La sicurezza dei sistemi informativi automatizzati per il trattamento dei dati personali in ambito pubblico

La legge 31 dicembre 1996, n. 675, sulla tutela delle persone e di altri soggetti rispetto ai trattamento dei dati personali, ha introdotto nell'ordinamento giuridico italiano nuove norme di protezione della riservatezza delle persone, segnando un decisivo salto di qualità per la protezione della vita privata e la limitazione delle mille illecite interferenze dovute alla diffusione delle tecnologie dell'informazione.

L'attenzione verso le potenzialità offensive dell'information technology emerge anche dalla delega al Governo, pubblicata contestualmente alla legge 675, con la legge n. 676, per la disciplina dei servizi telematici e della connettività Internet.

Dei due provvedimenti, s'è detto, in sostanza, che essi costituiscono atti in certa misura "dovuti", poiché - come molti sanno - era necessario colmare il vuoto legislativo esistente tra l'Italia e gli altri Paesi dell'Unione Europea sulla base della Convenzione di Strasburgo del 1981 e dell'accordo di Schengen sulla libera circolazione delle persone.

La normativa è, comunque, destinata ad incidere profondamente sulle materie relative alla responsabilità dei gestori di sistemi informativi, degli addetti alla sicurezza dei centri EDP e dei fornitori di connettività e di servizi Internet e, per la parte che qui interessa, presenta pesanti riflessi anche sulla gestione dei sistemi informativi automatizzati in ambito pubblico.

L'evoluzione tecnologica del settore IT verso sistemi di elaborazione sempre più potenti e sempre più a basso costo ha segnato, in particolare negli ultimi dieci anni, il passaggio dalla informatica tradizionalmente intesa come "automazione dei processi", in cui alle macchine veniva affidato il compito di eseguire attività meramente ripetitive, lasciando all'uomo funzioni di controllo, alla informatica intesa come trattamento dei dati al fine di estrarne un "valore aggiunto".

E' stato possibile - così - concentrare raccolte di dati eterogenei e aggregare e disaggregare le informazioni sino ad estrarne previsioni per l'adozione di ogni sorta di decisioni, che spaziano dalle scienze mediche all'andamento delle economie e dei mercati finanziari.

Appare, dunque, evidente il pericolo che si cela dietro il possesso e l'uso indiscriminato delle banche di dati personali.

Gravi violazioni dei diritti inalienabili dell'individuo sono configurabili - ad esempio - di fronte al rifiuto di stipulare polizze assicurative opposto da talune compagnie assicurative rispetto a soggetti assolutamente sani (che tuttavia presentano, nella storia genetica della loro famiglia, casi di malattie trasmissibili geneticamente).

In altri casi l'uso abusivo di informazioni personali può spingersi sino alla discriminazione per ragioni ideologiche o religiose.

Si pensi - ad esempio - al monitoraggio che normalmente viene effettuato - per ragioni di sicurezza - sugli accessi ai siti Internet. Ogni Internet provider si trova a gestire un tabulato che, opportunamente interpretato, rappresenta un vero "diario" personale degli utenti del servizio, dove vengono annotate le preferenze commerciali, i gusti, le opinioni politiche e religiose di ogni persona.

La disponibilità di questo archivio può costituire, nella migliore delle ipotesi, un grande vantaggio commerciale per le imprese che effettuano la vendita a domicilio o per le società che effettuano indagini di mercato.

La legge sulla privacy affronta il problema dei possibili abusi e delle violazioni del diritto alla riservatezza cercando di impedire che un archivio informatizzato venga utilizzato per scopi diversi da quelli per cui è stato creato e sanzionando severamente in sede penale la sottrazione e la diffusione indebita di informazioni custodite in archivi informatizzati.

Si tratta, a ben vedere, di un profondo mutamento di prospettiva rispetto alla tradizionale tutela approntata dall'ordinamento giuridico per questi beni.

Questa "rivoluzione" - che prevede il trattamento dei dati intimamente connesso al consenso espresso dell'interessato - si collega, per la parte che qui interessa, al concetto tradizionale di sicurezza informatica.

Sino ad oggi, infatti, il compito del cosiddetto "titolare" del trattamento dei dati poteva limitarsi, nella maggior parte dei casi, alla valutazione della "affidabilità" tecnica del sistema; oggi, invece, il concetto di sicurezza si estende sino a comprendere la integrità dei dati e la correttezza del loro utilizzo.

