Spesso sentiamo parlare di “informazioni classificate” o “secretate” (o “segretate”), di “Top Secret” (non il film!), di NOS (non quello delle macchine truccate!), e cose del genere.
La classificazione delle informazioni è una delle procedure “di difesa” dei governi (usato anche internamente dalle aziende, vedremo poi), utilizzata per la protezione dei documenti a contenuto sensibile.
Cos’è il NOS
Il Nulla Osta Sicurezza (NOS, anche Nulla Osta di Sicurezza), chiamato Security Clearance in ambito NATO, è:
un’abilitazione di sicurezza che consente alle persone fisiche la trattazione di informazioni classificate “riservatissimo” o superiore.
Fonte: Sistema di Informazione per la Sicurezza della Repubblica
Che cosa significa, in termini spiccioli?
Significa che se un “pacchetto” di informazioni è classificato, solo le persone che hanno un livello di accesso uguale o superiore a quello di classificazione possono accedervi, e conoscerne il contenuto (possono esistere delle eccezioni, ne parlerò dopo).
Quindi, la sciura Maria e Gennaro il panettiere non possono accedere ai documenti del progetto del sistema missilistico Aspide, perché la Difesa Italiana ha deciso (opportunamente, direi), che non siano cazzi della sciura e del panettiere, e quindi non ha chiesto che gli si rilasciasse il NOS (in fondo anche perché la MBDA non vuole che ne si conoscano i dettagli riservati in giro, forse).
La classificazione delle informazioni
Tutte le informazioni sensibili hanno un livello di classificazione. I livelli sono ben definiti, e univoci, e identificati da una o più parole, e/o da codici di lettere.
I livelli di classificazione in uso in Italia, ad esempio, sono quattro:
- Segretissimo (SS), il più alto
- Segreto (S)
- Riservatissimo (RR)
- Riservato (R), il più basso, normalmente non necessita di un NOS, anche se sono informazioni classificate
Si definisce “Classificato” qualunque documento bloccato ai più, ma il termine classificato non indica uno specifico livello.
Tutto ciò che non rientra in queste categorie è “non classificato”, cioè teoricamente di libero accesso; in realtà, se io ho un mio personale progetto, non classificato, questo non significa necessariamente che il progetto sia a disposizione di tutti.
Se non è pubblicato, e me lo tengo in casa, comunque applico la “segretezza di base” (ciò che nessuno può vedere è automaticamente segretato).
Variazioni nazionali
La classificazione delle informazioni ovviamente varia da nazione a nazione, in base al tipo di protezione necessaria. Di seguito due esempi, USA e UK, sotto spoiler così da non appesantire il documento a chi non fosse interessato. Nel resto del documento mi riferirò al sistema nostrano.
USA
Gli USA prevedono tre livelli di classificazione, e sono i seguenti:
- Top Secret, assegnato a quei documenti la cui distribuzione non autorizzata può provocare “danni estremamente gravi” alla sicurezza nazionale (tipo i piani dell’inside job del 9/11 :troll: )
- Secret, assegnato a quelle informazioni la cui distribuzione può causare “danni gravi” alla sicurezza nazionale
- Confidential, il livello più basso, assegnato alle informazioni che possono causare danni alla sicurezza nazionale
Le informazioni non classificate, però, possono comunque avere una sottoclassificazione, che può in un certo modo bloccarne l’accesso.
Alcuni esempi sono:
- For Official Use Only (FOUO)
- Law Enforcement Sensitive (LES)
- Security Sensitive Information (SSI)
- Critical Infrastructure Information (CII)
- Protect as restricted data (PARD)
Fonte: Wikipedia
UK
Il Regno Unito prevede cinque livelli di classificazione:
- Top Secret, utilizzato per quei documenti la cui diffusione può causare perdite di vite, incidenti diplomatici, o danni alle operazioni di intelligence
- Secret, per quelle informazioni che possono mettere a rischio vite, o danneggiare l’ordine pubblico o le relazioni diplomatiche
- Confidential, per le informazioni che comportano violazione delle libertà individuali, o che possono danneggiare le relazioni diplomatiche
- Restricted, per le informazioni che, qualora diffuse, possono causare pesante stress a specifici individui, o che possono influenzare l’efficacia di operazioni militari o di polizia
- Protect, per le informazioni che possono causare perdite o guadagni economici impropri, o che possano pregiudicare indagini o danneggiare il governo in negoziazioni commerciali
Fonte: Wikipedia
Organi responsabili
Il Sistema di informazione per la sicurezza della Repubblica (SISR) è la struttura (organi ed autorità) incaricata dell’intelligence italiana, ed ha “preso il posto” della vecchia struttura con la riforma dell’Intelligence italiana del 2007. In sostanza, sono cambiati i nomi degli organi, ma per lo più le differenze sono leggere.
