GNOSIS
Rivista italiana
diintelligence
Agenzia Informazioni
e Sicurezza Interna
HOME
EDITORIALE
PUNTO DI VISTA
ARALDICA
RECENSIONI
ARCHIVIO
» ABBONAMENTI

» CONTATTI

» DIREZIONE

» AISI




» INDICE AUTORI

Italiano Tutte le lingue Cerca i titoli o i testi con
Per Aspera Ad Veritatem n.4
sommariosommario
I riflessi normativi dell'uso dei sistemi crittografici in Italia
Carlo SARZANA di S. Ippolito


1. Premessa

In Italia, a livello normativo, non sembrano esistere particolari disposizioni in ordine all'uso della crittografia, all'infuori di quelle riguardanti il particolare settore della tutela del segreto di Stato e la divulgazione di informazioni di cui è vietata la divulgazione e di cui agli articoli 12 e 24 della legge 24 ottobre 1977 n. 801.
Altre disposizioni sono contenute nel complesso di norme che riguardano il controllo, l'esportazione, l'importazione ed il transito dei materiali di armamento nonché l'esportazione e transito di materiali di particolare interesse strategico (legge 8 luglio 1990 n. 185, legge 27 febbraio 1992 n. 222, ed i relativi decreti ministeriali del 28 ottobre 1993 - 18 novembre 1993 - 5 maggio 1994 - 1 settembre 1995).
Un accenno all'uso delle tecniche crittografiche nel campo della pubblica Amministrazione è contenuto in alcune deliberazioni (vedi quella del 28 luglio 1994, art. 1, n. 9) dell'AIPA (Autorità per l'Informatica della Pubblica Amministrazione), istituita con decreto legislativo del 12 febbraio 1993, n. 39.
In realtà, un tentativo di regolamentare in generale l'uso di sistemi di criptofonia e crittografia venne compiuto in passato dal Ministro dell'Interno, il quale presentò al Senato, nella X legislatura, un disegno di legge (il n. 3232 dell'11 febbraio 1992) che prevedeva disposizioni (anche) in tema di apparecchiature criptofoniche ovvero destinate alla trasmissione in codice di comunicazioni telefoniche, radiofoniche o di altre forme di telecomunicazioni.
L'articolo 1 del disegno subordinava a licenza del Questore la produzione, l'introduzione nello stato, l'esportazione, la raccolta per ragioni di commercio o di industria e la messa in vendita, tra l'altro, di apparecchiature per la ricetrasmissione in codice e per la codificazione di telecomunicazioni. L'articolo 3 disciplinava, in particolare, la materia degli apparecchi di comunicazione in codice prevedendo che il produttore o importatore di dette apparecchiature dovesse depositare presso il Ministero delle PP.TT. i dati tecnici e gli apparati necessari per la decodificazione delle comunicazioni: ciò ai fini dell'intercettazione investigativa. Veniva stabilito anche il divieto di vendita o di cessione, anche a tempo determinato, delle apparecchiature a soggetti privi del nulla osta all'acquisto ed all'uso rilasciato dal Questore, nulla osta soggetto a precisi limiti temporali; inoltre i detentori delle apparecchiature avrebbero immediatamente dovuto denunciare il possesso e le variazioni alle Forze di polizia. tutti i divieti e gli obblighi di cui sopra erano rafforzati da sanzioni penali.
Il disegno di legge in questione decadde con lo scioglimento delle Camere. Tuttavia, lo stesso Ministero dell'Interno, nel corso della successiva legislatura, preparò una versione lievemente modificata del testo precedente, che però non venne mai trasfuso in un disegno di legge.

