La sicurezza dei dati informatici e delle reti che li veicolano è oggi il maggiore problema da risolvere per garantire un corretto sviluppo delle nuove tecnologie. L'information security[1], definibile come la scienza che si "occupa-preoccupa" di studiare soluzioni idonee a fornire lo standard più alto di sicurezza tecnicamente raggiungibile dei sistemi informatici, si deve far carico di rappresentare in una società come quella odierna ad alto grado di informatizzazione il punto di frizione e tenuta tra la società e i crimini perpetuati attraverso o sulle nuove tecnologie informatiche e telematiche.

Per tale motivo appare sempre più necessario diffondere nell'utilizzo di queste ultime una cultura della sicurezza già presente nella vita quotidiana, in cui nessuno:

1. si avventurerebbe da solo, senza difesa, di notte in un vicolo malfamato di una sperduta e sconosciuta città;

2. darebbe le proprie informazioni personali, più o meno sensibili, ad un soggetto sconosciuto che le chiedesse per strada;

3. concederebbe, in genere, la propria fiducia se non dopo aver attestato la solidità del rapporto con l'istituzione o la persona che la richiede.

Il primo problema da risolvere è quello di individuare, anche se in modo generale ed astratto, il bene oggetto della politica di sicurezza. Bisogna, in altre parole, andare al cuore del problema potando ed eliminando dalla ricerca tutto quello che si rivela solo come riflesso e conseguenza di quest'ultimo, anche se importante e fondamentale al punto da essere riconosciuto, nella sua consistenza individuale e sostanziale, come un bene di fondamentale importanza per l'esistenza stessa della società.

Il problema della privacy informatica e quello della sicurezza dei dati personali non sono altro che esternazioni e specificazioni tematiche di quello che in realtà è il tema della sicurezza dell'elemento primo e base: il "dato informatico". Per esso, ai fini di questo scritto, convenzionalmente si deve intendere quell'insieme di bit che avendo la possibilità di essere conservato, manipolato o semplicemente veicolato tramite un sistema informatico o telematico necessita di un circuito di sicurezza che garantisca una complessa serie di parametri.

Innanzitutto, deve essere garantita la disponibilità e l'integrità dei dati a chi ne ha diritto, attraverso una serie di politiche atte a facilitare l'accesso e il reperimento dei dati affiancate da accorgimenti tesi a ridurre il rischio di modifiche di questi ultimi non volute dal soggetto agente o semplicemente a lui non permesse.

La disponibilità deve entrare nel concetto di sicurezza costituendone il limite oltre il quale le ristrettezze e i limiti imposti per garantire l'integrità del dato non devono o possono andare: a che serve tutelare e difendere, impedendo o rendendo difficoltosa la disponibilità da parte degli aventi diritto, un bene che è tale solo in virtù del suo utilizzo e della rapidità con cui è concretamente fruibile?

Il rapporto tra sicurezza e disponibilità del dato informatico è un rapporto mezzo/fine: il dato è rilevante perché la sua disponibilità è "sicura".

Per quanto riguarda l'integrità del dato informatico il sistema sicuro deve garantire che esso possa essere sempre disponibile in modo integro. Per garantire tale parametro il sistema deve munirsi non solo di meccanismi tesi a proteggere il dato dall'esterno e dai soggetti non autorizzati a disporne ma anche e, principalmente, da un nemico più sfuggente e di cui è difficile prevederne in anticipo le mosse e i bersagli: lo stesso utente legittimato (robustezza del sistema). La tutela contro le cancellazioni o le modifiche che per caso o inesperienza possono essere causate da un utente non accorto o inesperto spesso producono, anche nel quotidiano rapporto con le nuove tecnologie, danni gravi e costosi.

Tra i parametri rientranti e costituenti la sicurezza informatica, sempre più sintesi di caratteristiche e proprietà eterogenee piuttosto che entità monotematica, rientrano, inoltre, l'autenticazione e la riservatezza.

Autentico è ciò che: "risponde a verità... la cui conformità è attestata da un notaio o da altro pubblico ufficiale a ciò autorizzato e che fa fede come l'originale; vero, genuino, schietto...; attribuito in modo irrefutabile a un autore, non imitato né falsificato..."[2].

Nell'ambito della sicurezza informatica, autentico è generalmente utilizzato nell'accezione attribuente la paternità di un dato ad un soggetto ben determinato. Solo attraverso la certezza che la richiesta, o la risposta, provenga dal soggetto avente diritto, od obbligo all'azione sollecitata, si possono ipotizzare rapporti qualificabili come sicuri.

