1.   La presente decisione stabilisce le condizioni di trattamento per le informazioni classificate UE (ICUE) di livello CONFIDENTIEL UE/EU CONFIDENTIAL (3) e SECRET UE/EU SECRET (4) conformemente alla decisione n. 41/2021 della Corte dei conti.

2.   La presente decisione si applica a tutti i servizi e i locali della Corte dei conti. Si applica inoltre alle sue Sezioni e Comitati che, ai fini della presente decisione, sono inclusi nel termine «servizi».

1.   L’accesso alle informazioni classificate CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET può essere concesso dopo che:

a)	è stata accertata la necessità che una persona abbia accesso a determinate informazioni CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET per poter svolgere una funzione o un compito professionale per la Corte dei conti;

b)	la persona è stata istruita sulla disciplina e sulle norme e gli orientamenti di sicurezza pertinenti per la protezione delle informazioni CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET;

c)	la persona ha preso atto, per iscritto, delle proprie responsabilità in materia di protezione delle informazioni in questione;

d)

la persona ha ottenuto il nulla osta di sicurezza e le è stata concessa l’autorizzazione all’accesso dal direttore di Risorse umane, finanze e servizi generali della Corte dei conti fino al pertinente livello e fino ad una data stabilita, in conformità all’articolo 4, paragrafo 4, della decisione n. 41/2021.

2.   Ai tirocinanti della Corte dei conti non sono assegnati compiti per i quali sia necessario accedere ad informazioni CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET.

3.   L’accesso è negato o permesso per altre categorie di personale, secondo la tabella riportata in allegato.

1.   Un documento è classificato almeno CONFIDENTIEL UE/EU CONFIDENTIAL se la sua divulgazione non autorizzata potrebbe, tra l’altro:

a)	arrecare un concreto pregiudizio alle relazioni diplomatiche, provocando proteste formali o altre sanzioni;

b)	mettere a repentaglio la sicurezza o la libertà individuali;

c)	arrecare danni all’efficacia operativa o alla sicurezza del personale dispiegato dagli Stati membri o da altri contributori ovvero all’efficacia di importanti operazioni di sicurezza o intelligence;

d)	compromettere in modo sostanziale la capacità finanziaria di grandi organizzazioni;

e)	ostacoalare le indagini su un grave reato o agevolare il compimento di quest’ultimo;

f)	ripercuotersi in modo sostanziale contro gli interessi finanziari, monetari, economici e commerciali dell’UE o dei suoi Stati membri;

g)	ostacolare seriamente l’elaborazione o la realizzazione delle principali politiche dell’UE;

h)	bloccare o perturbare seriamente importanti attività dell’UE;

i)	portare alla scoperta di informazioni classificate a un livello superiore.

2.   Le informazioni sono classificate almeno SECRET UE/EU SECRET se la loro divulgazione non autorizzata potrebbe, tra l’altro:

a)	creare tensioni internazionali;

b)	arrecare un grave pregiudizio alle relazioni con paesi non-UE od organizzazioni internazionali;

c)	costituire una minaccia diretta di perdita di vite umane o compromettere gravemente l’ordine pubblico o la sicurezza o libertà delle persone;

d)	arrecare gravi danni all’efficacia operativa o alla sicurezza del personale dispiegato dagli Stati membri o da altri contributori ovvero all’ininterrotta efficacia di operazioni di sicurezza o di intelligence di massima utilità;

e)	arrecare ingenti danni materiali agli interessi finanziari, monetari, economici o commerciali dell’UE o dei suoi Stati membri;

f)	portare alla scoperta di informazioni classificate a un livello superiore.

3.   Gli originatori possono decidere di attribuire un livello di classifica standard alle categorie di informazioni che creano periodicamente. Essi garantiscono tuttavia che le singole informazioni ricevano il livello di classifica appropriato.

1.   Le informazioni sono classificate non appena prodotte. Le note personali, i progetti preliminari o i messaggi contenenti le informazioni che giustificano una classifica di livello CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET sono contrassegnati come tali sin dall’inizio e sono prodotti e trattati in conformità della presente decisione.

