La tutela delle informazioni classificate in Italia

Introduzione

Tutelare le informazioni rilevanti e vitali, assoggettate a una classifica di segretezza, riguardanti la sicurezza di uno stato è uno dei punti strategicamente fondamentali per la difesa di una nazione e delle sue istituzioni.

L’inevitabile scambio di informazioni di natura classificata tra le molteplici entità governative politiche e amministrative, del comparto intelligence [Leg1], degli enti economici privati coinvolti con la produzione e manutenzione di apparati e tecnologie per varie applicazioni, costituisce da sempre un elemento di potenziale vulnerabilità nella sicurezza interna ed esterna di una nazione.

In questo articolo si vuole fornire, pur se in modo sintetico e restando nel pieno ambito delle informazioni non classificate, gli elementi portanti su cui si basa l’organizzazione di sicurezza che in Italia assicura la tutela delle informazioni classificate e del segreto di Stato [DPC1, DPC2, DPC3, DPC4, DPC5, Lan1], delineando gli aspetti organizzativi e le funzioni più rilevanti svolte negli organi che, a partire dal vertice della struttura fino agli elementi periferici, assicurano quotidianamente questa tutela.

La tutela delle informazioni classificate

Per “tutela delle informazioni classificate” si intende il complesso di norme e attività volte a proteggere notizie, dati, oggetti, materiali che riguardano interessi fondamentali del Paese e la cui conoscenza e/o conoscibilità è pertanto circoscritta e regolata da norme ben precise.

La tutela dell’informazione classificata consiste, nella pratica, nella protezione del documento classificato [Car1], dei dispositivi con cui il documento è gestito, dei supporti e del mezzo fisico o tecnologico con cui il documento classificato è veicolato, e dei luoghi fisici dove il documento viene generato, conservato o transita per arrivare dall’originatore al destinatario.

Gli obiettivi principali da realizzare per una adeguata tutela dell’informazione classificata possono essere riassunti come segue:

  • salvaguardare le informazioni classificate dalla sottrazione, manomissione, distruzione, manipolazione, spionaggio o rivelazione non autorizzata;
  • proteggere le informazioni classificate trattate con reti e sistemi informatici e con prodotti delle tecnologie della comunicazione e dell’informazione da minacce che possano pregiudicare confidenzialità, integrità, disponibilità, autenticità e non ripudio dell’informazioni;
  • preservare le installazioni, gli edifici e i locali all’interno dei quali vengono trattate informazioni classificate da atti di sabotaggio e da qualsiasi altra azione finalizzata ad arrecare danni alle installazioni stesse.

Si sottolinea come la violazione delle norme che attengono alla tutela delle informazioni classificate o, ancor più grave, la compromissione di queste informazioni comportano nel nostro Stato l’applicazione del Codice Penale, articoli dal 255 al 262 [CPe1], con severe pene che, nei casi più gravi, possono arrivare fino a 15 anni di reclusione.

La struttura chiamata ad assolvere il compito di tutela delle informazioni classificate è l’Organizzazione Nazionale per la Sicurezza, di cui si avvale il Presidente del Consiglio dei ministri, nella sua qualità di Autorità Nazionale per la Sicurezza (ANS) [DPC1, DPC2]. All’Autorità Nazionale per la Sicurezza compete, infatti, l’alta direzione delle attività concernenti la protezione e la tutela delle informazioni classificate, a diffusione esclusiva o coperte dal segreto di Stato in ambito nazionale e anche in attuazione di accordi internazionali e della normativa dell’Unione Europea [DPC1].

