Raimondo Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e normativi

595
-1

Published on

Capitolo 3 del libro di Raimondo Villano “Verso la società globale dell'informazione” (patrocinio RC Pompei, Presentazione di Antonio Carosella, Ed. Eidos, pag. 194; Torre Annunziata, maggio 1996).

Published in: News & Politics
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
595
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
9
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Raimondo Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e normativi

  1. 1. 3ROTARY INTERNATIONALDISTRETTO 2100 ITALIAService Above Self - He Profit Most Who Serves BestRaimondo VillanoVerso la società globaledell’informazioneA. R. 2000-2001
  2. 2. 4L’elaborazione e la scrittura di questo testo è stata ultimata nel mese di maggio 1996.© Rotary International - Club Pompei Oplonti Vesuvio EstElaborazione, impaginazione e correzioni a cura di Raimondo VillanoEdizioni Eidos, Castellammare di Stabia (Na)
  3. 3. 5IndicePresentazione 7Prefazione 9CAPITOLO IAnalisi settoriale delle principali applicazioni telematiche 11CAPITOLO IIAnalisi settoriale dei problemi tecnici di applicazionee/o sviluppo delle tecnologie informatiche 33CAPITOLO IIISicurezza e reati informatici: problemi tecnici, giuridici e normativi 85CAPITOLO IVProblematiche ed azioni politiche 113CAPITOLO VPolitica, attività e problematiche delle imprese del settore informatico 135CAPITOLO VIStime di mercato 149CAPITOLO VIIAspetti filosofici, morali ed esistenziali 155CAPITOLO VIIIImpatto spaziale. Problemi urbanistici 163CAPITOLO IXImpatto sociale 169Conclusioni 177Note 180Bibliografia 183
  4. 4. 7PresentazioneUn grande dono offerto con grande umiltà.Ecco come si può definire questa lunga e non lieve fatica di Raimondo Villano, il quale,per mero spirito di servizio e non certo per ambizioni accademiche, ha voluto assumere laparte e l’ufficio di mediatore tra una materia intrinsecamente complessa e in rapida evolu-zione e la gran massa di coloro che, in numero e in misura crescenti, son destinati a fare iconti con essa, anche se non per loro scelta.Il discorso sull’attuale società dell’informazione è tanto diffuso, che rischia di apparireun luogo comune. Ma proprio il fatto di essere comune comporta la necessità che se neconoscano, sia pure a grandi linee ma non superficialmente, contenuti metodi e finalità noncon la pretesa di dominare il nuovo universo disciplinare ma con il legittimo desiderio dinon esserne dominati e manipolati. La nuova realtà creata dalla scienza informatica edelettronica ha profondamente mutato, abbreviandole fin quasi a cancellarle, le tradizionalicoordinate spaziali e temporali dell’umano agire e comunicare, costringendo anche menta-lità e abitudini a rapidi processi di adattamento.Quando gli adattamenti ci sono stati (con o senza traumi conta poco), si son ritrovatienormemente accresciuti i poteri di ciascun individuo di mettersi in relazione con gli altri equindi di moltiplicare, attraverso lo scambio di informazioni, le occasioni e le modalitàdella crescita globale della personalità. Quando, invece, gli adattamenti non sono stati nep-pure tentati o, se avviati, non hanno creato le sperate abilità, s’è avvertita una progressivaemerginazione dal flusso delle informazioni e s’è instaurata la non felice condizione di do-ver utilizzare informazioni manipolate da altri o comunque di seconda mano.Ecco perché oggi non è più possibile scegliere tra l’adesione alla nuova realtà e il rifiutodi essa. Nella società dell’informazione ci siamo già e, ci piaccia o no, l’unica libertà discelta che rimane è tra il rassegnarsi a subirla o il prepararsi a guidarla.E l’uomo, se non vuole abdicare alla propria dignità, non può non provvedere in tempoalla propria libertà con lo scegliere la seconda ipotesi.È davvero un Giano bifronte quello che sfida l’uomo contemporaneo a scelte difficili eirrevocabili: esso promette e fa intravvedere un gran bene, ma contiene anche, occulte, leinsidie di un gran male.Ancora una volta, come all’inizio della storia, l’uomo deve vivere e risolvere dentro di sél’eterno dramma della scelta. Ma in ogni caso la via resta sempre una: quella della cono-scenza. Per accettare o per respingere.* * *L’autore non chiude gli occhi di fronte ai problemi che vien ponendo all’uomo di oggi latrasformazione in atto della società. Al contrario: li fa suoi, quei problemi, e, pur con ledebite cautele e riserve, assume coraggiosamente posizione a favore della prospettiva dicambiamento, ovviamente governato e diretto dall’uomo. Il cap. VII, in particolare, con-tiene una diligente e accurata disamina del pensiero filosofico contemporaneo nel suo
  5. 5. 8misurarsi con la tecnologia informatica e con i problemi ch’essa pone alla perplessa intel-ligenza e all’ancor più perplessa sensibilità degli uomini.Sembra proprio che l’intera civiltà occidentale, di plurimillenaria durata, sia giunta aduna svolta decisiva del suo cammino: la macchina, che pur è frutto dell’umano pensiero, neincrementa ed amplifica le potenzialità in misura incredibile e imprevedibile, ma restanomolto difformi da essa i ritmi con cui le masse degli uomini si adeguano alle nuove possibi-lità operative. È come se l’immensa eredità della storia dell’umana intelligenza e ricercaoggi costituisse una remora o un gravame per l’uomo dannato al cambiamento: questo c’èsempre stato, ma, per i ritmi che ne scandivano il processo, è stato sempre agevolmente“metabolizzato” dall’uomo. Oggi è l’incalzante rapidità dei processi innovativi che mette anudo la lentezza dell’adeguamento dell’uomo e della sua struttura psichica e mentale.Ed è proprio lì, nello scarto tra le due velocità, che si annida il rischio: la liberazionedalla ripetitività meccanica di certe operazioni, offerta dalla macchina, potrebbe tramutarsiin un forma sconosciuta di asservimento delle masse. Da parte di chi? e a vantaggio di chi?Se a questo punto della riflessione interviene l’inevitabile avvertimento di tener semprel’uomo come fine, ecco che ammonitore si leva il passato con tutto il fascino dei valorich’esso ha creati e consegnati alla nostra coscienza e alla nostra responsabilità. Il camminoverso il nuovo è inarrestabile. L’augurio è che l’uomo sappia percorrerlo con saggezza, concoraggio e con umiltà, traghettando sempre nei nuovi approdi l’eredità delle passate gene-razioni, in virtù della quale egli può ancora riconoscersi e dirsi uomo.La riflessione dell’autore su tutta quest’area problematica dura da alcuni anni, nel cor-so dei quali egli ne ha fatto partecipi gli amici rotariani del suo club con la generosità di chimette a vantaggio degli altri la propria fatica e con l’umiltà di chi sente il proprio donoinadeguato al sentimento che lo muove e lo accompagna.Alcune tappe di questo fecondo e costante rapporto della silenziosa operosità del singolocon la vita del gruppo sono state contrassegnate da concrete proposte di notevole utilità erilevanza sociale: ricordo le validissime indicazioni sull’organizzazione del servizio sanita-rio e dell’assistenza agli anziani, sull’orientamento dei giovani nella scelta degli studi uni-versitari e nella ricerca del lavoro nonché le preziose applicazioni della razionalità infor-matica alla sistemazione dell’archivio del Distretto 2100 del R.I.Di tutta l’esperienza acquisita e della conoscenza accumulata nell’itinerario degli ultimianni quest’opera rappresenta la “summa”, della quale non saprei se apprezzare di più l’ampiez-za della materia trattata o lo sforzo di renderla accessibile alla comprensione di persone sforni-te di competenza specifica ma dotate di buona volontà, quali son certamente i Rotariani.A me, che ho avuto più volte l’occasione di apprezzare la serietà dell’impegno professio-nale e civile dell’autore, piace concludere questa presentazione col notare ch’egli, neldelineare l’avvento del nuovo universalismo tecnologico come versione contempora-nea degli universalismi classici (cristiano, umanistico, razionalistico), ha saputo farsua la pedagogia rotariana dell’uomo come fine.Gennaio 2000 Antonio Carosella
  6. 6. 9PrefazioneIl presente lavoro è scaturito dall’analisi, a mano a mano sem-pre più approfondita, degli aspetti e delle problematiche della so-cietà globale dell’informazione, condotta sulla scorta di numerositesti e pubblicazioni, tra le quali ultime mi piace ricordare qui ilprestigioso quotidiano nazionale IL SOLE 24 ORE, che al fenome-no delle telecomunicazioni riserva con costanza la sua ben nota enon superficiale attenzione.A me pare, invero, ch’esso, pur senza la pretesa di essere esau-stivo in una materia oltremodo complessa a causa dell’intrinsecamultifattorialità e polivalenza nonché della magmatica evoluzionedel fenomeno, possa tuttavia divenire un utile strumento di ulterio-re comprensione e punto di partenza per l’aggiornamento delle co-noscenze.Ciò a beneficio di una platea non di addetti ai lavori ma di sog-getti di buona volontà, che con attenzione, sensibilità e sollecitudi-ne recano il loro tassello, piccolo ma pur sempre prezioso, alla gran-de opera collettiva dell’edificazione della società contemporanea.Raimondo Villano
  7. 7. 85CAPITOLO IIISicurezza e reati informatici: problemi tecnici, giuridici e normativiCon l’avvento della società dell’informazione, da un lato sono sempre più frequenti gli attac-chi criminali, ad opera dei cosiddetti pirati, che hanno come oggetto sistemi informativi pubblicie privati, dall’altro si diffonde una cultura della difesa tecnologica.Ma cerchiamo di definire il pirata informatico ed il modo in cui agisce.C’è subito da dire che non vi è un suo identikit preciso; a volte, infatti, si tratta di ribelli, avolte di “banditi”, a volte di truffatori; ma spesso anche di giovani appassionati di computer cheper mostrare la propria abilità compiono scorribande elettroniche nelle più delicate reti delpianeta; normalmente i pirati informatici, sia a livello nazionale che internazionale, sono perso-ne singole che operano in modo spontaneistico, generalmente anarchico, ma si può anche avereun gruppo di persone che lavorano in team, sfruttando le linee telematiche con motivazioniideologiche analoghe e seguendo fini comuni.Possiamo distinguere i pirati: in Phreaker, ovvero specialisti in telefonia capaci di perforarele reti di protezione di grandi aziende telefoniche e di copiare i numeri riservati anche di impor-tanti istituzioni; in Haker, che tentano di penetrare nei sistemi chiusi per osservarne l’interno edassumere informazioni; ed in Cracker, che penetrano nei sistemi chiusi per danneggiare i pro-grammi. Essi si collegano da casa ad un secondo computer, quello di una università è l’ideale eattraverso di esso ad Internet; il conto da pagare per il servizio telefonico, poi, arriva all’università.Gli esperti della sicurezza, inoltre, sono da qualche tempo alle prese con una nuova forma dispionaggio telematico: l’intercettazione di onde elettromagnetiche diffuse da ogni computer me-diante un ricevitore TV leggermente modificato e un’antenna sufficientemente sensibile. Ciòpermette di captare tutto quanto compare sullo schermo di un personal computer vittima ad unadistanza anche di qualche decina di metri.Le attività principali sono rappresentate dalla riproduzione di tutto quanto compare sullo scher-mo di un personal computer vittima, del furto di password (mediante appositi programmi denomina-ti “sniffing”, dallo scambio del software copiato, dalla produzione e dalla distribuzione di “virus”.Desta, poi, particolare preoccupazione il terzo livello, formato da persone che fanno gli hacke-raggi a pagamento, su commissione, per conto di servizi segreti o bande criminali internazionaliproducendo gravi truffe e crimine; hacker politici che si servono delle reti telematiche per lancia-re specifiche azioni di disturbo e di propaganda sui personal computer dei centri di potere inItalia in questo momento sono confluiti molti soggetti della vecchia “Autonomia operaia”; hackerterroristi che inserendosi in una rete di trasmissione ne bloccano il sistema diffondendo messaggie, soprattutto, evidenziando il rischio di manipolazioni.E’ proprio quest’ultimo aspetto che ogni giorno rischia di divenire il più preoccupante daquando in USA è stata scoperta, in occasione dello spaventoso attentato in Oklahoma, la BBSpirata con un “manuale del terrorista” e da quando nel dicembre 1994 in Italia i terroristi hacker,inserendosi sulla rete di trasmissione dell’agenzia di stampa ADN-KRONOS hanno bloccato ilsistema ed hanno lanciato messaggi a nome della Falange armata, evidenziando il rischio dimanipolazione delle notizie e delle informazioni.
