R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e normativi

1
Sicurezza e reati informatici:
problemi tecnici, giuridici e normativi
Raimondo Villano(*)
“Non c’è nulla che spaventi di più l’uomo
che prendere coscienza dell’immensità
di cosa è capace di fare e diventare”
Søren Aabye Kierkegarard

2Con l’avvento della società dell’informazione, da un lato sono sempre
più frequenti gli attacchi criminali, ad opera dei cosiddetti pirati, che
hanno come oggetto sistemi informativi pubblici e privati, dall’altro si
diffonde una cultura della difesa tecnologica.
Ma cerchiamo di definire il pirata informatico ed il modo in cui agisce.
C’è subito da dire che non vi è un suo identikit preciso; a volte, infatti, si
tratta di ribelli, a volte di “banditi”, a volte di truffatori; ma spesso anche
di giovani appassionati di computer che per mostrare la propria abilità
compiono scorribande elettroniche nelle più delicate reti del pianeta;
normalmente i pirati informatici, sia a livello nazionale che
internazionale, sono persone singole che operano in modo
spontaneistico, generalmente anarchico, ma si può anche avere un
gruppo di persone che lavorano in team, sfruttando le linee telematiche
con motivazioni ideologiche analoghe e seguendo fini comuni.
Possiamo distinguere i pirati: in Phreaker, ovvero specialisti in telefonia
capaci di perforare le reti di protezione di grandi aziende telefoniche e di
copiare i numeri riservati anche di importanti istituzioni; in Haker, che
tentano di penetrare nei sistemi chiusi per osservarne l’interno ed
assumere informazioni; ed in Cracker, che penetrano nei sistemi chiusi
per danneggiare i programmi.
Essi si collegano da casa ad un secondo computer, quello di una
università è l’ideale e attraverso di esso ad Internet; il conto da pagare
per il servizio telefonico, poi, arriva all’università.
Gli esperti della sicurezza, inoltre, sono da qualche tempo alle prese con
una nuova forma di spionaggio telematico: l’intercettazione di onde
elettromagnetiche diffuse da ogni computer mediante
un ricevitore TV leggermente modificato e un’antenna sufficientemente
sensibile. Ciò permette di captare tutto quanto compare sullo schermo di
un personal computer vittima ad una distanza anche di qualche decina di
metri.
Le attività principali sono rappresentate dalla riproduzione di tutto
quanto compare sullo schermo di un personal computer vittima, del furto
di password (mediante appositi programmi denominati “sniffing”, dallo
scambio del software copiato, dalla produzione e dalla distribuzione di
“virus”.

3Desta, poi, particolare preoccupazione il terzo livello, formato da
persone che fanno gli hacker aggi a pagamento, su commissione, per
conto di servizi segreti o bande criminali internazionali producendo
gravi truffe e crimine; hacker politici che si servono delle reti
telematiche per lanciare specifiche azioni di disturbo e di propaganda sui
personal computer dei centri di potere in Italia in questo momento sono
confluiti molti soggetti della vecchia “Autonomia operaia”; hacker
terroristi che inserendosi in una rete di trasmissione ne bloccano il
sistema diffondendo messaggi e, soprattutto, evidenziando il rischio di
manipolazioni.
È proprio quest’ultimo aspetto che ogni giorno rischia di divenire il più
preoccupante da quando in USA è stata scoperta, in occasione dello
spaventoso attentato in Oklahoma, la BBS pirata con un “manuale del
terrorista” e da quando nel dicembre 1994 in Italia i terroristi hacker,
inserendosi sulla rete di trasmissione dell’agenzia di stampa ADN-
KRONOS hanno bloccato il sistema ed hanno lanciato messaggi a nome
della Falange armata, evidenziando il rischio di manipolazione delle
notizie e delle informazioni.
La fenomenologia del crimine informatico è, comunque, molto
complessa e per opporvisi occorre innanzitutto conoscere le diverse
tipologie di attacchi ai sistemi informativi che vanno distinte in frodi,
abusi e danni39.
Una frode informatica è una qualsiasi immissione non autorizzata, che
può avvenire sia per opera di dipendenti infedeli delle aziende, sia da
parte di intrusi esterni. Le frodi portano alla manipolazione delle
procedure di input e output del computer, all’uso illecito dei file e
all’elusione di qualsiasi tipo di controllo. Riguardano in particolare
l’impiego fraudolento delle carte di credito e le intrusioni nelle reti di
telecomunicazione sia pubbliche sia private. In particolare, frequenti
sono gli attacchi che hanno per obiettivo le banche dati di istituti
finanziari e di credito: illeciti trasferimenti di fondi da un conto all’altro;
acquisizione di informazioni dal Bancomat nel momento in cui esse
sono trasmesse dalla banca allo sportello richiedente.
Un abuso, invece, corrisponde all’uso improprio del computer senza
un’effettiva volontà di procurarvi danni. Gli abusi vanno dai banali
tentativi dei dipendenti di aggirare le barriere dei sistemi informativi a

4tutta l’attività benigna degli hacker, che spesso riescono ad accedere a
dati riservati (creando directory nascoste nel sistema) senza intenzioni
malevole.
È sicuramente un abuso la duplicazione del software svolta senza fini di
lucro, come pure la diffusione di notizie riservate, per esempio la
cessione a terzi di software non ancora presente sul mercato.
Infine, danni volontari e involontari ai sistemi sono la distruzione dei file
mediante intrusioni o virus, l’inquinamento dei file e i danni
all’immagine pubblica dell’azienda.
C’è da dire che i virus informatici sono programmi che ad un segnale
stabilito (una data, una certa operazione) si riproducono rivelandosi in
grado di generare danni anche incalcolabili. I virus
tendevano in un primo momento a distruggere i programmi, mentre oggi
l’obiettivo è quello di modificarli. Il risultato, in effetti, non cambia dato
che comunque i programmi diventano inutilizzabili.
Alcuni esempi di virus sono dati dalle icone mobili che compaiono sullo
schermo disturbando gli operatori; dallo zero-itter, che cancella sullo
schermo tutti gli zero che trova; dal wgaflipper, che capovolge qualsiasi
cosa compaia sullo schermo; dallo yankee-dundol, che ad una certa ora
fa suonare una musica al computer disturbando l’operatore.
I virus, inoltre, si prestano molto facilmente a ricattare le vittime
infettate che solo pagando le somme richieste potranno ricevere
l’antidoto per limitare i danni. Anzi, sovente i crackers attaccano le
aziende dove, poi, si presentano proprio come consulenti per depurare i
computer infetti.
Per quanto riguarda, poi, il controllo della diffusione dei virus, il 1994 è
stato l’anno più difficile, sia a livello nazionale che internazionale.
I virus, infatti, erano veramente molto sofisticati e non potevano essere
riconosciuti dagli antivirus presenti sul mercato per cui, una volta diffusi
in rete, hanno paralizzato le aziende.
Nel contempo, però, grazie all’aumentata efficacia delle misure di
prevenzione, sono state evitate migliaia di altri incidenti. In particolare,
sono state bloccate in tempo intere spedizioni di
floppy disk infetti.
In Italia alcuni virus sono molto attivi: il più pericoloso è quello che si
firma “Doctor Revenge” (Dottor Vendetta) che appartiene

5all’organizzazione Nuke ed è firmatario di numerosissimi virus oltre che
coautore di un software che permette ad hacker inesperti di creare virus
in modo automatico.
Il mondo delle frodi assomiglia, quindi, sempre di più ad una società che
trova al suo interno le regole di comportamento e mezzi per raggiungere
i propri scopi criminali. Come conseguenza, in tutto il mondo le polizie
si stanno organizzando e stanno aumentando gli organici destinati a
combattere i reati informatici. Anche in Italia qualcosa si muove: lo
scorso anno sono stati sequestrati ben 381mila programmi illegali e
1.400 apparecchiature mentre sono state denunciate 585 persone per
reati informatici.
Inoltre, la spesa per difendere i sistemi informatici sta aumentando al
ritmo del 25% all’anno40.
Solo nell’ultimo anno il sistema bancario nazionale ha speso 120
miliardi per difendere computer e reti. E anche nell’industria il livello di
sicurezza è aumentato.
Secondo gli esperti il numero dei computer crime sta probabilmente
diminuendo poiché molte attività e transazioni sono ormai automatizzate
e il numero di persone in grado di intervenire è stato ridotto al minimo.
Anche i progettisti di hardware e software stanno conducendo una
vincente battaglia contro il computer crime realizzando programmi e
circuiti sempre più difficilmente penetrabili senza autorizzazione.
E per difendersi dalle intrusioni in rete ci sono molti metodi e standard
internazionali di sicurezza che si dovrebbero adottare anche in Italia. I
sistemi di protezione si sono stratificati e gli host computer, i grandi
elaboratori, sono diventati sempre più inaccessibili.
Chi trasmette informazione pubblica non ha bisogno di criptare i dati e
chi invece vuole riservatezza o segretezza adotta sistemi Fire walls, cioè
porte di sbarramento nel software che identificano la provenienza degli
utenti e tengono il monitoraggio di ogni percorso battuto. Sistemi
sofisticati hanno aumentato anche la sicurezza degli accessi: i “personal
tolken” sono schede simili a calcolatrici tascabili che in base a
combinazioni matematiche generano password ogni 60 secondi. Chi è
autorizzato ad accedere a sistemi protetti da riservatezza quando si
collega via computer deve dare oltre la password personale anche quella
che compare in quel preciso momento

6sul display a cristalli liquidi della scheda. E’ una doppia chiave: solo la
combinazione delle due apre la porta. Tuttavia, lo studio del computer
crime è particolarmente difficile poiché le vittime di questo genere di
reato non ne parlano volentieri. La sicurezza e l’affidabilità dei loro
sistemi verrebbe gravemente lesa se rendessero pubblica la loro
vulnerabilità.
In effetti, secondo la STX, società di sicurezza americana, soltanto il
10% dei crimini elettronici nelle aziende, comunque, è opera di Hacker.
Il resto è, infatti, determinato da spionaggio industriale, effetto di errori
o sabotaggio di impiegati scontenti.
Il problema della sicurezza non è naturalmente di facile soluzione. Da un
lato, infatti, si devono studiare sistemi e accorgimenti per salvaguardare
i dati da letture (in questo caso si parla di segretezza) e scritture (in
questo caso si parla di integrità vietate); dall’altro, bisogna consentire
l’accesso ai dati ai soggetti autorizzati. Armonizzare questi due obiettivi
è un compito molto impegnativo.
Le misure di sicurezza, con il passare del tempo e il progredire della
ricerca, si sono andate sempre più perfezionando. Fra i sistemi oggi più
affidabili e impiegati vanno ricordati, a titolo esemplificativo, i controlli
di autenticazione, finalizzati ad accertare l’identità di colui che accede ai
dati (l’esempio più diffuso è quello del codice del Bancomat); i controlli
di auditing per registrare le richieste inoltrate al sistema da sottoporre a
valutazione allo scopo di prevenire eventuali violazioni o tentativi di
violazioni; le tecniche di protezione dei dati che viaggiano attraverso
linee di comunicazione.
Questi sistemi, naturalmente, comportano costi in termini sia monetari,
sia di efficienza e flessibilità del sistema informativo stesso. In ogni
caso, si tratta di un prezzo di gran lunga inferiore rispetto a quello
provocato dal “furto” di dati o dall’uso indebito di essi.
È appena il caso di ricordare, inoltre, che l’esigenza di tutela non è
avvertita da tutti allo stesso modo. Appare evidente, infatti, che il rischio
connesso all’eventuale appropriazione e uso indebito di dati è maggiore
o minore a seconda della rilevanza rivestita dall’organizzazione nella
comunità. È il caso, per fare qualche esempio, di una banca dati genetica
oppure di informazioni protette da segreti militari. Esistono, pertanto,

