Bur n. 48 del 22 maggio 2018

Materia: Informatica

Deliberazione della Giunta Regionale n. 531 del 30 aprile 2018

Accordo per la prevenzione e il contrasto dei crimini informatici sui sistemi informativi "critici" della Regione del Veneto e degli Enti Pubblici collegati alla rete telematica regionale ex art. 15 della Legge n. 241 del 07/08/1990. Approvazione schema Accordo.

Il Vicepresidente Gianluca Forcolin riferisce quanto segue.

Con Legge n. 249 del 13/07/1997 è stata istituita l’Autorità per le Garanzie nelle Comunicazioni dettando norme sui sistemi delle telecomunicazioni e radiotelevisive. In relazione all’art. 1, commi 13 e 15 di tale Legge, con decreto del Ministro dell’Interno adottato in data 19/01/1999 (di concerto con il Ministro delle Comunicazioni e con il Ministro del Tesoro, del Bilancio e della Programmazione Economica), è stato individuato il Servizio Polizia Postale e delle Comunicazioni del Dipartimento della Pubblica Sicurezza quale Organo centrale del Ministero dell’Interno per la sicurezza/regolarità dei servizi di telecomunicazione.

In particolare, l’articolo 39 della Legge n. 3 del 16/01/2003 (recante “Disposizioni ordinamentali in materia di Pubblica Amministrazione”) prevede che il Dipartimento della Pubblica Sicurezza, nell’ambito delle direttive impartite dal Ministro dell’Interno per il potenziamento dell’attività di prevenzione, possa stipulare convenzioni con soggetti (pubblici e privati) dirette a fornire - con la contribuzione degli stessi soggetti - servizi specialistici finalizzati ad incrementare la sicurezza pubblica. Nell’ambito della direttiva per l’attività amministrativa e per la gestione relativa all’anno 2017, il Ministro dell’Interno ha previsto, tra gli obiettivi strategici, l’implementazione dei livelli di sicurezza stradale, ferroviaria e delle comunicazioni.

Inoltre, il Decreto Legge n. 144 del 27/07/2005 convertito con modificazioni dalla Legge n. 155 del 31/07/2005 “Misure urgenti per il contrasto del terrorismo internazionale” -  ed in particolare l’art. 7-bis comma 1 - dispone che con decreto del Ministro dell’Interno siano individuate le infrastrutture critiche informatizzate d’interesse nazionale, alla cui protezione informatica provvede l’organo del Ministero dell’Interno per la sicurezza e per la regolarità dei servizi di telecomunicazione, operando mediante collegamenti telematici definiti con apposite convenzioni con i responsabili delle strutture interessate.

In tale contesto, la direttiva del Ministro dell’Interno datata 28/04/2006 (recante “Riassetto dei comparti di specialità delle Forze di Polizia”) ha rimesso alla competenza primaria della Polizia di Stato garantire, in via generale, l’integrità/funzionalità della rete informatica, ivi compresa la protezione delle infrastrutture critiche informatizzate, nonché la prevenzione/contrasto degli attacchi di livello informatico nei confronti delle strutture di livello strategico per il Paese.

Coerentemente con gli indirizzi strategici di cui sopra, con D.P.C.M. del 24/01/2013 sono stati delineati gli indirizzi per la protezione cibernetica e la sicurezza informatica nazionale, definendo (all’art. 1) l’architettura istituzionale deputata alla tutela della protezione dello Stato italiano relativamente alle infrastrutture critiche materiali ed immateriali. Con D.P.C.M. del 27/01/2014 sono stati successivamente adottati il “Quadro Strategico Nazionale per la Sicurezza Nazionale dello Spazio Cibernetico” ed il “Piano Nazionale per la Protezione Cibernetica e la Sicurezza Informatica”.

Giova ancora precisare che le misure di sicurezza volte a garantire un livello minimo di protezione dei dati personali sono state individuate all’art. 33 del Decreto Legislativo n. 196 del 30/06/2003 e ss.mm.ii. recante “Codice in materia dei protezione dei dati personali” (si richiama in particolare il relativo Allegato B: ”Disciplinare tecnico in materia di misure minime di sicurezza”).