2. I sistemi crittografici e i controlli all'esportazione

È noto che da tempo i prodotti di alta tecnologia (sistemi elettronici, laser e fibre ottiche, elaboratori, chips e software, ecc.) sono oggetto di un'opera intensa di acquisizione illegale e di un vero e proprio mercato nero che si svolgono sia a livello nazionale che internazionale.
Non è un mistero che il c.d. furto di alta tecnologia è divenuto da tempo un grosso affare condotto da vere e proprie organizzazioni criminali e, spesso, da agenti di Paesi stranieri.
Va rilevato, al riguardo, che particolari disposizioni del codice penale vigente (articolo 256, relativo al procacciamento di notizie concernenti la sicurezza dello Stato; articolo 257, riguardante lo spionaggio politico o militare; articolo 261, relativo alla rivelazione di segreti di Stato; ecc.) permettono di colpire alcune delle attività illegali relative al trasferimento di tecnologia allorché le circostanze del fatto riguardano dei rapporti politici internazionali (vedi anche l'articolo 325 c.p., relativo alla utilizzazione di informazioni o scoperte conosciute per ragioni d'ufficio). Nei casi normali, invece, allorché si tratti cioè di rapporti tra privati, possono essere applicati, secondo i casi, gli articoli 621 (rivelazione di segreti scientifici o industriali) del medesimo codice.
In Italia sono state emanate varie norme per affrontare il fenomeno e regolarizzare il settore, anche in correlazione con l'appartenenza dell'Italia al cosiddetto COCOM (Coordinating Committee for Multilateral Exports Controls), organo informale di coordinamento tra i Paesi NATO.
Per quanto riguarda questo particolare settore, è da dire che il Governo presentò alla Camera, in data 9 dicembre 1987, il disegno di legge n. 203, recante il titolo "Nuove norme sul controllo dell'esportazione, importazione e transito di materiali di particolare interesse strategico", un articolo del quale prevedeva l'ottenimento di un'apposita autorizzazione ministeriale per l'esportazione ed il transito di materiali di particolare interesse strategico utilizzabili a rilevanti fini militari, tra cui (art. 20, lett. 2) le apparecchiature elettroniche da indicarsi in un successivo elenco. L'articolo 25 puniva con la reclusione da 6 mesi a 5 anni e con multa proporzionale l'esportazione o il transito verso destinazione diversa da quella indicata nell'autorizzazione e, con la sola multa proporzionale, la violazione di altre prescrizioni stabilite nell'autorizzazione medesima.
Il disegno di legge citato divenne poi, con modifiche, la legge 9 luglio 1990, il cui articolo 2 indica, tra i materiali di armamento, anche i "sistemi o apparecchi elettronici.... appositamente costruiti per uso militare". La legge in questione prevede sanzioni penali per l'ipotesi di falsità nella documentazione (articolo 23), per l'esportazione, importazione o transito di materiali di armamento senza autorizzazione (articolo 24), e - soprattutto - per l'inosservanza delle prescrizioni amministrative relative alla consegna dei materiali alla destinazione indicata nella richiesta di autorizzazione (articolo 14), punendola con la reclusione fino a 5 anni ovvero con la multa da due a cinque decimi del valore dei contratti.
Una successiva legge, la n. 222 del 27 febbraio 1992, ha regolato il controllo dell'esportazione e del transito dei prodotti ad alta tecnologia. La legge precisa, al n. 2 dell'articolo 1, che sono soggetti alle autorizzazioni ed ai controlli dello Stato l'esportazione, in via definitiva o temporanea, ed il transito dei prodotti e delle tecnologie indicati in un apposito "elenco delle merci sottoposte ad autorizzazione per l'esportazione e per il transito", predisposto ed aggiornato ogni sei mesi con decreto del Ministro per il Commercio con l'Estero.
La legge prevede apposite sanzioni penali per l'attività di esportazione o transito senza autorizzazione (articolo 12), per la falsità nella documentazione (articolo 13), per la violazione delle condizioni di consegna (articolo 14), ecc.; eleva inoltre l'entità minima delle multe previste dagli articoli 23, 24 e 25 della precedente legge n. 185 del 1990 a 50 milioni.
In attuazione delle disposizioni delle leggi sopracitate sono stati emanati poi alcuni decreti ministeriali.
Il Ministro della Difesa, d'intesa con altri Ministri, ha emesso il decreto del 28 ottobre 1993 con il quale è stato approvato l'elenco dei materiali di armamento da comprendere nella categoria prevista dall'articolo 2, comma 2, della legge n. 185 del 1990. Tale decreto è stato poi aggiornato con il recentissimo decreto dell'1 settembre 1995, relativo al nuovo elenco dei sopracitati materiali di armamento.
Nella categoria 11ª, alle lettere d) e f), sono state previste le seguenti categorie: apparecchiature di sicurezza per il trattamento dei dati, apparecchiature di sicurezza per dati e apparecchiature di sicurezza per linee di trasmissione e di segnalazione, utilizzanti procedimenti di cifratura (d), e apparecchiature per l'identificazione, la autenticazione e il caricamento di chiavi crittografiche e apparecchiature per la gestione, produzione e abilitazione di crittografiche.
Il Ministero del Commercio con l'Estero, a sua volta, nel D.M. 5 maggio 1994, relativo alla autorizzazione per esportazione definitiva e temporanea e per il transito dei prodotti ad alta tecnologia, facendo seguito a un precedente decreto (24 giugno 1993) ha aggiornato l'elenco, stabilendo che i prodotti e le tecnologie di cui all'elenco allegato alla legge del 1992 erano sottoposti ad autorizzazione per l'esportazione.
In esso, dopo aver dato la definizione di crittografia, ha inserito al Paragrafo 4A2, intitolato "Apparecchiature, assiemi e componenti", la voce 5A002, e particolarmente le lettere a) b) c) d) e) g). Si riporta integralmente il testo come appresso.
Sistemi, apparecchiature, "assiemi elettronici" specifici di applicazione, moduli o circuiti integrati che assicurano la "sicurezza dell'informazione", come segue, e loro altri componenti appositamente progettati:
a. progettati o modificati per utilizzare la "crittografia" con l'impiego di tecniche numeriche per assicurare la "sicurezza dell'informazione";
b. progettati o modificati per effettuare le funzioni crittoanalitiche;
c. progettati o modificati per utilizzare la "crittografia" con l'impiego di tecniche analogiche per assicurare la "sicurezza dell'informazione", eccetto:
1. le apparecchiature che utilizzano tecniche di mescolamento di bande "fisse" non superiori a 8 bande in cui i cambi di trasposizione non si effettuano più di una volta ogni secondo;
2. le apparecchiature che utilizzano tecniche di mescolamento di bande "fisse" superiori a 8 bande in cui i cambi di trasposizione non si effettuano più di una volta ogni 10 secondi;
3. le apparecchiature che utilizzano l'inversione a frequenza "fissa" in cui i cambi di trasposizione non si effettuano più di una volta ogni secondo;
4. le apparecchiature facsimile;
5. le apparecchiature di radiodiffusione riservata a un numero limitato di ascoltatori;
6. le apparecchiature di televisione civile;
d. progettati o modificati per sopprimere le emanazioni compromettenti di segnali portatori di informazioni;
NOTA: IL 5A002 non sottopone ad autorizzazione le apparecchiature progettate per sopprimere le emanazioni per ragioni sanitarie o di sicurezza.
e. progettati o modificati per utilizzare tecniche crittografiche per generare il codice di estensione per "spettro esteso" o il codice per il salto di frequenza per i sistemi con "agilità di frequenza";
f. progettati o modificati per assicurare una "sicurezza a più livelli" o un isolamento dell'utente certificati o certificabili a un livello superiore alla Classe B2 della norma Trusted Computer System Evaluation Criteria (TCSEC) o norma equivalente;
g. sistemi di cavi di telecomunicazione progettati o modificati, utilizzando mezzi meccanici elettrici o elettronici, per rilevare intrusioni surrettizie.