7gradi di tutela differenziati che presuppongono sistemi di protezione
differenti.
Attualmente i sistemi di tutela appaiono inadeguati alle esigenze di
protezione delle diverse organizzazioni che li adoperano. Ciò dipende e
da una sensibilità poco profonda e dalla cronica carenza di specialisti in
sicurezza ed ancora da una domanda contenuta che non stimola gli
investimenti in ricerca. Mancano, infine, una radicata cultura della
sicurezza tra gli utenti dei sistemi
informatici, una struttura, un’Autorità e un organo specialistico che
operi da osservatorio sull’impiego
dei sistemi di sicurezza41.
Nella Pubblica Amministrazione, poi, la sicurezza dei sistemi
automatizzati impiegati è un po’ il fanalino di coda dell’intera macchina
informatica dello Stato, nel senso che scarsa attenzione si è finora
prestata a problemi quali la confidenzialità, l’integrità e la disponibilità
delle informazioni, memorizzate e trasmesse.
Certo, i sistemi informatici più importanti del Paese (Sicurezza pubblica,
Sicurezza militare) sono sistemi chiusi, senza accesso dall’esterno.
Dunque, il quadro che ne risulta è preoccupante, a cominciare dalla
frammentazione della normativa esistente e dalla mancanza di una legge
di disciplina dei sistemi informatici e telematici.
E ciò malgrado le sollecitazioni che in tal senso provengono dalla Ue:
basterà ricordare la direttiva Oese 1992 (Sicurezza dei sistemi
informativi nazionali) che il nostro Paese è l’unico, insieme alla Grecia,
a non avere rispettato, e la Raccomandazione del Consiglio della stessa
Ue dell’aprile 1995 che invita ad applicare, per un periodo di due anni, i
criteri Itsec/Itsem per la valutazione della sicurezza delle tecnologie
dell’informazione.
A ciò si aggiunge la mancanza di un organismo che sovrintenda in modo
unitario alla intera materia (che potrebbe essere la stessa Autorità per
l’informatica nella Pa, con una riscrittura estensiva delle sue
competenze), l’assenza di una norma che preveda un responsabile della
sicurezza in ogni amministrazione pubblica e la scarsa conoscenza delle
misure di sicurezza da parte del personale a vario titolo operante nei
sistemi informativi. Poco diffusa, in particolare, l’esistenza di piani di
backup/recovery, in ambito sia pubblico che privato: una recente

8indagine ha dimostrato che ne è dotato solo il 17% delle aziende
interpellate mentre ancora più rara è la pratica di collaudarli e verificarli
periodicamente42. Inoltre, le esigenze di sicurezza vanno previste già
nella progettazione dei sistemi, cosa che è stata fatta nel caso del
ministero delle Finanze, ma con i criteri e i mezzi disponibili venti anni
fa e che, quindi, sono da rivedere alla luce delle sfide più recenti e in
particolare dei rischi derivanti dalla prossima l’apertura” del sistema
verso amministrazioni esterne.
Per quanto riguarda l’Aipa, la sua attività in questo settore è consistita
finora nell’inserimento della sicurezza in uno dei progetti intersettoriali
previsti dal Piano triennale 1995/97, nelle norme tecniche emanate
sull’archiviazione ottica e nella raccolta di informazioni sul tema presso
i responsabili dei sistemi informativi centrali. Tuttavia, la sicurezza non
è sembrata una delle attuali priorità dell’Aipa probabilmente per la
necessità che le sue competenze al riguardo siano meglio definite (in
relazione a quelle dell’Autorità nazionale per la sicurezza e del futuro
Garante per la produzione dei dati) e potenziate (in relazione alle
esigenze di formazione del personale e alle verifiche sull’efficacia delle
misure adottate).
Complesse ed articolate si rivelano, poi, le problematiche relative alla
sicurezza d’uso prolungato di un personal computer in quanto toccano
aspetti molteplici coinvolgendo anche l’ambiente ed il posto di lavoro.
Essenzialmente gli aspetti da prendere in considerazione sono
l’ergonomia della postazione di lavoro ed il videoterminale.
Per quanto concerne l’ergonomia, è intuibile che condizioni di lavoro
non ottimali, fatica e stress accentuano i pericoli per la salute psicofisica
degli operatori; perciò da qualche anno si studiano i casi di “Repetive
strain injuries” (Rsi), come le lesioni al tunnel carpale causate da un
uso prolungato di tastiera e mouse che provocano irritazione ai nervi ed
ai muscoli dell’avambraccio e della mano. Per alleviare questi problemi
importanti case produttrici stanno proponendo tastiere e mouse
ergonomicamente più evolute.
Per i videoterminali, poi, Stati Uniti e Paesi scandinavi già da tempo ne
hanno approfondito gli aspetti relativi alla sicurezza ponendo in
evidenza ed affrontando le tematiche legate alla “sindrome da
videoterminale”. I monitor sono messi sotto accusa per vari motivi,

9primi tra tutti per i campi elettromegnetici emessi e la qualità delle
immagini.
Un monitor di buona qualità deve avere una diagonale di almeno 15
pollici, lo schermo piatto, un dot pitch di 0,28 o meno millimetri, la base
basculante, generare immagini stabili con una frequenza verticale di
refresh di almeno 72MHz (questo valore assicura anche immagini prive
di fastidiosi sfarfallii) alla risoluzione di 1.024 per 768 punti in modalità
non interlacciata, avere i controlli digitali in posizione frontale, schermo
trattato con metodo antistatico e antiriflesso e magari con i connettori
BNC nonché rispondente alle specifiche Energy Star e Vesa (per ridurre
i consumi elettrici), oltre che Mpr 2 e Tco 92.
Gli standard Mpr 2 e Tco 92 sono stati sviluppati in Svezia: il primo
fissa i valori massimi dei campi elettromagnetici emessi dal monitor
mentre il Tco 92 prevede anche l’autospegnimento del display. Un buon
monitor inoltre, deve avere le certificazioni in regola con il rispetto di
quelli che sono considerati gli standard industriali. Si deve perciò
controllare se esso rispetta le specifiche Fcc di classe B sulle
interferenze elettromagnetiche o le svedesi Mpr II, mentre per contenere
i consumi elettrici deve essere conforme allo standard Energy Star. Nella
primavera scorsa, infine, sono state promulgate le nuove specifiche Tco
95 che coinvolgono la sicurezza, l’efficienza e l’ergonomia dell’intero
pc. Per esempio, per un monitor vengono anche raccomandate le
caratteristiche di luminosità, contrasto e regolazione dell’immagine, la
posizione dei pulsanti di controllo o altri fattori che possono disturbare
l’operatore.
Alla ricerca di una maggiore efficienza, sicurezza ed ergonomia le
norme Tco 95 fissano minuziosamente i requisiti di utilizzo della tastiera
e dell’unità centrale del pc come l’emissione di rumore e calore, la
sicurezza e i consumi elettrici, la lunghezza dei cavi. Con questo
standard vengono anche valutati gli aspetti ecologici legati alla
produzione dell’hardware come l’uso di sostanze nocive per l’ambiente
e il successivo riciclo dei prodotti e degli imballaggi.
In Italia è stato introdotto lo scorso anno un più rigido ambito della
tutela per il lavoro su videoterminale con la circolare 102/95 43
promulgata dal Ministero del Lavoro in applicazione delle nuove norme
sulla sicurezza nei luoghi di lavoro di cui al decreto legislativo 626/94.

10A tal proposito il legislatore all’articolo 51 dà alcune definizioni che
costituiscono le linee guida per l’interpretazione dell’intero titolo VI.
A tal fine si intende per “lavoratore: il lavoratore che utilizza una
attrezzatura munita di videoterminale in modo sistematico e abituale, per
almeno quattro ore consecutive giornaliere, dedotte le pause di cui
all’articolo 54, per tutta la settimana lavorativa”.
Ne consegue che il citato articolo 54, sullo svolgimento quotidiano del
lavoro, disciplina sempre nei confronti del suddetto lavoratore, il regime
delle interruzioni dell’attività lavorativa.
In modo analogo il successivo articolo 55 sancisce la sorveglianza
sanitaria solo per questi lavoratori.
Appare evidente che l’intenzione del legislatore è stata quella di
assicurare specifiche misure preventive in favore di coloro per i quali
sussistono rischi per la salute prevedibili in base ai dati scientifici
disponibili. Inoltre, la rigorosa interpretazione ministeriale del precetto
definitorio appare ineccepibile ma la definizione legislativa (articolo 51,
comma 1, punto c) mal si accorda con la definizione data dal legislatore
comunitario nella direttiva n. 90/270/Cee del 29 maggio 1990.
All’articolo 2, lettera c) viene infatti definito “lavoratore: qualunque
lavoratore ... che utilizzi regolarmente, durante un periodo significativo
del suo lavoro normale, una attrezzatura munita di videoterminale”.
Evidente appare il contrasto tra il precetto comunitario, che indica un
vasto numero di soggetti da tutelare, e quello nazionale che riduce la
tutela ai soli lavoratori che potremmo definire “forzati del video”.
Va considerato, inoltre, che l’interpretazione rigida mal si adatta con le
misure generali di tutela dettate dall’articolo 3 del decreto che attua il
famoso articolo 2087 del Codice civile da cui discende tutto il nostro
“corpus” normativo di prevenzione.
Tra le misure generali di tutela troviamo esplicitato il “rispetto dei
principi ergonomici nella concezione dei posti di lavoro, nella scelta
delle attrezzature... anche per attenuare il lavoro monotono e quello
ripetitivo” (articolo 3, comma 1, lettera f).
Principio generale, ancorché non sanzionato penalmente, indicante la
traccia da seguire per progettare i futuri posti di lavoro a misura d’uomo.
La mancanza della definizione normativa di “attività al videoterminale”
è la causa principale del contrasto.

11La rigida interpretazione ministeriale rischia di far cassare dalla Corte di
giustizia dell’Unione la definizione introdotta all’articolo 51, comma 1,
punto e) del decreto legislativo 626/94.
La Procura della Repubblica presso la Pretura circondariale di Torino ha
già sottoposto alla Corte di giustizia della Ue, in data 10 marzo 1995,
“questione pregiudiziale” vertente sull’interpretazione della Direttiva
90/270/Cee (in particolare degli articoli 2, lettera c), 4,5,9, paragrafi 1 e
2).
La magistratura pone gli interrogativi seguenti:
a) quale significato assuma la formula definitoria usata dall’articolo 2,
lettera c) della Direttiva 90/270/Cee in rapporto alla determinazione del
periodo minimo di utilizzazione del videoterminale e, in particolare, se
siffatta formula escluda dal proprio ambito di riferimento situazioni
quali quelle in cui il lavoratore utilizzi il Vdt per tutta la settimana
lavorativa ma non, o non per sempre, per almeno quattro ore consecutive
giornaliere (e magari per un elevato numero di ore consecutive
giornaliere) per tutta la settimana lavorativa tranne un giorno;
b) se l’articolo 9, paragrafi 1 e 2, della Direttive, sul controllo sanitario,
prescriva l’esame periodico degli occhi e della vista per tutti i lavoratori,
ovvero se lo limiti a categorie particolari di lavoratori (quali quelli
idonei con prescrizioni o aventi una determinata età), e se l’articolo 9,
paragrafo 2, prescriva l’esame oculistico anche all’esito
dell’accertamento sanitario periodico oltre che dell’accertamento
sanitario preventivo;
c) se gli articoli 4 e 5 della Direttiva, sui requisiti dei posti di lavoro,
impongano l’adeguamento alle prescrizioni minime stabilite, con
riguardo a qualsiasi posto di lavoro, pur se non utilizzato da un
lavoratore così come definito dall’articolo 2, lettera c) ovvero con
esclusivo riguardo a quei posti di lavoro che risultino utilizzati da
lavoratori così come definiti dall’articolo 2, lettera c).
Come si vede i problemi posti dalla magistratura sono di profonda
portata e di ciò dovrà tenerne conto il legislatore.
Un altro aspetto della sicurezza è legato, poi, alla complessità dei
computer e delle reti informatiche ed è rappresentato dalla loro
vulnerabilità a guasti e black out imprevedibili.

