di telecomunicazione e di informazione, che possa avvalersi delle soluzioni comuni ed operare efficacemente sulla scena mondiale. La creazione, per esempio, del nome di dominio Internet europeo, del tipo .EU, non ha significato soltanto affermare la presenza europea nel ciberspazio, ma è soprattutto líoccasione per trasporvi lo spazio di fiducia che líUE ha creato grazie al mercato interno.

Azioni proposte dalla Commissione

Il Parlamento europeo sostiene la Commissione nella sua intenzione di creare una task force sulla sicurezza informatica, che dovrebbe essere operativa entro la metà del 2003. Il Parlamento tuttavia invita la Commissione a considerare che l'intervento legislativo in questo ambito dovrebbe avere come base giuridica il Titolo XV del Trattato CE sulle reti transeuropee e l'articolo 95 TCE per gli aspetti richiedenti un'armonizzazione, in materia di mercato interno.

Il Parlamento europeo sarebbe in tal modo associato, a pieno titolo, nel processo decisionale, in una materia cosìsensibile per gli interessi dei cittadini che esso rappresenta.

Glossario:

Server: è il programma remoto che fornisce informazioni all'utente. Si occupa solo del mantenimento, del reperimento e dell'invio dei dati all'utente che li ha richiesti. Quando l'utente richiede un certo documento situato in un dato punto della rete, l'utente invia una richiesta al server attraverso Internet. Il server, ricevuta la richiesta, ricerca i dati desiderati e li invia al computer dell'utente.

Gateway (portale). Collega tutti i computer della rete (per esempio una rete aziendale) ad Internet utilizzando ogni tipologia di connessione.

Router: è un dispositivo o un programma nel computer che determina il punto della rete più vicino al quale l'utente si indirizza per ottenere le informazioni. Il router è collegato ad almeno due reti e decide su quale rete inviare le informazioni, basandosi sulla valutazione dello stato attuale delle reti a cui è collegato. Il router si trova in ogni portale (gateway).

 

29 maggio 2002

PARERE DELLA COMMISSIONE PER L'INDUSTRIA, IL COMMERCIO ESTERO, LA RICERCA E L'ENERGIA

destinato alla commissione per le libertà e i diritti dei cittadini, la giustizia e gli affari interni sulla comunicazione della Commissione al Parlamento europeo, al Consiglio, al Comitato Economico e Sociale e al Comitato delle Regioni "Sicurezza delle reti e sicurezza dell'informazione: proposta di un approccio strategico europeo"

(COM(2001) 298 - C5-0657/2001 - 2001/2280 (COS))

Relatore per parere: W.G. van Velzen

PROCEDURA

Nella riunione del 22 novembre 2001 la commissione per l'industria, il commercio estero, la ricerca e l'energia ha nominato relatore per parere W.G. van Velzen.

Nelle riunionidel 16 aprile 2002 e 22 maggio 2002 ha esaminato il progetto di parere.

Nell'ultima riunione indicata ha approvato le conclusioni in appresso all'unanimità.

Erano presenti al momento della votazione Carlos Westendorp y Cabeza (presidente), Peter Michael Mombaur (vicepresidente), Yves Piétrasanta (vicepresidente), W.G. van Velzen (relatore per parere), Nuala Ahern, Sir Robert Atkins, María del Pilar Ayuso González (in sostituzione di Jaime Valdivielso de Cué), Guido Bodrato, David Robert Bowe (in sostituzione di Norbert Glante), Marco Cappato, Massimo Carraro, Gérard Caudron, Giles Bryan Chichester, Willy C.E.H. De Clercq, Concepció Ferrer, Francesco Fiori (in sostituzione di Umberto Scapagnini), Christos Folias (in sostituzione di Christian Foldberg Rovsing), Michel Hansenne, Hans Karlsson, Bashir Khanbhai, Bernd Lange (in sostituzione di Rolf Linkohr), Werner Langen, Caroline Lucas, Marjo Matikainen-Kallström, Eryl Margaret McNally, William Francis Newton Dunn (in sostituzione di Nicholas Clegg), Angelika Niebler, Reino Paasilinna, Paolo Pastorelli, Elly Plooij-van Gorsel, Samuli Pohjamo (in sostituzione di Colette Flesch), Godelieve Quisthoudt-Rowohl, Paul Rübig, Konrad K. Schwaiger, Alejo Vidal-Quadras Roca, Dominique Vlasto, Anders Wijkman (in sostituzione di John Purvis), Myrsini Zorba e Olga Zrihen Zaari

BREVE GIUSTIFICAZIONE

La sicurezza riveste un ruolo importante in tutti gli aspetti della nostra vita quotidiana. Ci si attende dai cittadini e dalle imprese che quanto meno conoscano e si assumano le proprie responsabilità in materia di sicurezza per sé e il proprio contesto immediato. Naturalmente ciò vale anche nel campo delle comunicazioni elettroniche.