Si fa oltretutto presente che il Regolamento (UE) 679/2016 del Parlamento Europeo e del Consiglio del 27/04/2016 relativo alla “protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE” (Regolamento Generale sulla Protezione dei Dati vigente a decorrere dal 25/05/2018) prescrive all’art. 32 l’adozione di opportune misure tecniche/organizzative al fine di garantire un livello di sicurezza adeguato al rischio.

Nell’ambito di tale quadro regolamentare, è competenza del Compartimento Polizia Postale e delle Comunicazioni per il Veneto (in qualità di organo territoriale del Servizio Polizia Postale e delle Comunicazioni del Dipartimento della Pubblica Sicurezza) provvedere ad assicurare il buon andamento dei servizi della Polizia Postale e delle Comunicazioni, con particolare riferimento alla prevenzione/repressione dei reati commessi avvalendosi delle specifiche potenzialità tecniche dei servizi o mezzi di comunicazione (anche ad alta tecnologia) ovvero alterando il normale funzionamento degli stessi.

Ciò premesso, si rileva che i sistemi informatici e le reti telematiche di supporto alle funzioni istituzionali della Regione del Veneto sono da considerare alla stregua di “infrastrutture sensibili di interesse pubblico”. Risulta pertanto allo stato necessario prevenire/contrastare ogni forma di accesso illecito (anche tentato) agli stessi con finalità di: a) interruzione dei servizi di pubblica utilità; b) indebita sottrazione di informazioni; c) qualsiasi ulteriore attività illecita.

A tal scopo, già in data 17/10/2001 il Compartimento Polizia Postale e delle Comunicazioni per il Veneto ha stipulato con la Regione del Veneto uno specifico Accordo per la realizzazione di un gruppo di lavoro diretto alla protezione della rete telematica regionale dai crimini informatici aventi ad oggetto sistemi/servizi informatici “critici”, concordando di elaborare - a conclusione di opportuni incontri tecnici tra i rappresentanti delle Parti -  un modello operativo di collaborazione per la prevenzione e la repressione degli stessi.

Tale Accordo di Cooperazione si ispira al principio di “sicurezza partecipata”, nell’intento di assicurare in via sinergica ed efficiente le risorse del “Sistema Paese” a vantaggio dell’intera collettività, contribuendo altresì al contenimento dei costi operativi derivanti da interruzioni di servizi erogati attraverso sistemi informatici e di telecomunicazioni. Si fa presente, infatti, che l’attività di monitoraggio/controllo relativa al traffico della rete telematica regionale e quella investigativa da effettuare in presenza di episodi di pirateria informatica richiedono ordinariamente elevate professionalità e specializzazioni oltre ad un’approfondita e consolidata conoscenza degli aspetti tecnico-giuridici connessi alle normative vigenti ed alle strumentazioni più evolute nel settore della sicurezza dei sistemi informativi.

Si sottolinea peraltro che nell’ambito dei propri compiti istituzionali l’Amministrazione Regionale può prevedere forme di cooperazione con altri Enti dirette a fornire competenze nuove e complementari ai sensi dell’art. 15 della Legge n. 241/90 e ss.mm.ii. il quale consente alle Pubbliche Amministrazioni di concludere tra loro accordi per disciplinare lo svolgimento, in collaborazione, di attività di comune interesse.

Per quanto sopra esposto, si ritiene pertanto opportuno dare continuità alle azioni già intraprese proponendo l’approvazione dello schema di Accordo - tra Amministrazione Regionale e Compartimento Polizia Postale e delle Comunicazioni per il Veneto - finalizzato alla prevenzione e al contrasto dei crimini informatici sui sistemi informativi “critici” della Regione del Veneto e degli Enti Pubblici collegati alla rete telematica regionale (Allegato A, costituente parte integrante e sostanziale della presente deliberazione).