Il cambiamento più sostanziale è aver messo entrambe le branche dell’intelligence “operativa” (interna ed estera, opposte alle precedenti militare e civile) sotto il controllo della Presidenza del Consiglio dei Ministri (lo Stato Maggiore della Difesa dispone già dal 1998 di un proprio servizio di intelligence, il 2° Reparto Informazioni e Sicurezza, II RIS, che non c’entra niente con quello dei Carabinieri e del telefilm).
Prima della riforma
Dal 1977 (data della precedente riforma dell’Intelligence), l’intelligence italiana era così suddivisa:
- Servizio per le informazioni e la sicurezza democratica (SISDE), il ramo civile.
- Servizio per le informazioni e la sicurezza militare (SISMI), il ramo militare.
- Comitato esecutivo per i servizi di informazione e sicurezza (CESIS), incaricato di coordinare i due rami.
- Comitato interministeriale per le informazioni e la sicurezza (CIIS), responsabile della nomina e revoca dei direttori dei precedenti organi.
- Comitato parlamentare di controllo sui servizi segreti (COPACO), che supervisionava il tutto.
Dopo la riforma
Dal 2007, invece, la struttura è così composta:
- Comitato interministeriale per la sicurezza della Repubblica (CISR), sostituisce il CIIS.
- Dipartimento delle informazioni per la sicurezza (DIS), che prende il posto del CESIS.
- Agenzia informazioni e sicurezza esterna (AISE), che sostituisce principalmente il SISMI.
- Agenzia informazioni e sicurezza interna (AISI), che sostituisce principalmente il SISDE.
Ufficio centrale per la segretezza
L’Ufficio centrale per la segretezza (UCSe) svolge funzioni direttive, consultive, di coordinamento e controllo in materia di tutela amministrativa del segreto di Stato e delle classifiche di segretezza.
In particolare l’UCSe:
- Cura gli adempimenti istruttori relativi all’esercizio delle funzioni del Presidente del Consiglio quale Autorità nazionale per la sicurezza, a tutela del segreto di Stato.
- Predispone le misure volte a garantire la sicurezza di quanto è coperto dalle classifiche di segretezza.
- Cura il rilascio e la revoca delle abilitazioni di sicurezza per le persone fisiche e giuridiche.
- Conserva e aggiorna l’elenco di tutti i soggetti muniti di NOS.
- Cura l’attività di negoziazione e predisposizione degli accordi di sicurezza con organizzazioni internazionali e Paesi esteri.
Cioè, in sostanza, l’UCSe rilascia il NOS che tanto ci interessa.
[spoiler]Lo so che ora starete pensando “e non potevi dirlo subito?”, ma mi serviva chiarire un po’ la struttura del servizio informazioni, per far capire che non è una cosa semplice semplice.[/spoiler]
Quali sono le informazioni sensibili
Come già accennato con l’esempio della sciura e del panettiere, le informazioni sensibili sono quelle il cui rilascio può comportare danni economici, danni alla sicurezza nazionale, perdita di vite (o messa in pericolo delle stesse), ostacolo ad indagini e ad operazioni militari o di polizia, danni alle relazioni diplomatiche, e tutto quello che, in termini spiccioli, “incasina” lo stato ed i suoi organi.
Alcune informazioni possono sembrare innocue ai più, ma in realtà da un punto di vista istituzionale sono molto sensibili.
Ad esempio, un militare inviato in missione, teoricamente non deve rivelare ai suoi parenti il luogo in cui si sta recando, ma può comunicare solo di essere impegnato in una operazione (non può neanche specificare se addestrativa o operativa).
In pratica tutti i militari italiani tendono a fregarsene di questa regola, e spiattellano tutto, soprattutto quando c’è un cospicuo bonus economico in ballo.
