Certamente uno dei luoghi comuni più frequentatidall'odierno dibattito in corso nel nostro paese sul tema deldiritto alla riservatezza è l'osservazione secondo la quale"non c'è privacy senza sicurezza".

Non è un caso se tanto la direttiva comunitarian. 46/95⁽¹⁾ in tema di libera circolazione dei datipersonali, quanto la legge italiana n.675 del 1996⁽²⁾che da quel testo dell'Unione Europea prende le mosse, dedicanoa questo argomento alcuni articoli e molta attenzione.

Nasce quindi, anche per il giurista e piùin generale per chi si occupi del trattamento legittimo di datipersonali, la necessità di confrontarsi con questo elementoche viene così sottratto al suo naturale alveo di competenzatecnica.

Cercheremo quindi di orientarci in questo intricatoginepraio fatto di sigle, acronimi e di termini informatici e,con buona pace degli addetti ai lavori, ci proponiamo di individuarealcune linee guida che possano essere seguite anche da chi faticaa ricordare la differenza che esiste tra un bit ed un byte.

Intendiamo muoverci in punta di piedi, ben sapendoche lo sconfinamento in territori di ricerca altrui provoca spessorisultati imprecisi ed interpretazioni equivoche; d'altro canto,come giuristi, assistiamo spesso a questo tipo di "turismoculturale" nei nostri territori naturali di ricerca da partedi non addetti ai lavori e siamo quindi consapevoli che quandonon si conosce a menadito la reale topografia di un luogo si puòcadere vittime di trabocchetti, insidie e persino di bucce dibanana.

Con queste premesse, osserviamo preliminarmente cheil tema della sicurezza dei sistemi per il trattamento automaticodell'informazione è diventato di rilevante attualità,non solo per gli esperti di informatica, ma anche per tutti gliutenti della crescente varietà di applicazioni rese possibilidai progressi tecnologici.

Solo qualche anno fa , invece, chi si occupava disicurezza veniva visto con diffidenza in quanto portatore di problemied annunciatore di sciagure: da una parte si limitavano pesantementele prestazioni delle macchine per contrastare minacce spesso percepitecome inesistenti o assai improbabili; dall'altra l'utilizzatoredel sistema veniva costretto a ricordare password, compilare chiavio numeri segreti, seguire noiose procedure di gestione, etc. Oggitale epoca sembra superata e l'iniziale diffidenza ha lasciatoil posto alla consapevolezza che le enormi potenzialitàdegli strumenti informatici non potrebbero essere sfruttate appienosenza un approccio serio e sistematico alla soluzione dei problemidi sicurezza.

Volendoci avvicinare al problema con un approcciodefinitorio possiamo osservare che, nell'ambito della gestioneinformatica dei dati, il vocabolo "sicurezza" indicala capacità di salvaguardare riservatezza, integritàe disponibilità dell'informazione (elaborata su computer,memorizzata su supporti di varia natura o trasmessa lungo canalidi comunicazione) contrastando efficacemente ogni minacciasia di tipo accidentale sia di tipo intenzionale.

Più precisamente :

salvaguardare la riservatezza dell'informazionesignifica ridurre a livelli accettabili il rischio che un'entitàpossa, volontariamente o involontariamente, accedere all'informazionestessa senza esserne autorizzata;

salvaguardare l'integrità dell'informazionesignifica ridurre a livelli accettabili il rischio che possanoavvenire cancellazioni o modifiche di informazioni a seguito diinterventi di entità non autorizzate o del verificarsidi fenomeni non controllabili (come il deteriorarsi dei supportidi memorizzazione, la degradazione dei dati trasmessi su canalirumorosi, i guasti degli apparati, i problemi ai sistemi di distribuzionedell'energia, gli incendi, gli allagamenti) e prevedere adeguateprocedure di recupero delle informazioni (ad esempio i piani diback-up);

salvaguardare la disponibilità dell'informazionesignifica ridurre a livelli accettabili il rischio che possa essereimpedito alle entità autorizzate l'accesso alle informazionia seguito di interventi di altre entità non autorizzateo del verificarsi di fenomeni non controllabili del tipo giàvisto al punto precedente.

