Navigare su Internet non e’ sempre un piacere per i dirigenti pubblici
Condannato al pagamento della somma di cinquemila euro per aver utilizzato Internet tramite la propria postazione informatica navigando, illegittimamente, su siti di carattere non istituzionale. Così la Corte dei Conti, Sezione Giurisdizionale per la Regione Piemonte, ha condannato con sentenza n. 1856/03 un dirigente del Comune di Arona al pagamento in favore dell’Erario: in tal modo il dirigente ha cagionato una danno patrimoniale all’Amministrazione, consistente nel mancato svolgimento della prestazione lavorativa durante le ore di connessione contestate.
La sentenza in argomento assume una notevole rilevanza legata principalmente all’attualita’ del fatto contestato al dirigente del Comune di Arona.
L’era tecnologica che ci contraddistingue e’ caratterizzata ormai dalla presenza di collegamenti telematici in innumerevoli uffici pubblici con la realizzazione di reti interne (intranet) ed esterne. Il collegamento ad Internet e’ molto diffuso, ma non bisogna dimenticare che l’uso di un computer collegato ad una rete esterna deve essere molto accorto e responsabile per diversi motivi, non solo legati all’effettivo rendimento della prestazione lavorativa come vedremo in seguito.
Nel caso di specie la Corte dei Conti e’ chiamata principalmente a valutare l’operato del dirigente avuto riferimento al rapporto di lavoro che lega lo stesso all’ente civico e naturalmente il giudizio non puo’ essere positivo. Per quanto un dirigente non sia tenuto a rispettare l’orario di lavoro dei dipendenti comunali, e’ indubbio che collegarsi a siti Internet non istituzionali per una media di piu’ di 2 ore al giorno e’ a dir poco preoccupante. Ma la decisione della Corte dei Conti presenta per la verita’ diversi punti dubbi che del resto ricorrono sempre quando si fa riferimenti ad indagini di natura informatica.
Al fine di contestare al dirigente l’utilizzo illecito della postazione informatica, l’organo giudiziario si e’ avvalso ovviamente della consulenza di un tecnico che ha analizzato i file log del sistema ed e’ arrivato alla conclusione addebitata al dirigente. Ma nella sentenza non si chiarisce, innanzitutto cosa si intende per collegamenti a siti non istituzionali: Internet e’ un mondo molto vasto per cui oltre a siti di carattere semplicemente ricreativo, esistono altri siti che per quanto non istituzionali sono estremamente interessanti dal punto di vista giuridico, amministrativo, culturale e non credo che il collegamento a tali siti possa essere a priori considerato illegittimo.
Ben altra cosa e’ poi il collegamento a siti pornografici o simili con relativi dialer, ma sicuramente cio’ non e’ accaduto nel caso di specie, altrimenti le contestazioni sarebbero state ben altre.
Inoltre non bisogna dimenticare che qualora risulti installata in un ufficio pubblico una rete interna (LAN) che consente il collegamento ad Internet, e’ possibile per l’amministratore di sistema e quindi per altri responsabili del settore collegarsi da qualsiasi computer utilizzando la password dell’amministratore e cio’ ovviamente potrebbe trarre in inganno in merito all’effettiva utilizzazione di un determinato computer dal parte del suo responsabile.
La sentenza, bisogna riconoscere, che non approfondisce molto l’aspetto tecnico e se cio’ puo’ essere giustificato considerando la probabile incompetenza informatica dei giudici non lo e’ in considerazione del tipo di accusa che viene mossa al dirigente che si fonda essenzialmente proprio su accertamenti di natura informatica.
In merito, poi alle contestazioni della difesa bisogna riconoscere che un qualche fondamento potrebbe presentare solo l’asserita violazione della privacy anche se in un ambiente di lavoro, come accade gia’, nel caso dell’utilizzo della posta elettronica, la tutela della privacy non puo’ essere piena ed incondizionata (art. 112 del codice per la protezione dei dati personali che tra i trattamenti effettuati per realizzare finalita’ di rilevante interesse pubblico ricomprende anche la valutazione della qualita’ dei servizi resi e dei risultati conseguiti). Non bisogna comunque dimenticare che esistono programmi talmente invasivi che una volta installati sono in grado di monitorare l’intera attivita’ del dipendente che utilizza una determinata postazione informatica configurando in questo modo un vero e proprio controllo a distanza (ed il software menzionato nella sentenza non convince del tutto almeno nella descrizione fornita dalla Corte).