Sino a qualche anno fa, dunque, l'esigenza di aggiornare i sistemi secondo criteri di economicità poteva significare, nei casi più comuni, il semplice passaggio dal mainframe, ben protetto nel bunker nel centro EDP, ad un sistema dipartimentale distribuito, fondato su architetture multipiattaforma e multi-LAN, ove ogni workstation locale può virtualmente favorire l'accesso indesiderato ad informazioni riservate o altri attentati alla sicurezza dell'impresa. Da oggi, si può ben dire, muta l'approccio "culturale" al problema della sicurezza informatica.

È necessario - infatti - garantire la genuinità dei dati impedendo alterazioni che ne possono mutare il significato originale, impedire la "esportazione" non autorizzata d'informazioni riservate; impedire, in genere, l'utilizzo delle risorse del sistema per scopi diversi (comunemente illeciti) da quelli per i quali esso è stato progettato.

Il profondo mutamento di prospettiva segue, peraltro, l'evoluzione del fenomeno della cosiddetta criminalità informatica, che è pur sempre riconducibile alle esigenze di tutela della privacy.

I primi computer crimes furono commessi da dipendenti dell'impresa o dell'Ente che alteravano le registrazioni dei dati o, abusando della qualità di operatori addetti al sistema, si impossessavano (a scopo di lucro, o anche per semplice gusto della sfida tecnologica e nella certezza dell'impunità) di informazioni riservate.

I primi sistemi di sicurezza furono progettati, dunque, per prevenire attacchi al sistema provenienti - per così dire - "dall'interno".

Lo sviluppo successivo delle reti locali e la diffusione dei modem per i collegamenti su linea telefonica hanno introdotto, solo di recente, nel dibattito tecnico giuridico sulla materia, l'argomento della prevenzione di possibili, letali attacchi al sistema provenienti "dall'esterno" (ad opera degli hackers o per causa dei virus informatici).

L'art. 15 della legge (sicurezza dei dati) dispone, dunque, che "I dati personali oggetto di trattamento devono essere custoditi e controllati anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati ed alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita anche accidentale dei dati stessi di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta".

La legge introduce, per la prima volta nel nostro ordinamento, una ipotesi di reato per la omessa adozione delle misure necessarie a garantire la sicurezza dei dati (art.36).

Poiché tale norma si applica "al trattamento dei dati personali da chiunque effettuato nell'ambito del territorio dello Stato" e considerato che per "dato personale" si intende "qualunque informazione relativa a persona fisica, persona giuridica o ente, identificati o identificabili anche indirettamente" si tratta, evidentemente, di una disciplina destinata a trovare pratica applicazione nell'ambito di tutti (o quasi) i sistemi informativi automatizzati che contengano un elenco di nominativi.

Chiunque, essendovi tenuto, omette di adottare le misure necessarie ad assicurare la sicurezza dei dati è punibile, secondo il testo della legge, con la reclusione sino ad un anno (se dal fatto non è derivato alcun danno) o con la reclusione da due mesi a due anni se si è verificato un "nocumento".

Le pene, diminuite, si applicano anche al caso di condotta semplicemente colposa (cioè in caso di omissione dovuta a negligenza, imperizia o imprudenza del responsabile - art. 36 comma secondo).

E' interessante notare come le "misure di sicurezza" siano state qui descritte come misure di protezione idonee a prevenire il rischio di una perdita o distruzione dei dati anche solo accidentale, "di un accesso non autorizzato o di un trattamento non consentito o non conforme alle finalità della raccolta", confermando la definizione di "sicurezza" verso la quale sembrano orientate le legislazioni di tutti i Paesi che si sono già occupati del problema.

Le "misure minime di protezione" obbligatorie verranno fissate con una norma regolamentare (un dPR da emanare ogni due anni ai sensi dell'art. 15 della legge). All'entrata in vigore del dPR, peraltro, le norme transitorie (art. 41) prevedono che i dati siano "custoditi in maniera tale da evitare un incremento dei rischi di cui all'art. 15 comma 1" e cioè in modo da ridurre al minimo "in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati ed alle specifiche caratteristiche del trattamento" i rischi di perdita anche accidentale dei dati o di intrusione non autorizzata nel sistema informativo automatizzata.

Questo significa che un obbligo preciso di adottare misure di sicurezza adeguate alla protezione dei dati sussiste in capo al responsabile del centro di elaborazione sin dal momento di emanazione del regolamento.

