Parere del Comitato economico e sociale in merito alla
"Comunicazione della Commissione al Parlamento europeo, al Consiglio, al Comitato economico e sociale e al Comitato delle regioni – Sicurezza delle reti e sicurezza dell’informazione: proposta di un approccio strategico europeo"

La Commissione, in data 7 giugno 2001, ha deciso, conformemente al disposto dell’articolo 262 del Trattato che istituisce la Comunità europea, di consultare il Comitato economico e sociale in merito alla comunicazione di cui sopra.

La Sezione "Trasporti, energia, infrastrutture, società dell’informazione", incaricata di preparare i lavori in materia, ha formulato il parere sulla base del rapporto introduttivo del Relatore Retureau, in data 6 novembre 2001.

Il Comitato economico e sociale ha adottato il 28 e 29 novembre 2001 (seduta del 28 novembre), nel corso della 386 sessione plenaria, con 113 voti favorevoli, 2 voti contrari e 3 astensioni, il seguente parere.

1. Introduzione

1.1. Lo sviluppo delle reti interne alle imprese e alle amministrazioni ed altri organismi, come pure i collegamenti di questi ultimi e dei privati a Internet proseguono ad un ritmo esponenziale; la saturazione sarebbe vicina senza il prossimo sviluppo dell’Internet ad alta velocità (1) e l’attuazione, già avviata, di un nuovo sistema di attribuzione dei domini di primo livello.

1.2. La società, l’economia, l’amministrazione, la sicurezza nazionale, civile e militare, dipendono e dipenderanno sempre più dal buon funzionamento e dall’affidabilità delle reti e delle loro interconnessioni, dalla larghezza della banda passante, come pure dall’integrità delle informazioni che contengono e, in varie situazioni, dalla riservatezza dei dati o dell’esatta individuazione delle persone coinvolte.

1.3. La sicurezza delle reti e delle comunicazioni costituisce ormai una questione strategica della più alta importanza che richiede una politica coordinata e coerente fra gli Stati membri dell’Unione e a livello globale.

1.4. La comunicazione della Commissione procede ad un’analisi molto approfondita dei problemi posti e della situazione che il Comitato giudica ben documentata, e formula delle proposte di azione.

2. Le proposte della Commissione

2.1. La comunicazione della Commissione persegue un’impostazione comune per le questioni di sicurezza delle reti e della trasmissione di informazioni in Europa. Lo scopo è promuovere un livello di protezione equivalente in ciascuno degli Stati membri, l’interoperabilità dei sistemi, le missioni di sicurezza pubblica indispensabili su Internet ed il ruolo regolamentatore degli Stati membri.

2.2. L’obiettivo è di garantire un certo "servizio minimo" di sicurezza sulle reti, per le connessioni individuali via Internet e per le connessioni tra reti, e di sviluppare una cultura della sicurezza per promuovere una consapevolezza globale dei problemi e delle soluzioni.

2.3. La sicurezza dell’assieme dipende dall’anello più debole della catena, e l’apparizione graduale di connessioni a banda larga (via cavo o ADSL) e di connessioni permanenti ad Internet, anche a livello individuale, ha dato vita a nuove esigenze in materia di protezione. La situazione è analoga per quanto riguarda il commercio elettronico, dove i dati personali e quelli relativi ai pagamenti dei consumatori devono essere protetti, cos¹` come devono esserlo i dati personali dei cittadini man mano che si diffondono le procedure amministrative per via elettronica.

2.4. E` inoltre necessario ottenere un quadro penale sufficientemente armonizzato per definire e punire in maniera equivalente in ciascun paese i reati di intrusione, uso indebito di dati ed informazioni intercettate, l’assunzione del controllo di una rete da parte di pirati o la diffusione volontaria di virus.

2.5. Viene proposta la creazione di un sistema europeo di sorveglianza ed intervento, e la Commissione insiste sulle necessità di formazione e di informazione, nelle aziende ed a livello privato, che rappresenta il tema di fondo della comunicazione.

2.6. La proposta ha infine per obiettivo prioritario la protezione della vita privata e della riservatezza dei dati individuali dei cittadini e dei consumatori.

3. Osservazioni del CES

3.1. Osservazioni generali

3.1.1. Il Comitato condivide pienamente le analisi e gli argomenti che giustificano una politica quadro europea della sicurezza delle reti e dell’informazione e ritiene le azioni proposte generalmente pertinenti fatte salve alcune osservazioni e suggerimenti particolari.

3.1.2. La rete Internet non è stata concepita per il commercio elettronico, i contratti, la vendita di contenuti protetti dal diritto d’autore (musica, immagini e film), i trasferimenti di capitali ed altre operazioni economiche che esigono protezioni specifiche; nella sua utilizzazione iniziale, militare e universitaria, la codificazione con chiavi lunghe nel primo caso e la pubblicazione di risultati di esperimenti o di banche di dati scientifici in chiaro, nel secondo, rispondevano alle esigenze. Per ragioni di sicurezza nazionale, la codificazione forte e l’esportazione di determinati programmi sono stati frequentemente vietati ai privati fino al 2000 in numerosi paesi, soprattutto non europei. La Commissione ha fortunatamente dato un impulso allo sviluppo ed al commercio degli strumenti atti a garantire alle imprese ed agli amministratori l’indispensabile sicurezza per la trasmissione dei dati riservati in rete.