12Nel gennaio 1990 la rete telefonica ATT (che collega buona parte degli
Usa al resto del mondo) entrò in un grave black out che durò ben nove
ore provocando danni per milioni di dollari. Il guasto, secondo gli
esperti, fu provocato da un singolo errore “logico” nel software del
computer che instrada le comunicazioni sulla rete telefonica. Questo
errore era stato introdotto durante un “miglioramento” che avrebbe
dovuto rendere più efficiente e rapida la gestione delle comunicazioni.
Altri black out, di minore portata, hanno colpito sistemi bancari
giapponesi, sistemi di prenotazione alberghiera, la rete di controllo delle
carte di credito e i computer dei controllori di volo.
Inoltre, la fregata Usa Vincennes in navigazione nel Golfo Persico
abbatté nel 1989 un aereo di linea iraniano scambiato dai computer di
bordo per un jet nemico e quindi centrato da un missile;
anche il sistema informatico di bordo dell’Airbus A320, il così detto “fly
by wire”, viene da alcuni esperti considerato troppo complesso e perciò
imprevedibile in certe situazioni critiche.
Dunque, qualsiasi servizio in rete necessita oltre che di garanzia di
qualità e di affidabilità del segnale anche di una opportuna prevenzione
dei guasti che con sistemi automatici di monitoraggio riveli e visualizzi i
parametri che indicano quando ci si sta avvicinando a condizioni limite
così da far scattare gli allarmi e mettere in funzione apparati alternativi a
quelli in uso.
In una rete cablata prototipo per multimedia il segnale video-audio
emesso da ponte radio o da satellite viene ricevuto da un’antenna
collegata al centro servizi (headend). Qui il controllo della qualità del
segnale di ingresso consiste sostanzialmente in una misura delle temute
interferenze eseguita per mezzo di un analizzatore dedicato per Tv.
Perciò il segnale, trasmesso dalla centrale sotto forma di fascio
luminoso, entrando nel primo nodo non solo viene trasformato in un
segnale elettrico ma è anche sottoposto a misure di riflessione.
Anche nei computer la soluzione viene proprio dai controlli intelligenti
in grado di effettuare autodiagnosi di malfunzionamenti e di suggerire
all’utente gli interventi necessari al ripristino delle condizioni normali.
Oltre all’aumento di affidabilità delle macchine è importante
l’inserimento di ridondanze progettuali, cioè di parti duplicate in grado
di entrare in funzione in caso di necessità.

13Inoltre, dal punto di vista della sicurezza, uno dei principali risultati da
raggiungere è certamente quello di garantire un’adeguata protezione
dell’ambiente in cui sono situati il centro elaborazione dati e gli archivi
contenenti dati e programmi preservandone integrità, accuratezza e
riservatezza giacché ogni malfunzionamento dei suddetti sistemi
informativo ed elaborativo potrebbero avere ripercussioni anche gravi
sulla vita stessa dell’azienda o dell’Ente.
Ma ciò non basta. Infatti, oltre che preservare e garantire la
sopravvivenza del patrimonio informativo dai danni di varia natura da
cui potrebbe essere colpito, occorre anche assicurare l’integrità e
l’accuratezza dei dati e la piena riservatezza delle informazioni.
Uno dei principali obiettivi della sicurezza è, quindi, quello di impedire
l’accesso alle informazioni a chi non sia esplicitamente autorizzato e
proteggere conseguentemente le informazioni da manipolazioni indebite
e/o da istruzioni. La classificazione ha come finalità l’individuazione
dell’insieme dei controlli da adottare per le diverse classi di risorse
informatiche e informative gestite.
Classi che hanno come scopo l’individuazione delle risorse più
importanti e di quelle non essenziali per la vita dell’azienda. Questa
identificazione selettiva è necessaria in quanto i mezzi, che possono
essere messi in campo per la sicurezza e il controllo, per quanto
un’azienda possa essere ricca o prodiga, non sono mai infiniti e pertanto
è indispensabile concentrare gli sforzi (denaro, strumenti, persone) sugli
obiettivi primari/prioritari.
La classificazione, pertanto, deve essere applicata a tutti i dati/software
(e ai relativi documenti che li contengono) di tipo tecnico, economico,
amministrativo, commerciale su cui si basa l’attività delle funzioni
aziendali e della clientela. I dati e il software, infatti, costituiscono parte
del patrimonio che permette il raggiungimento e il mantenimento di una
posizione concorrenziale sul mercato e, quindi, sono da considerarsi
indispensabili e devono essere adeguatamente protetti in misura
proporzionata alla loro rilevanza sia per l’utilizzo interno all’azienda sia
per la divulgazione esterna.
Pertanto, dovrà essere stabilito, per ogni dato/programma, l’opportuno
livello di classificazione ovvero la corretta collocazione nella scala di
rilevanza aziendale.

14Tale attività deve essere effettuata sin dalle fasi iniziali di sviluppo della
procedura applicativa che contiene o gestisce il dato/programma oggetto
di classificazione.
Quando ci si è convinti che la classificazione debba essere effettuata,
bisogna evitare di tendere immediatamente alla perfezione. Questa
propensione, se irrazionalmente gestita, può comportare dei danni anche
peggiori della non classificazione. Il numero dei livelli di classificazione
non deve essere infatti troppo elevato altrimenti l’impiego della
procedura di classificazione risulterà troppo complessa e soprattutto di
difficile attuazione. È meglio definire delle regole il più possibile
semplici e suscettibili eventualmente di successivi affinamenti piuttosto
che stabilire un modello complesso la cui difficoltosa attuazione
potrebbe comportare, nel tempo, che le norme sottese possano essere
disattese per poi operativamente stabilizzarsi e consolidarsi verso una
regola semplice. Occorre, quindi, stabilire un programma di
classificazione che serva a contenere e ad amministrare in modo corretto
le risorse che devono essere protette.
Quando troppe informazioni (ma ciò vale anche per il software) sono
inutilmente identificate come bisognose di una protezione speciale, il
sistema di classificazione (oltre che per quanto riguarda la gestione)
diventa troppo complesso e le risorse che necessitano effettivamente di
protezione rischiano di non essere adeguatamente salvaguardate.
È necessario essere un po’ flessibili: non bisogna avere timore di
modificare la classificazione se la situazione lo richiede o se l’ambiente
in cui la risorsa opera si è modificato.
Occorre, infine, ricordare che la classificazione non è certamente fine a
se stessa; è solo una componente, anche se molto importante, di un
programma complesso inerente alla sicurezza dei dati e del software di
cui ogni utilizzatore della risorsa è un elemento critico fondamentale. Se
ci si dimentica di questo aspetto il rischio è di fare un esercizio magari
anche meritevole di plauso ma la cui utilità pratica risulta pressoché
nulla.
Una corretta classificazione dovrebbe prevedere tre “raggruppamenti”:
la classificazione della riservatezza (dati); quella della criticità
(software) e quella della vitalità (dati e software).

15Per quanto riguarda la prima classificazione, è possibile dire che i dati e
le informazioni ai fini della riservatezza possono essere, in generale,
suddivisi in vari livelli che, partendo da quello che raggruppa dati
/informazioni che hanno scarso rilievo ai fini della riservatezza, perché
di dominio pubblico oppure destinati ad esserlo o perché di carattere
divulgativo, passando per il livello che raccoglie i dati/informazioni che,
a causa della loro natura tecnica, personale e commerciale, devono
essere limitati a un uso interno all’Organizzazione aziendale (questi
dati/informazioni possono essere anche con considerati come destinati
ad un gruppo ma conservano una dimensione privata, non conosciuta
nell’ambiente pubblico), arrivano a contemplare il livello che raggruppa
quei dati/informazioni di tipo riservato. I dati che, a causa della loro
natura, devono essere assolutamente limitati nell’uso poiché
estremamente riservati ai fini della protezione del patrimonio di
conoscenze dell’azienda e/o della sua situazione di mercato. L’accesso è,
pertanto, ristretto alle poche persone che, per tipo di lavoro da esse
svolto all’interno dell’azienda, devono avere dimestichezza dei suddetti
dati/informazioni. L’accesso deve essere preventivamente autorizzato
dal “proprietario”, che provvede a registrare il verificarsi dell’evento. I
dati inseriti in questa classe possono includere a esempio: informazioni
relative alle principali e più significative attività o proprietà dell’azienda
e informazioni relative a direttive strategiche.
Per quanto riguarda, poi, la classificazione della criticità, c’è da notare
che in generale si definiscono critici quei programmi che, a titolo di
esempio, trattano dati che confluiscono direttamente nel bilancio o sono
relativi al Patrimonio, gestiscono impegni di risorse e capitali, incassi,
pagamenti, oppure trattano dati di supporto informativo alle decisioni
strategiche o ancora il cui uso improprio o modifiche fraudolente
potrebbero causare perdite significative all’azienda ovvero risultano in
una indebita appropriazione o perdita di beni sia fisici sia finanziari. E’
essenziale che tali programmi non possano essere modificati senza che
siano attivi adeguati controlli e senza lasciare una
documentazione/traccia opportuna. Sarebbe, pertanto, intuitivo che per
raggiungere questo obiettivo occorra che sia adeguatamente disciplinato
il processo di gestione dei programmi critici (definizione dei
ruoli/responsabilità, modalità e documentazione).

16Inoltre, i fondamentali obiettivi della classificazione della vitalità sono
quelli di supportare la definizione di procedure di back-up ed emergenze
adeguate e di individuare successivamente parametri precisi atti a
garantire l’organizzazione ottimale dell’assistenza ai sistemi.
Si definisce in generale come dato/programma vitale quel
dato/programma la cui perdita o ritardo nel suo ripristino provoca una
grossa perdita finanziaria, rende l’azienda incapace di soddisfare
importanti richieste da parte della propria clientela o di proteggere gli
interessi degli azionisti e del proprio personale oppure la cui perdita
eroderebbe gravemente il portafoglio clienti dopo un determinato
(breve) periodo di tempo.
Un dato o un programma (e quanto a esso collegato) è considerato vitale
quando la sua non disponibilità, a seguito di un grave malfunzionamento
o disastro, comporta una significativa perdita di beni o non permette
all’azienda di soddisfare importanti contratti con i clienti e con i
fornitori e di proteggere gli interessi aziendali.
Occorre, infine, considerare che le informazioni di basso grado di
classificazione possono, con il mutare delle condizioni che hanno
determinato la definizione iniziale, diventare ad alta rischiosità mentre
altre classificate come di alto livello possono assumere una bassa
rilevanza dopo un determinato periodo (un classico esempio sono i dati
del bilancio, dopo la sua pubblicazione).
È, pertanto, doveroso interrogarsi frequentemente sulla correttezza
dell’appartenenza di una certa informazione/programma a un livello di
classificazione; ossia è necessario non dare nulla per scontato.
Per quanto riguarda, poi, le normative italiane sull’archiviazione
elettronica, c’è da sottolineare che l’articolo 2, comma 15 della legge n.
537/1993 considera valida l’archiviazione su supporto ottico dei
documenti, sempre che le procedure utilizzate siano conformi alle regole
tecniche dettate dall’Autorità per l’informatica nella Pubblica
amministrazione. Come è noto le regole tecniche per l’attuazione del
principio affermato dalla legge in tema di archiviazione ottica sono state
poi definite dall’Autorità con deliberazione Aipa 28 luglio 1994 n. 15,
pubblicata sulla Gazzetta Ufficiale del 15 settembre 1994 n. 216.
La citata norma, sancendo la validità della archiviazione elettronica su
supporto ottico degli atti amministrativi, costituisce una tappa

17significativa nel cammino verso la “smaterializzazione documentale”
oltre che una rivoluzionaria novità nel panorama del diritto
amministrativo italiano, ponendo la nostra legislazione e,
potenzialmente, la pubblica amministrazione, all’avanguardia rispetto
alla maggior parte degli ordinamenti stranieri che ancora non hanno
riconosciuto una sia pur relativa validità all’archiviazione ottica.
Peraltro, a causa della formulazione non proprio chiara della
disposizione, sono sorte alcune perplessità sulla sua portata e sull’ambito
di operatività che ruota intorno a tre questioni di fondo: l’individuazione
dei destinatari della deliberazione, il livello di definizione delle
tecnologie da adottare, il coordinamento con altre norme, in particolare
con quelle di recente emanazione sulla conservazione delle scritture
contabili.
In primo luogo occorre chiarire che la norma si riferisce ai soli obblighi
di conservazione ed esibizione di documenti per finalità amministrative
e probatorie, sancendo la sostituibilità, ai predetti fini, del documento
cartaceo con il documento su supporto ottico.
Nessun dubbio sembra esserci sul termine “conservazione” poiché il
legislatore ha inteso ricomprendere in tale espressione tutte quelle
attività volte a preservare intatto il contenuto di atti e documenti
amministrativi per il periodo di tempo richiesto dalla normativa in
materia o dagli usi.
Alcune difficoltà interpretative possono sorgere per l’esatta definizione
del termine esibizione: premesso che il relativo obbligo - come nel caso
della conservazione - deve essere previsto a fini amministrativi o
probatori, con tale espressione ci si vuole riferire a tutte quelle ipotesi,
difficilmente identificabili a priori, in cui un documento (contenuto in un
supporto ottico) debba essere presentato, cioè reso evidente, allo scopo
di essere esaminato, visionato e utilizzato ai predetti fini. Si pensi, a
esempio, alle ampie possibilità di applicazione della norma in relazione
all’attuazione della legge 241/90, in tema di diritto di accesso agli atti
amministrativi, nel caso in cui questi siano conservati e a richiesta
dell’interessato esibiti su supporto ottico: in tal caso, l’obbligo di
esibizione che fa carico all’amministrazione sarà assolto attraverso
l’utilizzazione delle tecnologie ottiche.