Dov’è il rischio nel rilascio?
Vediamo tre esempi di problemi nel rilascio delle informazioni.
1) L’incazzatura del ComSubIn
Se il giornalista Martino Carrozzino pubblicasse su [scegli la tua testata preferita] un documento ufficiale, vidimato dal Capo di Stato Maggiore della Difesa, ricevuto dal Capo di Prima Classe FCM/CSL Arturo Maduro, in cui si autorizza l’invio di una squadra di otto uomini del ComSubIn in missione segreta nella valle di Korangal, per stanare un gruppo di militanti di Al-Qaida, ci ritroveremo probabilmente con cinque-sei uomini del ComSubIn in meno (voglio sperare che almeno due o tre si salvino, sono ex colleghi e li stimo tantissimo), ed una rabbia colossale da parte del raggruppamento intero (e per quella sono cazzi amari).
2) La monorotaia magnetica
Fingiamo ora, ad esempio, che Mario Rossi, impiegato di medio-alto livello del Ministero degli Interni, parlando a cena con il suo caro amico Giuseppe Verdi (non il DJ), che di mestiere lavora per la AnsaldoBreda, si lascia scappare che il Ministero delle Infrastrutture e dei Trasporti sta valutando la costruzione di una monorotaia magnetica per agevolare i trasporti pubblici di Roma, il buon Giuseppe dopo cena manderà un SMS a Nicola Giallo, il suo capo, che è uno dei manager della AnsaldoBreda.
Il giorno dopo, Nicola convoca il consiglio d’amministrazione, ufficializza il leak, e la AnsaldoBreda impiega il suo reparto R&D nello sviluppo della tecnologia necessaria.
Tra un anno, AnsaldoBreda ha un ottimo sistema per monorotaia magnetica (che comunque non guasta mai avere), e il Ministero delle Infrastrutture e dei Trasporti annuncia il lancio di un appalto per questo contratto. AnsaldoBreda batte tutti perché, avendo già sviluppato il sistema grazie al leak, può offrire il costo più vantaggioso rispetto alle compagnie concorrenti, che devono includere anche l’R&D.
3) La zoccola russa
Prendiamo un terzo esempio. Antonio Miracoli, che lavora al Ministero degli Esteri come autista factotum, durante un viaggio di lavoro a Mosca, mentre è in discoteca la sera, incontra Tatyana (chi è Tatyana?!).
Dato che chiaramente Antonio c’ha (voce del verbo c’avere) il soldo, Tatyana ci sta, e l’after-hour se lo fanno nella di lui camera allo Swissotel Krasnye Holmy, con fragole, panna e una bottiglia di Piper Heidsieck’s Rare del 2002.
Dopo l’after-after-hour (dovrei chiamarlo after-after-after-hour?) Antonio, che a lui Tatyana piace proprio e vuole continuare il discorso, decide di regalarle un diamante rosso grezzo da 15 carati. Tatyana spalanca gli occhi, piacevolmente sorpresa, poi va giù, e fa chiudere gli occhi (parimenti piacevolmente sorpreso) ad Antonio, e poi gli chiede “Ma duove ha trovvato tu kuesto diamante?”.
Antonio, guardandola negli occhi, risponde “Quando lavori per gli esteri, e sai che il [inserisci il tuo stato africano preferito] ha bisogno di supporto medico, è facile rimediare qualche gadget omaggio”. Tatyana, che all’insaputa di Antonio è un agente dello Služba Vnešnej Razvedki, fa tesoro di questa informazione (e del diamante, che chiaramente utilizzerà come prova dei fatti), e il giorno dopo la comunica al direttorato, il quale la comunica al Ministero per gli Affari Esteri, che la comunica al rappresentante russo alle Nazioni Unite.
Alla prossima riunione dell’ONU, il rappresentante russo chiede la parola, e dice: “ci suono un italliano e un [inserisci la forma aggettivata della nazione africana che hai scelto più sopra] in un bar.
Il [l’africano di cui un momento fa] dice: ‘io avere bisogno di medicine, perché poppolo sente male’, e italliano rispuonde: ‘tu dare diammanti, io dare medicine'”. E scoppia il casino all’ONU.