2.   Se il documento finale non richiede più il livello di classifica iniziale, deve essere declassato o declassificato, previa conferma da parte dell’originatore dello stesso che ciò può avvenire in sicurezza.

1.   A norma del paragrafo 12 della politica della Corte dei conti in materia di classificazione delle informazioni, il livello generale di classifica di un documento è almeno quello del suo componente con livello di classifica più elevato. Quando si riprendono informazioni da varie fonti, il documento aggregato finale è riesaminato per determinarne il livello generale di classifica di sicurezza, in quanto può richiedere una classifica più elevata di quella dei suoi componenti.

2.   I documenti che contengono parti classificate e parti non classificate sono impostati e contrassegnati in modo che i componenti con livelli diversi di classifica e/o di sensibilità possano essere facilmente individuati e, se necessario, separati. Ciò consente di trattare adeguatamente ciascuna parte una volta separata dagli altri componenti.

1.   Le informazioni che devono essere classificate sono contrassegnate e trattate come tali, a prescindere dalla loro forma materiale. Il livello di classifica è comunicato chiaramente ai destinatari mediante un contrassegno di classifica, se le informazioni sono fornite per iscritto su carta, supporti di memorizzazione rimovibili o utilizzando un sistema di comunicazione e informazione (CIS), o mediante annuncio, se le informazioni sono fornite oralmente (ad esempio in una conversazione o presentazione). Il materiale classificato è contrassegnato in modo chiaramente percettibile per consentire una facile identificazione della sua classifica di sicurezza.

2.   Sui documenti, il contrassegno di classifica completo CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET è scritto in stampatello, prima in francese e poi in inglese, conformemente al paragrafo 3. Il contrassegno non è tradotto in altre lingue.

3.   Il contrassegno di classifica CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET deve essere apposto con le modalità seguenti:

a)	centrato nell’intestazione e nel piè di pagina di ogni pagina del documento;

b)	il contrassegno di classifica completo è scritto su una sola riga, senza spazi da nessuno dei lati della barra obliqua;

c)	in lettere maiuscole, in colore nero, con carattere «Times New Roman» (di dimensione 16, se possibile, ma almeno 14), in grassetto e con un bordo su ciascun lato.

4.   Quando si crea un documento CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET:

a)	ciascuna pagina è contrassegnata chiaramente con il livello di classifica;

b)	ciascuna pagina è numerata;

c)	il documento reca un numero di riferimento, un numero di registrazione e un oggetto che non è in sé un’informazione classificata, a meno che non sia contrassegnato come tale;

d)	tutti gli allegati e il materiale accluso sono elencati, ove possibile sulla prima pagina;

e)	nel documento viene indicata la data in cui è stato creato.

5.   Se possibile, il contrassegno SECRET UE/EU SECRET è scritto in rosso.

1.   I documenti CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET possono recare altri contrassegni o «indicazioni di sicurezza» che specifichino, ad esempio, il settore al quale si riferisce il documento o indichino una distribuzione particolare in base al principio della necessità di conoscere. A titolo di esempio:

RELEASABLE TO LIECHTENSTEIN

2.   I documenti CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET possono recare un’avvertenza di sicurezza che fornisce istruzioni specifiche su come trattarli e gestirli.

Ogniqualvolta possibile, le eventuali indicazioni per la declassificazione sono fornite sulla prima pagina del documento al momento della sua creazione. Ad esempio, può essere apposto il seguente contrassegno:

SECRET UE/EU SECRET fino al [gg.mm.aaaa] e RESTREINT UE/EU RESTRICTED in seguito

1.   I documenti CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET sono creati con mezzi elettronici, se disponibili.

2.   Per la creazione di informazioni CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET, il personale della Corte dei conti utilizza un CIS accreditato come minimo per il corrispondente livello di classifica. In caso di dubbi, dovrebbe esser chiesto il parere del responsabile della sicurezza delle informazioni della Corte dei conti (di seguito: «RSI»).