3.1.3. Un’utilizzazione "libertaria" di Internet si è sviluppata successivamente, fino all’utilizzo commerciale, finanziario, tecnologico e industriale, ludico, senza contare i siti pornografici che generano redditi considerevoli e sono del resto, con i giochi on-line, alla fonte di evoluzioni tecnologiche notevoli in particolare in materia di velocità di banda e qualità dell’immagine o di sistemi di pagamento protetti, anonimi o non anonimi.

3.1.4. Tutti questi modi di utilizzo continuano a coesistere e si profilano altre utilizzazioni. Ma una parte crescente delle reti e di Internet fa da pilastro al funzionamento della società e dell’economia, contribuisce in maniera decisiva allo sviluppo sociale e alla sicurezza nazionale e richiede una protezione proporzionata alla natura dei dati trasmessi e delle operazioni

3.1.5. Per il Comitato dovrà quindi esistere sempre una proporzionalità fra le misure di sicurezza adottate, il loro costo, la natura e l’importanza dei dati e delle operazioni protette e il tipo di utilizzatori interessati.

3.1.6. Il Comitato condivide in generale la presentazione dei rischi potenziali e le soluzioni proposte dalla Commissione, come condivide il punto di vista secondo il quale la sicurezza è una questione dinamica che richiede un adattamento e degli adeguamenti permanenti, in funzione delle evoluzioni delle tecnologie dei software e dei rischi. Di conseguenza suggerisce che la consultazione e il dialogo avviati in occasione dell’attuale comunicazione con le industrie, gli utilizzatori e i responsabili della sicurezza delle reti assuma carattere permanente o che vi si proceda periodicamente. La società civile organizzata dovrebbe essere pienamente associata sia per l’impatto della politica di sicurezza delle reti e delle telecomunicazioni su taluni diritti fondamentali dei cittadini, sia per le incidenze sulle attività economiche e sociali e sull’amministrazione.

3.1.7. Nei suoi recenti pareri sulla "Cibercriminalità" (2) e sulla "Protezione dell’infanzia su Internet" (3) il Comitato ha già espresso i principi essenziali che sostiene allo scopo di lottare contro l’utilizzazione di Internet a fini delittuosi o criminali pur respingendo la censura, la sorveglianza generalizzata e gli ostacoli alla libertà di espressione e di comunicazione sulla rete globale. Ciononostante l’Internet non è al di sopra del diritto.

3.1.8. Il Comitato ritiene che la sicurezza dei singoli utilizzatori e dei consumatori in tutte le sue dimensioni dovrebbe occupare un posto più centrale nella riflessione della Commissione e nella strategia europea. Anche se un attacco virale contro il computer di un privato non ha conseguenze importanti dal punto di vista degli interessi economici diretti o della sicurezza collettiva, va rammentato che taluni attacchi sono effettuati su grande scala, transitano attraverso postazioni client e possono essere gonfiati dai mezzi di comunicazione di massa talora in maniera spropositata rispetto alla realtà del pericolo incorso, fatto che riduce fortemente la fiducia dei cittadini verso i vantaggi e l’utilità di Internet. Questo pesa considerevolmente sul potenziale di sviluppo del commercio elettronico e dell’e-business in generale, nonché sulla creazione di nuovi posti di lavoro.

3.1.9. Se la tutela della vita privata e dei dati personali sono obiettivi prioritari, i consumatori hanno anche il diritto di essere protetti in maniera realmente efficace contro la schedatura abusiva di profili nominativi attraverso software "spia" (spyware e web bugs) o mediante altri metodi. Dovrebbe anche essere frenata la pratica dello spamming (invio massiccio di messaggi non sollecitati) che spesso deriva da questi abusi. Tali intrusioni hanno un costo per le vittime (4).

3.1.10. La protezione della vita privata deve essere garantita a tutte le persone che operano nella sfera economica e imprenditoriale, il che comprende pertanto i lavoratori e gli altri collaboratori delle imprese. Le regole interne di sicurezza devono essere oggetto di negoziati tra le parti sociali, devono essere note a tutti, all’interno dell’impresa nel rispetto del quadro legale o giurisprudenziale dello Stato membro. In tale contesto va sottolineata l’importanza di un’applicazione uniforme di tali disposizioni, conformemente alla Carta europea dei diritti fondamentali di Nizza, alla Raccomandazione dei garanti europei relativa alla vita privata ed alla Direttiva 95/46/CE sulla protezione dei dati personali.

3.1.11. Sembra quindi indispensabile destinare ai privati e alle imprese mezzi giuridici più efficaci per mettere in questione la responsabilità pecuniaria degli operatori e dei fabbricanti di software in caso di gravi carenze, in materia di sicurezza e di protezione dei dati, che siano loro imputabili a titolo di responsabilità della fabbricazione dei prodotti (5).