  8. 8. 86La fenomenologia del crimine informatico è, comunque, molto complessa e per opporvisioccorre innanzitutto conoscere le diverse tipologie di attacchi ai sistemi informativi che vannodistinte in frodi, abusi e danni39.Una frode informatica è una qualsiasi immissione non autorizzata, che può avvenire sia peropera di dipendenti infedeli delle aziende, sia da parte di intrusi esterni. Le frodi portano allamanipolazione delle procedure di input e output del computer, all’uso illecito dei file e all’elusio-ne di qualsiasi tipo di controllo. Riguardano in particolare l’impiego fraudolento delle carte dicredito e le intrusioni nelle reti di telecomunicazione sia pubbliche sia private. In particolare,frequenti sono gli attacchi che hanno per obiettivo le banche dati di istituti finanziari e di credito:illeciti trasferimenti di fondi da un conto all’altro; acquisizione di informazioni dal Bancomat nelmomento in cui esse sono trasmesse dalla banca allo sportello richiedente.Un abuso, invece, corrisponde all’uso improprio del computer senza un’effettiva volontà diprocurarvi danni. Gli abusi vanno dai banali tentativi dei dipendenti di aggirare le barriere deisistemi informativi a tutta l’attività benigna degli hacker, che spesso riescono ad accedere a datiriservati (creando directory nascoste nel sistema) senza intenzioni malevole.E’ sicuramente un abuso la duplicazione del software svolta senza fini di lucro, comepure la diffusione di notizie riservate, per esempio la cessione a terzi di software non anco-ra presente sul mercato.Infine, danni volontari e involontari ai sistemi sono la distruzione dei file mediante intrusionio virus, l’inquinamento dei file e i danni all’immagine pubblica dell’azienda.C’è da dire che i virus informatici sono programmi che ad un segnale stabilito (una data, unacerta operazione) si riproducono rivelandosi in grado di generare danni anche incalcolabili. I virustendevano in un primo momento a distruggere i programmi, mentre oggi l’obiettivo è quello di’modificarli.Ilrisultato,ineffetti,noncambiadatochecomunqueiprogrammidiventanoinutilizzabili.Alcuni esempi di virus sono dati dalle icone mobili che compaiono sullo schermo disturban-do gli operatori; dallo zero-itter, che cancella sullo schermo tutti gli zero che trova; dal wga-flipper, che capovolge qualsiasi cosa compaia sullo schermo; dallo yankee-dundol, che ad unacerta ora fa suonare una musica al computer disturbando l’operatore.I virus, inoltre, si prestano molto facilmente a ricattare le vittime infettate che solo pagando lesomme richieste potranno ricevere l’antidoto per limitare i danni. Anzi, sovente i crackers attac-cano le aziende dove, poi, si presentano proprio come consulenti per depurare i computer infetti.Per quanto riguarda, poi, il controllo della diffusione dei virus, il 1994 è stato l’anno più difficile,sia a livello nazionale che internazionale.I virus, infatti, erano veramente molto sofisticati e non potevano essere riconosciuti dagliantivirus presenti sul mercato per cui, una volta diffusi in rete, hanno paralizzato le aziende.Nel contempo, però, grazie all’aumentata efficacia delle misure di prevenzione, sono stateevitate migliaia di altri incidenti. In particolare, sono state bloccate in tempo intere spedizioni difloppy disk infetti.In Italia alcuni virus sono molto attivi: il più pericoloso è quello che si firma “DoctorRevenge” (Dottor Vendetta) che appartiene all’organizzazione Nuke ed è firmatario dinumerosissimi virus oltre che coautore di un software che permette ad hacker inesperti dicreare virus in modo automatico.Il mondo delle frodi assomiglia, quindi, sempre di più ad una società che trova al suo internole regole di comportamento e mezzi per raggiungere i propri scopi criminali. Come conseguen-za, in tutto il mondo le polizie si stanno organizzando e stanno aumentando gli organici destina-ti a combattere i reati informatici. Anche in Italia qualcosa si muove: lo scorso anno sono statisequestrati ben 381mila programmi illegali e 1.400 apparecchiature mentre sono state denun-ciate 585 persone per reati informatici.
  9. 9. 87Inoltre, la spesa per difendere i sistemi informatici sta aumentando al ritmo del 25% all’an-no40. Solo nell’ultimo anno il sistema bancario nazionale ha speso 120 miliardi per difenderecomputer e reti. E anche nell’industria il livello di sicurezza è aumentato.Secondo gli esperti il numero dei computer crime sta probabilmente diminuendo poichémolte attività e transazioni sono ormai automatizzate e il numero di persone in grado di interve-nire è stato ridotto al minimo.Anche i progettisti di hardware e software stanno conducendo una vincente battaglia controil computer crime realizzando programmi e circuiti sempre più difficilmente penetrabili senzaautorizzazione.E per difendersi dalle intrusioni in rete ci sono molti metodi e standard internazionali disicurezza che si dovrebbero adottare anche in Italia. I sistemi di protezione si sono stratificati egli host computer, i grandi elaboratori, sono diventati sempre più inaccessibili.Chi trasmette informazione pubblica non ha bisogno di criptare i dati e chi invece vuoleriservatezza o segretezza adotta sistemi Fire walls, cioè porte di sbarramento nel software cheidentificano la provenienza degli utenti e tengono il monitoraggio di ogni percorso battuto. Siste-mi sofisticati hanno aumentato anche la sicurezza degli accessi: i “personal tolken” sono schedesimili a calcolatrici tascabili che in base a combinazioni matematiche generano password ogni60 secondi. Chi è autorizzato ad accedere a sistemi protetti da riservatezza quando si collega viacomputer deve dare oltre la password personale anche quella che compare in quel preciso momentosul display a cristalli liquidi della scheda. E’ una doppia chiave: solo la combinazione delle dueapre la porta. Tuttavia, lo studio del computer crime è particolarmente difficile poiché le vittimedi questo genere di reato non ne parlano volentieri. La sicurezza e l’affidabilità dei loro sistemiverrebbe gravemente lesa se rendessero pubblica la loro vulnerabilità.In effetti, secondo la STX, società di sicurezza americana, soltanto il 10% dei crimini elettronicinelle aziende, comunque, è opera di Hacker. Il resto è, infatti, determinato da spionaggio indu-striale, effetto di errori o sabotaggio di impiegati scontenti.Il problema della sicurezza non è naturalmente di facile soluzione. Da un lato, infatti, si devonostudiare sistemi e accorgimenti per salvaguardare i dati da letture (in questo caso si parla di segretez-za) e scritture (in questo caso si parla di integrità vietate); dall’altro, bisogna consentire l’accesso aidati ai soggetti autorizzati. Armonizzare questi due obiettivi è un compito molto impegnativo.Le misure di sicurezza, con il passare del tempo e il progredire della ricerca, si sono andatesempre più perfezionando. Fra i sistemi oggi più affidabili e impiegati vanno ricordati, a titoloesemplificativo, i controlli di autenticazione, finalizzati ad accertare l’identità di colui che acce-de ai dati (l’esempio più diffuso è quello del codice del Bancomat); i controlli di auditing perregistrare le richieste inoltrate al sistema da sottoporre a valutazione allo scopo di prevenireeventuali violazioni o tentativi di violazioni; le tecniche di protezione dei dati che viaggianoattraverso linee di comunicazione.Questi sistemi, naturalmente, comportano costi in termini sia monetari, sia di efficienza eflessibilità del sistema informativo stesso. In ogni caso, si tratta di un prezzo di gran lunga inferiorerispetto a quello provocato dal “furto” di dati o dall’uso indebito di essi.E’ appena il caso di ricordare, inoltre, che l’esigenza di tutela non è avvertita da tutti allostesso modo. Appare evidente, infatti, che il rischio connesso all’eventuale appropriazione e usoindebito di dati è maggiore o minore a seconda della rilevanza rivestita dall’organizzazione nellacomunità. E’ il caso, per fare qualche esempio, di una banca dati genetica oppure di informazioniprotette da segreti militari. Esistono, pertanto, gradi di tutela differenziati che presuppongonosistemi di protezione differenti.Attualmente i sistemi di tutela appaiono inadeguati alle esigenze di protezione delle diverseorganizzazioni che li adoperano. Ciò dipende e da una sensibilità poco profonda e dalla cronica
  10. 10. 88carenza di specialisti in sicurezza ed ancora da una domanda contenuta che non stimola gli inve-stimenti in ricerca. Mancano, infine, una radicata cultura della sicurezza tra gli utenti dei sistemiinformatici, una struttura, un’Autorità e un organo specialistico che operi da osservatorio sul-l’impiego dei sistemi di sicurezza41.Nella Pubblica Amministrazione, poi, la sicurezza dei sistemi automatizzati impiegati è unpo’ il fanalino di coda dell’intera macchina informatica dello Stato, nel senso che scarsa attenzio-ne si è finora prestata a problemi quali la confidenzialità, l’integrità e la disponibilità delle infor-mazioni, memorizzate e trasmesse.Certo, i sistemi informatici più importanti del Paese (Sicurezza pubblica, Sicurezza militare)sono sistemi chiusi, senza accesso dall’esterno.Dunque, il quadro che ne risulta è preoccupante, a cominciare dalla frammentazione dellanormativa esistente e dalla mancanza di una legge di disciplina dei sistemi informatici e telematici.E ciò malgrado le sollecitazioni che in tal senso provengono dalla Ue: basterà ricordare la diret-tiva Oese 1992 (Sicurezza dei sistemi informativi nazionali) che il nostro Paese è l’unico, insie-me alla Grecia, a non avere rispettato, e la Raccomandazione del Consiglio della stessa Ue dell’apri-le 1995 che invita ad applicare, per un periodo di due anni, i criteri Itsec/Itsem per la valutazionedella sicurezza delle tecnologie dell’informazione.A ciò si aggiunge la mancanza di un organismo che sovrintenda in modo unitario alla interamateria (che potrebbe essere la stessa Autorità per l’informatica nella Pa, con una riscritturaestensiva delle sue competenze), l’assenza di una norma che preveda un responsabile dellasicurezza in ogni amministrazione pubblica e la scarsa conoscenza delle misure di sicurezza daparte del personale a vario titolo operante nei sistemi informativi. Poco diffusa, in particolare,l’esistenza di piani di backup/recovery, in ambito sia pubblico che privato: una recente indagineha dimostrato che ne è dotato solo il 17% delle aziende interpellate mentre ancora più rara è lapratica di collaudarli e verificarli periodicamente42. Inoltre, le esigenze di sicurezza vanno pre-viste già nella progettazione dei sistemi, cosa che è stata fatta nel caso del ministero delle Finan-ze, ma con i criteri e i mezzi disponibili venti anni fa e che, quindi, sono da rivedere alla lucedelle sfide più recenti e in particolare dei rischi derivanti dalla prossima l’apertura” del sistemaverso amministrazioni esterne.Per quanto riguarda l’Aipa, la sua attività in questo settore è consistita finora nell’inserimen-to della sicurezza in uno dei progetti intersettoriali previsti dal Piano triennale 1995/97, nellenorme tecniche emanate sull’archiviazione ottica e nella raccolta di informazioni sul tema pressoi responsabili dei sistemi informativi centrali. Tuttavia, la sicurezza non è sembrata una delleattuali priorità dell’Aipa probabilmente per la necessità che le sue competenze al riguardo sianomeglio definite (in relazione a quelle dell’Autorità nazionale per la sicurezza e del futuro Garanteper la produzione dei dati) e potenziate (in relazione alle esigenze di formazione del personale ealle verifiche sull’efficacia delle misure adottate).Complesse ed articolate si rivelano, poi, le problematiche relative alla sicurezza d’uso pro-lungato di un personal computer in quanto toccano aspetti molteplici coinvolgendo anche l’am-biente ed il posto di lavoro.Essenzialmente gli aspetti da prendere in considerazione sono l’ergonomia della postazionedi lavoro ed il videoterminale.Per quanto concerne l’ergonomia, è intuibile che condizioni di lavoro non ottimali, fatica estress accentuano i pericoli per la salute psicofisica degli operatori; perciò da qualche anno sistudiano i casi di “Repetive strain injuries” (Rsi), come le lesioni al tunnel carpale causate da unuso prolungato di tastiera e mouse che provocano irritazione ai nervi ed ai muscoli dell’avam-braccio e della mano. Per alleviare questi problemi importanti case produttrici stanno proponen-do tastiere e mouse ergonomicamente più evolute.