Il problema della sicurezza informatica si arricchiscedi nuove sfumature quanto più si cerca di precisarne ivari aspetti. Infatti occorre chiedersi che cosa significa salvaguardarela riservatezza, integrità e disponibilità dell'informazionee capire quali minacce devono essere contrastate con opportunecontromisure. Inoltre, in molti casi è ancora piùdifficile capire a quale livello è opportuno ridurre irischi suddetti tenuto conto che in pratica questi non possonomai essere ridotti a zero e che è quasi sempre necessarioaccettare un compromesso tra costi e prestazioni.

Un sistema di trattamento di dati può considerarsisicuro solamente rispetto alla sua capacità di soddisfare,nel contesto in cui opera, una serie di parametri preventivamentestabiliti. Il problema centrale quindi è individuare icriteri di costruzione dell'edificio della sicurezza informatica;a questo proposito ci sembra corretto proporre tre aree di riflessionesu questo tema che devono essere analizzate e discusse:

1) la definizione della "politica della sicurezzadel sistema" cioè delle regole che precisano in qualemodo i dati e le altre risorse sono gestite, protette e distribuiteall'interno del sistema;

2) l'analisi delle possibili minacce che possonoessere apportate al sistema ;

3)l'individuazione delle specifiche funzioni di sicurezzapresenti nel sistema, allo scopo di far rispettare tanto le regolequanto i meccanismi che le realizzano.

Questi tre aspetti dell'indagine consentiranno dicogliere sia la statica che la dinamica del problema della sicurezzainformatica.

2.I criteri di valutazione della sicurezza informatica.

Per inquadrare correttamente il problema della sicurezzainformatica ci si deve chiedere chi sono i soggetti coinvoltinella gestione informatica dei dati personali e quali sono leloro rispettive esigenze: da questo angolo prospettico emergonodue figure fondamentali:

a) l'utilizzatore del sistema (inteso come proprietariodel sistema e dei dati in esso elaborati);

b) il fornitore del sistema (inteso come la personafisica o giuridica responsabile del sistema finale consegnatoall'utilizzatore).

L'utilizzatore dispone, o dovrebbe diporre, di unaspecifica politica di sicurezza o almeno di una serie di obiettivie ha l'esigenza di verificare che un dato sistema che gli vieneofferto sia in grado di soddisfare tale politica o tali obiettivinell'ambiente in cui dovrà operare. Egli ha, inoltre, l'esigenzadi paragonare sistemi diversi per poter decidere quale puòrispondere nel modo migliore alle sue esigenze.

Il fornitore di sistemi deve affrontare una maggiorequantità di bisogni:

a) preliminarmente ha la necessità di produrresistemi versatili e cioè sistemi che offrano le funzionalitànecessarie a soddisfare le politiche di sicurezza degli utilizzatori;

b) quindi, ha l'esigenza di convincere l'utilizzatoredell'adeguatezza delle funzioni fornite dal sistema;

c) infine ha l'esigenza di cautelarsi, da un puntodi vista legale, qualora l'utilizzatore di un sistema subiscadanni che imputa a cattivo funzionamento del sistema dal puntodi vista della sicurezza.

Dall'analisi delle necessità dei due soggettiinteressati emergono essenzialmente due problemi:

a) da un lato si evidenzia il bisogno di tecnicheper il progetto di sistemi sicuri;

b) dall'altro si fa strada l'esigenza di definirecriteri e metodologie per valutare il livello di fiducia che puòessere riposto nella capacità di un sistema informaticodi contrastare efficacemente le minacce a cui è esposto.

E' di tutta evidenza che il processo di valutazionedeve essere preceduto da una fase di preparazione dei criteridi sicurezza del sistema.

Infatti, l'operazione di valutazione sulla sicurezzadi un sistema consiste principalmente:

a) nel verificare che il sistema preveda le funzionidi sicurezza precisate nei criteri astrattamente prefissati;

b) nel fare in modo che i meccanismi che mettonoin pratica i parametri di sicurezza siano efficaci nel contrastarele minacce cui il sistema è esposto, e che le funzionie i meccanismi siano stati realizzati correttamente.