In particolare con detto Accordo le Parti si impegnano a collaborare: 1) al contrasto di attività illegali (quali tentativi di intrusione e attacchi telematici/informatici) e di ogni altra tipologia di violazione di cui potrebbero essere vittime la Regione e gli Enti pubblici esterni collegati alla Rete Telematica regionale; 2) alla condivisione e all’analisi di informazioni idonee a prevenire attacchi o danneggiamenti in pregiudizio delle infrastrutture informatiche della Regione; 3) alla segnalazione di emergenze relative a vulnerabilità, minacce ed incidenti in danno della regolarità dei servizi di telecomunicazione; 4) all’identificazione dell’origine degli attacchi subiti dalle infrastrutture tecnologiche gestite dalla Regione o che traggano origine dalle medesime; 5) alla realizzazione/gestione di attività di comunicazione fra le Parti per fronteggiare situazioni di emergenza.

Si precisa infine che la presente deliberazione non comporta spesa a carico del Bilancio regionale.

Il relatore conclude la propria relazione e propone all'approvazione della Giunta regionale il seguente provvedimento.

LA GIUNTA REGIONALE

UDITO il relatore, il quale dà atto che la struttura competente ha attestato l'avvenuta regolare istruttoria della pratica, anche in ordine alla compatibilità con la vigente legislazione statale e regionale, e che successivamente alla definizione di detta istruttoria non sono pervenute osservazioni in grado di pregiudicare l'approvazione del presente atto;

- RICHIAMATO l’art. 15 della Legge n. 241/1990 e ss.mm.ii.;

- VISTO il Regolamento (UE) 679/2016 del Parlamento Europeo e del Consiglio del 27/04/2016 relativo alla “protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE” (vigente a decorrere dal 25/05/2018);

- RICHIAMATO l’Accordo per la realizzazione di un gruppo di lavoro diretto alla protezione dai crimini informatici della rete telematica della Regione del Veneto  siglato in data 17/10/2001 tra Compartimento Polizia Postale e delle Comunicazioni per il  Veneto e Regione del Veneto; 

- VISTE la Legge n. 249 del 13/07/1997, la Legge n. 3 del 16/01/2003 e la Legge n. 155 del 31/07/2005;

- VISTO il Decreto Legislativo n. 196 del 30/06/2003;

- RICHIAMATA la direttiva del Ministro dell’Interno datata 28/04/2006 e recante “Riassetto dei comparti di specialità delle Forze di Polizia”;

- RICHIAMATI il D.P.C.M. del 24/01/2013 e il D.P.C.M. del 27/01/2014;

- VISTO l'art. 2, co. 2, lett. a), della Legge Regionale n. 54 del 31/12/2012;

- VISTO il D.Lgs. n. 33 del 14/03/2013 “Riordino della disciplina riguardante gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle PP.AA.”

delibera

1. di approvare le premesse quali parti integranti del presente provvedimento;

2. di approvare, come parte integrante/sostanziale della presente deliberazione, l’Accordo ai sensi dell’art. 15 della Legge n. 241/1990 - tra Amministrazione Regionale e Compartimento Polizia Postale e delle Comunicazioni per il Veneto – finalizzato alla prevenzione e al contrasto dei crimini informatici sui sistemi informativi “critici” della Regione del Veneto e degli Enti Pubblici collegati alla rete telematica regionale (Allegato A, parte integrante e sostanziale della presente deliberazione);

3. di incaricare il Direttore della Direzione ICT e Agenda Digitale dell’adozione di ogni atto connesso, consequenziale e comunque necessario a dar corso all’iniziativa di cui si tratta, inclusa la sottoscrizione dell’Accordo di cui all’Allegato A;

4. di incaricare la Direzione ICT e Agenda Digitale dell’esecuzione del presente provvedimento;

5. di dare atto che il presente provvedimento è soggetto a pubblicazione ai sensi dell’art. 23 del D.Lgs. del 14/03/13, n. 33;

6. di dare atto che la presente deliberazione non comporta spesa a carico del Bilancio regionale;

7. di pubblicare integralmente il presente atto nel Bollettino ufficiale della Regione.

(seguono allegati)

Torna indietro