  11. 11. 89Per i videoterminali, poi, Stati Uniti e Paesi scandinavi già da tempo ne hanno approfondito gliaspetti relativi alla sicurezza ponendo in evidenza ed affrontando le tematiche legate alla “sin-drome da videoterminale”. I monitor sono messi sotto accusa per vari motivi, primi tra tutti per icampi elettromegnetici emessi e la qualità delle immagini.Un monitor di buona qualità deve avere una diagonale di almeno 15 pollici, lo schermo piat-to, un dot pitch di 0,28 o meno millimetri, la base basculante, generare immagini stabili con unafrequenza verticale di refresh di almeno 72MHz (questo valore assicura anche immagini prive difastidiosi sfarfallii) alla risoluzione di 1.024 per 768 punti in modalità non interlacciata, avere icontrolli digitali in posizione frontale, schermo trattato con metodo antistatico e antiriflesso emagari con i connettori BNC nonché rispondente alle specifiche Energy Star e Vesa (per ridurrei consumi elettrici), oltre che Mpr 2 e Tco 92.Gli standard Mpr 2 e Tco 92 sono stati sviluppati in Svezia: il primo fissa i valori massimi deicampi elettromagnetici emessi dal monitor mentre il Tco 92 prevede anche l’autospegnimentodel display. Un buon monitor inoltre, deve avere le certificazioni in regola con il rispetto di quelliche sono considerati gli standard industriali. Si deve perciò controllare se esso rispetta le spe-cifiche Fcc di classe B sulle interferenze elettromagnetiche o le svedesi Mpr II, mentre per con-tenere i consumi elettrici deve essere conforme allo standard Energy Star. Nella primavera scor-sa, infine, sono state promulgate le nuove specifiche Tco 95 che coinvolgono la sicurezza, l’effi-cienza e l’ergonomia dell’intero pc. Per esempio, per un monitor vengono anche raccomandate lecaratteristiche di luminosità, contrasto e regolazione dell’immagine, la posizione dei pulsanti dicontrollo o altri fattori che possono disturbare l’operatore.Alla ricerca di una maggiore efficienza, sicurezza ed ergonomia le norme Tco 95 fissanominuziosamente i requisiti di utilizzo della tastiera e dell’unità centrale del pc come l’emissionedi rumore e calore, la sicurezza e i consumi elettrici, la lunghezza dei cavi. Con questo standardvengono anche valutati gli aspetti ecologici legati alla produzione dell’hardware come l’uso disostanze nocive per l’ambiente e il successivo riciclo dei prodotti e degli imballaggi.In Italia è stato introdotto lo scorso anno un più rigido ambito della tutela per il lavoro suvideoterminale con la circolare 102/95 43 promulgata dal Ministero del Lavoro in applicazionedelle nuove norme sulla sicurezza nei luoghi di lavoro di cui al decreto legislativo 626/94. A talproposito il legislatore all’articolo 51 dà alcune definizioni che costituiscono le linee guida perl’interpretazione dell’intero titolo VI.A tal fine si intende per “lavoratore: il lavoratore che utilizza una attrezzatura munita divideoterminale in modo sistematico e abituale, per almeno quattro ore consecutive giornaliere,dedotte le pause di cui all’articolo 54, per tutta la settimana lavorativa”.Ne consegue che il citato articolo 54, sullo svolgimento quotidiano del lavoro, disciplinasempre nei confronti del suddetto lavoratore, il regime delle interruzioni dell’attività lavorativa.In modo analogo il successivo articolo 55 sancisce la sorveglianza sanitaria solo perquesti lavoratori.Appare evidente che l’intenzione del legislatore è stata quella di assicurare specifiche misurepreventive in favore di coloro per i quali sussistono rischi per la salute prevedibili in base ai datiscientifici disponibili. Inoltre, la rigorosa interpretazione ministeriale del precetto definitorio appareineccepibile ma la definizione legislativa (articolo 51, comma 1, punto c) mal si accorda con ladefinizione data dal legislatore comunitario nella direttiva n. 90/270/Cee del 29 maggio 1990.All’articolo 2, lettera c) viene infatti definito “lavoratore: qualunque lavoratore ... che utilizziregolarmente, durante un periodo significativo del suo lavoro normale, una attrezzatura munitadi videoterminale”.Evidente appare il contrasto tra il precetto comunitario, che indica un vasto numero di soggettida tutelare, e quello nazionale che riduce la tutela ai soli lavoratori che potremmo definire“forzati del video”.
  12. 12. 90Va considerato, inoltre, che l’interpretazione rigida mal si adatta con le misure generali ditutela dettate dall’articolo 3 del decreto che attua il famoso articolo 2087 del Codice civile da cuidiscende tutto il nostro “corpus” normativo di prevenzione.Tra le misure generali di tutela troviamo esplicitato il “rispetto dei principi ergonomici nellaconcezione dei posti di lavoro, nella scelta delle attrezzature... anche per attenuare il lavoromonotono e quello ripetitivo” (articolo 3, comma 1, lettera f).Principio generale, ancorché non sanzionato penalmente, indicante la traccia da seguire perprogettare i futuri posti di lavoro a misura d’uomo. La mancanza della definizione normativa di“attività al videoterminale” è la causa principale del contrasto.La rigida interpretazione ministeriale rischia di far cassare dalla Corte di giustizia dell’Unio-ne la definizione introdotta all’articolo 51, comma 1, punto e) del decreto legislativo 626/94.La Procura della Repubblica presso la Pretura circondariale di Torino ha già sottoposto alla Cortedi giustizia della Ue, in data 10 marzo 1995, “questione pregiudiziale” vertente sull’interpretazionedella Direttiva 90/270/Cee (in particolare degli articoli 2, lettera c), 4,5,9, paragrafi 1 e 2).La magistratura pone gli interrogativi seguenti:a) quale significato assuma la formula definitoria usata dall’articolo 2, lettera c) della Diret-tiva 90/270/Cee in rapporto alla determinazione del periodo minimo di utilizzazione del video-terminale e, in particolare, se siffatta formula escluda dal proprio ambito di riferimento situazioniquali quelle in cui il lavoratore utilizzi il Vdt per tutta la settimana lavorativa ma non, o non persempre, per almeno quattro ore consecutive giornaliere (e magari per un elevato numero di oreconsecutive giornaliere) per tutta la settimana lavorativa tranne un giorno;b) se l’articolo 9, paragrafi 1 e 2, della Direttive, sul controllo sanitario, prescriva l’esameperiodico degli occhi e della vista per tutti i lavoratori, ovvero se lo limiti a categorie particolaridi lavoratori (quali quelli idonei con prescrizioni o aventi una determinata età), e se l’articolo 9,paragrafo 2, prescriva l’esame oculistico anche all’esito dell’accertamento sanitario periodicooltre che dell’accertamento sanitario preventivo;c) se gli articoli 4 e 5 della Direttiva, sui requisiti dei posti di lavoro, impongano l’adeguamentoalle prescrizioni minime stabilite, con riguardo a qualsiasi posto di lavoro, pur se non utilizzatoda un lavoratore così come definito dall’articolo 2, lettera c) ovvero con esclusivo riguardo a queiposti di lavoro che risultino utilizzati da lavoratori così come definiti dall’articolo 2, lettera c).Come si vede i problemi posti dalla magistratura sono di profonda portata e di ciò dovràtenerne conto il legislatore.Un altro aspetto della sicurezza è legato, poi, alla complessità dei computer e delle reti infor-matiche ed è rappresentato dalla loro vulnerabilità a guasti e black out imprevedibili.Nel gennaio 1990 la rete telefonica ATT (che collega buona parte degli Usa al resto del mon-do) entrò in un grave black out che durò ben nove ore provocando danni per milioni di dollari. Ilguasto, secondo gli esperti, fu provocato da un singolo errore “logico” nel software del computerche instrada le comunicazioni sulla rete telefonica. Questo errore era stato introdotto durante un“miglioramento” che avrebbe dovuto rendere più efficiente e rapida la gestione delle comunicazioni.Altri black out, di minore portata, hanno colpito sistemi bancari giapponesi, sistemi di preno-tazione alberghiera, la rete di controllo delle carte di credito e i computer dei controllori di volo.Inoltre, la fregata Usa Vincennes in navigazione nel Golfo Persico abbatté nel 1989 un aereo dilinea iraniano scambiato dai computer di bordo per un jet nemico e quindi centrato da un missile;anche il sistema informatico di bordo dell’Airbus A320, il così detto “fly by wire”, viene daalcuni esperti considerato troppo complesso e perciò imprevedibile in certe situazioni critiche.Dunque, qualsiasi servizio in rete necessita oltre che di garanzia di qualità e di affidabilità delsegnale anche di una opportuna prevenzione dei guasti che con sistemi automatici di monitoraggioriveli e visualizzi i parametri che indicano quando ci si sta avvicinando a condizioni limite cosìda far scattare gli allarmi e mettere in funzione apparati alternativi a quelli in uso.