Fanno parte dell’Organizzazione Nazionale per la Sicurezza (Fig.1):

  • l’Organo Nazionale di Sicurezza (ONS), rappresentato dal Direttore Generale del DIS;
  • l’UCSe, ufficio che opera all’interno del DIS;
  • gli Organi Centrali di Sicurezza (OCS) della Pubblica Amministrazione, istituiti presso amministrazioni ed enti pubblici, e le loro articolazioni periferiche denominate Organi Periferici di Sicurezza;
  • le Organizzazioni di Sicurezza istituite presso gli operatori economici abilitati a trattare informazioni classificate.
Fig.1 – Articolazione dell’Organizzazione Nazionale di Sicurezza per la tutela delle informazioni classificate

Entrando più nel dettaglio, l’Organizzazione Nazionale di Sicurezza rappresenta il complesso di Organi, Uffici, unità amministrative, organizzative, produttive o di servizio della Pubblica amministrazione e di ogni altra persona giuridica, ente, associazione od operatore economico legittimati alla trattazione di informazioni classificate, a diffusione esclusiva o coperte da segreto di Stato, le cui finalità consistono nell’assicurare modalità di gestione e trattazione uniformi e sicure, nonché protezione ininterrotta alle informazioni da proteggere.

A capo dell’Organizzazione Nazionale di Sicurezza [DPC1] è posto il Direttore Generale del DIS (figura direttamente nominata dal Presidente del Consiglio dei Ministri [Leg1]) il quale esercita le funzioni di direzione e coordinamento, secondo le direttive impartite dall’ANS.

Il Direttore Generale del DIS si avvale poi del Ufficio Centrale per la Segretezza (UCSe) per l’applicazione della normativa in materia di protezione e tutela delle informazioni classificate. Per tale normativa l’UCSe ha funzioni di direzione e coordinamento nonché di consulenza e controllo.

Se il DIS, attraverso l’UCSe, ha funzioni dirigenziali e di controllo, le strutture degli Organi Centrali di Sicurezza e delle Organizzazioni di sicurezza presso gli operatori economici sono quelle che, essendo diffuse sul territorio nazionale e anche internazionale, hanno la necessita di gestire un elevato flusso documentale classificato. Questa esigenza comporta il preciso utilizzo di procedure standardizzate legate alla classifica del documento e definite capillarmente dalle norme vigenti. Agli Organi Centrali di Sicurezza dedicheremo un approfondimento nel successivo paragrafo, mentre le Organizzazioni di Sicurezza presso gli operatori economici costituiscono quelle strutture istituite presso gli operatori economici che ottengono l’abilitazione a trattare le informazioni classificate e quelle a diffusione esclusiva. Queste strutture possono dotarsi di Segreterie di Sicurezza di vario tipo e di Centri che utilizzino sistemi tecnologici CIS (Communication and Information System) e circuiti COMSEC (Communication Security) per la trattazione elettronica delle informazioni classificate [DPC1].

Gli Organi Centrali di Sicurezza

Gli Organi Centrali di Sicurezza (OCS) sono istituiti “presso i Ministeri, le strutture governative, lo Stato Maggiore della Difesa, le Forze armate, il Segretariato Generale della Difesa – Direzione Nazionale degli Armamenti, il Comando Generale dell’Arma dei Carabinieri, il Comando Generale della Guardia di Finanza o gli altri enti che, per ragioni istituzionali, hanno la necessità di trattare informazioni classificate, a diffusione esclusiva o coperte da segreto di Stato“ [DPC1]. A capo dell’OCS si pone, rispettivamente, o il Ministro (in caso di Ministero della PA centrale), o l’organo previsto dal relativo ordinamento, o l’organo di vertice dell’ente.

L’apice dell’OCS – ad esempio il Presidente del Consiglio per la PCM – può delegare l’esercizio dei compiti e delle funzioni in materia di protezione e tutela delle informazioni classificate ad un funzionario di elevato livello gerarchico che assume il ruolo di Funzionario alla Sicurezza, o di Ufficiale alla Sicurezza per il caso delle strutture militari [DPC1].

La delega è nella prassi quasi sempre esercitata dall’apice dell’Organo e il Funzionario alla Sicurezza tipicamente coincide con il vertice tecnico della struttura in cui è inserito l’OCS.

Il Funzionario alla Sicurezza (FS), quindi, a seguito della delega ricevuta dal suo vertice svolge i compiti di direzione, coordinamento, controllo nonché l’attività ispettiva e di inchiesta in materia di protezione e tutela delle informazioni classificate all’interno dell’OCS di pertinenza. Per assicurare la continuità delle funzioni, l’FS può nominare un suo Sostituto con il compito di svolgere il suo ruolo in caso di assenza o impedimento [DPC1].