18Tutto ciò anche in relazione all’articolo 6 del “Regolamento per la
disciplina del diritto di accesso ai documenti amministrativi” (Dpr n.
352/1992), il quale espressamente considera le modalità di accesso
realizzate mediante strumenti informatici (e telematici).
Altra rilevante questione è quella della delimitazione dell’ambito
soggettivo di applicazione nella disposizione. In particolare si discute se
anche i soggetti privati siano destinatari della stessa.
Considerando esclusivo destinatario delle disposizioni A.I.P.A. la
Pubblica Amministrazione, alla luce di una corretta analisi della
normativa sull’archiviazione dei documenti che inizia dalla legge 4
gennaio 1968 n. 15 per proseguire fino ai giorni d’oggi con le diverse
(per origine, spirito, finalità, forma, contenuti, lessico utilizzato)
normative poste dalla legge 24.12.93 n. 537 (articolo 2, comma 15) e
dalla legge 8.8.94 n. 489 (articolo 7-bis, commi 4 e 9), si giunge,
innanzitutto, all’opportunità di definire che le esigenze dei due mondi,
pubblico e privato, sono totalmente diverse per dimensioni, qualità e
quantità. Dunque, nulla hanno in comune il ministero della Difesa, che
deve archiviare documenti complessi e riservati, e il proprietario di una
salumeria che deve archiviare il registro dei corrispettivi Iva o le lettere
di sollecito di pagamento dei fornitori. Voler introdurre tra pubblico e
privato la conclamata “leggibilità universale” dei supporti (già
difficilmente ipotizzabile nel solo settore pubblico), sarebbe come voler
costringere uomini e bambini a fare insieme una passeggiata in bicicletta
usando tutti una bicicletta da uomo o, non si sa quale sia peggio, da
bambino.
L’Autorità per l’Informatica nella Pubblica amministrazione ha solo la
Pubblica Amministrazione come “interlocutore istituzionale”. È
sufficiente, in proposito, la lettura dell’articolo 7 del Decreto legislativo
12 febbraio 1993 n. 39 per avere una chiara visione dei compiti, doveri e
limiti che sono stati posti dall’Autorità. Si tratta di funzioni tutte relative
alla sola Pubblica amministrazione, per l’efficienza della quale
l’Autorità è stata costituita. Né è rinvenibile alcuna delega che autorizzi
l’ingerenza della stessa nella sfera privatistica dei cittadini. Alcuni
tentano di accreditare la tesi secondo la quale le scritture contabili
devono essere esibite dal privato alla Pa e, pertanto, quest’ultima
avrebbe titolo per disciplinarne le modalità di tenuta, costringendo il

19cittadino- contribuente all’uso di schemi e tecniche adatti alle proprie
esclusive esigenze.
Quello che nelle intenzioni vorrebbe essere un sillogismo aristotelico si
traduce in realtà in un “salto” logico; è infatti certo l’interesse pubblico a
far sì che le scritture e i documenti dell’imprenditore (scritture e
documenti attinenti la sua sfera privata) siano conservati su supporti di
immagini ed eventualmente esibiti in maniera fedele; ma non è
dimostrato che i supporti per essere considerati tali debbano essere per
forza “letti” direttamente dalla Pa con utilizzo dei mezzi che la stessa ha
prescelto per le proprie esigenze. Giustamente, infatti, la legge 489 pone
come condizioni operative il fatto che le registrazioni corrispondano ai
documenti e possano essere rese leggibili con mezzi messi a
disposizione dallo stesso soggetto responsabile della loro conservazione.
Il disposto della legge 537/93 non può riferirsi anche alla fattispecie
regolata dal nuovo articolo 2220 del Codice civile. Non si vede, infatti,
come si possa attribuire facoltà divinatorie al legislatore della 537/93. Il
legislatore della 489/94 ha - deliberatamente - ignorato il suo
predecessore, per i motivi che si diranno oltre, usando addirittura una
terminologia diversa (supporti ottici - supporti di immagini).
Come emerge dall’analisi che qui segue, frutto di valutazioni affrontate
in più occasioni dal gruppo di lavoro Assinform sull’archiviazione
ottica, sembra ragionevole ritenere che il legislatore abbia volutamente
posto due discipline diverse perché diversa è la storia e diverse sono le
esigenze del mondo pubblico e di quello privato sulla specifica materia.
Vediamo in sintesi e in ordine cronologico il perché.
1) L’articolo 25 della legge 4.1.68 n.15 consentiva sia alla Pa, sia ai
privati, di potere sostituire a tutti gli effetti i documenti di archivi,
scritture contabili e corrispondenza, con la riproduzione fotografica del
documento, anche se costituita da fotogramma negativo.
2) Con il Dpcm 11.9.74 furono stabilite le regole per la sola Pa,
disciplinando i limiti, il procedimento, le modalità di collaudo e di
autentica.
3) Con il Dm 29.3.79 furono dettate le “regole tecniche” relative ai
microfilm.
4) L’articolo 25 della legge 4.1.68 n.15 non ha finora avuto attuazione
per i privati.

205) La legge 7.8.90 n. 241 ha dettato norme in materia di semplificazione
dei procedimenti amministrativi, individuando un apposito “responsabile
del procedimento” e disciplinando anche il diritto di accesso dei cittadini
ai documenti della Pa (cosiddetta “trasparenza che sostanzia la
subordinazione del cittadino rispetto alla pubblica amministrazione... e
che... scalfisce la posizione di privilegio dell’amministrazione
pubblica... (V. Italia-M. Bassani: Procedimento Amministrativo e diritto
di accesso ai documenti - Ed. Giuffrè, 1991 - Avvertenza).
Viene precisato dalla legge 241/90 che per “documento amministrativo”
si intende “ogni rappresentazione grafica, fotocinematografica,
elettromagnetica o di qualunque altra specie del contenuto di atti, anche
interni, formati dalle pubbliche amministrazioni o, comunque, utilizzati
ai fini dell’attività amministrativa” (articolo 22, comma 2). Viene altresì
precisato che “il diritto di accesso si esercita mediante esame ed
estrazione di copia dei documenti amministrativi nei modi e con i limiti
indicati dalla presente legge (articolo 25, comma 1). Tale diritto... è
riconosciuto a chiunque vi abbia interesse per la tutela di situazioni
giuridicamente rilevanti...” (articolo 22, comma 1).
6) Il Disegno di legge 22.9.93, testo unificato dell’8.10.93 (Atto della
Camera n. 2046 e altri), proponeva, tra l’altro, numerose
“semplificazioni per il contribuente in materia di tenuta delle scritture
contabili”. Particolarmente significativa era la previsione di “attribuire
identica rilevanza a ogni sistema di annotazione effettuato su supporto
elettronico, magnetico o comunque connesso a strumenti inerenti alla
tecnologia dell’informazione”. Molte delle indicazioni contenute in tale
Ddl hanno trovato attuazione nella legge 489/94 e in altri provvedimenti.
7) La legge 537/93 si intitola “Interventi correttivi di finanza pubblica”
(cosiddetta legge di accompagnamento alla Finanziaria ’94). L’articolo 2
si intitola “Semplificazione ed accelerazione dei procedimenti
amministrativi”: i primi 14 commi dell’articolo 2 sono tutti relativi alla
disciplina regolamentare dei procedimenti amministrativi (tra cui alcune
norme di attuazione, modifica e/o integrazione della legge 241/90).
Il successivo comma 15, consapevole degli obblighi di conservazione e
di esibizione dei documenti posti alla Pa - tra gli altri - anche
dall’articolo 25 della legge 241/90, concede alla stessa la possibilità di
archiviare (e a richiesta esibire) detti documenti su supporto ottico,

21ponendo tuttavia dei limiti (esplicita esclusione per quelli di interesse
storico, artistico e culturale che devono essere conservati in originale -
legge 1409/63 - Archivi di Stato). La “ratio” della norma deve quindi
ricercarsi nella volontà di evitare alla Pa gli inconvenienti di dover
sempre gestire i documenti cartacei tutte le volte che la stessa è chiamata
a esibire detti documenti per finalità amministrative e probatorie.
Naturalmente, il fatto che i documenti vengano legittimamente “esibiti”
su supporto ottico comporta anche che gli stessi siano altrettanto
legittimamente “conservati” sul medesimo supporto.
In mancanza dell’ormai famoso comma 15, la Pa sarebbe pertanto
costretta, a richiesta del cittadino, a “consentire l’accesso” esibendo il
documento cartaceo, con le conseguenze in ordine di tempo che è facile
immaginare e che avrebbero certamente vanificato lo spirito della
“trasparenza amministrativa”.
Da notare che ciò non significa che la Pa debba archiviare i documenti
su supporto ottico distruggendo il cartaceo che, peraltro, nel caso dei
documenti di interesse storico, artistico e culturale deve essere
conservato in originale; significa solo, come correttamente afferma il
comma 15, che gli obblighi di esibizione “si intendono soddisfatti” e,
pertanto, il cittadino non ha diritto di pretendere l’esibizione
dell’originale cartaceo.
8) L’articolo 2, comma 15 parla di “supporto ottico” e non di “supporto
di immagini” (come farà in seguito la legge 489/94) in quanto la materia
dei microfilm ha già trovato attuazione per la Pa.
9) Nella seduta in sede consultiva 9.2.94 (V Commissione permanente -
Bilancio) un deputato informava che nell’ambito del Comitato ristretto
per la redazione della legge 537/93 si sarebbe prospettata l’intenzione di
estendere la disciplina dell’archiviazione su supporto ottico “oltre che
alla Pa anche a enti di altra natura, come ad esempio le banche”.
Confermava tuttavia che “di ciò non c’è traccia nei lavori parlamentari”
e chiedeva e otteneva che la Presidenza della Commissione si attivasse
presso il Governo per assicurare in ogni sede l’esatta interpretazione
della disposizione in questione.
10) L’indiretta risposta del Governo non tardava ad arrivare. L’articolo 7
del D1 10.6. 94 n. 357 dal titolo “semplificazione di adempimenti”
stabiliva la possibilità di sostituire le scritture

22e i documenti rilevanti ai fini delle disposizioni tributarie con le
corrispondenti registrazioni su “supporti di immagini”. Con successivo
Decreto ministeriale saranno stabilite le modalità di conservazione dei
supporti. La possibilità di archiviazione prevista dal D1 357/94 era stata
dunque circoscritta alla rilevanza tributaria delle scritture contabili,
dimenticando il connesso aspetto civilistico. Non restava quindi che
confidare nella legge di conversione del Decreto affinché in tale sede
potessero essere apportate le necessarie modifiche al Codice civile. Cosa
che avvenne nonostante le previsioni sfavorevoli: infatti - con
apprezzabile sincerità - l’allora ministro Tremonti, dalle colonne del
quotidiano Il Sole-24 Ore del 23.6.94 (pag.18) aveva fatto presente che
“toccare il Codice civile è come toccare le 12 Tavole. I tempi si
allungherebbero enormemente. Quindi sia sovrano il Parlamento,
evidentemente con la disponibilità del Governo, per le ulteriori
semplificazioni che l’Assemblea vorrà introdurre”.
11) Deliberazione Aipa n.15 del 28.7.94.
12) La legge 8.8.94 n. 489, di conversione del D1 357, ha stralciato
l’argomento dell’articolo 7 creando un apposito articolo 7-bis intitolato
“Modificazioni al Codice civile e ad altre disposizioni in materia di
scritture contabili”. Ha confermato tra l’altro:
a) che sono validi per l’archiviazione dei documenti del mondo privato i
“supporti di immagini”. Di questi i “supporti ottici” rappresentano
evidentemente solo una parte, anche se oggi è forse la più qualificata ed
importante; resta il fatto che non può escludersi a priori il ricorso ad altri
sistemi di archiviazione anche fotografica, rappresentando ciò
un’attuazione, seppur tardiva, del principio voluto dall’articolo 25 della
legge n.15/68. Spetta eventualmente al ministro delle Finanze, con il
decreto di cui alla successiva lettera d), limitare o meno l’ambito
applicativo di tali supporti;
b) che la leggibilità della registrazione deve essere assicurata con mezzi
messi a disposizione dal soggetto che utilizza detti supporti; non vi è
quindi alcuna ragione, né alcuna volontà del legislatore di imporre una
“leggibilità universale” dei supporti. Sconcertante appare su questo
punto la pervicacia dei sostenitori di tesi contraria che, non potendo
invocare in tal caso alcuna incertezza o dubbio interpretativo, affermano