I meccanismi di autenticazione rivestono, quindi, un ruolo fondamentale per la creazione stessa della sovrastruttura idonea a supportare una società digitalmente relazionata, visto che gli stessi meccanismi appaiono necessari sia per l'accesso al dato che per la sua veicolazione.

Specificando ulteriormente, per quanto riguarda l'accesso più o meno limitato è necessario che il sistema possa identificare e riconoscere l'utente al fine di poter mettere il soggetto autorizzato nelle condizioni di poter esercitare il proprio diritto alla disponibilità del dato. Tra i mezzi più diffusi si possono rinvenire quelli che si basano sulle password, sui sistemi biometrici e sulle smart card.

Altra sfaccettatura da inserire all'interno del più ampio concetto "sicurezza informatica" è quello relativo alla riservatezza del dato: un sistema non può definirsi sicuro se consente a chi non ha diritto d'accesso di accedere ai dati in esso custoditi, in modo assoluto o in misura più ampia e diversa da quella autorizzata.

Se appare facile identificare i meccanismi e i limiti da porre per distinguere coloro che possono da coloro che non possono accedere ad un dato, diviene difficile identificare e porre dei limiti a chi può accedere allo stesso in misura variabile temporalmente e quantitativamente.

Inoltre, si può accennare ad un'altra caratteristica che acquista sempre maggiore rilevanza nel contesto della società nata on-line: la verificabilità.

L'attributo della verificabilità è dato dal fatto che il dato informatico possa, e debba, essere suscettibile di verifica, ossia di un' "operazione di controllo per mezzo della quale si procede all'accertamento di determinati fatti o risultati nel loro valore e nelle loro modalità"[3].

Il problema in tema di sicurezza è relativo non solo al momento della paternità dell'atto, ma anche alla non modificabilità o alterabilità silente del dato in un tempo successivo alla creazione dello stesso.

A differenza di un oggetto materiale, ad esempio un documento scritto, in cui è visibile una correzione o alterazione successiva all'ultimazione dello stesso, nell'oggetto digitale ciò che appare a prima vista è la sua estrinsecazione informatica in cui le modifiche ed alterazioni precedenti non sono facilmente rintracciabili da un soggetto non esperto e senza le opportune dotazioni software e hardware.

Un sistema può essere definito sicuro quando, mantenendone traccia, riesca a fornire un quadro verificabile delle operazioni compiute sui dati da esso custoditi e/o veicolati. Livelli maggiori di sicurezza corrispondono, ad esempio, al fatto di facilitare attraverso tracce registrate l'evidenziazione del legame causale fatto/autore.

Un ulteriore e necessario requisito è rintracciabile da WILLIAM STALLINGS nella c.d. nonrepudiation[4].

Tale requisito, in termini generali, non dovrebbe permettere il rifiuto e/o la ripudiabilità di un dato trasmesso sia al mittente sia al destinatario. Da ciò deriva: quando il dato è stato trasmesso, il ricevente può provare che lo stesso sia stato inviato dal mittente autorizzato ad inviarlo e, in modo speculare, quando il dato è ricevuto, il mittente può provare che lo stesso sia stato ricevuto dal ricevente autorizzato.

In conclusione, nella progettazione e nella valutazione di un sistema informatico e telematico, per i motivi illustrati, deve essere tenuto in forte considerazione il problema della sicurezza in tutte le sue diverse sfaccettature. Vi è l'obbligo, infatti, di creare, aggiornare e valutare, alla luce delle inesorabili e continue innovazioni tecnologiche, i diversi meccanismi idonei a proteggere i dati senza impedirne o limitarne la fruibilità da parte di chi ha un diritto, più o meno ampio, d'accesso agli stessi.

NOTE

[1]L'intero scritto trae spunto dalla lettura di un brillante articolo di cui si consiglia la lettura: PERRI, Un'introduzione all'information security, in Ciberspazio e Diritto, 2001, vol. 2, n. 3-4, 337.

[2] DEVOTO-OLI, Il dizionario della lingua italiana, UTET.

[3] DEVOTO- OLI, voce Verificabilità, op. cit..

[4] WILLIAM STALLINGS, Cryptography and network security, 1999, 5.

 

Per approfondimento si rinvia a : www.dirittoesicurezza.it