  13. 13. 91In una rete cablata prototipo per multimedia il segnale video-audio emesso da ponte radio oda satellite viene ricevuto da un’antenna collegata al centro servizi (headend). Qui il controllodella qualità del segnale di ingresso consiste sostanzialmente in una misura delle temute interfe-renze eseguita per mezzo di un analizzatore dedicato per Tv.Perciò il segnale, trasmesso dalla centrale sotto forma di fascio luminoso, entrando nelprimo nodo non solo viene trasformato in un segnale elettrico ma è anche sottoposto amisure di riflessione.Anche nei computer la soluzione viene proprio dai controlli intelligenti in grado di effettuareautodiagnosi di malfunzionamenti e di suggerire all’utente gli interventi necessari al ripristino dellecondizioni normali. Oltre all’aumento di affidabilità delle macchine è importante l’inserimento diridondanze progettuali, cioè di parti duplicate in grado di entrare in funzione in caso di necessità.Inoltre, dal punto di vista della sicurezza, uno dei principali risultati da raggiungere è certa-mente quello di garantire un’adeguata protezione dell’ambiente in cui sono situati il centro ela-borazione dati e gli archivi contenenti dati e programmi preservandone integrità, accuratezza eriservatezza giacché ogni malfunzionamento dei suddetti sistemi informativo ed elaborativo po-trebbero avere ripercussioni anche gravi sulla vita stessa dell’azienda o dell’Ente.Ma ciò non basta. Infatti, oltre che preservare e garantire la sopravvivenza del patrimonioinformativo dai danni di varia natura da cui potrebbe essere colpito, occorre anche assicurarel’integrità e l’accuratezza dei dati e la piena riservatezza delle informazioni.Uno dei principali obiettivi della sicurezza è, quindi, quello di impedire l’accesso alleinformazioni a chi non sia esplicitamente autorizzato e proteggere conseguentemente leinformazioni da manipolazioni indebite e/o da istruzioni. La classificazione ha come fina-lità l’individuazione dell’insieme dei controlli da adottare per le diverse classi di risorseinformatiche e informative gestite.Classi che hanno come scopo l’individuazione delle risorse più importanti e di quelle nonessenziali per la vita dell’azienda. Questa identificazione selettiva è necessaria in quanto i mezzi,che possono essere messi in campo per la sicurezza e il controllo, per quanto un’azienda possaessere ricca o prodiga, non sono mai infiniti e pertanto è indispensabile concentrare gli sforzi(denaro, strumenti, persone) sugli obiettivi primari/prioritari.La classificazione, pertanto, deve essere applicata a tutti i dati/software (e ai relativi documentiche li contengono) di tipo tecnico, economico, amministrativo, commerciale su cui si basa l’atti-vità delle funzioni aziendali e della clientela. I dati e il software, infatti, costituiscono parte delpatrimonio che permette il raggiungimento e il mantenimento di una posizione concorrenzialesul mercato e, quindi, sono da considerarsi indispensabili e devono essere adeguatamente protettiin misura proporzionata alla loro rilevanza sia per l’utilizzo interno all’azienda sia per la divulga-zione esterna. Pertanto, dovrà essere stabilito, per ogni dato/programma, l’opportuno livello diclassificazione ovvero la corretta collocazione nella scala di rilevanza aziendale. Tale attivitàdeve essere effettuata sin dalle fasi iniziali di sviluppo della procedura applicativa che contiene ogestisce il dato/programma oggetto di classificazione.Quando ci si è convinti che la classificazione debba essere effettuata, bisogna evitare ditendere immediatamente alla perfezione. Questa propensione, se irrazionalmente gestita, puòcomportare dei danni anche peggiori della non classificazione. Il numero dei livelli di classifi-cazione non deve essere infatti troppo elevato altrimenti l’impiego della procedura di classifica-zione risulterà troppo complessa e soprattutto di difficile attuazione. E’ meglio definire delleregole il più possibile semplici e suscettibili eventualmente di successivi affinamenti piuttostoche stabilire un modello complesso la cui difficoltosa attuazione potrebbe comportare, nel tem-po, che le norme sottese possano essere disattese per poi operativamente stabilizzarsi e consoli-darsi verso una regola semplice. Occorre, quindi, stabilire un programma di classificazione cheserva a contenere e ad amministrare in modo corretto le risorse che devono essere protette.
  14. 14. 92Quando troppe informazioni (ma ciò vale anche per il software) sono inutilmente identificatecome bisognose di una protezione speciale, il sistema di classificazione (oltre che per quantoriguarda la gestione) diventa troppo complesso e le risorse che necessitano effettivamente diprotezione rischiano di non essere adeguatamente salvaguardate.E’ necessario essere un pò flessibili: non bisogna avere timore di modificare la classificazio-ne se la situazione lo richiede o se l’ambiente in cui la risorsa opera si è modificato.Occorre, infine, ricordare che la classificazione non è certamente fine a se stessa; è solo unacomponente, anche se molto importante, di un programma complesso inerente alla sicurezza deidati e del software di cui ogni utilizzatore della risorsa è un elemento critico fondamentale. Se cisi dimentica di questo aspetto il rischio è di fare un esercizio magari anche meritevole di plausoma la cui utilità pratica risulta pressoché nulla.Una corretta classificazione dovrebbe prevedere tre “raggruppamenti”: la classificazione dellariservatezza (dati); quella della criticità (software) e quella della vitalità (dati e software). Perquanto riguarda la prima classificazione, è possibile dire che i dati e le informazioni ai fini dellariservatezza possono essere, in generale, suddivisi in vari livelli che, partendo da quello cheraggruppa dati /informazioni che hanno scarso rilievo ai fini della riservatezza, perché di domi-nio pubblico oppure destinati ad esserlo o perché di carattere divulgativo, passando per il livelloche raccoglie i dati/informazioni che, a causa della loro natura tecnica, personale e commerciale,devono essere limitati a un uso interno all’Organizzazione aziendale (questi dati/informazionipossono essere anche con considerati come destinati ad un gruppo ma conservano una dimensio-ne privata, non conosciuta nell’ambiente pubblico), arrivano a contemplare il livello che raggruppaquei dati/informazioni di tipo riservato. I dati che, a causa della loro natura, devono essere asso-lutamente limitati nell’uso poiché estremamente riservati ai fini della protezione del patrimoniodi conoscenze dell’azienda e/o della sua situazione di mercato. L’accesso è, pertanto, ristrettoalle poche persone che, per tipo di lavoro da esse svolto all’interno dell’azienda, devono averedimestichezza dei suddetti dati/informazioni. L’accesso deve essere preventivamente autorizza-to dal “proprietario”, che provvede a registrare il verificarsi dell’evento. I dati inseriti in questaclasse possono includere a esempio: informazioni relative alle principali e più significative atti-vità o proprietà dell’azienda e informazioni relative a direttive strategiche.Per quanto riguarda, poi, la classificazione della criticità, c’è da notare che in generale sidefiniscono critici quei programmi che, a titolo di esempio, trattano dati che confluiscono diret-tamente nel bilancio o sono relativi al Patrimonio, gestiscono impegni di risorse e capitali, incas-si, pagamenti, oppure trattano dati di supporto informativo alle decisioni strategiche o ancora ilcui uso improprio o modifiche fraudolente potrebbero causare perdite significative all’aziendaovvero risultano in una indebita appropriazione o perdita di beni sia fisici sia finanziari. E’ essen-ziale che tali programmi non possano essere modificati senza che siano attivi adeguati controlli esenza lasciare una documentazione/traccia opportuna. Sarebbe, pertanto, intuitivo che per raggiun-gere questo obiettivo occorra che sia adeguatamente disciplinato il processo di gestione dei pro-grammi critici (definizione dei ruoli/responsabilità, modalità e documentazione).Inoltre, i fondamentali obiettivi della classificazione della vitalità sono quelli di supportare ladefinizione di procedure di back-up ed emergenze adeguate e di individuare successivamenteparametri precisi atti a garantire l’organizzazione ottimale dell’assistenza ai sistemi.Si definisce in generale come dato/programma vitale quel dato/programma la cui perdita oritardo nel suo ripristino provoca una grossa perdita finanziaria, rende l’azienda incapace disoddisfare importanti richieste da parte della propria clientela o di proteggere gli interessi degliazionisti e del proprio personale oppure la cui perdita eroderebbe gravemente il portafoglio clientidopo un determinato (breve) periodo di tempo.
  15. 15. 93Un dato o un programma (e quanto a esso collegato) è considerato vitale quando la sua nondisponibilità, a seguito di un grave malfunzionamento o disastro, comporta una significativaperdita di beni o non permette all’azienda di soddisfare importanti contratti con i clienti e con ifornitori e di proteggere gli interessi aziendali.Occorre, infine, considerare che le informazioni di basso grado di classificazione possono,con il mutare delle condizioni che hanno determinato la definizione iniziale, diventare ad altarischiosità mentre altre classificate come di alto livello possono assumere una bassa rilevanzadopo un determinato periodo (un classico esempio sono i dati del bilancio, dopo la sua pubbli-cazione). E’, pertanto, doveroso interrogarsi frequentemente sulla correttezza dell’appartenen-za di una certa informazione/programma a un livello di classificazione; ossia è necessario nondare nulla per scontato.Per quanto riguarda, poi, le normative italiane sull’archiviazione elettronica, c’è da sottoline-are che l’articolo 2, comma 15 della legge n. 537/1993 considera valida l’archiviazione su sup-porto ottico dei documenti, sempre che le procedure utilizzate siano conformi alle regole tecni-che dettate dall’Autorità per l’informatica nella Pubblica amministrazione. Come è noto le rego-le tecniche per l’attuazione del principio affermato dalla legge in tema di archiviazione otticasono state poi definite dall’Autorità con deliberazione Aipa 28 luglio 1994 n. 15, pubblicata sullaGazzetta Ufficiale del 15 settembre 1994 n. 216.La citata norma, sancendo la validità della archiviazione elettronica su supporto ottico degliatti amministrativi, costituisce una tappa significativa nel cammino verso la “smaterializzazionedocumentale” oltre che una rivoluzionaria novità nel panorama del diritto amministrativo italia-no, ponendo la nostra legislazione e, potenzialmente, la pubblica amministrazione, all’avanguar-dia rispetto alla maggior parte degli ordinamenti stranieri che ancora non hanno riconosciuto unasia pur relativa validità all’archiviazione ottica.Peraltro, a causa della formulazione non proprio chiara della disposizione, sono sorte alcuneperplessità sulla sua portata e sull’ambito di operatività che ruota intorno a tre questioni di fondo:l’individuazione dei destinatari della deliberazione, il livello di definizione delle tecnologie daadottare, il coordinamento con altre norme, in particolare con quelle di recente emanazione sullaconservazione delle scritture contabili.In primo luogo occorre chiarire che la norma si riferisce ai soli obblighi di conservazione edesibizione di documenti per finalità amministrative e probatorie, sancendo la sostituibilità, aipredetti fini, del documento cartaceo con il documento su supporto ottico.Nessun dubbio sembra esserci sul termine “conservazione” poiché il legislatore ha intesoricomprendere in tale espressione tutte quelle attività volte a preservare intatto il contenuto di atti edocumenti amministrativi per il periodo di tempo richiesto dalla normativa in materia o dagli usi.Alcune difficoltà interpretative possono sorgere per l’esatta definizione del termine esibizio-ne: premesso che il relativo obbligo - come nel caso della conservazione - deve essere previsto afini amministrativi o probatori, con tale espressione ci si vuole riferire a tutte quelle ipotesi,difficilmente identificabili a priori, in cui un documento (contenuto in un supporto ottico) debbaessere presentato, cioè reso evidente, allo scopo di essere esaminato, visionato e utilizzato aipredetti fini. Si pensi, a esempio, alle ampie possibilità di applicazione della norma in relazioneall’attuazione della legge 241/90, in tema di diritto di accesso agli atti amministrativi, nel caso incui questi siano conservati e a richiesta dell’interessato esibiti su supporto ottico: in tal caso,l’obbligo di esibizione che fa carico all’amministrazione sarà assolto attraverso l’utilizzazionedelle tecnologie ottiche.Tutto ciò anche in relazione all’articolo 6 del “Regolamento per la disciplina del diritto diaccesso ai documenti amministrativi” (Dpr n. 352/1992), il quale espressamente considera lemodalità di accesso realizzate mediante strumenti informatici (e telematici).