La verifica della correttezza dovrebbe essere intesacome verifica che le funzioni e i meccanismi siano stati realizzatisenza commettere errori e senza l'inserimento volontario, a finifraudolenti, di vulnerabilità nascoste.

E' opportuno precisare che il processo di valutazioneben difficilmente potrà rispondere in modo affermativoo negativo alla domanda: "Il sistema soddisfa le specifichedi sicurezza?" La valutazione, infatti, dovrà in granparte essere condotta mediante tecniche empiriche che possonoportare soltanto ad una stima della probabilità che ilsistema rispetti le specifiche ovvero ad una stima della fiduciache può essere riposta nella capacità del sistemadi far rispettare una politica di sicurezza.

Negli approcci alla valutazione correntemente seguiti,tale fiducia viene ottenuta non solo direttamente attraverso verifichetecniche sul sistema (con rigore crescente al crescere del livellodi fiducia richiesto) ma anche influenzando il processo di sviluppodel sistema stesso. Una volta giunti alla definizione di una raccoltadi criteri, l'operazione di valutazione potrebbe, ad esempio,essere svolta dall'utilizzatore o dal fornitore ma tale approcciosi è dimostrato praticamente inattuabile. La valutazione,infatti, è un'operazione assai complessa che richiede competenzee strumenti estremamente specializzati che di solito il fruitoredi un sistema informatico non possiede; d'altra parte, se quest'operadi controllo fosse svolta dal fornitore essa perderebbe l'indispensabilerequisito di imparzialità. Ciò fa apparire comenecessaria l'istituzione di enti indipendenti specializzati intale attività.

3. Il problema della sicurezza informatica nellasua evoluzione storica.

Per comprendere meglio la reale consistenza dei problemiconnessi alla sicurezza informatica può essere utile analizzarel'evoluzione storica di questo aspetto dell'evoluzione tecnologica.

I primi tentativi ufficiali di definire il concettodi sicurezza e di elaborare i criteri e le tecniche su cui basarela valutazione dei sitemi risalgono all'inizio degli anni ottantaquando il Dipartimento della Difesa degli Stati Uniti creòun organismo che prese il nome di Department of Defense ComputerSecurity Center..

Nel 1983 il Centro pubblicò la versione preliminaredi una raccolta di criteri di valutazione intitolata TrustedComputer Systems Evaluation Criteria (il cui acronimo, TCSEC,viene generalmente accompagnato dalla dizione Orange Bookin relazione al colore della copertina del volume che lo contiene)principalmente orientata alla valutazione dei sistemi operativimultiutente; nel 1985 venne pubblicata la versione definitivadi tale raccolta seguita da una serie di altre pubblicazioni aventilo scopo di facilitarne l'interpretazione e l'applicazione allereti, ai data-base⁽³⁾

Nell'ambito dei Trusted Computer Systems EvaluationCriteria il problema della riservatezza dell'informazioneè visto come primario rispetto a quello dell'integritàe della disponibilità secondo unapproccio adottato tipicamente in campo militare, almeno all'epocadella pubblicazione di tali criteri. L'Orange Book definiscesette classi di sistemi⁽⁴⁾ L'assegnazione di un sistemaad una delle sette classi suddette avviene sulla base:

a) della politica di sicurezza adottata dal sistema(cosiddetta security criteria),

b) della capacità del sistema di tenere tracciadelle attività delle varie entità (cosiddetta accountability),

c) della fiducia che può essere riposta nellivello di sicurezza fornito dal sistema (cosiddetta assurance)e della qualità della documentazione.