La Direttiva 95/46/CE impone, peraltro, agli Stati Membri di adottare, nelle rispettive legislazioni, norme per il risarcimento del danno "per chiunque subisca nocumento da un trattamento illecito di dati personali o dalla violazione delle norme che disciplinano le banche-dati", oltre a "misure appropriate" per garantire la piena applicazione della legge.

La legge 675 ha scelto, a questo proposito, la più grave delle sanzioni, quella penale e una disciplina della responsabilità civile che, nel complesso, si presta a non poche critiche.

Innanzitutto, l'articolo 18 della legge prevede che "chiunque cagiona un danno ad altri per effetto del trattamento dei dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile".

Ciò significa che la legge presume la colpa del gestore della banca di dati e -invertendo l'onere della prova - pone a suo carico ogni possibile conseguenza dei danni cagionati a terzi, se egli non prova di avere adottato tutte le misure idonee ad evitare il danno.

Si tenga presente, tanto per fare un esempio, che "presumere la colpa del gestore" è qualcosa di diverso dalla semplice inversione dell'onere della prova. Il gestore della banca di dati, infatti, per liberarsi dalla "presunzione di colpa" deve dimostrare che il danno è conseguenza (nella maggior parte dei casi) di un caso fortuito o di forza maggiore.

Ben diversa, invece, sarebbe stata la previsione di una "semplice" inversione dell'onere della prova. In questo caso la norma avrebbe previsto che, in caso di danno, il gestore del sistema avrebbe dovuto risarcire il danno se non avesse dimostrato di essere senza colpa e cioè di avere adottato le misure di sicurezza previste e di avere agito, nel complesso con la ordinaria diligenza, prudenza e perizia.

Va anche detto della discutibile scelta "culturale" costituita dal richiamo - a proposito delle banche dati personali - delle norme in materia di "responsabilità per l'esercizio di attività pericolose".

L'equiparazione, ai fini della responsabilità civile, del gestore di un sistema EDP o di un sito telematico ad un gestore di un deposito di carburanti o di materiale esplodente evoca, nella coscienza collettiva, la concezione antica di un'informatica "pericolosa in sé", patrimonio incontrollabile di una stretta cerchia di tecnici specializzati, il pericolo del mad scientist e quant'altro da decenni la stampa poco specializzata ci propina.

Si è molto discusso, a questo proposito, della applicabilità di queste norme alle cosiddette "banche dati per fini esclusivamente personali".

L'ipotesi è prevista dall'articolo 3 della legge, che dispone: "il trattamento dei dati personali, effettuato da persone fisiche per fini esclusivamente personali, non è soggetto alla applicazione della presente legge, sempre che i dati non siano destinati ad una comunicazione sistematica o alla diffusione".

Il secondo comma dello stesso articolo, peraltro, precisa che "al trattamento di cui al comma 1 si applicano in ogni caso le disposizioni in tema di sicurezza dei dati di cui all'art. 15, nonché le disposizioni di cui agli articoli 18 e 36".

Ciò significa, per semplificare con un esempio, che anche la rubrica telefonica contenuta nel notebook deve essere "custodita e controllata" a norma dell'articolo 15 della legge, "anche in relazione alle conoscenze tecniche acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento" mediante l'adozione di "idonee e preventive misure di sicurezza" conformi al regolamento previsto dallo stesso articolo.

E poiché l'articolo 36 della legge (qui espressamente richiamato) punisce con un anno di reclusione chi, per colpa, "omette di adottare le misure di sicurezza necessarie a garantire la sicurezza dei dati personali" sarà bene - sin da ora -evitare di dimenticare il PC portatile dell'esempio di cui sopra sulla metropolitana per evitare di incorrere (se non proprio in un procedimento penale) nella severissima norma che stabilisce l'obbligo del risarcimento del danno ex art. 2050 del codice civile (come detto, solo un evento del tutto imprevedibile scagiona il presunto responsabile).

E' di fondamentale importanza, allora, che vengano stabilite con chiarezza le norme di sicurezza minime e preventive cui fa riferimento l'articolo 15 della legge.

Queste "misure idonee" sono innanzitutto quelle previste da norme e regolamenti (e in primo luogo quelle approvate con decreto del Presidente della Repubblica entro sei mesi dall'approvazione della legge dalla commissione interministeriale prevista dall'art. 15).

La bozza di regolamento, predisposta da un'apposita commissione istituita presso il Ministero di grazia e giustizia, non è stata ancora approvata e - al momento - non si può prevedere quando il DPR potrà essere pubblicato.