  16. 16. 94Altra rilevante questione è quella della delimitazione dell’ambito soggettivo di applicazione nel-la disposizione. In particolare si discute se anche i soggetti privati siano destinatari della stessa.Considerando esclusivo destinatario delle disposizioni A.I.P.A. la Pubblica Amministrazio-ne, alla luce di una corretta analisi della normativa sull’archiviazione dei documenti che iniziadalla legge 4 gennaio 1968 n. 15 per proseguire fino ai giorni d’oggi con le diverse (per origine,spirito, finalità, forma, contenuti, lessico utilizzato) normative poste dalla legge 24.12.93 n. 537(articolo 2, comma 15) e dalla legge 8.8.94 n. 489 (articolo 7-bis, commi 4 e 9), si giunge,innanzitutto, all’opportunità di definire che le esigenze dei due mondi, pubblico e privato, sonototalmente diverse per dimensioni, qualità e quantità. Dunque, nulla hanno in comune il ministe-ro della Difesa, che deve archiviare documenti complessi e riservati, e il proprietario di unasalumeria che deve archiviare il registro dei corrispettivi Iva o le lettere di sollecito di pagamentodei fornitori. Voler introdurre tra pubblico e privato la conclamata “leggibilità universale” deisupporti (già difficilmente ipotizzabile nel solo settore pubblico), sarebbe come voler costringereuomini e bambini a fare insieme una passeggiata in bicicletta usando tutti una bicicletta da uomoo, non si sa quale sia peggio, da bambino.L’Autorità per l’Informatica nella Pubblica amministrazione ha solo la Pubblica Amministra-zione come “interlocutore istituzionale”. E’ sufficiente, in proposito, la lettura dell’articolo 7 delDecreto legislativo 12 febbraio 1993 n. 39 per avere una chiara visione dei compiti, doveri elimiti che sono stati posti dall’Autorità. Si tratta di funzioni tutte relative alla sola Pubblica am-ministrazione, per l’efficienza della quale l’Autorità è stata costituita. Né è rinvenibile alcunadelega che autorizzi l’ingerenza della stessa nella sfera privatistica dei cittadini. Alcuni tentanodi accreditare la tesi secondo la quale le scritture contabili devono essere esibite dal privato allaPa e, pertanto, quest’ultima avrebbe titolo per disciplinarne le modalità di tenuta, costringendo ilcittadino- contribuente all’uso di schemi e tecniche adatti alle proprie esclusive esigenze.Quello che nelle intenzioni vorrebbe essere un sillogismo aristotelico si traduce in realtà inun “salto” logico; è infatti certo l’interesse pubblico a far sì che le scritture e i documenti del-l’imprenditore (scritture e documenti attinenti la sua sfera privata) siano conservati su supportidi immagini ed eventualmente esibiti in maniera fedele; ma non è dimostrato che i supporti peressere considerati tali debbano essere per forza “letti” direttamente dalla Pa con utilizzo deimezzi che la stessa ha prescelto per le proprie esigenze. Giustamente, infatti, la legge 489 ponecome condizioni operative il fatto che le registrazioni corrispondano ai documenti e possanoessere rese leggibili con mezzi messi a disposizione dallo stesso soggetto responsabile dellaloro conservazione.Il disposto della legge 537/93 non può riferirsi anche alla fattispecie regolata dal nuovo arti-colo 2220 del Codice civile. Non si vede, infatti, come si possa attribuire facoltà divinatorie allegislatore della 537/93. Il legislatore della 489/94 ha - deliberatamente - ignorato il suo prede-cessore, per i motivi che si diranno oltre, usando addirittura una terminologia diversa (supportiottici - supporti di immagini).Come emerge dall’analisi che qui segue, frutto di valutazioni affrontate in più occasioni dalgruppo di lavoro Assinform sull’archiviazione ottica, sembra ragionevole ritenere che il legisla-tore abbia volutamente posto due discipline diverse perché diversa è la storia e diverse sono leesigenze del mondo pubblico e di quello privato sulla specifica materia.Vediamo in sintesi e in ordine cronologico il perché.1) L’articolo 25 della legge 4.1.68 n.15 consentiva sia alla Pa, sia ai privati, di potere sostitui-re a tutti gli effetti i documenti di archivi, scritture contabili e corrispondenza, con la riproduzio-ne fotografica del documento, anche se costituita da fotogramma negativo.2) Con il Dpcm 11.9.74 furono stabilite le regole per la sola Pa, disciplinando i limiti, ilprocedimento, le modalità di collaudo e di autentica.
  17. 17. 953) Con il Dm 29.3.79 furono dettate le “regole tecniche” relative ai microfilm.4) L’articolo 25 della legge 4.1.68 n.15 non ha finora avuto attuazione per i privati.5) La legge 7.8.90 n. 241 ha dettato norme in materia di semplificazione dei procedimentiamministrativi, individuando un apposito “responsabile del procedimento” e disciplinando an-che il diritto di accesso dei cittadini ai documenti della Pa (cosiddetta “trasparenza che sostanziala subordinazione del cittadino rispetto alla pubblica amministrazione... e che... scalfisce la posi-zione di privilegio dell’amministrazione pubblica... (V. Italia-M. Bassani: Procedimento Ammi-nistrativo e diritto di accesso ai documenti - Ed. Giuffrè, 1991 - Avvertenza).Viene precisato dalla legge 241/90 che per “documento amministrativo” si intende “ognirappresentazione grafica, fotocinematografica, elettromagnetica o di qualunque altra specie delcontenuto di atti, anche interni, formati dalle pubbliche amministrazioni o, comunque, utilizzatiai fini dell’attività amministrativa” (articolo 22, comma 2). Viene altresì precisato che “il dirittodi accesso si esercita mediante esame ed estrazione di copia dei documenti amministrativi neimodi e con i limiti indicati dalla presente legge (articolo 25, comma 1). Tale diritto... è ricono-sciuto a chiunque vi abbia interesse per la tutela di situazioni giuridicamente rilevanti...” (arti-colo 22, comma 1).6) Il Disegno di legge 22.9.93, testo unificato dell’8.10.93 (Atto della Camera n. 2046 e altri),proponeva, tra l’altro, numerose “semplificazioni per il contribuente in materia di tenuta dellescritture contabili”. Particolarmente significativa era la previsione di “attribuire identica rilevanzaa ogni sistema di annotazione effettuato su supporto elettronico, magnetico o comunque connes-so a strumenti inerenti alla tecnologia dell’informazione”. Molte delle indicazioni contenute intale Ddl hanno trovato attuazione nella legge 489/94 e in altri provvedimenti.7) La legge 537/93 si intitola “Interventi correttivi di finanza pubblica” (cosiddetta legge diaccompagnamento alla Finanziaria ’94). L’articolo 2 si intitola “Semplificazione ed accelerazio-ne dei procedimenti amministrativi”: i primi 14 commi dell’articolo 2 sono tutti relativi alladisciplina regolamentare dei procedimenti amministrativi (tra cui alcune norme di attuazione,modifica e/o integrazione della legge 241/90).Il successivo comma 15, consapevole degli obblighi di conservazione e di esibizione deidocumenti posti alla Pa - tra gli altri - anche dall’articolo 25 della legge 241/90, concede allastessa la possibilità di archiviare (e a richiesta esibire) detti documenti su supporto ottico, ponen-do tuttavia dei limiti (esplicita esclusione per quelli di interesse storico, artistico e culturale chedevono essere conservati in originale - legge 1409/63 - Archivi di Stato). La “ratio” della normadeve quindi ricercarsi nella volontà di evitare alla Pa gli inconvenienti di dover sempre gestire idocumenti cartacei tutte le volte che la stessa è chiamata a esibire detti documenti per finalitàamministrative e probatorie. Naturalmente, il fatto che i documenti vengano legittimamente “esi-biti” su supporto ottico comporta anche che gli stessi siano altrettanto legittimamente “conserva-ti” sul medesimo supporto.In mancanza dell’ormai famoso comma 15, la Pa sarebbe pertanto costretta, a richiesta delcittadino, a “consentire l’accesso” esibendo il documento cartaceo, con le conseguenze in ordi-ne di tempo che è facile immaginare e che avrebbero certamente vanificato lo spirito della“trasparenza amministrativa”.Da notare che ciò non significa che la Pa debba archiviare i documenti su supporto otticodistruggendo il cartaceo che, peraltro, nel caso dei documenti di interesse storico, artistico eculturale deve essere conservato in originale; significa solo, come correttamente afferma il comma15, che gli obblighi di esibizione “si intendono soddisfatti” e ,pertanto, il cittadino non ha dirittodi pretendere l’esibizione dell’originale cartaceo.8) L’articolo 2, comma 15 parla di “supporto ottico” e non di “supporto di immagini” (come faràin seguito la legge 489/94) in quanto la materia dei microfilm ha già trovato attuazione per la Pa.
  18. 18. 969) Nella seduta in sede consultiva 9.2.94 (V Commissione permanente - Bilancio) un depu-tato informava che nell’ambito del Comitato ristretto per la redazione della legge 537/93 sisarebbe prospettata l’intenzione di estendere la disciplina dell’archiviazione su supporto ottico“oltre che alla Pa anche a enti di altra natura, come ad esempio le banche”. Confermava tuttaviache “di ciò non c’è traccia nei lavori parlamentari” e chiedeva e otteneva che la Presidenza dellaCommissione si attivasse presso il Governo per assicurare in ogni sede l’esatta interpretazionedella disposizione in questione.10) L’indiretta risposta del Governo non tardava ad arrivare. L’articolo 7 del D1 10.6. 94 n.357 dal titolo “semplificazione di adempimenti” stabiliva la possibilità di sostituire le scritturee i documenti rilevanti ai fini delle disposizioni tributarie con le corrispondenti registrazioni su“supporti di immagini”. Con successivo Decreto ministeriale saranno stabilite le modalità diconservazione dei supporti. La possibilità di archiviazione prevista dal D1 357/94 era statadunque circoscritta alla rilevanza tributaria delle scritture contabili, dimenticando il connessoaspetto civilistico. Non restava quindi che confidare nella legge di conversione del Decretoaffinché in tale sede potessero essere apportate le necessarie modifiche al Codice civile. Cosache avvenne nonostante le previsioni sfavorevoli: infatti - con apprezzabile sincerità - l’alloraministro Tremonti, dalle colonne del quotidiano Il Sole-24 Ore del 23.6.94 (pag.18) aveva fattopresente che “toccare il Codice civile è come toccare le 12 Tavole. I tempi si allungherebberoenormemente. Quindi sia sovrano il Parlamento, evidentemente con la disponibilità del Gover-no, per le ulteriori semplificazioni che l’Assemblea vorrà introdurre”.11) Deliberazione Aipa n.15 del 28.7.94.12) La legge 8.8.94 n. 489, di conversione del D1 357, ha stralciato l’argomento dell’articolo7 creando un apposito articolo 7-bis intitolato “Modificazioni al Codice civile e ad altre disposi-zioni in materia di scritture contabili”. Ha confermato tra l’altro:a) che sono validi per l’archiviazione dei documenti del mondo privato i “supporti di immagi-ni”. Di questi i “supporti ottici” rappresentano evidentemente solo una parte, anche se oggi èforse la più qualificata ed importante; resta il fatto che non può escludersi a priori il ricorso adaltri sistemi di archiviazione anche fotografica, rappresentando ciò un’attuazione, seppur tardi-va, del principio voluto dall’articolo 25 della legge n.15/68. Spetta eventualmente al ministrodelle Finanze, con il decreto di cui alla successiva lettera d), limitare o meno l’ambito applicativodi tali supporti;b) che la leggibilità della registrazione deve essere assicurata con mezzi messi a disposizionedal soggetto che utilizza detti supporti; non vi è quindi alcuna ragione, né alcuna volontà dellegislatore di imporre una “leggibilità universale” dei supporti. Sconcertante appare su questopunto la pervicacia dei sostenitori di tesi contraria che, non potendo invocare in tal caso alcunaincertezza o dubbio interpretativo, affermano che il legislatore avrebbe sbagliato e pertanto oc-corre rimediare con ulteriore modifica legislativa;c) che le disposizioni si applicano, oltre che alle scritture a valore civilistico, anche alle scrit-ture con rilevanza tributaria;d) che le modalità per la conservazione su supporti di immagini devono essere stabilite dalministero delle Finanze. Anche su tale punto la volontà legislativa è espressa con tale chiarezzache ai soliti detrattori non resta che invocare non meglio precisate “norme di coordinamento”.Ma non è invece più corretto chiedersi come mai il legislatore della legge 489/94 non ha fattoalcun riferimento né alla legge 537/93, né tantomeno all’Aipa? Viene il sospetto che il legisla-tore, accusato con leggerezza di faciloneria, abbia invece più rispetto del diritto di quanto sicreda. Se poi lo si vuole convincere a rimeditare la materia nel senso auspicato dall’articolocitato, lo si potrà fare nelle opportune sedi, ma certamente occorrerà in tal caso dimezzarel’Aipa riformandola in “Autorità per l’Informatica” e a questo punto rivederne con molta atten-zione compiti, prerogative, limiti e quant’altro.