3.1.12. Secondo il Comitato, la Commissione dovrebbe valorizzare meglio ed anche spiegare il ruolo positivo in termini di risorse e di protezione che rappresenta l’open-source cioè i sistemi operativi e i software di rete e di comunicazione gratuiti e liberamente modificabili dagli utilizzatori. La comunità dei programmatori "open source" reagisce rapidamente per correggere i difetti e i problemi, e un importante settore economico dei servizi alle imprese si è sviluppato attorno a tale concetto, sostenuto da taluni giganti dell’industria informatica. Vari server nel mondo funzionano con questi software in modo generalmente sicuro e stabile, mentre a volte accade che certi software "proprietari" vengano corretti solamente con un ritardo che può comportare danni per gli utenti, o che delle nuove versioni di tali software, con nuove funzionalità, vengano commercializzate frettolosamente. Ragioni connesse alla competizione commerciale, o il voler introdurre ad ogni costo qualche novità, hanno talvolta la precedenza sulla cultura della sicurezza, che deve invece essere rafforzata presso quanti preparano programmi, commerciali o gratuiti, per far s¹` che divenga realmente parte integrante dei prodotti da loro concepiti.

3.1.13. Inoltre i sistemi di gestione e programmi proprietari, il cui "codice sorgente " non è stato pubblicato, non offrono – di conseguenza – garanzie sufficienti di sicurezza e di protezione della vita privata soprattutto nel caso di registrazioni di licenze e caricamento di patches (correttivi e aggiornamenti) effettuati via Internet, i quali possono essere deviati per raccogliere informazioni sui sistemi client e server (architetture e contenuto, liste di indirizzi e collegamenti). Il Comitato ritiene che tutte le pratiche che vanno oltre la semplice registrazione del nome e dell’indirizzo del proprietario della licenza del software per dargli una chiave di attivazione o un codice di accesso temporaneo a dei servizi possano rappresentare un’intrusione e dovrebbero essere proibite.

3.1.14. I software liberi (free: gratuiti) assicurano inoltre una forma di sana concorrenza rispetto alle tendenze monopolistiche del mercato dei software e del mercato in pieno sviluppo dei servizi di rete.

3.1.15. La licenza pubblica generale [GPL (6)] dovrebbe essere riconosciuta e rispettata. Con Internet il Comitato ritiene che si dovrebbero sviluppare degli approcci e delle regole specifiche in materia di proprietà intellettuale per quanto riguarda i software e i contenuti accessibili o scambiabili in rete. Ad esempio è fin troppo facile utilizzare la legislazione sui marchi per ostacolare l’esercizio della libertà di opinione o di espressione dei consumatori o dei lavoratori dipendenti per quanto riguarda la politica o le pratiche di un’impresa e i suoi prodotti o servizi. Il diritto dei brevetti e dei marchi sembra incontrare dei limiti e dei problemi di applicazione rispetto allo sviluppo delle reti, che richiedono pertanto un diritto specifico in materia di protezione ancora insufficientemente elaborato.

3.1.16. Prendendo inoltre in considerazione il fatto che i tentativi di intercettazione e di controllo o di furto di dati sensibili vengono effettuati principalmente nei confronti delle reti militari, amministrative e delle imprese, il Comitato esorta le istituzioni europee e tutti gli Stati membri a lottare congiuntamente contro tutte le intercettazioni e i tentativi di penetrazione a fini di spionaggio militare o industriale e commerciale che vadano contro gli interessi strategici ed economici dell’Europa.

3.1.17. Le misure di sicurezza, la sorveglianza degli accessi, le regole e protocolli interni, le ridondanze nell’hardware (sistemi che "sopportano" i malfunzionamenti (fault tolerance), siti replicati (mirror sites) e proxy, salvaguardia di dati frequente e localizzata) esigono soluzioni software e hardware ed un controllo e un aggiornamento permanente da parte di persone altamente qualificate e comportano di conseguenza costi notevoli. Tuttavia, tali misure causano importanti problemi di attuazione alle imprese pubbliche e private, nonché alle amministrazioni, a causa della mancanza di informazioni tecniche e di consapevolezza ma anche a seguito delle implicazioni finanziarie, in particolare nel caso delle piccole e medie imprese. I gruppi d’intervento in caso d’emergenza dovrebbero essere dotati di tutto il necessario e tener conto delle necessità delle piccole e medie imprese.

3.2. Osservazioni particolari

3.2.1. OSSERVAZIONI PARTICOLARI SUI RISCHI E SUGLI STRUMENTI DI LOTTA PREVISTI

3.2.1.1. Protezione della vita privata e lotta contro la cibercriminalità e lo spionaggio

3.2.1.1.1. Il Comitato condivide pienamente la priorità accordata dalla Commissione nella politica proposta alla protezione della vita privata e dei dati personali. La protezione dei diritti fondamentali e della libertà di informazione e di comunicazione deve costituire il nocciolo di qualunque strategia in materia di protezione dei dati e delle comunicazioni, così come la protezione degli interessi collettivi, cominciando dalla necessità di proteggere la sicurezza nazionale ed il normale funzionamento delle istituzioni democratiche e delle amministrazioni pubbliche. Il Comitato concorda nel ritenere che vadano sviluppati e adeguati gli strumenti destinati a tali fini, siano essi relativi alla legislazione, alla cooperazione, alla ricerca o alla normalizzazione.

3.2.1.1.2. E` necessario mantenere la possibilità di procedere all’intercettazione legale nel rispetto delle procedure giuridiche adeguate, ma i metodi di codificazione ad alta sicurezza possono rendere impossibile la decodificazione dei messaggi. La criminalità organizzata impiega i metodi più moderni e più sicuri per proteggere le proprie comunicazioni. E` necessario pertanto mettere a punto sul piano europeo e internazionale una cooperazione giuridica e tecnologica contro la criminalità organizzata ed il terrorismo, come sottolineato in particolare dal Comitato nei pareri riguardanti la lotta contro il riciclaggio dei proventi e la criminalità informatica (7).