23che il legislatore avrebbe sbagliato e pertanto occorre rimediare con
ulteriore modifica legislativa;
c) che le disposizioni si applicano, oltre che alle scritture a valore
civilistico, anche alle scritture con rilevanza tributaria;
d) che le modalità per la conservazione su supporti di immagini devono
essere stabilite dal ministero delle Finanze. Anche su tale punto la
volontà legislativa è espressa con tale chiarezza che ai soliti detrattori
non resta che invocare non meglio precisate “norme di coordinamento”.
Ma non è invece più corretto chiedersi come mai il legislatore della
legge 489/94 non ha fatto alcun riferimento né alla legge 537/93, né
tantomeno all’Aipa? Viene il sospetto che il legislatore, accusato con
leggerezza di faciloneria, abbia invece più rispetto del diritto di quanto si
creda. Se poi lo si vuole convincere a rimeditare la materia nel senso
auspicato dall’articolo citato, lo si potrà fare nelle opportune sedi, ma
certamente occorrerà in tal caso dimezzare l’Aipa riformandola in
“Autorità per l’Informatica” e a questo punto rivederne con molta
attenzione compiti, prerogative, limiti e quant’altro.
Considerando, invece, destinatari delle disposizioni A.I.P.A. anche i
privati, certamente è da condividere la tesi secondo la quale quando
l’archiviazione ottica intervenga e rilevi esclusivamente
tra privati, le regole dettate dall’Autorità non trovano applicazione
essendo sufficiente l’accordo delle parti sulla forma (ottica, appunto)
della documentazione.
Occorre, difatti, considerare che la norma, nel riferirsi agli obblighi di
conservazione e di esibizione previsti dalla legislazione vigente, fa
riferimento alle finalità che le procedure di archiviazione ottica
intendono perseguire, che sono soltanto quelle amministrative e
probatorie. Nel caso di rapporti interprivati, non essendovi tali finalità,
non v’è spazio per l’applicazione della disciplina normativamente
prevista, salvo, ovviamente, diversa determinazione delle parti.
In realtà, quanto all’ambito di operatività, la disposizione pone l’accento
non tanto sulla natura, pubblica o privata, del soggetto tenuto a tali
adempimenti, ma, considerando non rilevante tale natura, adotta un
diverso criterio fondato sull’aspetto funzionale degli obblighi di
conservazione ed esibizione.

24In altri termini i soggetti privati, pur non essendo vincolati nei loro
rapporti da tale disposizione, allorché vogliano conferire al documento
conservato su supporto ottico valori ed effetti che trascendano le finalità
interprivate e abbiano rilevanza esterna di carattere amministrativo o
probatorio, saranno tenuti a dare applicazione alla disposizione. Con la
conseguenza che in tal caso sarà necessario rispettare le regole tecniche
definite dall’Autorità.
Qualora, pertanto, una banca, un’impresa o un privato cittadino intenda
utilizzare documenti contenuti nei supporti ottici, a esempio, per provare
dinanzi a un’autorità amministrativa o giudiziaria determinate
circostanze, alla stregua di un qualsiasi documento cartaceo, dovrà
adottare procedure di archiviazione ottica conformi alle regole tecniche
dettate dall’Autorità.
Sono evidenti le ragioni sostanziali sottese a tale soluzione interpretativa
sia con riferimento alle esigenze di uniformità e di omogeneità
nell’archiviazione e nel trattamento di dati e sia al fine di rendere più
agevole e di semplificare i compiti di conservazione ed esibizione che
gravano sulle Pubbliche amministrazioni.
Del resto, anche dall’esame dei lavori parlamentari, risulta evidente che
la ratio della norma è proprio quella di “far fronte a esigenze di ordine
pratico, che si manifestano non solo nella Pubblica amministrazione, ma
anche in enti di altra natura, come a esempio nelle banche”; e che,
dunque, appaiono “del tutto infondate le interpretazioni volte a limitare
la possibile applicazione di tale norma solo nell’ambito della Pubblica
amministrazione”. A tale riguardo, nella seduta del 9 febbraio 1994, il
presidente della Commissione V della Camera dei deputati (Bilancio
tesoro e programmazione) riferiva che si sarebbe provveduto a invitare il
Governo ad assicurare “esatta interpretazione della disposizione”
proprio nei sensi sopra riferiti.
Né vale richiamare, a sostegno della tesi secondo cui la disposizione
avrebbe come destinatarie soltanto le Pubbliche amministrazioni, il dato
testuale della rubrica dell’articolo in questione il quale si riferisce alla
“esemplificazione e accelerazione dei procedimenti amministrativi”.
Di fronte, però, alla considerazione che se il legislatore avesse voluto
effettivamente ridurre la portata della disposizione ai soli obblighi di
conservazione ed esibizione posti a carico di

25soggetti pubblici lo avrebbe di certo affermato esplicitamente,
l’interprete non pare autorizzato ad “amputare” in modo cosi rilevante
l’ambito di applicazione della disposizione in esame. Gli stessi lavori
parlamentari confermano questa interpretazione.
Del resto, se si pone mente al fatto che gli obblighi di “esibizione” dei
documenti previsti dalla normativa vigente sono quasi sempre a carico
dei privati, non si può non rilevare che, qualora si intendesse la norma
destinata esclusivamente alle amministrazioni pubbliche, la sua portata
risulterebbe alquanto ridotta, limitata nella sostanza alla facoltà di
ricorrere a supporti ottici per la sola conservazione di documenti. Non si
può poi tacere che l’adozione di discipline per l’archiviazione ottica,
differenziate per il settore pubblico e privato, costituirebbe un grave
ostacolo alla comunicazione tra sistemi informatici, inibendo il loro
efficiente impiego e rappresentando un ostacolo alla loro diffusione
razionale. L’interconnessione tra sistemi informativi costituisce,
peraltro, una delle finalità che l’Aipa, in base alla legge istitutiva, deve
perseguire.
La lettera dell’articolo 2, comma 15, non lascia quindi dubbi sui
destinatari, pubblici e privati, delle regole. Tuttavia, il testo della
normativa applicativa induce, talvolta, a presupporre che l’Aipa si
rivolga solo al proprio interlocutore istituzionale (secondo la legge 39/93
la Pubblica amministrazione) dimenticando che destinatari delle regole
sono anche i soggetti privati. La regola al punto 4, a esempio, stabilisce
l’obbligo del fornitore del disco di indicare le condizioni ottimali per la
conservazione fisica, la stabilità e la fruibilità del supporto e aggiunge
che l’Amministrazione deve assicurarsi che tali condizioni vengano
rispettate attentamente. Perché solo l’Amministrazione? Sicuramente
anche l’ente privato che dovesse adottare supporti ottici per la
conservazione dei documenti a fini probatori e amministrativi dovrebbe
assicurarsi che fossero rispettate le condizioni indicate dal fornitore.
Casi come questi, rinvenibili sia nelle regole che nelle procedure
allegate, possono considerarsi semplici sviste, dovute all’abitudine
dell’Aipa a rivolgersi alla Pubblica amministrazione, tanto più che non
vi è nulla nella deliberazione Aipa che faccia intendere in modo esplicito
una restrizione dell’applicazione delle regole ai soggetti pubblici,
rimandando a esempio per i soggetti privati a un’ulteriore deliberazione.

26Anzi, le norme esplicative sulle regole riconoscono chiaramente che il
dettame interessa sia la Pubblica amministrazione, sia i privati, sia i
rapporti che intercorrono tra questi soggetti.
Non v’è dubbio, inoltre, che l’attività del privato, allorché egli utilizzi un
documento “a fini amministrativi o probatori”, si colloca evidentemente
all’interno di procedimenti amministrativi (o, addirittura, in un
procedimento giurisdizionale). Ciò senza considerare che, secondo un
principio giurisprudenziale ormai pacifico, non è considerato valido un
criterio ermeneutico basato sull’interpretazione della sola rubrica
dell’articolo in cui è contenuta la norma.
Con riferimento, infine, alla questione delle “scritture e dei documenti
rilevanti ai fini delle disposizioni tributarie”, nonché delle scritture
contabili di cui all’articolo 2220 del Codice civile, com’è noto, la legge
8 agosto 1994, n. 489, di conversione del decreto legge 10 giugno 1994,
n. 357, ha stabilito, all’articolo 7-bis, comma 4 e 9, che tali documenti
possono essere conservati sotto forma di registrazioni di “supporti di
immagini”. Ciò sempre che siano rispettate due condizioni: in primo
luogo, deve essere garantita la corrispondenza delle “registrazioni” ai
documenti, con ciò volendo intendersi che il risultato finale del processo
di memorizzazione sul supporto di immagine (la registrazione) debba
essere conforme all’originale; in secondo luogo, a differenza della
conservazione ed esibizione dei documenti a fini amministrativi e
probatori, di cui al comma 15 dell’articolo 2 della legge 537/1993, deve
essere garantita, da parte del soggetto che utilizza i supporti di
immagini, la “leggibilità delle registrazioni-memorizzazioni” attraverso
mezzi messi da questi a disposizione delle autorità pubbliche che ne
facciano richiesta.
Per le sole scritture rilevanti ai fini tributari, e, quindi, con esclusione
delle scritture e dei documenti di cui all’articolo 2220 del Codice civile
(le scritture i documenti contabili), il comma 9 del citato articolo 7-bis
della legge 489/1994 ha previsto che con decreto del ministro delle
Finanze siano determinate le modalità per la conservazione su supporti
di immagine.
La situazione che ne consegue non può non destare perplessità. Il
legislatore, difatti, non si è preoccupato di coordinare tali ultime
disposizioni con le precedenti norme in materia

27(il comma 15 dell’articolo 2 della legge 537/1993). E ciò sia con
riferimento alla terminologia usata (“registrazioni”, “supporti di
immagini”, anche se con tale ultima espressione si vuole ricomprendere,
oltre i supporti ottici, anche altre tecniche di conservazione, quali, a
esempio, la microfilmatura); sia per quanto riguarda l’autorità
competente a emanare le modalità per la conservazione su supporti di
immagine delle scritture e dei documenti rilevanti ai fini tributari,
identificata nel ministro delle Finanze.
Con l’effetto - in evidente contrasto con le finalità di semplificazione e
razionalizzazione delle norme in commento - che, se l’amministrazione
finanziaria non rispetta i criteri tecnici definiti in via generale
dall’Autorità per l’informatica in tema di archiviazione ottica o, quanto
meno, non si coordina con quest’ultima, il cittadino si troverà a dovere
rispettare regole e procedure per l’archiviazione su supporto ottico
diverse a seconda che si tratti di documenti rilevanti a fini
amministrativi e probatori oppure tributari (nel caso in cui i supporti di
immagine eventualmente utilizzati siano supporti ottici); mentre,
addirittura, per le scritture contabili sarà sufficiente il rispetto delle due
condizioni previste dal citato articolo 2220 del Codice civile, al di fuori,
dunque, della necessità del rispetto di standard e procedure uniformi.
In conclusione, anche in questa materia sarebbe auspicabile il pieno
coordinamento amministrativo e tecnico da realizzare non solo
attraverso il rispetto delle regole tecniche definite dall’Autorità per
l’informatica nella Pubblica amministrazione ma anche in relazione alle
procedure che le amministrazioni devono adottare in conformità alle
indicazioni fornite dall’Autorità.
Toni ancora più accesi del dibattito sulle regole dell’A.I.P.A. si sono,
però, spesi per la questione, spinosa perché coinvolge notevoli interessi
economici, dell’individuazione delle tecnologie da adottare. All’Aipa da
più parti si contesta un’eccessiva standardizzazione tale da provocare da
una parte l’esclusione di fatto di prodotti largamente diffusi e dall’altra
l’impermeabilità alla forte evoluzione tecnologica che il mercato offre.
In effetti l’Aipa, rispetto alla funzione che le deriva dal dettato
dell’articolo 2 comma 15, avrebbe potuto limitarsi a imporre supporti
ottici fisicamente non riscrivibili, introducendo norme procedurali (come
peraltro ha fatto ai punti 4, 5,