Per condure le rilevanti funzioni affidategli, l’FS si avvale di una struttura organizzativa e di figure professionali di alta specializzazione alle sue dirette dipendenze, nominate direttamente dall’apice dell’OCS. Queste figure, rappresentate nell’organigramma in Fig.2 che si deduce dalla norma [DPC1], sono:

  • il Funzionario di Controllo;
  • il Funzionario COMSEC;
  • il Funzionario alla Sicurezza CIS;
  • il Funzionario alla Sicurezza Fisica;
  • il Custode del Materiale Cifra.

Ognuna di queste figure è dotata di un proprio Sostituto, due Sostituti per il caso del Funzionario di Controllo. La presenza di almeno un Sostituto in ognuna delle professionalità specifiche indicate, rimarca l’esigenza di avere una continuità nella presenza di queste competenze nelle aree funzionali da proteggere, evidenziando l’importanza strategica delle aree stesse.

Fig.2 – Organigramma dedotto dalle norme vigenti per un OCS [DPC1]
Il complesso rappresentato dal Funzionario alla Sicurezza, dal Funzionario di Controllo, dal Funzionario COMSEC, dal Funzionario alla Sicurezza CIS, dal Funzionario alla Sicurezza Fisica, dalla Segreteria Principale di Sicurezza, dai Centri di comunicazione [DPC4] (coincidenti con Aree Riservate in cui sono trattate informazioni classificate con apparati elettrici/elettronici, con attività tipicamente di natura COMSEC/CIS) e dal Custode del Materiale Cifra costituisce l’Organo Centrale di Sicurezza [DPC1].

In un prossimo lavoro gli autori si propongono di approfondire più in dettaglio le responsabilità e i compiti di queste figure professionali indicate come Funzionari. Al momento, per i cinque ruoli specifici indicati alla base dell’organigramma di Fig.2 è sufficiente sapere in linea generale [DPC1] che:

  • il Funzionario di Controllo è responsabile della corretta applicazione delle norme nella gestione della documentazione classificata cartacea e delle abilitazioni di sicurezza (NOS);
  • il Funzionario COMSEC è responsabile della corretta applicazione delle norme in materia di sicurezza delle comunicazioni e per i sistemi crittografici utilizzati nell’OCS;
  • il Funzionario alla Sicurezza CIS è responsabile della corretta applicazione e del rispetto delle norme poste a tutela delle informazioni classificate trattate nell’OCS con sistemi e prodotti delle tecnologie dell’informazione (Communication and Information System);
  • il Funzionario alla Sicurezza Fisica supporta l’FS nella predisposizione delle misure di sicurezza fisica idonee ad assicurare il grado di protezione necessario a ciascuna area da proteggere;
  • il Custode del Materiale Cifra è responsabile della ricezione, gestione, custodia e distruzione del materiale crittografico in carico all’OCS.

Glossario

ANS = Autorità Nazionale di Sicurezza

CIS = Communication and Information System

COMSEC = Communication Security

DIS = Dipartimento delle Informazioni per la Sicurezza

FS = Funzionario alla Sicurezza

NATO = North Atlantic Treaty Organization

PCM = Presidenza del Consiglio dei Ministri

UCSe = Ufficio Centrale per la Segretezza

UE = Unione Europea

Bibliografia e sitografia

[CPe1]   Codice Penale Italiano, articoli dal 255 al 262.

[Car1]    M. Carbonelli, M. Rotigliani, Le Informazioni Classificate in ambito nazionale e internazionale, Safety&Security Magazine, 1° luglio 2020, https://www.safetysecuritymagazine.com/articoli/le-informazioni-classificate-in-ambito-nazionale-e-internazionale/.

[DPC1]  Decreto del Presidente del Consiglio dei ministri 6 novembre 2015, n. 5, recante “Disposizioni per la tutela amministrativa del segreto di Stato e delle informazioni classificate e a diffusione esclusiva”.

