A cura dell'

delle Comunicazioni 

Consiglio Superiore Tecnico 
delle Poste e delle Telecomunicazioni

GRUPPO DI LAVORO 1  

Requisiti di sicurezza e protezione
sulla fornitura dei servizi di telecomunicazioni

RELAZIONE FINALE 

INDICE

1) INTRODUZIONE

2) IL QUADRO NORMATIVO

3) LA PRIVACY

3.1 Analisi della situazione
3.2 Possibili rimedi
3.3 La tutela della privacy

La legge 675/96

Il Dpr 318/99

3.4
Il Servizio di Polizia Postale e delle Comunicazioni
3.4.1 La struttura e i compiti
3.4.1.1 La Divisione Affari Generali
3.4.1.2 La Divisione Investigativa
3.4.1.2.1 Le quattro Sezioni Operative

3.4.2
L'attività internazionale del Servizio di Polizia Postale e   delle Comunicazioni                             
3.4.3 Attribuzione delle funzioni cc.dd. "Sottocopertura"
3.4.4 Compartimenti di Polizia Postale
3.4.5 Lo scenario internazionale; proposte
3.5 I produttori di smart card
                 

4) IL COMMERCIO ELETTRONICO

4.1 Introduzione
4.2 Le peculiarità del commercio elettronico
 
4.3
Nuovi scenari tecnologici
4.3.1
Le dimensioni del fenomeno
4.4
La sicurezza nelle reti Internet, Intranet ed Extranet
4.5
Sistemi di pagamento online
4.6
Il Commerce Service Provider (CSP)
 


5) LE AUTORITÀ DI GARANZIA 

5.1 Introduzione
5.2
La normativa
5.3
Servizi di certificazione
 
5.3.1
Firma digitale - Interoperabilità dei Certificatori
 
5.3.1.1
La Certificazione CertWEB
 
5.3.1.2
La certificazione CertCA 
5.3.1.3
La Certificazione CertMail
5.3.1.4
Altre certificazioni
 
5.4
La normativa di riferimento
5.5
La certificazione e le aziende
 

6)  I SERVIZI E LE AZIENDE

6.1 I servizi
6.2
Le aziende di servizi
6.2.1
Le aziende del radiomobile
6.2.2
Le aziende bancarie

7) CONCLUSIONI E RACCOMANDAZIONI


1) INTRODUZIONE        torna all'indice

Il Gruppo di lavoro 1 è stato incaricato a novembre 1999 di una delle indagini tecnico-economiche decise dal Consiglio Superiore ed approvate dal signor Ministro. Il tema riguarda: "Requisiti di sicurezza e protezione sulla fornitura dei servizi di telecomunicazioni".

Del Gruppo hanno fatto parte:

* l'ing. Bartolucci
* l'ing. Stefanotti (in sostituzione dell'ing. Chiarenza), della ITALTEL
* il prof. Decina
* l'ing. Esposito
* l'ing. Fariello
* il dott. Giordano
* il prof. Pelanda
* la dott.ssa Signore
* l'avvocato Valsecchi
* il prof. Chiappetta.

Ha svolto il ruolo e l'attività di segretario l'ing. dell'Anno. 
La responsabilità del coordinamento è stata dell'ing. Musto.

La caratteristica principale del problema affrontato consiste nella numerosità e varietà di sfaccettature che lo caratterizzano. E quindi il principale criterio seguito per approcciarlo è consistito nel ricercare sistematicamente di affrontarlo da molti punti di vista, anche notevolmente diversi fra loro; accettando quindi la notevole difficoltà di tentarne una ragionevole integrazione ed una significativa sintesi.

L'approccio il più possibile differenziato in sede di analisi si è anche tradotto nella decisione di svolgere numerose esaurienti "audizioni" (in totale otto), selezionate anch'esse col criterio del massimo possibile assortimento; sia dei punti di vista e delle opinioni e valutazioni; e sia dei tipi di interlocutori.