3.2.1.1.3. E` inoltre indispensabile, nel quadro della politica di concorrenza, sorvegliare i processi di concentrazione e di monopolizzazione riguardanti i contenuti (informazione, cultura ecc.) ed i diversi segmenti delle "backbones" (dorsali) di Internet. La Commissione dovrebbe inoltre cercare di garantire una gestione della rete che rappresenti meglio i 370 milioni di utenti attuali e che sia veramente trasparente, poiché l’attuale gestione a più poli resta concentrata in Nordamerica, sotto il controllo diretto del dipartimento del commercio degli Stati Uniti, in particolare per l’attribuzione della gestione dei nomi di dominio e per la scelta dei registrars (8).

3.2.1.1.4. Gli operatori devono garantire realmente, per proteggere il diritto alla vita privata ed alla riservatezza dei propri clienti, l’uso dei sistemi di sorveglianza materiale delle proprie installazioni e della codificazione delle comunicazioni più strettamente legati all’importanza dei diritti da proteggere, in funzione dell’evoluzione delle tecniche. Essi sono comunque tenuti a conformarsi a questo obbligo anche dalla Direttiva 97/66/CE (9).

3.2.1.1.5. Gli utenti, da parte loro, devono poter effettuare una codificazione sufficientemente sicura dei dati sensibili che potrebbero voler trasmettere sulla rete, ma ciò generalmente avviene di rado visto che di norma conoscono poco gli strumenti ad hoc e le loro modalità d’uso. Per far fronte alle necessità crescenti di codificazione e sicurezza sarà indispensabile formare un sufficiente numero di specialisti.

3.2.1.1.6. Le intrusioni nei computer e nelle reti, qualunque sia la motivazione (sfida intellettuale, vendetta personale col desiderio di nuocere, furto di dati o assunzione di controllo a diversi scopi) nonché la diffusione di virus informatici mettono in pericolo i diritti e gli interessi degli utenti nonché l’integrità dei dati, dell’informazione e delle reti.

3.2.1.1.7. Pur essendo pienamente d’accordo con la Commissione sull’importanza dei danni che le diverse forme di intrusione possono causare, visto che a volte si spingono sino al controllo illegale del sistema, il Comitato ritiene che sarebbe eccessivo assimilare gli hackers, che si limitano a evidenziare mancanze nei sistemi di sicurezza senza intenzioni criminali, cosa che può consentire di porvi rimedio, a coloro che si introducono nei sistemi proprio con tali intenzioni (crackers). La legislazione penale che la Commissione potrebbe proporre dovrà rimanere proporzionale agli eventuali reati e infrazioni, che devono rimanere effettivamente definiti e qualificati, e tener conto dell’intenzione degli autori delle intrusioni.

3.2.1.2. Diritto comunitario applicabile e tecnologie disponibili

3.2.1.2.1. La normativa comunitaria chiede agli Stati membri di prendere tutte le misure necessarie ad assicurare la disponibilità delle reti pubbliche in caso di caduta della rete dovuta a una catastrofe naturale [Direttiva sull’interconnessione 17/33/CE (10) e Direttiva sulla telefonia vocale 98/10/CE (11)] ma il Comitato suggerisce alla Commissione di avviare uno studio comparativo delle misure prese e della loro efficacia in tutti gli Stati membri.

3.2.1.2.2. L’usurpazione di identità praticata da persone fisiche o morali può causare danni: per qualunque transazione rilevante è necessario autenticare le persone e assicurarsi della veridicità delle dichiarazioni.

3.2.1.2.3. I protocolli SSL e IPSEC consentono di comunicare su Internet e sui canali aperti con un certo grado di sicurezza, ma senza offrire garanzie sufficienti. La direttiva sulle firme elettroniche (12) prevede che una tale garanzia possa essere offerta da terzi, ovvero da un "prestatore di servizi di certificazione".

3.2.1.2.4. L’adozione di una tale soluzione incontra lo stesso problema che si pone per la codificazione, ovvero le necessità di interoperabilità e gestione delle chiavi. Nel caso di reti VPN (reti virtuali private) possono essere sviluppate soluzioni proprietarie, ma per le reti pubbliche questo rimane uno degli ostacoli principali.

3.2.1.2.5. Per tali ragioni la direttiva sulle firme elettroniche costituisce la base giuridica e lo strumento essenziale per agevolare l’autentificazione elettronica nell’UE.

3.2.1.3. Nuove sfide, nuovi rischi ed analisi costi/benefici

3.2.1.3.1. Il Comitato condivide l’analisi delle nuove sfide e dei nuovi rischi legati al rapido sviluppo delle tecnologie e alla moltiplicazione e diversificazione dei terminali di accesso, nonché dei maggiori pericoli di pirateria dovuti alla generalizzazione dei terminali collegati in permanenza con indirizzo (IP) fisso. Sostiene l’approccio mirato a conciliare sicurezza e libertà, protezione delle reti e protezione della vita privata e della riservatezza.