  19. 19. 97Considerando, invece, destinatari delle disposizioni A.I.P.A. anche i privati, certamente è dacondividere la tesi secondo la quale quando l’archiviazione ottica intervenga e rilevi esclusiva-mente tra privati, le regole dettate dall’Autorità non trovano applicazione essendo sufficientel’accordo delle parti sulla forma (ottica, appunto) della documentazione.Occorre, difatti, considerare che la norma, nel riferirsi agli obblighi di conservazione e diesibizione previsti dalla legislazione vigente, fa riferimento alle finalità che le procedure di archi-viazione ottica intendono perseguire, che sono soltanto quelle amministrative e probatorie. Nelcaso di rapporti interprivati, non essendovi tali finalità, non v’è spazio per l’applicazione delladisciplina normativamente prevista, salvo, ovviamente, diversa determinazione delle parti.In realtà, quanto all’ambito di operatività, la disposizione pone l’accento non tanto sullanatura, pubblica o privata, del soggetto tenuto a tali adempimenti, ma, considerando non rile-vante tale natura, adotta un diverso criterio fondato sull’aspetto funzionale degli obblighi diconservazione ed esibizione.In altri termini i soggetti privati, pur non essendo vincolati nei loro rapporti da tale disposi-zione, allorché vogliano conferire al documento conservato su supporto ottico valori ed effettiche trascendano le finalità interprivate e abbiano rilevanza esterna di carattere amministrativo oprobatorio, saranno tenuti a dare applicazione alla disposizione. Con la conseguenza che in talcaso sarà necessario rispettare le regole tecniche definite dall’Autorità.Qualora, pertanto, una banca, un’impresa o un privato cittadino intenda utilizzare documenticontenuti nei supporti ottici, a esempio, per provare dinanzi a un’autorità amministrativa o giu-diziaria determinate circostanze, alla stregua di un qualsiasi documento cartaceo, dovrà adottareprocedure di archiviazione ottica conformi alle regole tecniche dettate dall’Autorità.Sono evidenti le ragioni sostanziali sottese a tale soluzione interpretativa sia con riferimentoalle esigenze di uniformità e di omogeneità nell’archiviazione e nel trattamento di dati e sia alfine di rendere più agevole e di semplificare i compiti di conservazione ed esibizione che grava-no sulle Pubbliche amministrazioni.Del resto, anche dall’esame dei lavori parlamentari, risulta evidente che la ratio della normaè proprio quella di “far fronte a esigenze di ordine pratico, che si manifestano non solo nellaPubblica amministrazione, ma anche in enti di altra natura, come a esempio nelle banche”; e che,dunque, appaiono “del tutto infondate le interpretazioni volte a limitare la possibile applicazionedi tale norma solo nell’ambito della Pubblica amministrazione”. A tale riguardo, nella seduta del9 febbraio 1994, il presidente della Commissione V della Camera dei deputati (Bilancio tesoro eprogrammazione) riferiva che si sarebbe provveduto a invitare il Governo ad assicurare “esattainterpretazione della disposizione” proprio nei sensi sopra riferiti.Né vale richiamare, a sostegno della tesi secondo cui la disposizione avrebbe come destinatariesoltanto le Pubbliche amministrazioni, il dato testuale della rubrica dell’articolo in questione ilquale si riferisce alla “esemplificazione e accelerazione dei procedimenti amministrativi”.Di fronte, però, alla considerazione che se il legislatore avesse voluto effettivamente ridurrela portata della disposizione ai soli obblighi di conservazione ed esibizione posti a carico disoggetti pubblici lo avrebbe di certo affermato esplicitamente, l’interprete non pare autorizzatoad “amputare” in modo cosi rilevante l’ambito di applicazione della disposizione in esame. Glistessi lavori parlamentari confermano questa interpretazione.Del resto, se si pone mente al fatto che gli obblighi di “esibizione” dei documenti previstidalla normativa vigente sono quasi sempre a carico dei privati, non si può non rilevare che,qualora si intendesse la norma destinata esclusivamente alle amministrazioni pubbliche, la suaportata risulterebbe alquanto ridotta, limitata nella sostanza alla facoltà di ricorrere a supportiottici per la sola conservazione di documenti. Non si può poi tacere che l’adozione di disciplineper l’archiviazione ottica, differenziate per il settore pubblico e privato, costituirebbe un grave
  20. 20. 98ostacolo alla comunicazione tra sistemi informatici, inibendo il loro efficiente impiego e rappre-sentando un ostacolo alla loro diffusione razionale. L’interconnessione tra sistemi informativicostituisce, peraltro, una delle finalità che l’Aipa, in base alla legge istitutiva, deve perseguire.La lettera dell’articolo 2, comma 15, non lascia quindi dubbi sui destinatari, pubblici e privati,delle regole. Tuttavia, il testo della normativa applicativa induce, talvolta, a presupporre chel’Aipa si rivolga solo al proprio interlocutore istituzionale (secondo la legge 39/93 la Pubblicaamministrazione) dimenticando che destinatari delle regole sono anche i soggetti privati. Laregola al punto 4, a esempio, stabilisce l’obbligo del fornitore del disco di indicare le condizioniottimali per la conservazione fisica, la stabilità e la fruibilità del supporto e aggiunge che l’Am-ministrazione deve assicurarsi che tali condizioni vengano rispettate attentamente. Perché solol’Amministrazione? Sicuramente anche l’ente privato che dovesse adottare supporti ottici per laconservazione dei documenti a fini probatori e amministrativi dovrebbe assicurarsi che fosserorispettate le condizioni indicate dal fornitore. Casi come questi, rinvenibili sia nelle regole chenelle procedure allegate, possono considerarsi semplici sviste, dovute all’abitudine dell’Aipa arivolgersi alla Pubblica amministrazione, tanto più che non vi è nulla nella deliberazione Aipache faccia intendere in modo esplicito una restrizione dell’applicazione delle regole ai soggettipubblici, rimandando a esempio per i soggetti privati a un’ulteriore deliberazione.Anzi, le norme esplicative sulle regole riconoscono chiaramente che il dettame interessa siala Pubblica amministrazione, sia i privati, sia i rapporti che intercorrono tra questi soggetti.Non v’è dubbio, inoltre, che l’attività del privato, allorché egli utilizzi un documento “a finiamministrativi o probatori”, si colloca evidentemente all’interno di procedimenti amministrativi(o, addirittura, in un procedimento giurisdizionale). Ciò senza considerare che, secondo un prin-cipio giurisprudenziale ormai pacifico, non è considerato valido un criterio ermeneutico basatosull’interpretazione della sola rubrica dell’articolo in cui è contenuta la norma.Con riferimento, infine, alla questione delle “scritture e dei documenti rilevanti ai fini delledisposizioni tributarie”, nonché delle scritture contabili di cui all’articolo 2220 del Codice civi-le, com’è noto, la legge 8 agosto 1994, n. 489, di conversione del decreto legge 10 giugno 1994,n. 357, ha stabilito, all’articolo 7-bis, comma 4 e 9, che tali documenti possono essere conservatisotto forma di registrazioni di “supporti di immagini”. Ciò sempre che siano rispettate due con-dizioni: in primo luogo, deve essere garantita la corrispondenza delle “registrazioni” ai docu-menti, con ciò volendo intendersi che il risultato finale del processo di memorizzazione sul sup-porto di immagine (la registrazione) debba essere conforme all’originale; in secondo luogo, adifferenza della conservazione ed esibizione dei documenti a fini amministrativi e probatori, dicui al comma 15 dell’articolo 2 della legge 537/1993, deve essere garantita, da parte del soggettoche utilizza i supporti di immagini, la “leggibilità delle registrazioni-memorizzazioni” attraversomezzi messi da questi a disposizione delle autorità pubbliche che ne facciano richiesta.Per le sole scritture rilevanti ai fini tributari, e, quindi, con esclusione delle scritture e deidocumenti di cui all’articolo 2220 del Codice civile (le scritture i documenti contabili), il comma9 del citato articolo 7-bis della legge 489/1994 ha previsto che con decreto del ministro delleFinanze siano determinate le modalità per la conservazione su supporti di immagine.La situazione che ne consegue non può non destare perplessità. Il legislatore, difatti,non si è preoccupato di coordinare tali ultime disposizioni con le precedenti norme in mate-ria (il comma 15 dell’articolo 2 della legge 537/1993). E ciò sia con riferimento alla termi-nologia usata (“registrazioni”, “supporti di immagini”, anche se con tale ultima espressio-ne si vuole ricomprendere, oltre i supporti ottici, anche altre tecniche di conservazione,quali, a esempio, la microfilmatura); sia per quanto riguarda l’autorità competente a ema-nare le modalità per la conservazione su supporti di immagine delle scritture e dei docu-menti rilevanti ai fini tributari, identificata nel ministro delle Finanze.