Sono stati quindi incontrati a questo scopo:

* il Colonnello Rapetto della Guardia di Finanza
* il dottor Giuseppe Messa, Direttore del Servizio Polizia delle Poste e
  Telecomunicazioni
* il prof. Decina, come esperto e docente di sistemi e di reti di telecomunicazioni
* la società ASSINFORM
* la Associazione Bancaria Italiana (ABI)
* la società ERICSSON
* la società EURODATA (specializzata nella produzione di software per la sicurezza)
* la società ST MICROELECTRONICS (produttrice multinazionale di microprocessori 
   per "smart card")
* la società TIM.

Tutte queste audizioni sono consistite in incontri e dialoghi strutturati ed approfonditi con i vari rappresentanti delle organizzazioni coinvolte; ciascuno portatore ed interprete di punti di vista e di interessi spesso molto diversi e distanti; esse sono state adeguatamente preparate e documentate. Tutte la audizioni sono state registrate.

Un altro apporto fondamentale da parte dei componenti il Gruppo di Lavoro e degli interlocutori delle audizioni è consistito nella raccolta ed evidenziazione sistematica della documentazione più significativa sull'argomento; in particolare di natura legislativa, giuridica, e regolamentare; e sia di origine italiana, che comunitaria ed internazionale. Si è creata così una piccola raccolta di documenti fondamentali sul problema della sicurezza nella fornitura dei servizi di telecomunicazioni, che costituisce un risultato valido in sè.

E si è cercato di arrivare in modo non equivoco a chiarire se le leggi ed i regolamenti esistenti siano sufficienti e/o congruenti con le problematiche della sicurezza in questo campo.

I requisiti di sicurezza possono essere considerati sia in fase preventiva che in fase repressiva; od anche agli effetti di diversi tipi di contenuti, di servizi, e di implicazioni, da parte dei sistemi di telecomunicazioni; o ancora, dai tanti angoli di approccio dei diversi attori coinvolti.

Si possono per esempio considerare questi requisiti per quanto concerne il singolo utente privato; o la azienda medio-piccola che usi i sistemi stessi soltanto come infrastruttura per il suo normale lavoro; oppure la grande azienda, che normalmente ormai utilizza le reti di telecomunicazioni sia come soggetto passivo per operare a distanza coi suoi fornitori, coi clienti, con i distributori; e sia come soggetto attivo, per esempio per le attività di pubblicità o di commercio elettronico. Ma si può ragionare anche dal punto di vista delle banche e delle aziende finanziarie, sia per la sicurezza del loro funzionamento interno, che per quello del servizio che esse forniscono ai loro clienti; o da quello dei produttori e distributori di sistemi e servizi progettati appositamente per garantire la sicurezza; od anche dal punto di vista dei gestori di reti e servizi di tutti i generi di telecomunicazioni; e non si può dimenticare il punto di vista della Pubblica Amministrazione. In tutta questa congerie di orientamenti, di attese, e di interessi, emerge d'altra parte in modo preminente un aggregato particolare: quello del commercio elettronico, che ormai costituisce il paradigma fondamentale della economia presente e futura. Già le sue dimensioni attuali, ma ancor più le sue tendenze di crescita, lo mettono in primo piano all'attenzione degli operatori economici; ma anche di quella dei politici, degli operatori sociali e culturali. E va sottolineato che il commercio elettronico per l'Italia costituisce forse la più promettente opportunità di sviluppo non solo economico degli anni prossimi; e che il paese in questo campo è ancora notevolmente arretrato rispetto agli altri. Per cui è essenziale approfondire almeno a questo scopo le tante interrelazioni tra esso e la sicurezza che lo condiziona.

Le domande che il Gruppo di Lavoro si è proposto, e che hanno fatto da traccia alle audizioni, sono del tipo:

* quali sono le principali carenze o necessità di carattere legislativo, giuridico, regolamentare per la sicurezza nei servizi di telecomunicazioni oggi in Italia

* quali sono le dimensioni economiche, sociali, politiche, delle attività implicate nelle problematiche della sicurezza

* quali sono le principali realtà organizzative già esistenti, e quali quelle carenti, e quindi le realtà e le esigenze organizzative, strutturali, procedurali, agli effetti della repressione e della prevenzione in funzione della sicurezza

* quali sono le principali iniziative di carattere strutturale, od anche culturale e promozionale, da suggerire e realizzare agli effetti dello sviluppo di una matura cultura della sicurezza.