3. L'Autorità Nazionale di Sicurezza (ANS) e l'Ufficio Centrale per la Sicurezza (UCSi)

L'Organizzazione nazionale per la sicurezza fa capo, sulla base della legislazione vigente, al Presidente del Consiglio dei Ministri. Per dare concreta attuazione alla norma legislativa, il Presidente del Consiglio delega l'esercizio della tutela del segreto di Stato ad un alto funzionario dello Stato che assume la denominazione di Autorità Nazionale per la Sicurezza (ANS). L'ANS, per l'esercizio delle sue funzioni, si avvale dell'Ufficio Centrale per la Sicurezza (UCSi).
Direzione Sicurezza Tecnica (DST)
Nell'ambito dell'UCSi è istituita la DST, la quale:
• è responsabile della elaborazione della normativa nazionale nel campo della sicurezza tecnica;
• partecipa ai comitati di sicurezza NATO e internazionali;
• provvede al controllo, certificazione e omologazione dei sistemi LCT ed EAD che trattano informazioni classificate.
La DST, per lo svolgimento delle sue funzioni, è articolata su tre Sezioni:
• Sezione Segreteria e Coordinamento;
• Sezione Sicurezza TLC;
• Sezione Sicurezza EAD.
Compiti e attribuzioni della Sezione Sicurezza (EAD)
La Sezione svolge i seguenti compiti principali:
• elaborazione e aggiornamento della normativa nazionale;
• emanazione di circolari e direttive attinenti ad argomenti specifici, quali sicurezza hardware e software, certificazione e omologazione di Centri EAD;
• esame e valutazione di progetti relativi alla protezione dei Centri EAD ai fini della certificazione/omologazione.
Al fine di gestire in modo organico la problematica legata alla Sicurezza EAD, si è ritenuto opportuno prevedere una specifica struttura di responsabilità all'interno degli Enti e delle Ditte interessate. Nell'ambito degli organi della Pubblica Amministrazione, sono stati individuati l'Organo Centrale di Sicurezza, con funzioni direttive, e l'Incaricato alla sicurezza EAD, con funzioni di controllo, mentre nelle industrie le stesse responsabilità sono devolute rispettivamente al Rappresentante legale e all'Incaricato alla sicurezza EAD (1) .
Di recente, il Presidente del Consiglio dei Ministri ha emanato una ultima Direttiva (7 dicembre 1994), di carattere riservato, riguardante, fra l'altro, i requisiti minimi da accettare per garantire la sicurezza delle informazioni classificate (COSMEC) trattate con apparecchiature o sistemi elettronici.
Una parte della Direttiva si occupa specificamente della sicurezza crittografica intesa come quella componente della sicurezza delle comunicazioni derivante dalla adozione di sistemi crittografici tecnicamente appropriati e al loro concreto impiego, che deve essere conforme alle specifiche istruzioni operative e alle prescrizioni generali.
L'ANS, inoltre, fornisce agli Enti della Pubblica Amministrazione istruzioni aggiornate sugli apparati CRYPTO, sui materiali TEMPEST, sui dispositivi COSMEC e logiche crittografiche approvate dalla stessa ANS da utilizzare per la trattazione, protezione e trasmissione di informazioni classificate.