Tutt’altro rilievo assume la seconda eccezione della difesa che ipotizza la colpevolezza di altri dipendenti e non del dirigente. In merito a tale assunto sono senz’altro condivisibili le considerazioni della Corte dei Conti che non puo’ prescindere da quella regola elementare in tema di sicurezza informatica che consiste nell’assegnazione di un determinato computer ad un solo responsabile il quale risponde in toto di quel computer anche se utilizzato da altri.
In effetti l’ipotesi considerata dalla difesa e’ molto frequente, specie quando i computer assegnati ad un ufficio pubblico e collegati ad Internet sono in numero esiguo, ma purtroppo i responsabili della postazione informatica non sempre sono coscienti del rischio cui vanno incontro quando un elaboratore a loro assegnato venga utilizzato da altri. Nella pubblica amministrazione c’e’ ancora una scarsa coscienza in merito alla sicurezza informatica con ovvie ripercussioni negative.
Sicurezza nell’informatica equivale ad attuare tutte le misure e tutte le tecniche necessarie per proteggere l’hardware, il software ed i dati dagli accessi non autorizzati (intenzionali o meno), per garantirne la riservatezza, nonche’ eventuali usi illeciti, dalla divulgazione, modifica e distruzione.
Si include, quindi, la sicurezza del cuore del sistema informativo, cioe’ il centro elettronico dell’elaboratore stesso, dei programmi, dei dati e degli archivi.
Questi problemi di sicurezza sono stati presenti sin dall’inizio della storia dell’informatica, ma hanno assunto dimensione e complessita’ crescenti in relazione alla diffusione e agli sviluppi tecnici piu’ recenti dell’elaborazione dati; in particolare per quanto riguarda i data base, la trasmissione dati e la elaborazione a distanza (informatica distribuita).
Riguardo l’aspetto “sicurezza†connesso alla rete telematica essa puo’ essere considerata una disciplina mediante la quale ogni organizzazione che possiede un insieme di beni, cerca di proteggerne il valore adottando misure che contrastino il verificarsi di eventi accidentali o intenzionali che possano produrre un danneggiamento parziale o totale dei beni stessi o una violazione dei diritti ad essi associati. Un bene puo’ essere un’informazione, un servizio, una risorsa hardware o software e puo’ avere diversi modi possibili di interazione con un soggetto (persona o processo). Se, ad esempio, il bene e’ un’informazione, ha senso considerare la lettura e la scrittura (intesa anche come modifica e cancellazione); se invece il bene e’ un servizio, l’interazione consiste nella fruizione delle funzioni offerte dal servizio stesso.
Naturalmente e’ chiaro che in un sistema complesso nel quale interagiscono piu’ soggetti, la sicurezza potra’ essere garantita solo se:
1. le azioni lecite che ciascun soggetto puo’ eseguire interagendo con i beni cui puo’ accedere tramite la rete, saranno correttamente individuate e definite;
2. il sistema verra’ definito in tutti i suoi aspetti (tecnici, procedurali, organizzativi, ecc.), in modo tale che le possibili azioni illecite, eventualmente attuate sia da parte di estranei che di utenti della rete, siano contrastate con un’efficacia tanto maggiore quanto piu’ elevati sono i danni conseguenti all’azione illecita considerata.
Il soddisfacimento delle due condizioni richiede lo sviluppo di una politica di sicurezza nell’ambito della quale:
– venga scelto, con il criterio del minimo danno, l’insieme delle autorizzazioni che specificano i modi di interazione leciti di ogni soggetto con i beni cui si puo’ accedere tramite la rete;
– vengano selezionate, applicando al sistema una metodologia di analisi e gestione dei rischi, le contromisure di tipo tecnico, logico (dette anche funzioni di sicurezza), fisico, procedurale e sul personale che permettano di ridurre a livelli accettabili il rischio residuo globale.
Il primo passo per lo sviluppo di una politica di sicurezza e’ la definizione delle autorizzazioni che disciplinano l’uso dei beni. Tale definizione puo’ avvenire attraverso le seguenti fasi:
1. identificazione dei beni;
2. quantificazione del valore dei beni;
3. classificazione dei soggetti dal punto di vista dell’affidabilita’;
4. applicazione di predefinite regole di autorizzazione.