3.2.1.3.2. Inoltre, i sistemi di codificazione più sicuri hanno richiesto un’evoluzione delle normative per consentire una codificazione ad alta sicurezza e questa si è verificata in taluni casi tardi a causa di considerazioni di sicurezza; tuttavia la dissimulazione dei messaggi nel "rumore" dei file di immagini o di suoni (steganografia) offriva già a chi desiderasse aggirare la legge senza essere scoperto la possibilità di nascondere il fatto stesso di aver inviato un messaggio codificato.

3.2.1.3.3. Vengono utilizzati diversi algoritmi, e se ne rendono disponibili altri, più sofisticati: questo pone seri problemi di gestione per messaggi codificati con metodi diversi da corrispondenti diversi. Anche la raccomandazione di attuare un sistema europeo, sebbene faciliti le comunicazioni sul mercato interno, andrà a cozzare contro la diversità dei sistemi adottati nel resto del mondo. Ciò si ripercuote sul costo della sicurezza e della sua gestione, anche se alcuni sistemi efficaci rientrano nel settore pubblico e sono gratuiti.

3.2.1.3.4. Ciononostante, il costo della mancata sicurezza è ancor più elevato, poiché circolano dati sempre più sensibili. La sicurezza sarà inoltre integrata per certi versi sempre più nei prodotti.

3.2.1.3.5. Il Comitato valuta positivamente l’approccio europeo proposto dalla Commissione, pur rimanendo cosciente dei suoi limiti, e vista l’importanza della posta in gioco concorda sulla necessità di un’azione pubblica per supplire alle carenze attuali del mercato.

3.2.1.3.6. Esistono già garanzie giuridiche nelle direttive dell’UE sulla protezione dei dati e nel quadro normativo per le telecomunicazioni. Tuttavia, tali misure devono essere attuate in un contesto in rapida evoluzione, che si tratti di tecnologie, di concorrenza, della convergenza delle reti e della mondializzazione, mentre il mercato mostrerà la tendenza a non investire a sufficienza nella sicurezza per le ragioni descritte appunto nella comunicazione, benché il mercato della sicurezza sia in rapida espansione nel mondo.

3.2.1.3.7. E ` vero, come sostiene la Commissione, che il mercato della sicurezza è ancora imperfetto. L’investimento nella sicurezza è redditizio solo se un numero sufficiente di persone adottano lo stesso approccio. La ricerca di soluzioni deve passare attraverso la cooperazione. Nella misura in cui molti prodotti e servizi continuano ad utilizzare soluzioni proprietarie è necessario incoraggiare la ricerca diretta verso standard più sicuri e accettati in maniera più generale e un’interoperabilità dei sistemi di sicurezza. Secondo, il Comitato è più opportuno incoraggiare la definizione di criteri comuni ("common criteria") a livello internazionale, piuttosto che di sistemi di certificazione/autenticazione che possono penalizzare il consumatore finale.

3.2.1.3.8. Le disposizioni giuridiche esistenti a livello dell’UE devono anzitutto essere attuate in modo efficace. Il quadro giuridico deve rimanere pertinente ed efficace e sarà dunque inevitabilmente destinato ad evolvere costantemente.

3.2.1.3.9. Il secondo elemento è che se le forze di mercato non consentono attualmente di generare un livello di investimento sufficiente nelle tecnologie e nella pratica della sicurezza, le misure politiche proposte dalla Commissione potrebbero rafforzare i processi di mercato, il quale sta per altro iniziando ad evolvere.

3.2.1.3.10. Infine i servizi di comunicazione e l’informazione hanno entrambi carattere transfrontaliero. Un approccio politico europeo è necessario per garantire il mercato interno di questi servizi, per beneficiare di soluzioni comuni e infine per agire in modo più efficace a livello mondiale.

3.2.1.3.11. Il Comitato concorda con l’idea secondo cui gli investimenti finalizzati ad ottenere una migliore sicurezza delle reti generano dei costi e dei benefici sociali che non sono correttamente riflessi dai prezzi di mercato. Per quanto riguarda i costi, gli attori del mercato non sono al momento tenuti ad assumere tutte le responsabilità risultanti dal loro comportamento in materia di sicurezza; il Comitato ritiene che questa situazione non debba continuare.

3.2.1.3.12. Il Comitato condivide inoltre l’analisi secondo cui i benefici della sicurezza non si ripercuotono completamente sui prezzi di mercato, benché gli investimenti in questo settore da parte degli operatori, dei fornitori in genere o dei fornitori di servizi vadano a beneficio non solo dei propri clienti ma in realtà di tutta l’economia e della sicurezza generale delle comunicazioni.

3.2.1.3.13. Condivide ugualmente l’idea secondo cui gli utenti non sono consapevoli di tutti i rischi legati alla sicurezza, mentre molti operatori, venditori o fornitori di servizi non riescono a valutare l’esistenza e l’ampiezza degli aspetti vulnerabili. Allo stesso modo, molti nuovi servizi, applicazioni e software offrono caratteristiche interessanti, che possono tuttavia rappresentare una fonte di nuove vulnerabilità. Sarebbe opportuno che i prodotti venissero sottoposti a test più approfonditi prima di venir commercializzati.