  21. 21. 99Con l’effetto - in evidente contrasto con le finalità di semplificazione e razionalizzazionedelle norme in commento - che, se l’amministrazione finanziaria non rispetta i criteri tecnicidefiniti in via generale dall’Autorità per l’informatica in tema di archiviazione ottica o, quantomeno, non si coordina con quest’ultima, il cittadino si troverà a dovere rispettare regole e proce-dure per l’archiviazione su supporto ottico diverse a seconda che si tratti di documenti rilevanti afini amministrativi e probatori oppure tributari (nel caso in cui i supporti di immagine eventual-mente utilizzati siano supporti ottici); mentre, addirittura, per le scritture contabili sarà sufficien-te il rispetto delle due condizioni previste dal citato articolo 2220 del Codice civile, al di fuori,dunque, della necessità del rispetto di standard e procedure uniformi.In conclusione, anche in questa materia sarebbe auspicabile il pieno coordinamento ammini-strativo e tecnico da realizzare non solo attraverso il rispetto delle regole tecniche definite dal-l’Autorità per l’informatica nella Pubblica amministrazione ma anche in relazione alle procedureche le amministrazioni devono adottare in conformità alle indicazioni fornite dall’Autorità.Toni ancora più accesi del dibattito sulle regole dell’A.I.P.A. si sono, però, spesi per la questione,spinosa perché coinvolge notevoli interessi economici, dell’individuazione delle tecnologie daadottare. All’Aipa da più parti si contesta un’eccessiva standardizzazione tale da provocare dauna parte l’esclusione di fatto di prodotti largamente diffusi e dall’altra l’impermeabilità allaforte evoluzione tecnologica che il mercato offre. In effetti l’Aipa, rispetto alla funzione che lederiva dal dettato dell’articolo 2 comma 15, avrebbe potuto limitarsi a imporre supporti otticifisicamente non riscrivibili, introducendo norme procedurali (come peraltro ha fatto ai punti 4, 5,7, 8) e indicando i requisiti minimi per la corretta funzionalità del sistema (punto 6). L’obbligo diadeguarsi a norme di standardizzazione deriva, invece, all’Aipa dalla decisione del Consiglio del22 dicembre 1986 (87/95/Cee, normalizzazione del settore delle tecnologie dell’informazione edelle telecomunicazioni) che, all’articolo 6, stabilisce la necessità di adottare le norme di stan-dardizzazione europee, le prenorme e le norme internazionali al momento della elaborazione emodifica dei regolamenti tecnici da parte dei soggetti pubblici. Il riferimento, quindi, nella deli-berazione Aipa agli standard Iso non può che considerarsi assolutamente legittimo.Eventualmente può sorgere qualche dubbio sulla sua opportunità. Le obiezioni sollevate dal-l’Assinform, ad esempio, soprattutto quelle relative al rischio che si individui di fatto un unicofornitore della tecnologia adottata, avrebbe dovuto suggerire maggiore cautela. Di fronte a standardnon ancora sufficientemente consolidati, o al contrario superati dall’evoluzione tecnologica, l’Aipaavrebbe dovuto considerarsi libera dall’obbligo di indicarli, tanto più che la decisione del Consi-glio ammette ampie possibilità di deroga all’applicazione delle norme di standardizzazione. Tral’altro, la stessa deliberazione dell’Aipa considera essenziale la presenza sul mercato di almenoun fornitore alternativo. Tra i vantaggi conseguenti alla normalizzazione della tecnologia e quelliconnessi a un sistema di libera concorrenza, in un contesto di forte evoluzione tecnologica e dimercati ancora deboli, non possono che prevalere i secondi ai primi.Per quanto concerne, infine, l’ultimo punto che riguarda il coordinamento con le altre norme,va sottolineato che il coordinamento tra l’articolo 2, comma 15, della legge 537/93 e la norma direcente emanazione (489/94) che modifica l’articolo 2220 del Codice civile introduce la possibi-lità di ricorrere a supporti di immagini per la conservazione delle scritture contabili. Il decretolegge 357/94 prevedeva, all’articolo 7, comma 2, la facoltà di conservare le scritture contabili ei documenti rilevanti ai fini delle disposizioni tributarie sotto forma di registrazioni su supporti diimmagini, secondo le modalità determinate con decreto del ministero delle Finanze. Il comma inquestione fu, poi, soppresso della legge di conversione 489/94 che riconobbe la possibilità, dauna parte, di tenere per l’esercizio corrente i registri contabili con sistemi meccanografici senzaobbligo di stampa e, dall’altra, di conservare le scritture contabili su supporto di immagini, sem-pre che le registrazioni corrispondano ai documenti e che possano in ogni momento essere reseleggibili con i mezzi messi a disposizione dal soggetto che utilizza detti supporti.
  22. 22. 100Quanto disposto dall’articolo 2, comma 15, deve ritenersi riferito anche alla fattispecie rego-lata dal nuovo articolo 2220 del Codice civile. Mentre, infatti, il primo ammette la facoltà diricorrere a supporti ottici per la conservazione di tutti i documenti, a fini probatori e amministra-tivi, il secondo si concentra esclusivamente sulla conservazione, sul medesimo tipo di supporto,delle scritture contabili. Logica vorrebbe, dunque, che le modalità di conservazione previstedalla legge 537/93 e definite nella deliberazione Aipa si estendano anche al caso delle scritturecontabili, con la conseguenza che le aziende che intendessero archiviare tali scritture su supportiottici dovrebbero far riferimento alle regole tecniche dell’Aipa.Purtroppo, l’assenza nella legge 489/94 di un riferimento a tali regole, che peraltro al momentodi emanazione della legge erano già state deliberate, non facilita certo il coordinamento tra ledue normative. La legge 489/94 stabilisce, a esempio, la necessità che i documenti possano inogni momento essere resi leggibili con i mezzi messi a disposizione dal soggetto che utilizza isupporti ottici. Se considerassimo questo requisito come necessario e sufficiente, le regoledell’Aipa, ben più onerose in termini di adempimenti a carico dell’utente, non troverebbero,nell’ipotesi della conservazione delle scritture contabili, spazio di applicazione. Tuttavia, altreesigenze da più parti riconosciute, come la necessità di ricorrere a supporti ottici garantiti neltempo e non fisicamente riscrivibili, suggeriscono di interpretare tale requisito come necessarioe non sufficiente e di rimandare, quindi, per la puntuale definizione di regole e procedure, alladeliberazione dell’Aipa.Di fronte a queste difficoltà interpretative sarebbe tuttavia auspicabile, soprattutto rispetto aiproblemi di coordinamento tra le due norme, un nuovo intervento del legislatore.Si ricorda, infine, che il quarto comma dell’articolo 8 della legge 121/81 il quale stabilisceche ogni amministrazione, ente impresa, associazione o privato che, per qualsiasi scopo, formi edetenga archivi magnetici nei quali vengano inseriti dati o informazioni di qualsivoglia naturaconcernenti cittadini italiani è tenuto a notificare l’esistenza dell’archivio al ministero dell’Inter-no (Prefettura) entro il 31 dicembre dell’anno nel corso del quale l’archivio sia stato installato oabbia avuto un principio di attivazione. Il proprietario o responsabile dell’archivio magneticoche ometta la denuncia è punito con la multa (depenalizzata) da trecentomila lire a tre milioni.Da ciò si deduce che tutti i cittadini italiani (privati, imprese, enti pubblici e privati, professio-nisti, ecc.), quando detengono degli archivi magnetici (quindi su supporti magnetici quali memo-rie di massa di qualunque tipo sia chip che disco o nastro) contenenti dati su cittadini italiani omisti di cittadini italiani e non (dati di qualunque tipo anche semplici numeri telefonici e indiriz-zi) sono tenuti alla denuncia di detti archivi alle Prefetture competenti per territorio utilizzandogli appositi moduli forniti gratuitamente dalle Prefetture stesse.Per quanto riguarda la tutela dei dati personali il problema della corretta utilizzazionedelle informazioni contenute nelle banche dati e degli accorgimenti da mettere in atto per garan-tire il diritto alla riservatezza della vita privata dei cittadini attualmente in Italia, forse unicoPaese tra quelli più industrializzati, non è ancora regolamentato da una specifica legislazione didiritto informatico.E’, dunque, il caso di ricordare il ruolo svolto dalla magistratura che sempre più spessointerviene per punire severamente chiunque si introduca in una banca dati per acquisire e utiliz-zare indebitamente informazioni altrui.In Italia, comunque, il 15 novembre scorso, dopo una approvazione articolo per articolo, laCommissione Giustizia della Camera, riunita in sede legislativa, ha dato il via libera al Disegnodi Legge n.1 901-bis relativo alla tutela dei dati personali (privacy informatica) che è passatoall’esame del Senato. E’ slittata, invece, di una settimana la discussione sulla legge delega alGoverno per l’attuazione della stessa riforma: ad occuparsene sarà sempre la Commissione Giu-stizia di Montecitorio, ma in sede referente (e poi toccherà all’Aula).
  23. 23. 101Anche perché l’Europa aspetta: è in attesa l’Accordo di Shenghen previsto dalla Convenzio-ne di Strasburgo, sulla libera circolazione delle persone negli Stati Ue, in vigore dal 26 marzoscorso solo tra alcuni Paesi, che però non può essere pienamente operativo finché ci sono part-ner (Italia e Grecia) privi di regole sulla raccolta, il trattamento e l’utilizzo delle informazioni dicarattere personale.Il disegno di legge approvato - e che nella passata legislatura la Camera aveva già approvato,in un testo diverso, esattamente due anni fa - ha l’obiettivo di tutelate le informazioni di caratterepersonale raccolte da enti pubblici e privati; affinché quelle informazioni possano essere “tratta-te” e utilizzate, per esempio attraverso l’accesso a banche dati (ma la tutela si estende anche altrattamento non elettronico dei dati), è necessario rispettare tutta una serie di adempimenti, inmodo da salvaguardare la privacy della persona coinvolta.Le principali novità introdotte dal disegno di legge sono:• Ambito di applicazione: trattamento dei dati personali (escluso quello effettuato da personefisiche per fini esclusivamente personali) eseguito con o senza l’ausilio di mezzi elettronici;• Obblighi per chi tratta i dati: notifica al Garante, consenso dell’interessato (nel caso di tratta-mento effettuato da privati ed enti pubblici economici. Il consenso non sempre è necessario: peresempio, per la raccolta di dati scientifici e per la professione di giornalista) garanzia di sicurezzadelle banche dati. Gli obblighi non valgono per i dati pubblici relativi a persone giuridiche.• Obblighi per chi cessa il trattamento: notifica al Garante. L’obbligo non vale per i datipubblici relativi a persone giuridiche.• Obblighi per chi comunica (all’esterno) i dati: consenso dell’interessato (salvo che per igiornalisti, con i limiti di seguito precisati).• Obblighi per il trattamento di dati riferiti alla persona: consenso scritto dell’interessato eautorizzazione del Garante (obblighi non necessari per il trattamento di dati medici mentre per lacomunicazione di questi ultimi il consenso è necessario).Obblighi per i giornalisti (professionisti): nessuno (dunque, niente autorizzazione del Garante néconsenso dell’interessato), tranne che per i dati sulla vita sessuale delle persone. Il Consiglionazionale dell’Ordine dei giornalisti deve, comunque, predisporre un codice deontologico.• Trasferimento dati all’estero: necessaria la notifica al Garante ( il trasferimento può avveni-re solo dopo 30 giorni dalla notifica o 45 nel caso di dati relativi alla sfera personale).• Garante: Organo collegiale (quattro componenti) eletto dal Parlamento (due Camera, dueSenato). Resta in carica quattro anni.• Compiti del Garante: tiene il registro del trattamento dati, dispone sulle procedure di tratta-mento e sulle verifiche, vigila sulle cessazioni, informa annualmente Governo e Parlamento sul-lo stato di attuazione della legge.• Sanzioni: trattamento illecito di dati personali: reclusione da tre mesi a due anni o da uno aquattro anni (se ne deriva danno a terzi). Fino a un anno di reclusione per chi non garantisce lasicurezza delle banche dati. Pagamento da uno a sei milioni di lire per chi omette di fornire leinformazioni o esibire i documenti richiesti dal Garante.• Delega al Governo: con altro disegno di legge in corso d’esame viene conferita al Governola delega ad emanare norme di attuazione e correttive della legge (per esempio, andrà precisatol’ambito dell’attività giornalistica “professionalmente svolta”, e il grado di applicabilità ancheai pubblicisti).Pertanto, ad esempio, un’azienda che svolga un’indagine di mercato servendosi di intervistea campioni di consumatori, può trattare questi dati (raccoglierli, immetterli in un archivio elet-tronico, elaborarli, conservarli, raffrontarli con altri...) solo se ne informa preventivamente ilGarante. A quest’ultimo (di nuova istituzione) è affidato il compito di assicurare il rispetto deldiritto alla riservatezza delle persone alle quali i dati si riferiscono. Il Garante, dunque, puòanche negare il trattamento o la divulgazione di determinate informazioni.
