NEWS

 

La multidimensionalità della sicurezza delle informazioni e il ruolo del Data Protection Officer

La sicurezza delle informazioni è una materia complessa che ha visto nel tempo l’elaborazione di standard (volontari), linee guida (soft law) e normative (nazionali ed UE) afferenti alla protezione dei dati e dei sistemi informatici. Il modello originario, a cui si fa ancora riferimento, è noto come triade CIA: Confidentiality, Integrity, Availability, ovvero riservatezza, integrità e disponibilità dei dati.

Tuttavia, in particolare ora che 1) i sistemi informativi sono aperti all’interazione e 2) le comunicazioni sono generalmente veicolate in forma elettronica, ulteriori connotazioni stanno assumendo una maggiore rilevanza, come pure emerge dalla pubblicistica in materia, in particolare ci si riferisce a profilo dell’autenticità e a un corollario non secondario, ma meno trattato, quello della veridicità .

È sempre opportuno soffermarsi sulla portata dei tre elementi della suddetta triade:

Riservatezza - proteggere i dati dall'accesso non autorizzato, garantendo che solo soggetti identificati e abilitati possano consultarli. Le misure di protezione includono: a) crittografia (AES-256, RSA) per proteggere i dati sensibili; b) autenticazione a più fattori (MFA) per rafforzare la sicurezza degli accessi; c) classificazione delle informazioni per definire livelli di protezione adeguati;

Integrità - assicurare che i dati siano accurati, completi e non alterati senza autorizzazione. Tra gli strumenti principali: a) controlli di accesso e audit log per monitorare le modifiche; b) più in generale una “catena di custodia” senza soluzione di continuità; c) backup e ridondanza per prevenire perdite di dati.

Disponibilità - garantire che le informazioni e i sistemi siano accessibili agli utenti autorizzati quando necessario. Questo obiettivo si raggiunge ad es. attraverso: a) sistemi di disaster recovery per il ripristino in caso di incidenti; b) protezione da attacchi DDoS per evitare interruzioni del servizio.

Se in generale primeggia l’integrità del dato, a seconda delle circostanze assumono primario rilievo anche la riservatezza (si pensi a dati afferenti al sicurezza nazionale o particolari categorie di dati personali) e la disponibilità ad esempio nella gestione dei processi di cura di una struttura ospedaliera.

Il quarto elemento, l’autenticità, è collegato all’integrità: il patrimonio informativo può essere protetto, come il caveau di una banca, ma avere scarso valore se i dati non sono veritieri analogamente a banconote false.

Il modello CIA è il risultato di un'evoluzione storica nel campo della sicurezza informatica, con contributi provenienti da esperti (uno dei primi pionieri è stato James Anderson con un lavoro del 1972 Computer security technology planning study ) e da organizzazioni governative USA (il rimando è alle numerose pubblicazioni in tema di computer systems technology, a partire dal 500-16 del 1977, del National Institute of Standards and Technology – NIST nonché al Trusted Computer System Evaluation Criteria cd. Orange book del 1985).

Sono poi intervenuti, a specificare terminologie, principi e adempimenti tecnici e organizzativi, diversi standard fra cui emergono in particolare l’ISO_IEC_15408 noto come “Common criteria” (prima versione del 1996) e la famiglia (tuttora in crescita) degli ISO IEC 27000 "Information Security Management Systems, di cui fa parte anche l’ ISO IEC 27701 afferente allo specifico del contesto privacy. E nel glossario della IS0 IEC 27000 viene detto che oltre alla triade “In addition, other properties, such as authenticity , accountability, non-repudiation , and reliability can also be involved” (che nel loro insieme qui consideriamo).

Passando alle disposizioni di legge, l'Unione Europea nelle disposizioni che più interessano la privacy come la sicurezza IT, ha espressamente richiamato l'autenticità.

Osservando il GDPR, infatti, nel considerando 49, l'autenticità è affiancata alla triade CIA (e implicitamente può essere considerata inclusa nell'articolo 25 sulla privacy by design e by default, secondo cui “Tenendo conto dello stato dell’arte… il titolare del trattamento mette in atto misure tecniche e organizzative adeguate”.

Ma troviamo l’autenticità anche in atti normativi su cui l’UE si è impegnata per definire uno spazio europeo sicuro, come emerge da:

- Cybersecurity Act (Regolamento UE 2019/881 che nel trattare (considerando 75 e articolo 46) la certificazione europea di cibersicurezza menziona la protezione anche dell’autenticità “dei dati conservati, trasmessi o trattati o le funzioni o i servizi offerti da tali prodotti, servizi e processi o accessibili tramite essi per tutto il loro ciclo di vita”.

