Il 4 novembre 2016 l’ANDIG (Associazione Docenti Informatica Giuridica e diritto dell’informatica) costituita nel 1988, ha tenuto il suo convegno nazionale su “La sicurezza informatica: aspetti giuridici, organizzativi, economici, tecnici” (Università di Bologna, CIRSFID). Il tema dell’incontro è di quelli basilari e per questo il convegno stesso ha ottenuto un particolare successo sia per il profilo dei relatori intervenuti sia per gli argomenti trattati.
Gli Atti saranno pubblicati entro dicembre su “Rivista elettronica di diritto, economia, management” (www.clioedu.it). Il convegno sulla sicurezza informatica chiude un ciclo importante che ANDIG ha avviato nel 2012 con un nuovo statuto aperto non solo ai docenti dell’informatica giuridica e del diritto dell’informatica ma anche ad esperti e dirigenti privati e pubblici che si occupano in particolare delle tecnologie dell’informazione e della comunicazione sotto il profilo giuridico e delle applicazioni delle stesse al diritto e all’amministrazione pubblica (www.andig.it). Il primo convegno (2013) dedicato alla Società dell’informazione; il secondo (2014) ha trattato delle comunicazioni elettroniche; il terzo si è occupato dei Mercati in rete (2015).
La sicurezza informatica “paradigma” della vita quotidiana digitale
La sicurezza informatica è quindi da considerare un paradigma della società dell’informazione e della vita quotidiana digitale. La sicurezza informatica considerata non solo come elemento tecnico che fa parte integrante di sistemi informativi automatizzati o come “misura” necessaria per il trattamento dei dati personali ma considerata nel suo insieme integrato di “valore” socio-economico, tecnico e giuridico.
La sicurezza come elemento costitutivo della società dell’informazione
La sicurezza informatica come elemento costitutivo, essenziale, necessario per garantire il valore giuridico dei dati e documenti digitali, il valore economico del patrimonio informativo digitale di una azienda o di una PA, il valore sociale ed istituzionale della comunicazione pubblica attraverso i siti delle PA, il valore delle transazioni economiche e dei servizi amministrativi in rete, la funzionalità, l’affidabilità, la sostenibilità della vita quotidiana digitale (l’esistenza di cittadini ed imprese basata e “scandita” su dati, documenti, transazioni, reti di tipo elettronico).
Oggi noi viviamo immersi nella Società dell’Informazione con una quotidianità a tecnologia avanzata senza la quale non possiamo più operare, senza la quale non possiamo quasi più vivere. La sicurezza informatica aiuta la crescita economica dei singoli Paesi e a livello globale. Supporta processi produttivi, processi finanziari, trattamento dei dati personali, comunicazioni elettroniche, banche dati, social network, internet degli oggetti e di sistemi intelligenti. La sicurezza informatica riguarda quindi dati, tecnologie, reti, processi, relazioni umane (interpersonali, di mercato, sociali, istituzionali).
Senza sicurezza informatica non vi può essere una società dell’informazione, non si possono sviluppare le comunicazioni elettroniche, non possono nascere ed operare i “mercati” della società dell’informazione. Noi oggi siamo un sistema globale (con tutti i vantaggi ed i rischi) solo se siamo sicuri: sicuri nella nostra identità digitale, nella nostra privacy “digitale”, nell’accesso, nelle nostre transazioni, nella conservazione dei dati/documenti, nelle fonti che consultiamo in rete, nei processi produttivi, aziendali ed amministrativi di tipo digitale.
La sicurezza informatica deve essere progettata e realizzata su misura
La sicurezza informatica è composta di processi, tecnologie, metodologie, standard, decisioni di tipo organizzativo oltre che tecnico, ed interessa cittadini, utenti, clienti, persone fisiche e persone giuridiche.
La sicurezza informatica non si trova in natura ma deve essere progettata in ragione dei sistemi organizzativi di riferimento.
Alla sicurezza informatica intesa come valore, come elemento costitutivo della società dell’informazione si giunge attraverso la formazione sulla stessa sicurezza informatica (sicurezza sui dati, sulle tecnologie, sulle reti, sulle transazioni, sui mercati, sui servizi amministrativi pubblici, ecc.), con un approccio sistemico, permanente, globale, integrato.
La sicurezza informatica ha un suo costo sociale, organizzativo, tecnico.
La formazione di una cultura diffusa sulla sicurezza informatica è l’operazione più rilevante e concreta per mettere in sicurezza dati, tecnologie, reti, persone. La cultura in materia si diffonde in Italia con la legge 675/96 e con il dlgs 196/2003 in materia di protezione dei dati personali (più per adempimento che per convinzione).
La sicurezza informatica nell’Agenda digitale italiana
L’Agenda digitale, lanciata nel maggio 2010, contiene 101 azioni, raggruppate intorno a sette aree prioritarie intese a promuovere le condizioni per creare crescita e occupazione in Europa:
- Creare un nuovo e stabile quadro normativo per quanto riguarda la banda larga
- Nuove infrastrutture per i servizi pubblici digitali attraverso prestiti per collegare l’Europa
- Avviare una grande coalizione per le competenze digitali e per l’occupazione
- Proporre una strategia per la sicurezza digitale dell’UE
- Aggiornare il framework normativo dell’UE sul copyright
- Accelerare il cloud computing attraverso il potere d’acquisto del settore pubblico
- Lancio di una nuova strategia industriale sull’elettronica
ENISA: Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione
L’ENISA (istituita nel 2004) contribuisce a elaborare la politica e la normativa dell’UE in materia di sicurezza delle reti e dell’informazione, anche nella logica che la sicurezza informatica aiuta la crescita economica nel mercato interno europeo. La Direttiva UE n. 2016/1148 su misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione, proposta il 2013 ed adottata il 6 luglio 2016, dimostra che la normativa europea sulla sicurezza è abbastanza recente.
“Le reti e i sistemi e servizi informativi svolgono un ruolo vitale nella società. È essenziale che essi siano affidabili e sicuri per le attività economiche e sociali e in particolare ai fini del funzionamento del mercato interno”. (primo considerando)
Obiettivi della Direttiva:
- a) fa obbligo a tutti gli Stati membri di adottare una strategia nazionale in materia di sicurezza della rete e dei sistemi informativi;
- b) istituisce un gruppo di cooperazione al fine di sostenere e agevolare la cooperazione strategica e lo scambio di informazioni tra Stati membri e di sviluppare la fiducia tra di essi;
- c) crea una rete di gruppi di intervento per la sicurezza informatica in caso di incidente (“rete CSIRT”) per contribuire allo sviluppo della fiducia tra Stati membri e promuovere una cooperazione operativa rapida ed efficace;
- d) stabilisce obblighi di sicurezza e di notifica per gli operatori di servizi essenziali e per i fornitori di servizi digitali;
- e) fa obbligo agli Stati membri di designare autorità nazionali competenti, punti di contatto unici e CSIRT con compiti connessi alla sicurezza della rete e dei sistemi informativi.
Il documento di Governo “Strategia per la crescita digitale 2014-2020” (giugno2016)
Il tema della sicurezza è ripreso in diversi punti del documento ma in particolare nel capitolo dedicato a “Digital security per la P.A.” Il Governo Italiano attraverso l’Agenzia per l’Italia Digitale definisce gli Standard e le linee guida di sicurezza per tutta la pubblica amministrazione. L’aderenza agli standard di servizio e di processo sarà obbligatorio per tutte le Amministrazioni Pubbliche.