Gli attacchi dirompenti su Internet sono all'ordine del giorno. Nell'arco di poco tempo i virus che si diffondono rapidamente attraverso la posta elettronica hanno fatto prendere coscienza a molti utenti di tali rischi e della vulnerabilità dei loro sistemi informatici. Nel contempo la convergenza delle reti di comunicazione elettronica avviene ad un ritmo serrato. È pertanto importante conoscere meglio la convergenza delle reti e dei possibili rischi per la sicurezza.

Oltre ai virus informatici già noti esistono molti altri rischi per la sicurezza nel campo delle reti di comunicazione elettronica.

Non soltanto i virus che sono diffusi attraverso la posta elettronica, ma anche l'intercettazione di comunicazioni, la falsificazione di identità o l'accesso non autorizzato ad una rete costituiscono rischi concreti di cui occorre essere consapevoli. In proposito occorre altresì tener conto dei rischi non dovuti a dolo, come gli errori umani o disastri naturali.

A ciò si aggiunga che la disponibilità di reti di comunicazione elettronica sta assumendo un'importanza crescente anche per altre infrastrutture, come ad esempio l'approvvigionamento di acqua potabile e di energia. La sempre maggiore convergenza delle reti accresce quindi la dipendenza e la vulnerabilità della società (dell'informazione).

Dato che prevenire è meglio che curare, la sensibilizzazione su questi aspetti riveste un'importanza cruciale. Spetta allo Stato mettere in primo luogo i cittadini e le imprese in condizione di potersi difendersi contro taluni rischi per la sicurezza.

In questo campo lo Stato ha un importante ruolo da svolgere sotto il profilo informativo, che dovrebbe anche prevedere lo sviluppo di valide definizioni scientifiche di sicurezza delle reti, integrità delle reti e sicurezza dell'informazione.

Un sistema di allarme informatico può essere utile per porre sotto controllo il più rapidamente eventuali attacchi già in corso o altri tipi di minacce. Le attuali iniziative del CERT1 (da parte di enti statali o grandi aziende) costituiscono un esempio di un sistema del genere. Tali iniziative devono però essere disponibili a tutti, quindi anche ai privati e alle piccole imprese.

Anche in questo caso lo Stato ha un un compito da svolgere. I CERT già esistenti devono essere ampliati e operare efficaciemente a livello degli Stati membri, prima che siano adottate iniziative per l'istituzione di un CERT europeo.

Le soluzioni e le misure da prendere per accrescere la sicurezza saranno efficaci soltanto se tutti possono beneficiarne. In altri termini: le iniziative per il potenziamento della sicurezza saranno meno efficaci se i soggetti interessati scelgono soluzioni diverse e non interoperabili. In questo ambito è fondamentale che le soluzioni rispondano a standard internazionali aperti. Le attività di normazione non mancano, ma l'esistenza di un gran numero di norme e specifiche tra di loro concorrenti ha portato alla frammentazione del mercato e a soluzioni interoperabili. Le soluzioni che si basano su software a sorgente aperta possono fornire un contributo alla rapida correzione degli errori e ad una maggiore trasparenza che giova alla sicurezza.

Le soluzioni per il potenziamento della sicurezza delle reti devono pertanto essere definite di concerto con tutti i settori interessati.

Oltre allo sviluppo di misure è importante studiare in modo continuo e a livello internazionale la gravità delle minacce alla e quanto siano efficaci determinate misure. L'analisi comparativa può rappresentare un utile strumento per valutare costantemente la situazione. In virtù del carattere globale delle reti elettroniche, e quindi anche dei rischi per la sicurezza, è necessario avviare un dialogo con altri paesi e istituzioni nel mondo, ad esempio per essere rapidamente informati dei rischi in gioco o per scambiarsi esperienze nel campo delle misure e dell'attuazione delle politiche.

Alla luce del carattere spesso criminale delle minacce alla sicurezza delle reti (ad eccezione ovviamente dei disastri naturali o degli errori umani succitati), i provvedimenti politici in materia di sicurezza delle reti devono rientrare il più possibile nell'ambito dei compiti di Eurojust al fine di sviluppare un quadro giuridico armonizzato per l'individuazione e la repressione dei reati informatici.