287, 8) e indicando i requisiti minimi per la corretta funzionalità del
sistema (punto 6). L’obbligo di adeguarsi a norme di standardizzazione
deriva, invece, all’Aipa dalla decisione del Consiglio del 22 dicembre
1986 (87/95/Cee, normalizzazione del settore delle tecnologie
dell’informazione e delle telecomunicazioni) che, all’articolo 6,
stabilisce la necessità di adottare le norme di standardizzazione europee,
le prenorme e le norme internazionali al momento della elaborazione e
modifica dei regolamenti tecnici da parte dei soggetti pubblici. Il
riferimento, quindi, nella deliberazione Aipa agli standard Iso non può
che considerarsi assolutamente legittimo.
Eventualmente può sorgere qualche dubbio sulla sua opportunità. Le
obiezioni sollevate dall’Assinform, ad esempio, soprattutto quelle
relative al rischio che si individui di fatto un unico fornitore della
tecnologia adottata, avrebbe dovuto suggerire maggiore cautela. Di
fronte a standard non ancora sufficientemente consolidati, o al contrario
superati dall’evoluzione tecnologica, l’Aipa avrebbe dovuto considerarsi
libera dall’obbligo di indicarli, tanto più che la decisione del Consiglio
ammette ampie possibilità di deroga all’applicazione delle norme di
standardizzazione. Tra l’altro, la stessa deliberazione dell’Aipa
considera essenziale la presenza sul mercato di almeno un fornitore
alternativo. Tra i vantaggi conseguenti alla normalizzazione della
tecnologia e quelli connessi a un sistema di libera concorrenza, in un
contesto di forte evoluzione tecnologica e di mercati ancora deboli, non
possono che prevalere i secondi ai primi.
Per quanto concerne, infine, l’ultimo punto che riguarda il
coordinamento con le altre norme, va sottolineato che il coordinamento
tra l’articolo 2, comma 15, della legge 537/93 e la norma di recente
emanazione (489/94) che modifica l’articolo 2220 del Codice civile
introduce la possibilità di ricorrere a supporti di immagini per la
conservazione delle scritture contabili. Il decreto legge 357/94
prevedeva, all’articolo 7, comma 2, la facoltà di conservare le scritture
contabili e i documenti rilevanti ai fini delle disposizioni tributarie sotto
forma di registrazioni su supporti di immagini, secondo le modalità
determinate con decreto del ministero delle Finanze. Il comma in
questione fu, poi, soppresso della legge di conversione 489/94 che
riconobbe la possibilità, da una parte, di tenere per l’esercizio corrente i

29registri contabili con sistemi meccanografici senza obbligo di stampa e,
dall’altra, di conservare le scritture contabili su supporto di immagini,
sempre che le registrazioni corrispondano ai documenti e che possano in
ogni momento essere rese leggibili con i mezzi messi a disposizione dal
soggetto che utilizza detti supporti.
Quanto disposto dall’articolo 2, comma 15, deve ritenersi riferito anche
alla fattispecie regolata dal nuovo articolo 2220 del Codice civile.
Mentre, infatti, il primo ammette la facoltà di ricorrere a supporti ottici
per la conservazione di tutti i documenti, a fini probatori e
amministrativi,il secondo si concentra esclusivamente sulla
conservazione, sul medesimo tipo di supporto,delle scritture contabili.
Logica vorrebbe, dunque, che le modalità di conservazione previste
dalla legge 537/93 e definite nella deliberazione Aipa si estendano anche
al caso delle scritture contabili, con la conseguenza che le aziende che
intendessero archiviare tali scritture su supporti ottici dovrebbero far
riferimento alle regole tecniche dell’Aipa.
Purtroppo, l’assenza nella legge 489/94 di un riferimento a tali regole,
che peraltro al momento di emanazione della legge erano già state
deliberate, non facilita certo il coordinamento tra le due normative. La
legge 489/94 stabilisce, a esempio, la necessità che i documenti possano
in ogni momento essere resi leggibili con i mezzi messi a disposizione
dal soggetto che utilizza i supporti ottici. Se considerassimo questo
requisito come necessario e sufficiente, le regole dell’Aipa, ben più
onerose in termini di adempimenti a carico dell’utente, non
troverebbero, nell’ipotesi della conservazione delle scritture contabili,
spazio di applicazione. Tuttavia, altre esigenze da più parti riconosciute,
come la necessità di ricorrere a supporti ottici garantiti nel tempo e non
fisicamente riscrivibili, suggeriscono di interpretare tale requisito come
necessario e non sufficiente e di rimandare, quindi, per la puntuale
definizione di regole e procedure, alla deliberazione dell’Aipa.
Di fronte a queste difficoltà interpretative sarebbe tuttavia auspicabile,
soprattutto rispetto ai problemi di coordinamento tra le due norme, un
nuovo intervento del legislatore.
Si ricorda, infine, che il quarto comma dell’articolo 8 della legge 121/81
il quale stabilisce che ogni amministrazione, ente impresa, associazione
o privato che, per qualsiasi scopo, formi e detenga archivi magnetici nei

30quali vengano inseriti dati o informazioni di qualsivoglia natura
concernenti cittadini italiani è tenuto a notificare l’esistenza
dell’archivio al ministero dell’Interno (Prefettura) entro il 31 dicembre
dell’anno nel corso del quale l’archivio sia stato installato o abbia avuto
un principio di attivazione. Il proprietario o responsabile dell’archivio
magnetico che ometta la denuncia è punito con la multa (depenalizzata)
da trecentomila lire a tre milioni.
Da ciò si deduce che tutti i cittadini italiani (privati, imprese, enti
pubblici e privati, professionisti, ecc.), quando detengono degli archivi
magnetici (quindi su supporti magnetici quali memorie di massa di
qualunque tipo sia chip che disco o nastro) contenenti dati su cittadini
italiani o misti di cittadini italiani e non (dati di qualunque tipo anche
semplici numeri telefonici e indirizzi) sono tenuti alla denuncia di detti
archivi alle Prefetture competenti per territorio utilizzando gli appositi
moduli forniti gratuitamente dalle Prefetture stesse.
Per quanto riguarda la tutela dei dati personali il problema della
corretta utilizzazione delle informazioni contenute nelle banche dati e
degli accorgimenti da mettere in atto per garantire il diritto alla
riservatezza della vita privata dei cittadini attualmente in Italia, forse
unico Paese tra quelli più industrializzati, non è ancora regolamentato da
una specifica legislazione di diritto informatico.
È, dunque, il caso di ricordare il ruolo svolto dalla magistratura che
sempre più spesso interviene per punire severamente chiunque si
introduca in una banca dati per acquisire e utilizzare indebitamente
informazioni altrui.
In Italia, comunque, il 15 novembre scorso, dopo una approvazione
articolo per articolo, la Commissione Giustizia della Camera, riunita in
sede legislativa, ha dato il via libera al Disegno di Legge n.1 901-bis
relativo alla tutela dei dati personali (privacy informatica) che è passato
all’esame del Senato. È slittata, invece, di una settimana la discussione
sulla legge delega al Governo per l’attuazione della stessa riforma: ad
occuparsene sarà sempre la Commissione Giustizia di Montecitorio, ma
in sede referente (e poi toccherà all’Aula).
Anche perché l’Europa aspetta: è in attesa l’Accordo di Shenghen
previsto dalla Convenzione di Strasburgo, sulla libera circolazione delle
persone negli Stati Ue, in vigore dal 26 marzo scorso solo tra alcuni

31Paesi, che però non può essere pienamente operativo finché ci sono
partner (Italia e Grecia) privi di regole sulla raccolta, il trattamento e
l’utilizzo delle informazioni di carattere personale.
Il disegno di legge approvato - e che nella passata legislatura la Camera
aveva già approvato, in un testo diverso, esattamente due anni fa - ha
l’obiettivo di tutelate le informazioni di carattere personale raccolte da
enti pubblici e privati; affinché quelle informazioni possano essere
“trattate” e utilizzate, per esempio attraverso l’accesso a banche dati (ma
la tutela si estende anche al trattamento non elettronico dei dati), è
necessario rispettare tutta una serie di adempimenti, in modo da
salvaguardare la privacy della persona coinvolta.
Le principali novità introdotte dal disegno di legge sono:
• Ambito di applicazione: trattamento dei dati personali (escluso quello
effettuato da persone fisiche per fini esclusivamente personali) eseguito
con o senza l’ausilio di mezzi elettronici;
• Obblighi per chi tratta i dati: notifica al Garante, consenso
dell’interessato (nel caso di trattamento effettuato da privati ed enti
pubblici economici. Il consenso non sempre è necessario: per esempio,
per la raccolta di dati scientifici e per la professione di giornalista)
garanzia di sicurezza delle banche dati. Gli obblighi non valgono per i
dati pubblici relativi a persone giuridiche.
• Obblighi per chi cessa il trattamento: notifica al Garante. L’obbligo
non vale per i dati pubblici relativi a persone giuridiche.
• Obblighi per chi comunica (all’esterno) i dati: consenso
dell’interessato (salvo che per i giornalisti, con i limiti di seguito
precisati).
• Obblighi per il trattamento di dati riferiti alla persona: consenso
scritto dell’interessato e autorizzazione del Garante (obblighi non
necessari per il trattamento di dati medici mentre per la comunicazione
di questi ultimi il consenso è necessario).
Obblighi per i giornalisti (professionisti): nessuno (dunque, niente
autorizzazione del Garante né consenso dell’interessato), tranne che per i
dati sulla vita sessuale delle persone. Il Consiglio nazionale dell’Ordine
dei giornalisti deve, comunque, predisporre un codice deontologico.

32• Trasferimento dati all’estero: necessaria la notifica al Garante ( il
trasferimento può avvenire solo dopo 30 giorni dalla notifica o 45 nel
caso di dati relativi alla sfera personale).
• Garante: Organo collegiale (quattro componenti) eletto dal Parlamento
(due Camera, due Senato). Resta in carica quattro anni.
• Compiti del Garante: tiene il registro del trattamento dati, dispone
sulle procedure di trattamento e sulle verifiche, vigila sulle cessazioni,
informa annualmente Governo e Parlamento sullo stato di attuazione
della legge.
• Sanzioni: trattamento illecito di dati personali: reclusione da tre mesi a
due anni o da uno a quattro anni (se ne deriva danno a terzi). Fino a un
anno di reclusione per chi non garantisce la sicurezza delle banche dati.
Pagamento da uno a sei milioni di lire per chi omette di fornire le
informazioni o esibire i documenti richiesti dal Garante.
• Delega al Governo: con altro disegno di legge in corso d’esame viene
conferita al Governo la delega ad emanare norme di attuazione e
correttive della legge (per esempio, andrà precisato l’ambito dell’attività
giornalistica “professionalmente svolta”, e il grado di applicabilità anche
ai pubblicisti).
Pertanto, ad esempio, un’azienda che svolga un’indagine di mercato
servendosi di interviste a campioni di consumatori, può trattare questi
dati (raccoglierli, immetterli in un archivio elettronico, elaborarli,
conservarli, raffrontarli con altri...) solo se ne informa preventivamente
il Garante. A quest’ultimo (di nuova istituzione) è affidato il compito di
assicurare il rispetto del diritto alla riservatezza delle persone alle quali i
dati si riferiscono. Il Garante, dunque, può anche negare il trattamento o
la divulgazione di determinate informazioni.
Oltre alla notificazione al Garante occorre anche il consenso
dell’interessato, soprattutto nel caso in cui i dati da elaborare
coinvolgano la sfera sessuale della persona o il suo credo politico e
religioso o, ancora, la sua origine razziale o etnica.
Questi obblighi non valgono per i giornalisti che, nei limiti del diritto di
cronaca, possono divulgare informazioni anche di carattere personale
(salvo quelli relativi alla vita sessuale delle persone) senza alcuna
autorizzazione.