Alla fine degli anni Ottanta anche in Europa si cominciòa sentire l'esigenza di sviluppare criteri di valutazione dellasicurezza dei sistemi di trattamento automatico dell'informazione.Ciò portò nel 1989 alla pubblicazione di criterinazionali in Germania⁽⁵⁾ in Gran Bretagna⁽⁶⁾ ein Francia.⁽⁷⁾ A queste iniziative nazionali ne seguìuna congiunta di Francia, Germania, Olanda e Gran Bretagna chemirava all'armonizzazione dei vari criteri nazionali. Il risultatodi questa iniziativa fu una raccolta di criteri denominata ITSEC(che è l'acronimo di Information Technology SecurityEvaluation Criteria) pubblicata nel maggio 1990. La versionedefinitivamente adottata è il risultato di un significativolavoro di revisione internazionale svolto con l'assistenza dellaCommissione delle Comunità Europee. L'attività diricerca su questo tema non si è però fermata e haportato la Commissione delle Comunità Europee ad elaborarenel 1993 un nuovo documento per la definizione di metodologiedi valutazione sulla base dei criteri descritti in ITSEC; taledocumento è stato intitolato Information TechnologySecurity Evaluation Manual (meglio noto attraverso l'acronimoITSEM).

L'approccio evidenziato dai criteri ITSEC al problemadella valutazione della sicurezza dei sistemi di trattamento automaticodell'informazione si discosta da quello dell'Orange Book.Il metodo individuato dalla cultura informatica europea per moltiaspetti è più flessibile ed adattabile alla valutazionedi sistemi con funzionalità non previste al momento dellacreazione dei criteri stessi. Come già accennato, i TCSECclassificano i sistemi secondo una gerarchia nella quale perciascuna classe sono specificati sia requisiti di funzionalitàche di affidabilità; i criteri in ITSEC permettono, invece,la scelta di arbitrarie funzioni di sicurezza e definiscono settelivelli di valutazione dell'affidabilità e che rappresentanouna crescente fiducia nella capacità del sistema di soddisfarele sue specifiche di sicurezza per mezzo delle funzioni suddette.La principale innovazione di questo approccio è costituitadalla netta separazione tra i requisiti di funzionalitàe quelli di affidabilità.

Parallelamente alle iniziative in Europa, anche inCanada e negli Stati Uniti sono state avviate importanti attivitàche hanno portato alla produzione di nuove raccolte di criteridi valutazione.

La prima versione dei criteri canadesi CanadianTrusted Computer Product Evaluation Criteria (CTCPEC) èstata pubblicata nel 1989. Di particolare interesse in questicriteri è la suddivisione in cosiddetti criteri funzionalie in criteri per la valutazione dell'affidabilità del sistema.I criteri funzionali fanno riferimento a quattro aspetti distinti:confidentiality, integrity, availability e accountability.Ognuno di questi aspetti è a sua volta scomposto in uncerto numero di aspetti per i quali vengono fornite descrizionidi funzionalità ben precise ordinate gerarchicamente. Icriteri di affidabilità, invece, fanno riferimento ad ununico aspetto⁽⁸⁾ per il quale sono previsti otto livellidi valutazione. Il livello di valutazione conseguito da un prodottoesprime la fiducia complessiva che può essere riposta nelprodotto stesso ed è riferito complessivamente all'insiemedi tutte le funzionalità di sicurezza offerte dal prodottosotto valutazione e descritte per mezzo dei criteri funzionali.Questo metodo costituisce un sistema molto flessibile che permettedi descrivere le caratteristiche di un sistema. Questa è,probabilmente, la caratteristica più peculiare dei critericanadesi. Questo approccio appare certamente molto rigoroso ma,per il fatto di considerare un ben preciso insieme di caratteristiche,è giudicato da molti troppo rigido e non adatto alla descrizionedi ogni combinazione di funzioni di sicurezza.