3.2.2. OSSERVAZIONI PARTICOLARI SUL QUADRO POLITICO EUROPEO PROPOSTO

3.2.2.1. Il Comitato è consapevole della vulnerabilità intrinseca della rete mondiale, in particolare a livello di routing dei pacchetti di dati, ed è consapevole del fatto che la massa sempre crescente di dati in circolazione non consenta di prevederne la protezione generale tramite filtraggio, al di fuori dai terminali. In generale il CES sostiene le proposte d’azione contenute nel quadro politico proposto.

3.2.3. SENSIBILIZZAZIONE

3.2.3.1. Le proposte formulate sono adeguate a sensibilizzare tutte le persone ed organizzazioni interessate. La protezione dei terminali e delle comunicazioni dipende principalmente dal fatto che gli utenti stessi siano consapevoli dei problemi esistenti ed agiscano di conseguenza.

3.2.4. SISTEMA EUROPEO DI INFORMAZIONE RAPIDA

3.2.4.1. Il Comitato sostiene la proposta di creare un sistema europeo di segnalazione e di informazione rapida che evidenzi i problemi e le soluzioni da applicare, nonché le altre proposte della Commissione in materia di rilevamento precoce, di diffusione delle informazioni e consulenza nonché di collaborazione europea e mondiale. Sarà necessario sviluppare al contempo delle infrastrutture adeguate nell’intera Unione ed assicurare la loro cooperazione continua ed efficace.

3.2.4.2. Per quanto riguarda le relazioni che dovrebbero essere stilate dalle imprese ma anche, secondo il Comitato, dalle amministrazioni e dagli altri organismi, il CES si rende conto che il carattere confidenziale del meccanismo di resoconto degli attacchi favorirà il feedback di informazioni, ma ricorda che si verificano di continuo fughe o rivelazioni pubbliche effettuate dagli hacker e che conoscere in tempi sufficientemente brevi la natura degli attacchi e delle debolezze, nonché e soprattutto delle misure prese per porvi rimedio costituirebbe piuttosto un fattore di fiducia per il pubblico.

3.2.4.3. Anche l’uso dei sistemi di rilevamento e di segnalazione dovrebbe, secondo il Comitato, riguardare l’identificazione delle debolezze esistenti nel software commerciale, o gratuito, e in qualunque altro fattore tecnologico o di altro genere che potrebbe aprire un canale a eventuali attacchi. Il sistema di analisi precoce potrebbe assumere questa funzione, così come una sorveglianza tecnologica o anche un controllo dei siti degli hacker e dei pirati e delle diverse pubblicazioni underground che trattano dei possibili metodi o che pubblicano i programmi "pronti per l’uso", per la creazione di virus o per l’intrusione, di cui si servono gli script kiddies (13).

3.2.5. SOSTEGNO TECNOLOGICO

3.2.5.1. Il Comitato approva il sostegno previsto per gli sforzi nel campo della ricerca. Vuole tuttavia ricordare che la criptografia è una scienza conosciuta in maniera approfondita al massimo da qualche decina di esperti nel mondo; molti dei quali lavorano per la NSA (14). La questione è come trattenere in Europa gli esperti che potrebbero sviluppare la ricerca, e quali sono i mezzi efficaci nel nostro continente. La NSA ha dieci o quindici anni di vantaggio e dispone di sistemi di calcolo e di decifrazione che sembra difficile poter eguagliare rapidamente. L’interrogativo è quali mezzi concreti, necessariamente rilevanti, saranno destinati alla ricerca (15).

3.2.5.2. Una politica di integrazione degli hackers e degli esperti informali esistenti potrebbe costituire una pista complementare, che potrebbe sostituire l’atteggiamento di rigetto nell’emarginazione o una penalizzazione eccessiva, che sembra svilupparsi in Europa verso persone che non causano alcun danno diretto ad altri o alla società, a seguito della confusione tra il loro operato ed atti assai gravi. Bisognerebbe, pur garantendo la penalizzazione dissuasiva nei confronti degli atti di pirateria o di terrorismo in rete, evitare di assimilare sistematicamente a tali atti le ricerche sulle mancanze in materia di sicurezza effettuate allo scopo di informare gli autori del software o i gestori delle reti per permettere loro di rafforzare le misure di protezione, nella misura in cui tali ricerche non abbiano lo scopo di nuocere, come nel caso del sabotaggio, del furto di dati confidenziali, dell’utilizzazione nascosta delle reti, dell’arricchimento personale o della diffusione di viri informatici.

3.2.5.3. La diffusione pubblica di scoperte senza che gli interessati diretti siano stati informati con sufficiente anticipo e senza il loro accordo rappresenta tuttavia un atto scorretto, che può essere oggetto di un’incriminazione adeguata sul piano penale. Tuttavia sarebbe opportuno tentare di inserire nell’ambito legale quanti non commettono crimini né gravi infrazioni e non causano danni economici, e cercare di trarre vantaggio dalle loro competenze a beneficio della società. In tal modo tali individui di rara competenza non rischierebbero di essere strumentalizzati od utilizzati da criminali o terroristi, come invece potrebbe avvenire se venissero marginalizzati e criminalizzati.

3.2.6. SOSTEGNO ALLE ATTIVITÀ DI NORMALIZZAZIONE E CERTIFICAZIONE IN UNA LOGICA DI MERCATO

3.2.6.1. Il Comitato condivide l’analisi della Commissione sull’eccessivo numero di norme e di sistemi in concorrenza tra loro, che costituiscono ostacoli alla sicurezza e ai progressi realizzati nei settori della firma e dei mezzi di pagamento elettronici protetti, e sottolinea l’esigenza di norme comuni e di criteri comuni che permettano di evitare le rigidità presenti nel mercato e di ottenere l’interoperabilità.