CONCLUSIONI

La commissione per l'industria, il commercio estero, la ricerca e l'energia invita la commissione per le libertà e i diritti dei cittadini, la giustizia e gli affari interni, competente per il merito, a includere nella proposta di risoluzione che approverà i seguenti elementi:

A. considerando che la convergenza delle reti di comunicazione elettronica sta avanzando ad un ritmo serrato e che tali reti stanno assumendo un'importanza economica e sociale sempre più cruciale,

B. considerando che questa convergenza rende necessario creare, nell'Unione europea, un quadro politico e giuridico adeguato, che garantisca il mantenimento della sicurezza delle reti e dell'informazione, condizione fondamentale per la società dell'informazione,

C. considerando che le soluzioni per incrementare la sicurezza saranno efficaci soltanto se tutti i soggetti interessati, compresi i cittadini, prenderanno coscienza dei rischi per la sicurezza e della propria responsabilità per quanto riguarda le misure preventive da adottare,

D. considerando che le soluzioni per incrementare la sicurezza saranno efficaci soltanto se queste saranno applicate da tutti gli attori del mercato, preferibilmente sulla base di norme internazionali aperte,

E. considerando che i Computer Emergency Response Team (CERT) presenti nei vari Stati membri operano in modo eterogeneo, il rende la cooperazione inutilmente complessa,

1. sottolinea la necessità di sviluppare quanto prima definizioni comuni di sicurezza delle reti, integrità delle reti e sicurezza dell'informazione;

2. si compiace dell'intenzione della Commissione di istituire una task force per la sicurezza delle reti informatiche e invita il Consiglio a concretizzare quanto prima tale intenzione e a istituire la task force entro la fine del 2002;

3. chiede alla Commissione di definire chiaramente, dopo aver scrupolosamente consultato gli Stati membri e il settore privato, gli obiettivi, i compiti e le responsabilità della futura task force e di dotarla di risorse umane e finanziarie sufficienti;

4. raccomanda alla Commissione di assegnare ad ogni modo alla task force la funzione di centro europeo indipendente della competenza in materia di sicurezza delle reti e dell'informazione, consentendole, tra l'altro, di svolgere un ruolo di riferimento per gli Stati membri per quanto riguarda la formulazione della politica nazionale e di consulente indipendente per gli Stati membri e il settore privato e di procedere a un esame indipendente in materia di sicurezza delle reti e dell'informazione;

5. sottolinea la necessità di assicurare quanto prima che tutti i cittadini, le imprese e le amministrazioni abbiano accesso ai servizi elettronici pubblici di ogni amministrazione dell'Unione europea attraverso un sistema di accesso autenticato sicuro e personalizzato, da garantire tramite l'utilizzo della firma digitale e la fissazione di standard europei immediatamente operativi nei confronti delle istituzioni dell'UE;

6. chiede alla Commissione di lanciare iniziative per sensibilizzare maggiormente i cittadini, le imprese e il settore pubblico circa i rischi per la sicurezza a livello delle reti di comunicazione elettronica e di svolgere un ruolo trainante nel coordinamento e nell'armonizzazione dei contenuti delle campagne informative negli Stati membri sugli aspetti e i rischi connessi alla sicurezza delle reti di comunicazione elettronica e raccomanda alla Commissione di affidare principalmente questo compito alla task force per la sicurezza delle reti informatiche che deve essere creata quanto prima;

7. chiede alla Commissione di elaborare un piano di azione per promuovere l'utilizzo della firma digitale, ad esempio attraverso la fissazione di standard europei immediatamente operativi nei confronti delle istituzioni dell'UE;

8. sottolinea l'importanza di associare i settori interessati alla definizione di una politica per la sicurezza delle reti, l'integrità delle reti e la sicurezza dell'informazione negli ambienti IP;

9. si compiace dell'intenzione della Commissione e degli Stati membri di studiare come sia possibile organizzare nel modo migliore la raccolta dei dati, l'analisi e l'ideazione di misure preventive contro i rischi attuali e futuri nel campo della sicurezza;

10. invita la Commissione e il Consiglio a inserire il più possibile tale dibattito nel quadro dei compiti di Eurojust al fine di sviluppare un quadro giuridico armonizzato per l'individuazione e la repressione dei reati informatici.

NOTE

1. GU C 43 del 16.2.2002, pag. 2.
2. Testi approvati (P5_TAPROV(2001)0284).
3. Testi approvati (P5_TAPROV(2001)0264).
4. ESTO "Future Bottlenecks in the information society" Report to the EP, ITRE Committee, pag. 143 e Eurostat.
5. Direttiva 97/66/CE sul trattamento dei dati personali e sulal tutela della vita privata nel settore delle telecomunicazioni; Direttiva 97/33/CE sull'interconnessione; Direttiva 98/10/CE sulla telefonia vocale; Direttiva 99/93 sulle firme elettroniche e Direttiva 2000/31/CE sul commercio elettronico.
6. Computer Emergency Response Team.