[DPC2]  Decreto del Presidente del Consiglio dei ministri 2 ottobre 2017, “Disposizioni integrative e correttive al decreto del Presidente del Consiglio dei ministri 6 novembre 2015, n. 5, recante: «Disposizioni per la tutela amministrativa del segreto di Stato e delle informazioni classificate e a diffusione esclusiva»”.

[DPC3]  Decreto del Presidente del Consiglio dei ministri 8 aprile 2008, recante “Criteri per l’individuazione delle notizie, delle informazioni, dei documenti, degli atti, delle attività, delle cose e dei luoghi suscettibili di essere oggetto di segreto di Stato”.

[DPC4]  Decreto del Presidente del Consiglio dei ministri 12 giugno 2009, n. 7, recante “Determinazione dell’ambito dei singoli livelli di segretezza, dei soggetti con potere di classifica, dei criteri d’individuazione delle materie oggetto di classifica nonché dei modi di accesso nei luoghi militari o definiti di interesse per la sicurezza della Repubblica”.

[DPC5]  Decreto del Presidente del Consiglio dei ministri 11 aprile 2002, recante “Schema nazionale per la valutazione e la certificazione della sicurezza delle tecnologie dell’informazione, ai fini della tutela delle informazioni classificate, concernenti la sicurezza interna ed esterna dello Stato”.

[Lan1]   Andrea Strippoli Lanternini, Segreto di Stato e classifiche di segretezza. Profili giuridici (Parte II), Safety&Security, 26 ottobre 2018, https://www.safetysecuritymagazine.com/articoli/segreto-di-stato-e-classifiche-di-segretezza-profili-giuridici-parte-ii/

[Leg1]    Legge 3 agosto 2007, n. 124, recante “Sistema di informazione per la sicurezza della Repubblica e nuova disciplina del segreto”.

[UCS1]  https://ucse.sicurezzanazionale.gov.it/portaleucse.nsf/ClassificheSegretezza.xsp

 

Articolo a cura di Marco Carbonelli e Mauro Rotigliani

Profilo Autore

Marco Carbonelli si è laureato in Ingegneria elettronica presso l’Università di Roma ‘La Sapienza’, diplomato presso la Scuola Superiore di Specializzazione post-laurea in TLC del Ministero delle Comunicazioni, è in possesso del PhD in Industrial Engineering e del titolo di Master internazionale di II livello (Università di Roma Tor Vergata) in ‘Protection against CBRNe events’. E’, inoltre, qualificato esperto NBC presso la Scuola Interforze NBC di Rieti, esperto di Risk Management, ICT security, protezione delle infrastrutture critiche, gestione delle crisi e delle emergenze di protezione civile, applicazione del GDPR nell’ambito della protezione dei dati personali. Ha svolto per venti anni l’attività di ricercatore nel settore delle TLC e poi dell’ICT, opera dal 2006 nella Pubblica Amministrazione centrale. Ha pubblicato oltre 180 articoli tecnici in ambito nazionale e internazionale, è autore di vari libri tecnico-scientifici ed è docente presso l’Università di Tor Vergata di Roma nei Master Internazionali di I e II livello ‘Protection against CBRNe events’ di Ingegneria Industriale e nel Master ‘AntiCorruzione’ del Dipartimento di Economia e Finanza.

Profilo Autore

Mauro Rotigliani si è laureato in Matematica all’Istituto Castelnuovo dell’Università di Roma ‘La Sapienza’, con una tesi “Modelli neurali e caotici nelle maree “. Ha iniziato a lavorare dal 1984 nel settore delle Telecomunicazioni e ha continuato gli studi conseguendo un Master di I livello in Sicurezza Informatica delle Telecomunicazioni presso l’Università Roma 3 e patrocinato dallo Stato Maggiore Difesa e un Master di II livello in Gestione della sicurezza informatica nella impresa e nella Pubblica Amministrazione presso L’Università La Sapienza di Roma con una tesi sull’Analisi Forense in ambiente Windows. E’ socio dell’IISFA e attualmente si occupa di Sicurezza Informatica e Analisi del Rischio nella Pubblica Amministrazione Centrale.

Condividi sui Social Network:

Articoli simili