Nel 1991 il NIST (National Institute for Standardand Technology) e l'NSA (National Security Agency)hanno avviato un progetto congiunto, denominato Federal CriteriaProject, che ha portato, nel dicembre del 1992, alla definizionedei nuovi criteri federali per la valutazione della sicurezzadei prodotti per il trattamento automatico della informazione.L'approccio scelto è quello di mantenere forme di compatibilitàcon i TCSEC ma basarsi su principi più simili a quellidei criteri ITSEC e CTCPEC. Un concetto centrale nei criteri federaliè quello che secondo la terminologia anglosassone vienedefinito il protection profile. In estrema sintesi essoè una descrizione astratta di requisiti di sicurezza perla programmazione, la realizzazione e l'uso di un prodotto. Èindipendente dallo specifico prodotto ed è costruito combinandorequisiti per le funzioni di sicurezza e requisiti di affidabilitàcon una descrizione delle minacce previste e delle modalitàd'uso del prodotto. I requisiti per le funzioni di sicurezza ei requisiti di affidabilità del sistema sono descrittiin termini di una serie di componenti funzionali e di componentidi assurance per ognuna delle quali è previsto un ordinamentogerarchico secondo un approccio che per quanto riguarda gli aspettifunzionali è analogo a quello adottato nei CTCPEC e chequi, però, viene esteso anche agli aspetti di affidabilità.Le componenti funzionali e quelle di affidabilità propostenei criteri consentono la costruzione di protection profilecorrispondenti a classi TCSEC o ad altre forme di descrizionedelle specifiche di sicurezza di prodotti valutati secondo altricriteri esistenti. Il contenuto di un protection profileè in realtà simile a quello di un security targetcome definito in ITSEC esso deve però risultare, come giàaccennato, indipendente dal prodotto e quindi costituisce unadescrizione di requisiti di sicurezza condotta ad un livello teoricoche non tiene conto del concreto sistema informatico.

A completamento di questa presentazione sommariadei criteri di sicurezza va citato lo sforzo di uniformazionecondotto dal gruppo di lavoro denominato WG3, avviato nel 1990con l'obiettivo di giungere alla definizione di criteri internazionalistandard. Dal 1993 peraltro è attivo anche un groppo distudio denominato CCEB (Common Criteria Editorial Board),nato per iniziativa della Comunità Europea e costituitoda esperti europei, statunitensi e canadesi. L'obiettivo del CCEBè quello di armonizzare i criteri europei ITSEC, i nuovicriteri federali statunitensi e i criteri canadesi CTCPEC attraversola definizione di una nuova raccolta di criteri denominata CommonCriteria (CC). Ciò consentirà il riconoscimentoreciproco, a livello internazionale, dei risultati delle valutazioni,ottenendo pertanto una notevole facilitazione alla distribuzionedi prodotti valutati, grazie all'eliminazione dei costi che altrimentidovrebbero essere sostenuti per effettuare le valutazioni necessarienelle diverse nazioni. Inoltre i Common Criteria sarannocompatibili con i criteri di valutazione suddetti, consentendoai produttori di salvaguardare eventuali investimenti giàeffettuati per la valutazione della sicurezza dei prodotti.

4. La valutazionedella sicurezza informatica nell'UnioneEuropea

I criteri ITSEC e la corrispondente metodologia diapplicazione ITSEM, costituiscono attualmente il punto di riferimentoper la valutazione della sicurezza informatica nei Paesi europei.

Nel processo di valutazione un sistema o prodottoinformatico viene valutato, sulla base dei criteri, da un laboratorioaccreditato⁽⁹⁾. Il soggetto che richiede la valutazioneviene denominata sponsor e può essere diverso dachi ha realizzato il sistema o il prodotto in questione. Nel processodi certificazione un'apposita autorità⁽¹⁰⁾ attestache il risultato di una valutazione è valido e che i criterisono stati applicati correttamente in accordo ai principi di imparzialità,obiettività, ripetibilità e riproducibilitàin laboratori diversi. Nel processo di valutazione viene, poi,confermato che un sistema informatico è idoneo all'usoin un particolare ambiente. Durante l'attività operativa,infine, un sistema certificato viene utilizzato in accordo a procedureapprovate.

Affinché i criteri possano trovare praticaapplicazione è necessario definire dei piani nazionali⁽¹¹⁾che specifichino come le operazioni di valutazione di sistemie prodotti, certificazione del risultato della valutazione e accreditazionedei laboratori dovranno essere organizzate, precisando ruoli,procedure e responsabilità.