[spoiler]In questo caso c’è anche una forte lezione di vita: le donne russe sono tutte zoccole, meglio non fidarsi.[/spoiler]
Questi sono, ovviamente, solo alcuni esempi, presi per mostrare il “diretto ed immediato rischio”, il “rischio non chiaro”, e il “casino royale” coinvolti nel trattamento di queste informazioni.
Come eliminare/ridurre il rischio?
Il NOS entra in scena in questi casi, per eliminare, o quanto meno ridurre, il livello di rischio di diffusione di informazioni sensibili. Vediamo i tre esempi di cui sopra.
1) L’incazzatura del ComSubIn
Il documento che autorizza la missione è un documento classificato come Segretissimo, dato che il rilascio mette a rischio vite umane, e svela una missione dei corpi speciali.
Il C1C FCM/CSL Arturo Maduro, essendo “semplicemente” un Fuciliere di Marina addetto alla Logistica, ha un NOS di Riservatissimo, quindi il documento di cui sopra non può finire nelle sue mani, e non può essere consegnato a Martino Carrozzino.
2) La monorotaia magnetica
Il dialogo tra ministeri in merito alla possibilità di avviare il progetto è classificato come Riservatissimo. Mario Rossi è un impiegato di medio-alto livello, ma pur sempre un impiegato, del Ministero degli Interni. Avrà un NOS al più di Riservato (magari non lo avrà proprio), e quindi non avrà accesso a tali comunicazioni tra i ministri.
3) La zoccola russa
Antonio Miracoli è un semplice autista factotum, e non ha alcun NOS, perché non partecipa ai meeting (dopotutto ha la quinta elementare ed ha preso il posto perché cugino del marito della zia del cognato del portaborse del Ministro).
Questo gli impedisce di essere a conoscenza degli accordi segreti tra l’Italia e [lo stato africano di cui sopra], e soprattutto di avere uno dei simpatici gadget omaggio che ricordino l’evento.
Ma cosa vieta di sputtanare comunque?
Ovviamente, qualcuno avrà comunque accesso a tali documenti, per lo meno due persone (mittente e destinatario), probabilmente di più (i due segretari, o chi redige fisicamente il documento, e così via), e sicuramente qualcun’altro (Google, NSA), ed infine i gombloddari (ma di loro non ci si deve preoccupare, dicono sempre di avere i documenti ufficiali ma non li pubblicano mai, che strano).
Il NOS interviene anche in questo caso. Non è che domani io vado al Comune di Cellamare per chiedere lo stato di famiglia, e quello dell’anagrafe mi dice “ho un NOS di Segretissimo che avanza, lo vuoi?”.
Per assegnare un NOS ad un individuo, ci vogliono comunque garanzie, e l’individuo dichiara di assumersi la responsabilità del possesso di tali informazioni, che può variare da una sanzione amministrativa sino al carcere, in base al tipo di informazioni rilasciate. L’accusa può addirittura includere il reato di Alto Tradimento.
Diciamo che, nella maggior parte dei casi, lo spauracchio della pena spinge molti a starsi zitti. In alcuni casi, però, ci potrebbero essere incentivi al parlare anche se c’è un grosso rischio.
Nel mondo esistono i corrotti e gli incorruttibili. I secondi hanno solo un prezzo più alto.
[spoiler]Per i gamers in lettura, l’acquisizone del NOS sarebbe come l’accettazione della NDA delle Beta, solo che sappiamo tutti che nessuno vi incarcera quando recensite HearthStone dalla Beta.[/spoiler]
Qual è la validità del NOS?
Il NOS può essere negato, revocato, sospeso, ridotto di classifica di segretezza, di qualifica di sicurezza internazionale e dequalificato in tutti i casi in cui emergano, nei confronti della persona in esso indicata, fondati elementi che influiscono negativamente sulla sua affidabilità sotto il profilo della scrupolosa fedeltà ai valori della Costituzione repubblicana ed alle ragioni di sicurezza dello Stato, nonché della conservazione del segreto.
Fonte: Wikipedia
Inoltre, il NOS vale, dal rilascio, 10 anni per i livelli “segreto” e “riservatissimo”, 5 anni per il livello “segretissimo”.
Fonte: Servizio Informazioni per la Sicurezza della Repubblica
Eccezioni
Esistono delle eccezioni, come accennato in precedenza. Possedere un NOS non significa necessariamente avere accesso ai documenti.