La legge impone, come vedremo fra un attimo, che in ogni caso vengano adottate misure che riducano al minimo i pericoli di perdita o distruzione dei dati di illecita intromissione nei sistemi da parte di soggetti non autorizzati e fa riferimento alle "conoscenze acquisite in base al progresso tecnico" per la prevenzione di tali rischi.

Nel sistema tradizionale, il danneggiato dalla condotta del titolare del sistema di trattamento dei dati avrebbe dovuto dimostrare, per vedersi riconoscere il diritto al risarcimento, che il danno subito fosse direttamente riconducibile alla omissione di cautele considerate "doverose" secondo i normali criteri di prudenza, di competenza professionale e di attenzione, da parte del responsabile EDP.

L'articolo 18 della legge sul trattamento dei dati, invece, presume questa responsabilità a carico del titolare della banca di dati sino alla dimostrazione (che spetta al gestore del sistema e non al danneggiato) della "sicurezza" del sistema rispetto agli eventi dannosi prevedibili.

Viene dunque in considerazione quel criterio di "prevedibilità" dell'evento che è sempre decisivo per la delimitazione dei confini della responsabilità degli addetti.

Il quadro normativo che si va delineando è dunque il seguente:

1. il gestore del sistema informativo ha il dovere di "ridurre al minimo" i rischi di distruzione o perdita accidentale dei dati;

2. il gestore deve prevenire accessi non autorizzati al sistema informativo;

3. per far ciò il gestore deve adottare "misure di sicurezza" adeguate all'importanza dei dati custoditi negli archivi e in linea con le conoscenze acquisite in base al progresso tecnologico.

Tra i casi di condotta colposa debbono farsi rientrare tutti i fatti contrari alla legge in cui il danno sia riconducibile direttamente alla omissione di cure e cautele che chiunque sarebbe tenuto ad adottare nelle medesime circostanze, come la omissione di una attività che il responsabile aveva il dovere di compiere.

Anche l'inosservanza di regole tecniche o norme di condotta costituisce una colposa negligenza, sicché anche quando venga a mancare una specifica norma di legge che faccia obbligo di osservare una particolare linea di condotta, l'imprudenza, la negligenza o l'imperizia possono costituire elementi della colpa. A ben riflettere, comunque, norme di condotta esistono e si possono ricostruire dal quadro normativo sopra delineato.

Per ciascuno dei fatti illeciti previsti dalla legislazione penale è necessario infatti, che vengano adottate e accuratamente praticate delle contromisure proporzionate.

Una politica "minima" della sicurezza dei sistemi informativi deve prevedere, in sostanza, un sistema di identificazione degli utenti, una politica degli accessi associata a meccanismi logici e meccanici di protezione della integrità dei dati e misure normative ed organizzative adeguate: non ha senso, infatti, investire cospicue risorse economiche per installare un sistema di protezione, se gli operatori, non adeguatamente sensibilizzati o addestrati, trascrivono la password sul cabinet del loro PC o dimenticano di estrarre il badge quando si assentano temporaneamente dal posto di lavoro col terminale acceso.

Allo stesso modo deve ritenersi che qualora la intrusione nel sistema informativo o il suo danneggiamento siano riconducibili alla scarsa diligenza del responsabile di sistema, questi potrà essere chiamato a risarcire il danno nei confronti dell'azienda e nei confronti dell'eventuale terzo danneggiato.

Il concetto giuridico di "sicurezza informatica" è - dunque - collegato a quel complesso di accorgimenti tecnici ed organizzativi che mirano a tutelare i beni giuridici della confidenzialità (o riservatezza), della integrità e della disponibilità delle informazioni registrate.

Per comprendere correttamente il significato di queste espressioni si deve aver riguardo - secondo un riconosciuto criterio interpretativo dei concetti giuridici -agli interessi che appaiono meritevoli di tutela.

Si definisce "sicuro" un sistema informativo in cui le informazioni in esso contenute vengono "garantite", attraverso i sistemi di sicurezza all'uopo predisposti, contro il pericolo di accessi o sottrazioni ad opera di persone non autorizzate e contro il pericolo di manipolazioni, alterazioni o cancellazioni involontarie o dolose (a scopo di danneggiamento o di frode).

Rendere le informazioni riservate "non disponibili" da parte di chi non è autorizzato significa parimenti, e sotto altro profilo, rendere tali informazioni disponibili nella loro integrità originaria a chi ne ha diritto (criterio della "disponibilità" del dato).