4. L'Autorità per l'Informatica nella Pubblica Amministrazione e i suoi compiti nel campo della sicurezza informatica

Il decreto legislativo n. 39 del 12 febbraio 1993 ha creato la figura dell'Autorità per l'Informatica nella Pubblica Amministrazione (AIPA), affidando alla detta Autorità anche il compito di dettare i criteri tecnici riguardanti la sicurezza dei sistemi (articolo 7, 1° comma, lett. a).
L'AIPA ha poi emesso la Deliberazione del 28 luglio 1994 (G.U. n. 216 del 15 settembre 1994) in applicazione dell'articolo 2, comma 15, della legge 24 novembre 1993, n. 537, relativa alle regole tecniche per l'uso dei supporti ottici.
Tale Deliberazione, all'articolo 9, stabilisce che saranno regolati con successivi provvedimenti gli aspetti, tra gli altri, relativi all'uso della crittografia, alla protezione e alla conservazione delle relative chiavi, all'uso dei meccanismi di firma elettronica.
La Deliberazione di cui sopra prevede anche che, per ogni file memorizzato sul disco ottico, dovranno essere introdotte, con modalità che saranno di seguito precisate, tra l'altro, eventuali informazioni in ordine alla crittografia.
Nelle note esplicative allegate alla sopracitata Deliberazione, relative alle specifiche tecniche per l'uso dei supporti ottici, si dice al paragrafo 3/1, relativamente all'aspetto della sicurezza, che "per ragioni di riservatezza deve essere ammesso l'uso della crittografia nella conservazione delle informazioni su disco: ma in tal caso occorre che l'algoritmo di crittografia sia normalizzato e che siano regolamentate anche le procedure di formazione e di conservazione delle parole chiave individuali e le relative responsabilità".

5. La raccomandazione n. R(95)13 del Consiglio d'Europa

In tema di uso della crittografia, ritengo opportuno ricordare che il Comitato di esperti del Consiglio d'Europa sui problemi della procedura penale legati alla tecnologia dell'informazione (del quale sono stato il Vice Presidente) ha elaborato una Raccomandazione, la n. (95)13, approvata dal Comitato dei Ministri nel settembre scorso (1995).
Il capitolo V di detta Raccomandazione tratta dell'Utilisation du chiffrement ed enuncia il principio n. 14 secondo cui "des mésures décraient être examinées au fin de minimiser le effets négatifs de l'utilisation du chiffrement sur le enquêtes des infracion pénales, sans toutefois avoir des conséquences plus que strictment nécéssaires sur son utilisation légale".
Nel commento che accompagna il citato principio si conclude affermando che "le conflict d'intérêts entre les besoins des utilisateurs et le respect de la loi doit être convenablement pris en considération, et un équilibre doit être trouvé".


(1) Le indicazioni di cui sopra sono tratte letteralmente da un rapporto dell'UCSI presentato a Roma nel novembre 1990 in un convegno organizzato dalla Fondazione Bordoni e dal titolo "CS 90 - Symposium on Computer Security".

© AGENZIA INFORMAZIONI E SICUREZZA INTERNA