I paesi europei che al momento possono vantare maggioreesperienza nell'applicazione dei criteri ITSEC sono la Germaniae la Gran Bretagna. In Germania, il piano nazionale prevede cheil ruolo di certificatore e di accreditatore sia svolto da un'unicaentità: il Bundesamt für Sicherheit in der Informationstechnik(BSI). Il BSI ha già accreditato oltre 10 laboratori divalutazione servendosi dei quali offre tre servizi differenti:certificazione di sistemi o prodotti esistenti; valutazione parallelaallo sviluppo con successiva certificazione; rivalutazione e certificazionedopo l'ottimizzazione di un sistema o prodotto già valutato.In Gran Bretagna, il piano nazionale, denominato UK IT SecurityEvaluation and Certification Scheme, prevede che le valutazionivengano condotte da laboratori accreditati denominati CommercialLicensed Evaluation Facilities (CLEF). Il ruolo di accreditatoreè affidato al National Measurement Accreditation Service(NAMAS) mentre l'autorità di certificazione è congiuntamenteaffidata a personale del Communication-Electronics SecurityGroup (CESG) e del Department of Trade and Industry(DTI). In Italia non esistono laboratori di valutazione, tuttavial'organismo competente⁽¹²⁾ all'accreditazione dei laboratoridi verifica ha istituito già da alcuni anni un gruppo chestudia i problemi connessi con l'applicazione dei criteri ITSEC.

5. Conclusioni

L'interesse verso i criteri e le metodologie di valutazionedella sicurezza, nato inizialmente in ambito militare e governativo,si sta diffondendo anche al di fuori degli ambienti in cui avevaavuto origine ed è opinione diffusa che nei prossimi annisi assisterà a un incremento sostanziale della richiestadi prodotti e sistemi valutati secondo una raccolta di criteriinternazionalmente accettati. L'adozione di sistemi informaticiopportunamente certificati consentirebbe in primo luogo di riporremaggiore fiducia nella loro sicurezza e, come sembra emergeredai recenti sviluppi della legislazione italiana per la repressionedella criminalità informatica⁽¹³⁾ e per la tuteladella riservatezza, potrebbe anche rendere più facilmenteperseguibili gli autori di eventuali frodi e costituire quindiun ulteriore elemento di dissuasione. La decisione da parte diun'azienda di sottoporre un proprio prodotto di sicurezza a valutazionepuò derivare o da specifici requisiti di un particolareprogetto o dall'esigenza di creare un'immagine prestigiosa dell'aziendastessa inserendosi nel mercato della sicurezza attraverso prodottiaffidabili e sicuri. L'azienda che offre prodotti valutati sipresenta ai clienti con maggiore credibilità e puòquindi aspettarsi un incremento delle vendite. L'utente di sistemio prodotti informatici, d'altra parte, vede nella certificazionedella sicurezza una prova originata da una terza parte indipendenteche conferma le caratteristiche di sicurezza dichiarate dal fornitore.Inoltre, il certificato costituisce un utile strumento per ilconfronto tra i diversi prodotti presenti sul mercato.

In ambito europeo, i criteri ITSEC costituisconouna prima risposta alle esigenze di fornitori e utenti di sistemiinformatici. Tuttavia, come spesso succede, i tentativi di armonizzazionee di unificazione incontrano resistenze ed opposizioni. Cosìperplessità nei confronti del corrente approccio alla valutazionevengono spesso espresse, in particolare nell'ambito commerciale.Alla base di tali perplessità è la constatazioneche la complessità dell'operazione di valutazione in accordoai criteri ITSEC (o agli altri criteri esistenti) è moltoelevata. Il costo di tale azione potrebbe dunque riflettersi inmodo non trascurabile sul costo del prodotto e i tempi necessaripotrebbero rendere obsoleti i prodotti al momento della loro immissionesul mercato. Inoltre, gli operatori commerciali lamentano la mancanzadi un chiaro meccanismo che semplifichi la rivalutazione di unprodotto informatico dopo i suoi eventuali aggiornamenti.

Infine, una critica spesso avanzata nei confrontidegli approcci attuali alla valutazione della sicurezza èquella di non tenere conto di discipline parallele come ad esempioquelle che si occupano di verifiche di conformità rispettoa modelli già certificati o di controllo della qualità.