L’organizzazione, per decidere quali autorizzazioni concedere ad un prefissato soggetto, dovra’ valutare, per ogni bene e per ogni tipo di interazione con esso, quali eventuali danni possano derivare dalla concessione o dalla negazione della corrispondente autorizzazione. L’entita’ di tali danni potrebbe essere allora utilizzata per definire i valori del bene relativi al particolare tipo di interazione da parte del soggetto considerato.
L’insieme delle autorizzazioni puo’ essere anche definito come l’insieme degli obiettivi di sicurezza per il sistema funzionante in accordo con la politica di sicurezza stessa. Gli obiettivi di sicurezza vengono generalmente definiti come requisiti di riservatezza (prevenzione dell’utilizzo indebito di informazioni riservate), integrita’ (prevenzione dell’alterazione o manipolazione indebita di informazioni) e disponibilita’ (prevenzione dell’occultamento o dell’impossibilita’ di accesso a dati o risorse necessarie alla conduzione dell’attivita’) espressi con riferimento ai beni da proteggere.
Avuto riferimento agli Uffici pubblici la problematica della sicurezza e’ stata affrontata dal Ministro per l’Innovazione e le Tecnologie con l’adozione di una Direttiva sulla sicurezza ICT emanata dalla Presidenza del Consiglio – Dipartimento per l’Innovazione e le Tecnologie sulla Sicurezza Informatica e delle Telecomunicazioni nelle Pubbliche Amministrazioni Statali il 16 gennaio 2002 e pubblicata sulla Gazzetta Ufficiale n. 69 del 22 marzo 2002. Il provvedimento ha interessato tutti gli Enti Pubblici ed ha cercato di tracciare un quadro generale sul problema “sicurezza†ICT e di suggerire degli interventi necessari per ottenere “una base minima di sicurezza†in attesa della predisposizione di un vero e proprio programma di azione governativo per la sicurezza ICT.
La Direttiva del Dipartimento dell’Innovazione Tecnologica ha voluto principalmente fornire gli strumenti necessari affinche’ gli Enti pubblici potessero giungere ad un esauriente livello di consapevolezza delle proprie esigenze di sicurezza adeguate alla effettiva dimensione organizzativa e quindi di conseguenza fossero in grado di mettere in atto le necessarie iniziative per ottenere una base minima di sicurezza che puo’ costituire un buon inizio rispetto a quello che dovra’ essere in seguito un modello standard.
In altri termini secondo la Direttiva ed i relativi allegati era necessario tener conto prioritariamente: dell’organizzazione della sicurezza con la creazione di un Comitato per la sicurezza ICT e di un Consigliere Tecnico che deve affiancare il Ministro; ogni Ente poi deve avere il proprio responsabile della sicurezza ICT; della gestione della sicurezza e quindi la c.d. Carta della sicurezza che definisce gli obiettivi e le finalita’ delle politiche di sicurezza; dell’analisi del rischio, fondamentale ai fini di una corretta pianificazione, realizzazione e gestione di qualsiasi sistema di sicurezza ICT; del controllo fisico e logico degli accessi; della protezione antivirus; delle misure di prevenzione; della gestione dei supporti; della gestione degli incidenti e delle emergenze.
Naturalmente il primo atto conseguente alla Direttiva in argomento e’ stata l’istituzione del Comitato Tecnico Nazionale sulla Sicurezza Informatica nella Pubblica Amministrazione, avvenuta il 24 luglio 2002 con Decreto Interministeriale presso il Dipartimento per l’Innovazione e le Tecnologie.
Il Comitato e’ composto da cinque esperti e svolge funzioni di indirizzo e coordinamento delle iniziative in materia di sicurezza sulle tecnologie dell’informazione e della comunicazione nelle pubbliche amministrazioni, formulando proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni (ICT) per la pubblica amministrazione, proposte in materia di regolamentazione della certificazione e valutazione della sicurezza, nonche’ ai fini della predisposizione di criteri di certificazione e delle linee guida per la certificazione di sicurezza ICT per la pubblica amministrazione ed infine elaborando linee guida per la predisposizione delle intese con il Dipartimento della funzione pubblica in ordine alla formazione dei dipendenti pubblici in tema di sicurezza ICT.
Scritto da
Commenta!