33La sicurezza di cui si tratta nel disegno di legge è limitata alla sicurezza
dei dati e delle informazioni contenuti nella banca dati e non riguarda la
sicurezza del sistema informativo nel suo complesso o, per meglio dire,
riguarda la sicurezza del sistema soltanto in relazione a quella dei dati in
esso archiviati.
L’articolo 15 disciplina la sicurezza dei dati e dispone che i dati
personali oggetto di trattamento devono essere custoditi anche in
relazione alle conoscenze acquisite in base al progresso tecnico, alla
natura dei dati e alle specifiche caratteristiche del trattamento, in modo
da ridurre al minimo, mediante l’adozione di idonee e preventive misure
di protezione, i rischi di distruzione o perdita, anche accidentale, di
accesso non autorizzato o di trattamento non consentito o non conforme
alle finalità della raccolta. Il contenuto innovativo di questa disposizione
consiste nell’adozione espressa di alcuni criteri per la definizione della
sicurezza.
Il disegno di legge non detta misure di carattere tecnico, rinviando la
definizione in concreto delle misure minime di protezione da adottare in
via preventiva (secondo quanto prevede l’articolo 15, comma 2) al
“regolamento emanato con decreto del presidente della Repubblica, ai
sensi dell’articolo 17, comma 1, lettera a), della legge 23 agosto 1988, n.
400, entro centottanta giorni dalla data di entrata in vigore della presente
legge, su proposta del ministro di Grazia e giustizia, di concerto con i
ministri dell’Industria, del commercio e dell’artigianato, dell’Interno, del
Tesoro e delle Poste e delle telecomunicazioni”. Come dispone il
successivo comma 3, con cadenza biennale le misure di sicurezza
saranno adeguate in relazione all’evoluzione tecnica del settore e
all’esperienza maturata.
L’articolo 18 prevede una particolare ipotesi di responsabilità civile,
attribuendo, ancora una volta, estremo rilievo alle conoscenze tecniche
del settore. La legge dispone, infatti, che “Chiunque cagiona danno ad
altri per effetto del trattamento di dati personali, è tenuto al risarcimento
a norma dell’articolo 2050 del Codice civile”. Occorre tutta via rilevare
una difficoltà di coordinamento fra le disposizioni dell’articolo 15,
commi 1 e 2 e dell’articolo 18 in relazione alle misure di protezione da
adottare.

34L’articolo 15, comma 1, dispone infatti che i dati personali oggetto di
trattamento devono essere custoditi “in modo da ridurre al minimo,
mediante l’adozione di idonee e preventive misure di protezione” i
rischi. Il successivo comma 2 dispone che con decreto del Presidente
della Repubblica sono individuate le “misure minime di protezione” da
adottare.
L’articolo 18, infine, richiede al danneggiante di provare di avere
adottato “tutte le misure idonee a evitare il danno”.
Misure di protezione tali da “ridurre al minimo” i rischi, misure
“minime” di protezione e “tutte le misure idonee a evitare il danno” non
sono, evidentemente, concetti coincidenti. Quali sono le misure di
protezione che il titolare e il responsabile della banca dati devono
effettivamente adottare?
Il quadro che si delinea sembra essere il seguente. Ai fini penalistici, è
sufficiente l’adozione delle misure minime di protezione di cui
all’articolo 15, commi 2 e 3 cui fa espresso riferimento l’articolo 36 del
disegno di legge che introduce il reato di omessa adozione di misure
necessarie alla sicurezza dei dati. L’adozione di queste misure, però, non
è sufficiente in sede civile, anche se appare singolare che un decreto
emanato per conferire validità giuridica a criteri tecnici non possa
costituire un fermo criterio di valutazione anche ai fini dell’attribuzione
della responsabilità.
Ai fini civilistici, per liberarsi da responsabilità, non sarebbe sufficiente
neanche l’adozione di misure di protezione tali da ridurre al minimo i
rischi. Infatti, ai sensi dell’articolo 18, la presunzione di responsabilità
civile può essere vinta solo fornendo la prova di avere adottato tutte le
misure idonee a evitare il danno. In base all’attuale formulazione della
norma, il criterio di valutazione dell’idoneità delle misure adottate
sarebbe presumibilmente lo stato dell’arte delle misure di protezione al
momento del danno44.
Per il varo del provvedimento è apparsa subito faticosa la conciliazione
tra due opposti interessi: la circolazione delle informazioni e la loro
elaborazione in banche dati (anche sotto il profilo della loro utilizzabilità
economica), nonché il diritto di cronaca, da una parte, e la tutela della
riservatezza dei cosiddetti “dati sensibili”, dall’altra che una sintesi
efficace ma approssimativa definisce “privacy informatica”.

35In attesa di questi chiarimenti possibili, ulteriori questioni si pongono
all’attenzione, come quella riguardante il sistema sanzionatorio delle
violazioni disciplinato dal capo ottavo.
Salvo alcuni casi “minori” di omesse comunicazioni al Garante (istituito
dalla stessa legge) o all’interessato, sanzionate in via amministrativa,
tutte le altre violazioni sono sanzionate penalmente: dall’omessa o
infedele notificazione o comunicazione al Garante, al trattamento illecito
dei dati personali; dall’omessa adozione di misure di sicurezza dei dati,
all’inosservanza dei provvedimenti del Garante.
Nel dibattito in Commissione Giustizia, invece, sono state anche
suggerite misure alternative, o di natura amministrativa o in forma di
pene accessorie; e questo per non contraddire il processo di
depenalizzazione di cui si sostiene la necessità. E’ stato ipotizzato, tra
l’altro, la decadenza dall’esercizio dell’attività (ma anche la limitazione
di alcuni divieti, come quello posto alle banche sui precedenti penali
della clientela che potrebbe aggravare il rischio della concessione dei
fidi).
Bisogna dire, però, che in tutti i Paesi europei dotati di legislazione sulla
protezione dei dati le sanzioni sono di carattere penale e solo in due casi,
Germania e Austria, sono previste sanzioni amministrative, ma sempre
contemporaneamente alle sanzioni penali per le violazioni più gravi.
Secondo alcuni esperti si potrebbero configurare anche distorsioni della
concorrenza in caso di diversa severità delle sanzioni tra un Paese e
l’altro. Inoltre, il confronto sulla parità di trattamento si porrebbe anche
all’interno, rispetto alle norme già esistenti: a quella posta in via
generale dal Codice penale (articolo 615 bis) a tutela della vita privata e
a quelle recenti sulla criminalità informatica (legge 547 del 1993).
Il disegno di legge, poi, prevede l’istituzione del Garante per la
protezione dei dati, una struttura al di fuori dell’Aipa, l’Autorità per
l’Informatica nella Pubblica amministrazione (organismo a cui è affidato
il compito di definire le regole e i criteri tecnici in materia di sistemi
informativi standardizzati che spesso, proprio per la competenza da cui
derivano, sono adottati anche nel settore privato), per la quale non è
previsto alcun coordinamento funzionale tra il nuovo organismo ed il
precedente. Pertanto, si verrebbe a creare un conflitto nei rapporti tra le

36due strutture che verrebbero così a trattare due materie strettamente
legate tra loro, la riservatezza dei dati personali e la sicurezza
informatica, e potrebbe risultare necessario un raccordo tra le attività e le
funzioni del Garante e quelle dell’Aipa in modo da garantire una
maggiore efficienza e soprattutto di evitare un’inutile duplicazione di
mansioni45.
Il mondo imprenditoriale, poi, non solo critica il Ddl in quanto reputa
che questo possa ostacolare la concorrenzialità e la tempestività delle
aziende nello scambio di informazioni commerciali ma anche il fatto che
il disegno di legge non tiene conto nella stessa maniera delle due sfere di
interessi coinvolti: la tutela della riservatezza del privato e la
salvaguardia delle libertà di informazione e di attività economica. Molta
è l’attenzione rivolta al primo aspetto, meno importanza, invece, se ne
dà al secondo. Di fronte a questo squilibrio ha dell’incredibile la fretta di
approvare il ddl. Inoltre, nonostante le reiterate richieste avanzate da
diversi settori imprenditoriali, il Parlamento non ha mai concesso
audizioni formali per cui ora ci si ritrova con una proposta più rigida
della direttiva e forse addirittura antitetica rispetto alle indicazioni
comunitarie.
C’è, per esempio, il problema del trasferimento dei dati personali oltre
frontiera, che non può avvenire prima dei 30 giorni (o 45 in casi
particolari), necessari perché si formi il silenzio assenso da parte del
Garante, a cui deve essere preventivamente notificata la operazione di
invio oltre confine delle informazioni. Invece la direttiva, sottolinea
l’Anasin, si limita a sottoporre il trasferimento dei dati verso un Paese
extracomunitario alla condizione che quest’ultimo garantisca un livello
di protezione adeguato, senza alcun obbligo di notifica preventiva
Garante.
Ma anche il fatto di aver esteso la tutela alle persone giuridiche
rappresenta una disarmonia con le indicazioni di Bruxelles. Riesce
difficile capire quale possa essere la sfera di riservatezza da garantire
alle persone giuridiche, considerando che il legislatore comunitario ha
invece ritenuto di limitare il suo intervento solo alle persone fisiche46.
Per gli imprenditori, pertanto, non si comprende l’accanimento del
nostro legislatore nel voler applicare a tutti i costi la normativa alle
persone giuridiche, considerato che la legislazione dei vari

37Paesi europei e anche extraeuropei si applica soltanto alle persone
fisiche e alla vita privata.
Inoltre, pare più opportuno recuperare la previsione della direttiva
europea che riguarda esclusivamente le persone fisiche, accompagnando
queste norme con disposizioni specifiche riguardanti i settori delle
informazioni; ad esempio, informazioni commerciali, investigazioni
private, gestione banche dati, altri settori particolari: cosa che già si
verifica in tutti gli altri paesi europei.
Negli Usa è presente da tempo una legislazione analoga a quella appena
prospettata, ovvero, accanto alle norme sulla tutela dei dati personali e
della vita privata, vigono una serie di leggi settoriali, quali a esempio: il
Fair Credit Reporting Act (per le agenzie di informazioni sulla
solvibilità); l’Equal Credit opportunity Act (per le imprese sul credito); i
Fair Debt Collection Act (per le agenzie
di recupero crediti).
Vi è, inoltre, nella legislazione statunitense la consacrazione di un
principio forte secondo il quale l’informazione “appartiene al popolo
americano” e già dal 1966 con il Foia (Freedom of Information Act)
viene sancito il “diritto di sapere” a garanzia della massima trasparenza e
libertà di circolazione delle informazioni.
In questo modo ogni attività vedrebbe riconosciute le proprie specificità
e peculiarità salvaguardando gli interessi dei settori e rispondendo alle
esigenze di tutela del cittadino.
Inoltre, sulla tormentata questione dei dati relativi alle persone
giuridiche, l’articolo 24 chiaramente dispone che il trattamento (e la
cessazione del trattamento) di dati riguardanti persone giuridiche non
sono soggetti a notificazione e che l’interessato non ha diritto di accesso
a tali dati. Non si applicano alle persone giuridiche neanche le
disposizioni concernenti il trasferimento dei dati all’estero.
L’articolo 12, comma 1, lettera f) esclude, inoltre, ed escludeva già nella
precedente versione del disegno di legge, che il consenso debba essere
richiesto quando il trattamento riguardi dati concernenti lo svolgimento
di attività economiche da parte di persone fisiche e giuridiche, nel
rispetto della vigente normativa in materia di segreto aziendale e
industriale.

38Le persone giuridiche non restano, peraltro, prive di tutela. Infatti il
diritto alla identità personale di persone giuridiche, enti e associazioni,
con riferimento al tratta mento dei dati personali, viene sancito già
dall’articolo 1, comma 1, il quale garantisce che il trattamento dei dati
personali si svolga nel rispetto dei diritti e delle libertà fondamentali
delle persone fisiche e giuridiche e di ogni altro ente o associazione;
viene ribadito (articolo 1, comma 2, lettera e) che costituisce “dato
personale” qualunque informazione relativa a persona fisica, persona
giuridica, ente o associazione.
Inoltre, a tutela della qualità dei dati in generale, e quindi anche dei dati
relativi alle persone giuridiche, trova applicazione l’articolo 9 che
definisce la quali dei dati oggetto di trattamento.
Secondo la norma citata i dati personali oggetto di trattamento debbono
essere trattati in modo lecito e corretto, raccolti e registrati per scopi
determinati, espliciti e legittimi; esatti e, se necessario, aggiornati;
pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono
raccolti o successivamente trattati; e devono essere conservati in una
forma che consenta l’identificazione dell’interessato per un periodo di
tempo non superiore a quello necessario agli scopi per i quali essi sono
stati raccolti o successivamente trattati.
Infine, l’interessato può sempre esercitare i diritti di cui all’articolo 13,
non menzionati dall’articolo 24, e agire per ottenere, ad esempio, la
cancellazione dei dati trattati in violazione di legge, l’aggiornamento, la
rettifica o l’integrazione dei dati stessi.
L’orientamento sarebbe, quindi, quello di affrontare il problema da
un’angolazione diversa da quella prospettata: non già dal punto di vista
della persona giuridica, i cui dati devono essere pubblici, ma
regolamentando le attività e le prerogative dei settori inserendo i
necessari elementi di tutela.
Inoltre la schematica divisione fra “persone fisiche” e “persone
giuridiche” è insufficiente anche per un’altra ragione: almeno per quanto
riguarda l’attività del settore delle informazioni commerciali;
l’articolazione infatti andrebbe così riformata: 1) persone fisiche; 2)
persone giuridiche; 3) imprese.