In questo quadro complesso e tecnicamente molto elaboratosi inserisce ora la normativa italiana sulla tutela dei dati personali.L'esigenza di garantire la sicurezza dei sitemi di trattamentodelle informazioni possedute è pienamente comprensibilee gli strumenti normativi che il Garante emanerà progressivamente,dovranno necessariamente essere in stretta sintonia con i progressitecnologici. In questo caso, più che in altri, il dirittosi intinge nella tecnica e deduce dall'evozione scientifica icontenuti della propria azione. E' fin d'ora chiaro che gli sforzidi uniformazione compiuti realizzando le piattaforme ITSEC e ITSEM,comuni ai paesi dell'Unione Europea, saranno i punti dai qualiil Legislatore italiano dovrà muoversi per affrontare conpiena consapevolezza il problema della sicurezza nel trattamentodei dati. Anche per questo motivo dedicheremo a tali documentiun ulteriore approfondimento.

Milano, novembre 1997

2) La legge n. 675 del 31 dicembre 1996 si occupa del problemadella sicurezza dei dati in particolare all'articolo 15, prevedendoche

1. I dati personali oggetto di trattamento devono essere custoditi,anche in relazione alle conoscenze acquisite in base al progressotecnico, alla natura dei dati e alle specifiche caratteristichedel trattamento, in modo da ridurre al minimo, mediante l'adozionedi idonee e preventive misure di sicurezza, i rischi di distruzioneo perdita, anche accidentale, dei dati stessi, di accesso nonautorizzato o di trattamento non consentito o non conforme allefinalità della raccolta.

2. Le misure minime di sicurezza da adottare in via preventivasono individuate con regolamento emanato con decreto del Presidentedella Repubblica, ai sensi dell'articolo 17, comma 1, letteraa), della legge 23 agosto 1988, n. 400, entro centottanta giornidalla data di entrata in vigore della presente legge, su propostadel Ministro di grazia e giustizia sentiti l'Autorità perl'informatica nella pubblica amministrazione e il Garante, diconcerto con i Ministri dell'industria, del commercio e dell'artigianato,dell'interno, del tesoro e delle poste e delle telecomunicazioni.

3. Le misure di sicurezza di cui al comma 2 sono adeguate,entro due anni dalla data di entrata in vigore della presentelegge e successivamente con cadenza almeno biennale, con successiviregolamenti emanati con le modalità di cui al medesimocomma 2, in relazione all'evoluzione tecnica del settore e all'esperienzamaturata.

4. Le misure di sicurezza relative ai dati trattati dagli organismidi cui all'articolo 4, comma 1, lettera b), sono stabilite dall'altofunzionario dello Stato al quale sono attribuite, con decretodel Presidente del Consiglio dei ministri, le funzioni di Autoritànazionale per la sicurezza.

3) Trusted Computer Systems Evaluation Criteria, Departmentof Defense, United States of America, dicembre 1985.TrustedDatabase Management Interpretation of the Trusted Computer SystemsEvaluation Criteria, US National Computer Security Center,1990 ,Trusted Network Interpretation Environment Guideline,US National Computer Security Center, 1990.

4) Tali classi sono denominate, in ordine crescente di sicurezzaD, C1, C2, B1, B2, B3, A1

5) Sono i Criteria for the Evaluation of Trustworthiness ofInformation Technology.

6) Sono gli UK System Security Confidence Levels.

7) Denominati Catalogue de Critères Desintésà évaluer le Degré de Confiance des Systèmesd'Information.

8) Il termine tecnico utilizzato per definire il criterio è" trust".

9) IT Security Evaluation Facility o ITSEF, nella terminologiaITSEM.

10) L'autorità è denominata certification bodynella terminologia ITSEM.

11) National scheme secondo la terminologiadi ITSEM

12) Denominato CIMECO

13) Si fa riferimento alla legge 23 dicembre 1993 n.547, "Modificazionied integrazioni alle norme del codice penale e del codice di procedurapenale in tema di criminalità informatica", pubblicatanella Gazzetta Ufficiale della Repubblica Italiana, serie generalen.305 del 30 dicembre 1993