Va quindi aggiunto che nell'ambito del tema qui considerato e delle analisi svolte, sono emersi alcuni fondamentali "contrasti" di orientamenti, che meritano di essere particolarmente evidenziati; più che altro perché essi sono essenziali, intrinseci al problema.

Un primo "contrasto" è quello tra le esigenze degli utenti dei vari tipi di assicurare e proteggere la loro "privacy", l'integrità dei loro contenuti, e la qualità dei relativi servizi, usando tutti i mezzi che le moderne tecnologie mettono oggi facilmente a disposizione; in particolare usando tutti gli strumenti di codifica in codice delle identità degli attori e dei contenuti delle transazioni. Chiaramente questa fondamentale esigenza è intrinsecamente contrastante con quella degli Stati, delle Pubbliche Amministrazioni, delle Polizie, di avere accesso, quando ve ne siano gli estremi, a tutti i dati interessanti, nel modo più facile, rapido, diretto. Si tratta di un dilemma di fondo, sempre esistito negli Stati moderni, tra la libertà e la protezione dei diritti del cittadino e delle organizzazioni private, e le esigenze di efficienza investigativa degli Stati, sia in fase preventiva che investigativa. Molti Stati hanno tentato anche recentemente diverse soluzioni , che però finora sono risultate poco efficaci o incomplete. Il problema ha assunto dimensioni molto più vistose che in passato per l'esplodere dei servizi telematici, per i quali le frontiere nazionali non esistono; e l'unica speranza consiste in una forte ed efficace collaborazione internazionale, fra tutti i paesi.

In Italia è stato istituito nel 1998 il Servizio di Polizia Postale e delle Comunicazioni, col compito di prevenire e reprimere le forme di criminalità che si caratterizzano per l'impiego delle tecnologie dell'informazione e della comunicazione. Dal punto di vista operativo, il Servizio:

* coordina l'attività dei Compartimenti di Polizia Postale in materia di prevenzione e repressione dei reati nel settore delle telecomunicazioni, fornendo, all'occorrenza, adeguato supporto in termini di risorse tecnologiche e di personale altamente specializzato necessario in particolari circostanze

* cura i rapporti internazionali, ed in questa ottica partecipa quale componente specialistica a diversi Gruppi di Lavoro

* studia metodologie operative applicabili allo specifico settore, sviluppa progetti relativi alla sicurezza delle comunicazioni, ed ha compiti di analisi ed elaborazione di strategie volte a contrastare i fenomeni criminali.

L'altro "contrasto" evidente e fondamentale è quello fra le tendenze alla liberalizzazione, alla massima "apertura", alla "trasparenza" delle informazioni, delle identità degli attori, dei contenuti, specialmente riguardanti il commercio elettronico, e le esigenze di protezione, di riservatezza, di "copertura" di tutti questi dati. In proposito va evidenziato che parecchi studiosi ed alcune aziende insistono a sottolineare che attualmente in Italia si rischia di esagerare nelle misure di protezione e di sicurezza, a danno dello sviluppo degli scambi e delle attività commerciali, imprenditoriali ed in generale economiche. Si tratterà gradualmente di arrivare ad un ragionevole equilibrio tra garanzie di sicurezza e protezione, e possibilità di sviluppo delle attività telematiche, nell'ambito di una larga diffusione di capacità razionali di "gestione del rischio". In realtà in questo campo pesano molto le componenti psicologiche e culturali; in realtà le nostre società sono già abituate da tempo in molti altri campi a convivere con rischi e pericoli anche maggiori; in campo telematico pesa molto tuttora la paura del "nuovo" e dell'incognito; bisognerà arrivare al più presto ad un compromesso più ragionevole, in funzione delle opportunità che i sistemi telematici offrono in modo evidente.

 Nel seguito di questa Relazione le analisi svolte e gli apporti ottenuti dalle audizioni sono stati aggregati e riassunti nei paragrafi successivi, secondo i titoli seguenti:

* il quadro normativo e la relativa documentazione
* i problemi della protezione della "privacy" ed il ruolo delle istituzioni investigative e
  repressive
* le problematiche del commercio elettronico
* la funzione ed il ruolo delle "Certification Autority"
* le problematiche dei servizi e delle aziende
* sintesi, conclusioni e raccomandazioni.

 | Inizio pagina |