  24. 24. 102Oltre alla notificazione al Garante occorre anche il consenso dell’interessato, soprattutto nelcaso in cui i dati da elaborare coinvolgano la sfera sessuale della persona o il suo credo politicoe religioso o, ancora, la sua origine razziale o etnica.Questi obblighi non valgono per i giornalisti che, nei limiti del diritto di cronaca, possonodivulgare informazioni anche di carattere personale (salvo quelli relativi alla vita sessuale dellepersone) senza alcuna autorizzazione.La sicurezza di cui si tratta nel disegno di legge è limitata alla sicurezza dei dati e delleinformazioni contenuti nella banca dati e non riguarda la sicurezza del sistema informativo nelsuo complesso o, per meglio dire, riguarda la sicurezza del sistema soltanto in relazione a quelladei dati in esso archiviati.L’articolo 15 disciplina la sicurezza dei dati e dispone che i dati personali oggetto di tratta-mento devono essere custoditi anche in relazione alle conoscenze acquisite in base al progressotecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre alminimo, mediante l’adozione di idonee e preventive misure di protezione, i rischi di distruzioneo perdita, anche accidentale, di accesso non autorizzato o di trattamento non consentito o nonconforme alle finalità della raccolta. Il contenuto innovativo di questa disposizione consiste nel-l’adozione espressa di alcuni criteri per la definizione della sicurezza.Il disegno di legge non detta misure di carattere tecnico, rinviando la definizione in concretodelle misure minime di protezione da adottare in via preventiva (secondo quanto prevede l’arti-colo 15, comma 2) al “regolamento emanato con decreto del presidente della Repubblica, aisensi dell’articolo 17, comma 1, lettera a), della legge 23 agosto 1988, n. 400, entro centottantagiorni dalla data di entrata in vigore della presente legge, su proposta del ministro di Grazia egiustizia, di concerto con i ministri dell’Industria, del commercio e dell’artigianato, dell’Interno,del Tesoro e delle Poste e delle telecomunicazioni”. Come dispone il successivo comma 3, concadenza biennale le misure di sicurezza saranno adeguate in relazione all’evoluzione tecnica delsettore e all’esperienza maturata.L’articolo 18 prevede una particolare ipotesi di responsabilità civile, attribuendo, ancorauna volta, estremo rilievo alle conoscenze tecniche del settore. La legge dispone, infatti, che“Chiunque cagiona danno ad altri per effetto del trattamento di dati personali, è tenuto al risar-cimento a norma dell’articolo 2050 del Codice civile”. Occorre tutta via rilevare una difficoltàdi coordinamento fra le disposizioni dell’articolo 15, commi 1 e 2 e dell’articolo 18 in relazionealle misure di protezione da adottare.L’articolo 15, comma 1, dispone infatti che i dati personali oggetto di trattamento devonoessere custoditi “in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misu-re di protezione” i rischi. Il successivo comma 2 dispone che con decreto del Presidente dellaRepubblica sono individuate le “misure minime di protezione” da adottare.L’articolo 18, infine, richiede al danneggiante di provare di avere adottato “tutte le misureidonee a evitare il danno”.Misure di protezione tali da “ridurre al minimo” i rischi, misure “minime” di protezione e “tuttele misure idonee a evitare il danno” non sono, evidentemente, concetti coincidenti. Quali sono lemisure di protezione che il titolare e il responsabile della banca dati devono effettivamente adottare?Il quadro che si delinea sembra essere il seguente. Ai fini penalistici, è sufficiente l’adozionedelle misure minime di protezione di cui all’articolo 15, commi 2 e 3 cui fa espresso riferimentol’articolo 36 del disegno di legge che introduce il reato di omessa adozione di misure necessariealla sicurezza dei dati. L’adozione di queste misure, però, non è sufficiente in sede civile, anche seappare singolare che un decreto emanato per conferire validità giuridica a criteri tecnici non possacostituire un fermo criterio di valutazione anche ai fini dell’attribuzione della responsabilità.Ai fini civilistici, per liberarsi da responsabilità, non sarebbe sufficiente neanche l’adozionedi misure di protezione tali da ridurre al minimo i rischi. Infatti, ai sensi dell’articolo 18, la
  25. 25. 103presunzione di responsabilità civile può essere vinta solo fornendo la prova di avere adottatotutte le misure idonee a evitare il danno. In base all’attuale formulazione della norma, il criteriodi valutazione dell’idoneità delle misure adottate sarebbe presumibilmente lo stato dell’arte dellemisure di protezione al momento del danno44.Per il varo del provvedimento è apparsa subito faticosa la conciliazione tra due opposti inte-ressi: la circolazione delle informazioni e la loro elaborazione in banche dati (anche sotto ilprofilo della loro utilizzabilità economica), nonché il diritto di cronaca, da una parte, e la tuteladella riservatezza dei cosiddetti “dati sensibili”, dall’altra che una sintesi efficace ma approssi-mativa definisce “privacy informatica”.In attesa di questi chiarimenti possibili, ulteriori questioni si pongono all’attenzione, comequella riguardante il sistema sanzionatorio delle violazioni disciplinato dal capo ottavo.Salvo alcuni casi “minori” di omesse comunicazioni al Garante (istituito dalla stessa legge)o all’interessato, sanzionate in via amministrativa, tutte le altre violazioni sono sanzionate pe-nalmente: dall’omessa o infedele notificazione o comunicazione al Garante, al trattamento ille-cito dei dati personali; dall’omessa adozione di misure di sicurezza dei dati, all’inosservanzadei provvedimenti del Garante.Nel dibattito in Commissione Giustizia, invece, sono state anche suggerite misure alternati-ve, o di natura amministrativa o in forma di pene accessorie; e questo per non contraddire ilprocesso di depenalizzazione di cui si sostiene la necessità. E’ stato ipotizzato, tra l’altro, ladecadenza dall’esercizio dell’attività (ma anche la limitazione di alcuni divieti, come quelloposto alle banche sui precedenti penali della clientela che potrebbe aggravare il rischio dellaconcessione dei fidi).Bisogna dire, però, che in tutti i Paesi europei dotati di legislazione sulla protezione dei datile sanzioni sono di carattere penale e solo in due casi, Germania e Austria, sono previste sanzio-ni amministrative, ma sempre contemporaneamente alle sanzioni penali per le violazioni piùgravi. Secondo alcuni esperti si potrebbero configurare anche distorsioni della concorrenza incaso di diversa severità delle sanzioni tra un Paese e l’altro. Inoltre, il confronto sulla parità ditrattamento si porrebbe anche all’interno, rispetto alle norme già esistenti: a quella posta in viagenerale dal Codice penale (articolo 615 bis) a tutela della vita privata e a quelle recenti sullacriminalità informatica (legge 547 del 1993).Il disegno di legge, poi, prevede l’istituzione del Garante per la protezione dei dati, unastruttura al di fuori dell’Aipa, l’Autorità per l’Informatica nella Pubblica amministrazione (or-ganismo a cui è affidato il compito di definire le regole e i criteri tecnici in materia di sistemiinformativi standardizzati che spesso, proprio per la competenza da cui derivano, sono adottatianche nel settore privato), per la quale non è previsto alcun coordinamento funzionale tra ilnuovo organismo ed il precedente. Pertanto, si verrebbe a creare un conflitto nei rapporti tra ledue strutture che verrebbero così a trattare due materie strettamente legate tra loro, la riservatez-za dei dati personali e la sicurezza informatica, e potrebbe risultare necessario un raccordo tra leattività e le funzioni del Garante e quelle dell’Aipa in modo da garantire una maggiore efficien-za e soprattutto di evitare un’inutile duplicazione di mansioni45.Il mondo imprenditoriale, poi, non solo critica il Ddl in quanto reputa che questo possa osta-colare la concorrenzialità e la tempestività delle aziende nello scambio di informazioni commer-ciali ma anche il fatto che il disegno di legge non tiene conto nella stessa maniera delle due sferedi interessi coinvolti: la tutela della riservatezza del privato e la salvaguardia delle libertà diinformazione e di attività economica. Molta è l’attenzione rivolta al primo aspetto, meno importan-za, invece, se ne dà al secondo. Di fronte a questo squilibrio ha dell’incredibile la fretta di appro-vare il ddl. Inoltre, nonostante le reiterate richieste avanzate da diversi settori imprenditoriali, ilParlamento non ha mai concesso audizioni formali per cui ora ci si ritrova con una proposta piùrigida della direttiva e forse addirittura antitetica rispetto alle indicazioni comunitarie.
  26. 26. 104C’è, per esempio, il problema del trasferimento dei dati personali oltre frontiera, che non puòavvenire prima dei 30 giorni (o 45 in casi particolari), necessari perché si formi il silenzio assen-so da parte del Garante, a cui deve essere preventivamente notificata la operazione di invio oltreconfine delle informazioni. Invece la direttiva, sottolinea l’Anasin, si limita a sottoporre il trasfe-rimento dei dati verso un Paese extracomunitario alla condizione che quest’ultimo garantisca unlivello di protezione adeguato, senza alcun obbligo di notifica preventiva Garante.Ma anche il fatto di aver esteso la tutela alle persone giuridiche rappresenta una disarmoniacon le indicazioni di Bruxelles. Riesce difficile capire quale possa essere la sfera di riservatezzada garantire alle persone giuridiche, considerando che il legislatore comunitario ha invece rite-nuto di limitare il suo intervento solo alle persone fisiche46.Per gli imprenditori, pertanto, non si comprende l’accanimento del nostro legislatore nel volerapplicare a tutti i costi la normativa alle persone giuridiche, considerato che la legislazione dei variPaesi europei e anche extraeuropei si applica soltanto alle persone fisiche e alla vita privata.Inoltre, pare più opportuno recuperare la previsione della direttiva europea che riguardaesclusivamente le persone fisiche, accompagnando queste norme con disposizioni specificheriguardanti i settori delle informazioni; ad esempio, informazioni commerciali, investigazioniprivate, gestione banche dati, altri settori particolari: cosa che già si verifica in tutti gli altripaesi europei. Negli Usa è presente da tempo una legislazione analoga a quella appena prospet-tata, ovvero, accanto alle norme sulla tutela dei dati personali e della vita privata, vigono unaserie di leggi settoriali, quali a esempio:il Fair Credit Reporting Act (per le agenzie di informazioni sulla solvibilità); l’EqualCredit opportunity Act (per le imprese sul credito); i Fair Debt Collection Act (per le agen-zie di recupero crediti).Vi è, inoltre, nella legislazione statunitense la consacrazione di un principio forte secondo ilquale l’informazione “appartiene al popolo americano” e già dal 1966 con il Foia (Freedom ofInformation Act) viene sancito il “diritto di sapere” a garanzia della massima trasparenza e liber-tà di circolazione delle informazioni.In questo modo ogni attività vedrebbe riconosciute le proprie specificità e peculiarità salva-guardando gli interessi dei settori e rispondendo alle esigenze di tutela del cittadino.Inoltre, sulla tormentata questione dei dati relativi alle persone giuridiche, l’articolo 24 chia-ramente dispone che il trattamento (e la cessazione del trattamento) di dati riguardanti personegiuridiche non sono soggetti a notificazione e che l’interessato non ha diritto di accesso a talidati. Non si applicano alle persone giuridiche neanche le disposizioni concernenti il trasferi-mento dei dati all’estero.L’articolo 12, comma 1, lettera f) esclude, inoltre, ed escludeva già nella precedente versionedel disegno di legge, che il consenso debba essere richiesto quando il trattamento riguardi daticoncernenti lo svolgimento di attività economiche da parte di persone fisiche e guiridiche, nelrispetto della vigente normativa in materia di segreto aziendale e industriale.Le persone giuridiche non restano, peraltro, prive di tutela. Infatti il diritto alla identità perso-nale di persone giuridiche, enti e associazioni, con riferimento al tratta mento dei dati personali,viene sancito già dall’articolo 1, comma 1, il quale garantisce che il trattamento dei dati personalisi svolga nel rispetto dei diritti e delle libertà fondamentali delle persone fisiche e giuridiche e diogni altro ente o associazione; viene ribadito (articolo 1, comma 2, lettera e) che costituisce “datopersonale” qualunque informazione relativa a persona fisica, persona giuridica, ente o associa-zione. Inoltre, a tutela della qualità dei dati in generale, e quindi anche dei dati relativi allepersone giuridiche, trova applicazione l’articolo 9 che definisce la quali dei dati oggetto di tratta-mento. Secondo la norma citata i dati personali oggetto di trattamento debbono essere trattati inmodo lecito e corretto, raccolti e registrati per scopi determinati, espliciti e legittimi; esatti e, se

×