39Non si comprende perché nessuno pone l’accento su questa
fondamentale realtà economica: le imprese, che possono essere sia
persone fisiche che persone giuridiche.
L’impresa, i dati delle aziende, siano esse ditte individuali o persone
giuridiche, non possono essere riservati; ma, al contrario, il più possibile
pubblici in quanto si devono conoscere, distinguere le imprese sane da
quelle decotte, le imprese solvibili da quelle non solvibili: questa attività
di trasparenza del mercato, propria delle aziende di informazioni
commerciali, può essere
messa in discussione dal disegno di legge.
Per gli imprenditori, dunque, non si tratta solo di questioni di principio
perché il tutto si traduce in pesanti oneri per le imprese, nonostante sia
prevista una semplificazione per le aziende, le quali potranno effettuare
attraverso le Camere di commercio la notificazione al Garante dei
trattamenti di dati personali.
C’è, inoltre, l’Anasin, l’Associazione tra le imprese di servizi
informatici e telematici, che ritiene ampi i poteri di intervento del
Garante. Anche nella direttiva tali poteri possono consistere pure nel
blocco del trattamento ritenuto abusivo o “pericoloso” per la
riservatezza.
La direttiva, però, prevede che contro le decisioni del Garante debba
essere sempre possibile il ricorso giurisdizionale mentre la proposta
italiana affianca alla possibilità di un blocco immediatamente esecutivo
anche la sua non impugnabilità, in determinati casi, per un periodo che
può arrivare fino a 20 giorni; (questo almeno) secondo una temuta
interpretazione restrittiva dell’articolo 29 del disegno di legge.
Nella premessa dell’articolo 33 si evidenzia che la tutela della privacy
informatica è un’esigenza che non nasce solo nel rapporto tra privati ma
anche rispetto allo Stato, affinché la comprensibile deroga di cui godono
una serie di istituzioni per acquisire e trattare informazioni sia temperata
dall’inaccessibilità, dalla riservatezza e dal divieto di impropri usi in rete
capaci di elaborare, per esempio, informazioni di polizia, dati sanitari,
vita privata (“monitorabile” attraverso le tracce lasciate dalle carte di
credito, i telefoni cellulari, i varchi autostradali); in questo senso il
Garante è un’autorità indipendente anche dallo Stato per la tranquillità di
tutti i cittadini.

40Inoltre, il disegno di legge (articolo 33, comma 6) dispone l’obbligo del
segreto per tutti gli addetti all’ufficio del Garante ma questa cautela non
è ritenuta sufficiente nel timore che l’imponente flusso di notifiche al
Garante (se ne stimano 10 milioni, con uno spaventoso impatto iniziale)
contenenti innumerevoli informazioni sulle strategie aziendali e le
attività professionali, possa diventare una tentazione per i servizi segreti
e gli apparati di sicurezza pronti ad infiltrarsi.
Perciò l’Anasin propone il divieto di appartenenza all’ufficio per quanti
“negli ultimi due anni antecedenti alla nomina abbiano prestato attività
al servizio della Polizia di Stato, dei corpi militari dello Stato o dei
servizi di sicurezza civili e militari”48.
Per quanto riguarda i crimini nel cyberspazio c’è da notare che un
problema rilevante che si pone per i giudici e per i giuristi è
rappresentato dal fatto che Internet è un mondo senza frontiere in cui
non esiste un editore responsabile. Inoltre, il cyberspazio è ovunque e da
nessuna parte, ma chi ci naviga è soggetto alle leggi degli Stati che il suo
messaggio attraversa.
Ciò che in uno Stato è consentito può non esserlo in un altro. Se,
dunque, si utilizza, ad esempio, Internet per diffondere materiale erotico
da San Francisco, prendendo ordinazioni via cavo, la diffusione di
materiale vietato ai minori è legale in Stati come New York e la
California ma non nel Tennessee e nello Utah dove si può essere
processati e condannati in contumacia.
Pertanto, per chiunque utilizzi i “private computer bulletin board” o i
servizi commerciali on-line, è desumibile un’inequivocabile
conclusione: la libertà di espressione sulle autostrade dell’informazione
è subordinata al rispetto delle leggi di ogni Stato. E ciò, con Internet, è
praticamente impossibile.
La discussione sul fattore territoriale nell’individuazione del crimine,
inoltre, è sollevata anche dal gioco d’azzardo che su Internet concede
l’accesso a sale scommesse virtuali dove chiunque da casa può
scommettere al black jack o alla roulette utilizzando la tastiera del
proprio computer ed effettuando i pagamenti con la carta di credito.
Negli Stati Uniti, ad esempio, le leggi proibiscono di trasmettere via
cavo tra uno Stato e l’altro e da un Paese straniero agli U.S.A. puntate o

41informazioni sul gioco d’azzardo e in California è addirittura vietato fare
scommesse sul computer anche all’interno dei confini dello Stato. Allora
per un cittadino proprietario di un casinò virtuale, la cui impresa è in un
Paese straniero dove l’attività è consentita, il problema è se vi sia o
meno l’obbligo di rispettare le leggi americane se è negli U.S.A. il suo
mercato di riferimento.
Il problema, dunque, è che su Internet non c’è un luogo fisico o
geografico in cui si consuma il reato e che spesso si può porre in
discussione anche l’esistenza stessa di un reato. È la stessa definizione di
“crimine cibernetico” che deve essere chiarita49 nonché la valutazione
di Internet, al pari del telefono, come mezzo di comunicazione e non
come fine.
Il quadro di riferimento legislativo, dunque, può risultare facilmente
superato dai tempi. Negli Stati Uniti, ad esempio, la Corte Suprema ha
stabilito che ogni Stato può decidere liberamente cosa è o meno
consentito su particolari tematiche, ma i giudici non potevano
considerare che con l’avvento del computer e dei network le tradizionali
barriere geografiche sarebbero venute a cadere.
Gran parte delle leggi esistenti contengono, infatti, elementi geografici o
fisici: per essere sanzionato, un crimine deve avvenire nella
giurisdizione della legge, in un mezzo di trasporto, in una casa o in un
luogo pubblico. Tuttavia, malgrado esistano diverse proposte di legge
che puntano a regolamentare le comunicazioni via computer, l’ora di
una normativa comprensiva è ancora molto lontana. Le attuali proposte
al Congresso sono talmente vaghe o liberticide che muoiono ancor prima
di arrivare al dibattito in aula50.
Per cui sovente si parla anche di veri e propri attacchi ad Internet per
limitarne la libertà d’espressione e di comunicazione. Il rischio, infatti, è
quello di voler regolamentare con strumenti vecchi e obsoleti il più
dinamico e innovativo sistema di comunicazione esistente al mondo; è
un rischio per cui sempre più spesso si afferma che l’assenza di ogni
regolamentazione rappresenta la condizione necessaria per mantenere
Internet utile e vitale.
Il tema, dunque, della regolamentazione delle autostrade informatiche
sta diventando terreno di scontro politico, non solo negli USA.

42L’ipotesi di regolamentare direttamente il contenuto delle comunicazioni
su Internet è destinato a fallire, vista la tecnologia di trasmissione, il
volume degli scambi e il numero di utenti e società di servizi.
La soluzione di prevedere una responsabilità oggettiva dei “service
providers” (vale a dire dei nodi che connettono tra loro gli utenti) è
ancora peggiore poiché questi sono “common carriers” che non possono
conoscere e tanto meno sindacare ciò che transita sulla rete. Infine, è da
capire il motivo per cui un reato commesso attraverso Internet dovrebbe
essere diverso o speciale rispetto allo stesso reato compiuto con altri
mezzi di comunicazione. Al di là degli aspetti tecnici o giuridici,
tuttavia, la questione è più generale. Internet è una rete mondiale che
oggi si sviluppa a tassi esponenziali. La sua caratteristica distintiva è il
decentramento.
Internet non è gestita da nessuno, non ha un centro, ma è l’insieme di
tutti i computer esistenti al mondo che comunicano attraverso un
linguaggio informatico comune definito “protocollo Internet”. Le
trasmissioni avvengono sui canali più vari: linee telefoniche normali,
linee dedicate, dorsali ad altissima velocità (backbones).
Oggi Internet è un fenomeno che consta di cinquantamila sottoreti in
novanta Paesi. La funzione più semplice, la posta elettronica, lega
quaranta milioni di utenti in centosessanta Paesi.
Ci troviamo pertanto di fronte a un vasto fenomeno totalmente privo di
regolamentazione, tenuto in vita dai suoi utenti, che sfugge ai monopoli
nazionali delle telecomunicazioni, dove le diverse categorie di soggetti
trovano i capitali e hanno un incentivo comune allo sviluppo del sistema.
Siamo, dunque, di fronte al prototipo dei sistemi di telecomunicazione
del futuro: globali, multimediale, decentrato.
Naturalmente, la crescita di Internet è impetuosa e inevitabilmente
disordinata. Oggi la rete cresce da sola, è fondata sul mercato e non
costa al contribuente.
Numerosi interrogativi emergono, poi, allorché si approfondisce
ulteriormente l’analisi. Posto che il sistema delle telecomunicazioni è
planetario, è necessario affermare che gli individui, le associazioni e le
imprese hanno il diritto di comunicare attraverso di esso in tutto il
mondo? È ovvio che vi saranno molti Paesi che negando la libertà di
comunicare con gli strumenti ordinari escluderanno tale diritto ma quel

43che interessa maggiormente, per rilievo sociale, economico e culturale,
sono i Paesi a regime democratico.
A tal proposito sembrano utili punti di partenza la Dichiarazione
universale dei diritti dell’uomo, il Patto internazionale sui diritti civili e
politici, la Convenzione europea dei diritti dell’uomo e appare evidente
la necessità di una loro rivisitazione sul punto della “libertà di
telecomunicare”.
Si può, inoltre, convenire sull’ipotesi di lavoro che alla “libertà di
telecomunicare” si applicano le stesse limitazioni che sono previste per
altre libertà di pari o superiore rango (limiti posti a tutela di: sicurezza
dello Stato, prevenzione di delitti, salute pubblica, diritti fondamentali
altrui, buon costume)?
È opportuno poi distinguere fra comunicazioni personali (avvengano
esse fra singoli o all’interno di aziende) e comunicazioni commerciali (le
quali sono solo un momento del processo di commercializzazione di
beni e servizi) e attribuire solo alle prime il massimo di libertà? Ed
ancora, chi stabilisce le regole?
Data la planetarietà del sistema delle telecomunicazioni è evidente che
una normativa nazionale non può che essere settoriale (anche se, in
concreto, una certa disciplina negli Stati Uniti inevitabilmente influenza
tutte le comunicazioni che da lì partono o lì per vengono). Esistono, è
vero, organismi internazionali o regionali (si pensi all’Unione
internazionale delle telecomunicazioni o all’Eutelsat) ma la loro
tradizionale e specifica competenza tecnica (che, si badi, è comunque
importantissima) fa dubitare che siano la sede più appropriata a fissare
principi di libertà.
Più appropriata potrebbe essere, purché non si risolva in un
interminabile braccio di ferro, una Conferenza internazionale promossa
dalle organizzazioni competenti (Onu, Consiglio d’Europa,
Organizzazione degli Stati americani, eccetera).
Quale che sia il concreto assetto che si voglia dare al sistema vi sono,
infine, due problemi concreti da risolvere con urgenza:
a) quale legge si applica alle telecomunicazioni personali? Quella del
luogo di partenza o di arrivo del messaggio? Quella del luogo ove
risiede chi lo invia o chi lo riceve? Sicuramente la soluzione ottimale
sarebbe un diritto uniforme, o almeno un sistema di rinvio uniforme, ma

R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e normativi

R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e normativi

Recommended

Recommended

More Related Content

What's hot

What's hot (9)

Similar to R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e normativi

Similar to R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e normativi (20)

More from Raimondo Villano

More from Raimondo Villano (20)

R. Villano - Sicurezza e reati informatici: problemi tecnici, giuridici e normativi