Una clausola importante nell’applicazione del NOS è quella della “necessità” (need to know, in inglese).
Per fare un esempio concreto, il Ministro della Pubblica Istruzione, se pur dovesse avere un NOS di Segretissimo (tiro a indovinare in quanto si tratta di un ministro, magari non ha neanche quello), non potrà comunque accedere a documenti militari classificati come tali, perché completamente al di fuori della sua sfera di influenza (leggi: non ha necessità di accedervi).
Il Ministro degli Esteri, invece, potrà utilizzare il suo NOS di Segretissimo (Emma son certo che ce l’abbia) per accedere ai fascicoli sulle operazioni militari italiane in corso, dato che influenzano/possono influenzare le relazioni estere, ma comunque dovrà richiedere ufficialmente l’accesso ai dettagli di pura natura militare (che le potranno comunque essere comunicati, ma sono di base “esclusi” dal fascicolo a sua disposizione), perché non sono normalmente di sua “necessità”.
Ci si può trovare, quindi, in situazioni in cui una persona ad un livello di inquadramento più basso abbia maggiori accessi di una persona ad un livello più alto, perché relativo all’ambito specifico (la necessità). Quando ero in servizio in Marina, ad esempio, come segretario del reparto Genio Navale, da semplice Comune di Seconda Classe SSP/TM/MC-MN-SA (meccanico-motorista, addetto al servizio antincendio), avevo un NOS di Riservato, laddove gli Aspiranti Guardiamarina non avevano un NOS (quindi accedevano a documenti riservati solo su ordine degli ufficiali superiori). Quando poi ho cambiato ruolo, ed ho ottenuto un NOS di Segreto, ho “superato” diversi ufficiali superiori.
Pubblici e privati
Il NOS si applica sia ai dipendenti pubblici che a quelli privati, in base ovviamente alla necessità di accedere alle informazioni.
Il CEO di AnsaldoBreda riceverà, dopo aver vinto l’appalto per la monoratia magnetica, un NOS sufficiente ad accedere alle informazioni sul progetto urbanistico che coinvolge la monorotaia.
Il CCO della FuffaAlimenti™, responsabile dell’invio delle razioni K alle truppe al fronte, avrà un NOS sufficientemente alto da sapere dove mandarle, e quante mandarne, ma ovviamente la sua “necessità” non gli consentirà di sapere quali truppe siano impegnate, e quali operazioni condurranno.
Il CFO di Beretta ha un NOS sufficientemente alto da conoscere l’entità degli ordini di pistole 92 FS fatti dall’Esercito Italiano, ma non abbastanza alto da sapere a quali reparti le pistole verranno consegnate.
La combinazione di NOS e necessità, e la “compartimentazione” delle informazioni, quindi, fanno sì che le persone a conoscenza di un certo documento (o informazione) siano limitate, e soprattuto “schedate” (non nel senso che se le beccano con un po’ di Maria vanno dentro per un mese per precedenti, ma nel senso che si sa chi siano).
Questo fa anche sì che ad anni di distanza si riesca a restringere il cerchio dei sospetti sul rilascio di un’informazione segretata.
Il need to know soprattutto è importante. Consente di bloccare l’accesso alle persone con un NOS sufficientemente elevato, a meno che non lo richiedano esplicitamente (meno persone sanno, meno possono divulgare).
Potrei aver dimenticato qualcosa, non me ne voglia nessuno, se ne può parlare nei commenti senza problemi. Ho semplificato alcuni concetti, ovviamente, per rendere il discorso più facile da capire; again, non me ne voglia nessuno.
Per quanto riguarda i vostri segreti personali, ricordate la regola numero uno della segretezza:
Ciò che nessuno può vedere è automaticamente segretato.
Quindi, quando fate l’upload di un vostro documento privato su DropBox o sistemi simili, ricordatevi che avete già infranto la regola numero uno.
Stesso dicasi quando pensate di usare un software “sicuro” in quanto Open Source.
NIENTE è mai sicuro quando avviene una trasmissione, la storia l’ha insegnato più volte, ma pare che sia la lezione meno appresa.
- Il NOS su Wikipedia
- La pagina del Sistema di Informazione per la Sicurezza della Repubblics.