In altre parole, non ha senso porsi un problema di tutela della riservatezza dell'individuo se prima non viene assicurata la integrità dei dati personali, poiché il dato informatico esiste in quanto è "sicuro", in quanto di esso qualcuno ne garantisce l'integrità e la affidabilità.

Nell'ordinamento giuridico italiano il concetto di sicurezza informatica si ricava da una attenta lettura degli articoli 615-ter e 615-quater del codice penale (introdotti recentemente dalla legge 23 dicembre 1993 n. 547, più comunemente nota come "legge sui crimini informatici").

Queste norme sono state, sino alla approvazione della legge 675, le uniche ad occuparsi espressamente di un "sistema informatico o telematico protetto da misure di sicurezza", al fine di sanzionare con la pena della reclusione (che può anche arrivare alla misura di cinque anni, secondo la gravità dei casi) il reato di accesso abusivo ad un sistema informatico o telematico o la divulgazione dei suoi codici di accesso.

In pratica, commette il delitto di abusiva introduzione chiunque, senza averne il diritto, si introduce (i.e.: si inserisce, come utente abusivo, direttamente, attraverso un terminale o tramite collegamento su linea telefonica) in un sistema informativo altrui.

Non è richiesto, perché si compia il reato, un intento particolare o specifico. Non ha rilievo, cioè, che l'intruso agisca per fin di lucro o semplicemente per gioco.

Quando sono in ballo ingenti investimenti per la creazione e la gestione di un centro di elaborazione dati, il semplice fatto che qualcuno riesca a superare le misure di sicurezza costituisce, in sé, un attentato alla affidabilità del sistema poiché mette in pericolo il bene che abbiamo definito della "integrità" del dato.

Il semplice collegamento abusivo può, inoltre, veicolare nel sistema host un virus caricato a tempo, i cui effetti dannosi potranno manifestarsi dopo molti mesi, al verificarsi di determinate condizioni scelte dal programmatore dell'ordigno.

Si tratta, dunque, di un "reato di pericolo" sanzionato al solo verificarsi del comportamento proibito dalla legge, indipendentemente dal verificarsi di un particolare evento dannoso.

Perché si rientri nell'operatività di questa norma è invece assolutamente necessario che l'hacker sia consapevole del fatto che con la sua condotta egli sta violando il "domicilio informatico" altrui.

Non a caso, l'art. 615-ter è stato inserito nell'ambito dei delitti contro l'inviolabilità del domicilio (artt. 614 - 615-quinquies).Il sistema informativo costituisce, infatti, rispetto alla persona, una sorta di "espansione" della sua soggettività: chi si introduce clandestinamente all'interno della abitazione d'altri commette, comunque, il delitto di violazione di domicilio anche se dimostra che non aveva alcuna intenzione di rubare.

L'appartenenza ad altri (che i giuristi chiamano "altruità") della abitazione e la mancanza di consenso dei suoi occupanti sono ben evidenti dalla presenza di una porta (non importa che sia aperta o chiusa) o - nel caso analogo di introduzione abusiva nel suolo altrui - anche dalla mera presenza di un cartello che rechi ben visibili i classici ammonimenti della tutela possessoria ("proprietà privata" e "divieto di accesso").

Nel mondo informatico, peraltro, la "introduzione" all'interno degli archivi di un sistema automatizzato può avvenire per mezzo dei collegamenti telefonici, anche da distanze intercontinentali.

Le reti telematiche pubbliche o "aperte"(come Internet) contengono una pluralità di gateways che immettono in siti di libero accesso (gli archivi pubblici delle università, i luoghi di dibattito) e in siti privati (come le caselle della posta elettronica) o a pagamento.

A ben vedere, tutti i sistemi contengono aree riservate (le aree di sistema, quelle riservate al gestore ed ai suoi collaboratori) ove l'accesso è consentito soltanto alle persone autorizzate e non anche agli abbonati.

È ben evidente, allora, che le "misure di sicurezza" di cui parla l'art. 615-ter del codice penale possono consistere in qualunque accorgimento (logico o meccanico) idoneo allo scopo di interdire l'introduzione nel sistema informativo da parte di chi non è autorizzato.

Anche una semplice password, sotto questo profilo, costituisce una (seppure minima) misura di sicurezza informatica.