3.2.6.2. Nel sostenere le azioni proposte il CES sottolinea determinate difficoltà, legate alla natura privata ed insufficientemente rappresentativa dell’attuale amministrazione di Internet, che nella fattispecie definisce le norme. Si tratterà di un lavoro a lungo termine, che richiederà pazienza e cooperazione.

3.2.7. QUADRO NORMATIVO

3.2.7.1. Il Comitato approva il progetto di specificazione del quadro legislativo esistente in materia di telecomunicazioni e di protezione dei dati per adeguarlo alle reti e a Internet.

3.2.7.2. Le azioni proposte sono adeguate ed il Comitato approva le iniziative previste per giungere all’armonizzazione giuridica e per rafforzare la cooperazione penale fra gli Stati membri contro la criminalità informatica, senza rimettere in questione la liberalizzazione del commercio degli strumenti di codificazione ad alta sicurezza, gli unici che possano garantire una sicurezza efficace. La cooperazione in materia civile e commerciale svolge anch’essa un ruolo importante nella lotta contro la criminalità informatica (circuiti finanziari, frodi fiscali, ecc.).

3.2.7.3. Tuttavia la questione della cooperazione penale dovrebbe, secondo il Comitato, estendersi sul piano globale, e la strategia europea in questo settore dovrebbe essere oggetto di una linea di azione nel quadro politico proposto. Il Comitato nota con soddisfazione che nel corso delle prossime settimane è attesa una proposta formale della Commissione in materia.

3.2.8. LA SICUREZZA NELLA PUBBLICA AMMINISTRAZIONE

3.2.8.1. Il Comitato approva le azioni proposte, tenuto conto del carattere personale di una quantità importante di dati trattati dalle pubbliche amministrazioni, nonché del fatto che i loro siti possono essere oggetto di attacchi di tipo terroristico per ragioni di politica nazionale interna o estera, come dimostrato recentemente da Code Red (un virus polimorfo) e da Nimda. La Commissione dovrebbe considerare questi ultimi tipi di attacco come una ragione in più per proteggere sempre meglio i propri siti e le reti ufficiali, nonché quelli degli Stati membri.

3.2.9. COOPERAZIONE INTERNAZIONALE

3.2.9.1. Secondo il Comitato, si tratta di un settore essenziale, ma delicato e difficile della politica europea di sicurezza delle reti e delle comunicazioni, che pone gravi problemi di solidarietà interna e di politica estera e di sicurezza comune, nonché di gestione delle reti interconnesse e di Internet.

3.2.9.2. La proposta d’azione in questo settore, che consiste nel continuare a sviluppare la cooperazione dei diversi organi internazionali sul tema dell’affidabilità delle reti, è diplomaticamente formulata in termini anodini.

3.2.9.3. Il Comitato ritiene tuttavia che sarebbe opportuno continuare il dibattito all’interno degli organismi internazionali ad hoc, e nell’ambito del dialogo transatlantico, sulle questioni di protezione, di interoperabilità delle chiavi, dei sistemi di codificazione, dei problemi legati alle eventuali debolezze di alcuni standard che potrebbero essere conosciute ma non divulgate da parte di alcuni. Sarebbe altresì auspicabile cooperare strettamente in materia di circolazione internazionale di dati personali, di cooperazione penale e civile contro la criminalità informatica, per giungere cioè ad una protezione efficace e ad una gestione trasparente ed equilibrata della rete mondiale, la cui importanza strategica è ormai riconosciuta come essenziale per la vita ed il benessere delle nostre società. L’OCSE, che lavora sulle questioni di sicurezza delle reti, rappresenta una delle istanze pertinenti per la cooperazione internazionale in materia. E` urgente conseguire risultati pratici a livello globale.

3.2.9.4. Il Comitato sostiene e considera estremamente importante la proposta della Commissione di costituire a livello europeo un foro che riunisca tutte le parti interessate, per discutere l’assieme dei problemi e proporre soluzioni alle istituzioni.

4. Conclusioni

4.1. Esistono soluzioni di tipo software e hardware in costante evoluzione e piuttosto efficaci, come quelle descritte nella comunicazione. L’integrità di un file può inoltre essere garantita dall’uso di un algoritmo per creare firme digitali, le quali certificano che il file trasmesso non ha subito modifiche.

4.2. Tuttavia, a parere del Comitato, la chiave di qualunque strategia di sicurezza è rappresentata dalla sensibilizzazione degli utenti, dall’informazione e dalla formazione, poiché senza di esse gli strumenti e le soluzioni disponibili non saranno correttamente utilizzate; questi elementi rafforzano inoltre la fiducia nell’affidabilità globale del sistema, qualora tutte le precauzioni elementari vengano prese regolarmente da ciascuno e le imprese investano adeguatamente nella protezione dei propri sistemi.

4.3. Ma il costo della sicurezza è molto elevato, e la mancanza di interoperabilità tra le soluzioni costituisce un ostacolo rilevante, per risolvere il quale, stimolando la concorrenza e l’emulazione, un possibile contributo potrebbe essere apportato dalla disponibilità del codice sorgente.