- Regolamento DORA 2022/2554 sulla resilienza operativa nel settore digitale che in vari punti cita il quartetto CIA + autenticità fra cui il centrale art. 5 secondo cui “L’organo di gestione [dell’entità finanziaria] -… predispone politiche miranti a garantire il mantenimento di standard elevati di disponibilità, autenticità, integrità e riservatezza dei dati”. Circa tale norma si approfitta per segnalare alla Autorità che ha provveduto alla redazione della versione italiana, di provedere alla prima utile occasione all’eliminazione del refuso all’art. 3 dove nel definire l’incidente operativo di sicurezza dei pagamenti viene duplicato impropriamente il richiamo ai citati profili (“… che hanno un impatto avverso sulla disponibilità, autenticità, integrità o riservatezza, la disponibilità, l’integrità o l’autenticità dei dati connessi ai pagamenti o sui servizi connessi ai pagamenti forniti dall’entità finanziaria”);

- DLgs 2024/138 di recepimento della Direttiva UE 2022/2555 cd. "NIS” introduce ulteriori misure per rafforzare la sicurezza delle informazioni nei sistemi critici nazionali, enfatizzando l'importanza della verifica dell'autenticità nelle operazioni di cybersecurity e nella protezione delle infrastrutture. La norma fa infatti riferimento anche a questo requisito, oltre alla triade CIA, per la protezione “di dati conservati, trasmessi o elaborati o dei servizi offerti dai sistemi informativi e di rete o accessibili attraverso di essi”.

La sicurezza informatica è quindi sempre più multidimensionale, e l'autenticità ne è parte integrante. Tuttavia, è importante riconoscere che l'autenticità possiede una sua autonomia concettuale e operativa, indipendentemente dalle sue connessioni con l'integrità o dalla sua applicazione nel campo della cybersecurity.

Mentre l'integrità si concentra sulla verifica che i dati non siano stati alterati, l'autenticità va oltre, garantendo che le informazioni provengano da una fonte attendibile e che le entità coinvolte siano chi dichiarano di essere.

Questo principio assume un ruolo fondamentale in contesti che vanno ben al di là della semplice protezione tecnologica, estendendosi ad ambiti come la fiducia digitale, la gestione delle identità e la certificazione di documenti e transazioni.

L'autenticità, infatti, costituisce un pilastro essenziale per costruire relazioni fiduciarie tra soggetti umani e sistemi digitali. Essa garantisce che le comunicazioni, le transazioni e i processi decisionali siano affidabili, indipendentemente dal contesto in cui avvengono. Ad esempio, nell'ambito della firma digitale, l'autenticazione della fonte dei dati è altrettanto importante della loro integrità; nella blockchain, l'autenticità delle transazioni è critica per mantenere la trasparenza e la sicurezza del sistema; nella governance aziendale, l'autenticazione delle identità è indispensabile per garantire la corretta attribuzione delle responsabilità.

Anche al di fuori dei confini della cybersecurity, l'autenticità riveste un ruolo centrale in settori come il commercio elettronico, la sanità digitale, la finanza e l'amministrazione pubblica. In questi contesti, la verifica dell'identità e l'affidabilità delle informazioni sono prerequisiti fondamentali per garantire la legalità, la trasparenza e la sicurezza delle operazioni.

Per questa ragione, è necessario riconoscere l'autenticità come un principio autonomo, capace di soddisfare esigenze che vanno oltre le sole esigenze tecniche della sicurezza informatica.

Occorre peraltro sottolineare che autenticità non implica veridicità dell’informazione: quanto dichiarato da fonte certa può non corrispondere al reale. Tant’è che il DPR 445/2000 “Testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa” prevede che le dichiarazioni sostitutive di certificazioni e di atti di notorietà rese dagli interessati (anche in via telematica, previo riconoscimento ad esempio tramite SPID del dichiarante, quindi della autenticità delle dichiarazione) devono essere assoggettate a controlli anche a campione ai sensi degli artt. 71 e 72 del DPR in esame (nel caso di rapporti fra privati, per il ottenere riscontro da parte delle P.A. delle dichiarazioni sostitutive occorrerà il consenso del dichiarante).

A fronte di questa crescente complessità, diventa essenziale che nell’ambito di ciascuna organizzazione le diverse figure coinvolte perseguano una proficua interazione. E il Data Protection Officer, anche avvalendosi delle risorse auspicabilmente messe a sua disposizione, può svolgere – per le organizzazioni che trattino dati personali – un ruolo molto rilevante, attesa la trasversalità e multidimensionalità che connota il suo ruolo.

Note sull'Autore

Pasquale Mancino Pasquale Mancino

Componente del Gruppo di Lavoro per la privacy nella Pubblica Amministrazione. Nota: Le opinioni espresse sono a titolo esclusivamente personale e non coinvolgono l’Ente di appartenenza dell’autore

Articoli correlati

Prev NIS2: primi step attuativi e check-list di verifica

Galleria Video

Il furto d'identità con l'intelligenza artificiale

Cerca Delegato

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Newsletter

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy

Federprivacy su Linkedin

Argomenti in evidenza