Al medesimo concetto di sicurezza fa riferimento il successivo art. 615-quater del codice penale (anch'esso introdotto dalla L.547/93)per sanzionare con la reclusione sino a due anni e con la multa sino a 20 milioni di lire (nei casi aggravati) di detenzione e diffusione abusiva dei "codici di accesso" ad un sistema informativo automatizzato.

Commette questo delitto chiunque, a scopo di profitto o per recare danno, si procura, o fornisce ad altri, "codici, parole chiave o altri mezzi idonei all'accesso" ad un sistema informativo "protetto da misure di sicurezza".

Per la parte che qui interessa (la norma offre spunti interessanti di discussione sotto molteplici profili) questo articolo contiene una elencazione esemplificativa delle "misure di sicurezza" che possono proteggere il sistema: la "parolachiave", come si vede, è considerata, unitamente ai "codici" e ad ogni altro accorgimento (meccanico o logico) tra le possibili difese che debbono essere apprestate a protezione delle informazioni riservate.

In generale, l'intera casistica di "disastri informatici" che si ricava dalla lettura della legge 547/93 costituisce una sorta di elenco (non esaustivo) degli attacchi che possono minacciare la integrità dei sistemi informativi.

La prevedibilità di questi eventi dannosi è - come detto - di importanza decisiva per delimitare i profili della responsabilità del responsabile della sicurezza. I casi previsti, oltre a quelli già citati, sono quelli dell'attentato ad impianti informatici di pubblica utilità (art.420); della falsificazione di documenti informatici (quindi, della alterazione o della manipolazione dell'integrità del dato originario - art. 491-bis), della diffusione di programmi idonei a danneggiare o interrompere il funzionamento di un sistema informatico (art. 615-quinquies), della violazione di corrispondenza telematica (art. 616 e art. 617-sexies), della intercettazione di e-mail (art. 617-quater) ed infine del danneggiamento (art. 635-bis) e della frode informatica (cioè l'alterazione dell'integrità dei dati allo scopo di procurarsi un ingiusto profitto - art. 640-ter).

La sicurezza di un sistema informativo coincide, in sostanza, con la intrinseca capacità di prevedere ed impedire queste e altre probabili minacce.

Si tratta tanto delle caratteristiche intrinseche del progetto, quanto di accorgimenti organizzativi e tecnici che debbono essere adottati per ridurre al minimo (rendere poco probabile)Ia possibilità di un attentato.

Ciò significa che un sistema informativo è "sicuro" se viene progettato pensando alla disciplina delle politiche di accesso.

Competente a dettare le norme tecniche in materia di sicurezza per i sistemi informativi della pubblica Amministrazione e degli Enti pubblici non economici è - come s'è detto - l'Autorità per l'informatica nella p.A. alla quale, a norma del l'art. 7 del decreto legislativo 12 febbraio 1993 n. 39, spetta di "dettare criteri tecnici riguardanti la sicurezza dei sistemi".

A livello comunitario, come è noto, sin dal 1990 Gran Bretagna, Francia Olanda e Germania hanno dato vita ad un accordo per armonizzare i rispettivi criteri di valutazione della sicurezza dei prodotti e sistemi informatici e telematici (IT - Information Technology).

La Comunità Europea, nell'intento di favorire la libera circolazione delle tecnologie dell'informazione e di assicurare nel contempo la sicurezza dei;sistemi e dei prodotti informatici e telematici, ha fatto propria tale esperienza, raccomandando agli Stati membri l'adozione di questi criteri comuni per la valutazione della sicurezza dei prodotti (ITSEC - Information Technology Security Evaluation Criteria)

Il sistema si fonda sul riconoscimento reciproco tra Stati delle certificazioni sulla sicurezza dei prodotti effettuate in laboratori autorizzati mediante l'adozione dei predetti criteri e della corrispondente metodologia di applicazione raccolta nel manuale ITSEM (IT Security Evaluation Manual).

In sintesi, ogni sistema informativo sottoposto a certificazione deve essere accompagnato da un documento contenente le specifiche di sicurezza (Security Target) nel quale vengono indicati i pericoli che si intendono prevenire, gli accorgimenti adottati e il livello di certificazione richiesto.

Il prodotto "sicuro" viene così certificato ad un determinato livello di affidabilità secondo una scala di valutazione suddivisa in sei gradi.

L'Italia partecipa al negoziato che dovrebbe dar vita al mutuo riconoscimento delle certificazioni effettuate negli altri Paesi della Comunità, ed è auspicabile che una raccomandazione del Consiglio introduca, quanto prima, il sistema delle certificazioni nell'ambito dell'Unione europea.