4.4. Tali problemi, se non saranno rapidamente risolti nel quadro europeo e internazionale, (e l’Europa deve assumere un ruolo efficace nella gestione di Internet) continueranno a pesare sullo sviluppo dell’e-Europe e del commercio elettronico nonché sulla gestione delle imprese, dei servizi pubblici e delle amministrazioni.

4.5. E` sicuramente indispensabile per la sicurezza delle reti ottenere l’applicazione generalizzata di misure di protezione e di difesa efficaci e proporzionali; si potrebbe trattare di soluzioni software per i privati (antivirus aggiornati regolarmente) o di soluzioni combinate e più o meno consistenti per gli altri utenti, come firewalls, sorveglianza delle porte di comunicazione esterne (ports) separazione tramite un sistema DMZ (16), difese e altre tecniche pertinenti, software e hardware

4.6. La dissuasione mediante sanzioni penali adeguate rientra nella responsabilità degli Stati membri, ma a parere del Comitato spetta alla Commissione proporre un quadro globale unificante per un approccio penale comunitario e per la cooperazione giudiziaria internazionale.

4.7. Va inoltre considerata l’immissione sul mercato di alcuni prodotti che possono presentare intenzionalmente backdoors (17), che vengono scoperte a volte dopo anni, e che dovrebbero essere oggetto di sanzioni, così come di software con funzioni di spia (spyware) spesso presenti nei software di dimostrazione, in alcuni software gratuiti ed in alcuni sistemi on line di registrazione delle licenze.

4.8. Anche nel caso di lacune che potrebbero essere non intenzionali è necessario del tempo per trovare una soluzione: nel frattempo queste possono essere utilizzate come backdoors da chi ne è a conoscenza

4.9. Questi problemi di sicurezza dovrebbero essere seguiti da autorità nazionali ad hoc, indipendenti, imparziali e rappresentative, sia che si tratti di organi già esistenti, il cui mandato va dunque ampliato, o di organi da creare laddove ancora non esistano (nei paesi candidati che sarà necessario associare) per contribuire a formulare raccomandazioni e standard e proteggere i diritti fondamentali. Effettivamente i progetti normativi in preparazione richiederebbero un esame più approfondito per conciliare le esigenze imperative di lotta al terrorismo con la necessità di salvaguardare i principi di libertà individuale.

4.10. Il Comitato ritiene che Internet debba in ogni caso rimanere flessibile e di facile accesso, e continuare ad offrire uno spazio di libertà d’informazione e di comunicazione in una società aperta e democratica il quale tuttavia deve divenire più sicuro per i diversi utenti, nella diversità degli usi legali delle reti e di Internet e della loro espansione.

Bruxelles, 28 novembre 2001.

Il Presidente
del Comitato economico e sociale

Göke FRERICHS




NOTE

1. Norma Ipv6 che consente 6 000 miliardi di indirizzi IP.
2. Parere sulla Comunicazione della Commissione al Consiglio, al Parlamento europeo, al Comitato economico e sociale e al Comitato delle regioni – Creare una società dell’informazione sicura migliorando la sicurezza delle infrastrutture dell’informazione e mediante la lotta alla criminalità informatica (CES 1115/2001 (non ancora pubblicato sulla GU).
3. Parere del CES in fase di elaborazione su di un programma per la protezione dei minori su Internet.
4. Si vedano i pareri del CES sulle "Reti di comunicazioni elettronica" (GU C 123 del 25.4.2001, pag. 50), sul "Commercio elettronico" (GU C 169 del 16.6.1999, pag. 36) e sulle "Ripercussioni del commercio elettronico sul mercato unico" (GU C 123 del 25.4.2001, pag. 1).
5. Parere del CES: GU C 117 del 26.4.2001, pag. 1.
6. "General Public Licence": Licenza pubblica generale che riconosce la proprietà intellettuale dell’autore di software gratuito.
7. Parere del CES in fase di elaborazione su di un programma per la protezione dei minori su Internet. Si vedano i pareri del CES sulle "Reti di comunicazioni elettronica" (GU C 123 del 25.4.2001, pag. 50), sul "Commercio elettronico" (GU C 169 del 16.6.1999, pag. 36) e sulle "Ripercussioni del commercio elettronico sul mercato unico" (GU C 123 del 25.4.2001, pag. 1).
8. Imprese incaricate di attribuire e gestire determinati nomi di primo livello.
9. Direttiva sul trattamento dei dati personali nel settore delle telecomunicazioni (GU L 24 del 30.1.1998).
10. GU L 199 del 26.7.1997.
11. GU L 101 dell’1.4.1998.
12. Direttiva 1999/93/CE, del 13 dicembre 1999, relativa a un quadro comunitario per le firme elettroniche, GU L 13 del 19.1.2000, pag. 12.
13. Giovani apprendisti pirati senza conoscenze tecniche adeguate, che si contentano di scopiazzare ed utilizzare ciò che trovano nei siti e nelle pubblicazioni underground.
14. National Security Agency, Agenzia statunitense di sicurezza nazionale.
15. Parere del CES sul sesto programma quadro di RST (GU C 260 del 17.9.2001, pag. 3).
16. DMZ: DiMilitarized Zone, Zona "demilitarizzata" specie di "area tampone" che isola le reti interne.
17. Porte d’accesso nascoste.