3.   I documenti CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET, compresi i progetti di cui all’articolo 5, non devono essere inviati per posta elettronica, non devono essere stampati o digitalizzati su stampanti o scanner ordinari né trattati su dispositivi personali dei membri del personale. Per la stampa dei documenti CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET possono essere utilizzate solo stampanti o fotocopiatrici collegate a computer non connessi a reti e protetti da emissioni elettromagnetiche oppure collegate a un sistema accreditato.

1.   Le informazioni classificate di livello CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET sono registrate a fini di sicurezza prima della diffusione e all’atto della ricezione. Sono registrate:

—	quando arrivano o lasciano la zona protetta della Commissione europea a Lussemburgo per l’utilizzo della quale la Corte dei conti ha concluso un memorandum d’intesa;

—	quando sono immesse in un CIS o ne escono.

2.   Le informazioni possono essere registrate su carta o in registri elettronici.

3.   Se le informazioni sono trattate elettronicamente nell’ambito di un CIS, la registrazione può essere eseguita anche mediante processi interni allo stesso CIS. In tal caso, il CIS deve comprendere misure volte a garantire l’integrità delle registrazioni.

4.   Per ogni documento, il responsabile del controllo delle registrazioni tiene un registro comprendente come minimo le informazioni seguenti:

a)	la data in cui il documento classificato finale è stato registrato;

b)	il livello di classifica;

c)	se del caso, la data di scadenza del livello di classifica;

d)	la denominazione del servizio originatore;

e)	il destinatario o i destinatari;

f)	l’oggetto;

g)	il numero di riferimento assegnato al documento dal servizio originatore;

h)	il numero di registrazione;

i)	il numero di copie distribuite;

j)	se possibile, il registro delle fonti utilizzate per creare il documento;

k)	la data di declassamento o declassificazione del documento;

l)	indicazioni dettagliate concernenti la distruzione (luogo, data, metodo, supervisione, certificato di distruzione).

1.   L’originatore esercita il «controllo dell’originatore» sulle informazioni CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET che ha creato. L’autorizzazione preventiva per iscritto dell’originatore è necessaria prima che le informazioni possano essere:

a)	declassificate o declassate;

b)	utilizzate per fini diversi da quelli stabiliti dall’originatore;

c)	divulgate a un paese non-UE o a un’organizzazione internazionale;

d)	comunicate a una parte esterna alla Corte dei conti ma interna all’UE.

2.   I detentori di informazioni classificate CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET sono persone debitamente autorizzate che hanno ottenuto l’accesso alle informazioni classificate per poter svolgere le proprie funzioni. Sono responsabili del trattamento, archiviazione e protezione corretti di dette informazioni, conformemente alla decisione n. 41/2021. A differenza degli originatori delle informazioni classificate, i detentori non sono autorizzati a decidere in merito al declassamento, alla declassificazione o alla successiva divulgazione delle informazioni CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET.

3.   Se non è possibile individuare l’originatore di una informazione CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET, il servizio della Corte dei conti che detiene le informazioni classificate esercita il controllo dell’originatore. Qualora il detentore ritenga necessario comunicare informazioni CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET a un paese non-UE o a un’organizzazione internazionale, la Corte dei conti chiede il parere di una delle parti di un accordo sulla sicurezza delle informazioni concluso con detto paese non-UE o detta organizzazione internazionale (5).

1.   L’uso di supporti di memorizzazione rimovibili, quali chiavette USB, CD, DVD o schede di memoria (compresi SSD (6)) è attentamente controllato e registrato. Sono utilizzati unicamente supporti di memorizzazione rimovibili forniti dalla Corte dei conti o da un’altra istituzione, agenzia od organismo dell’UE e approvati dall’RSI, e criptati con un prodotto approvato dall’RSI. Per trasferire informazioni classificate non devono essere utilizzati supporti di memorizzazione rimovibili personali o distribuiti gratuitamente in occasione di conferenze, seminari ecc. Se possibile, dovrebbero essere utilizzati supporti di memorizzazione rimovibili con sicurezza Tempest, conformemente agli orientamenti dell’RSI.

2.   Quando un documento classificato è trattato o archiviato elettronicamente su un supporto di memorizzazione rimovibile, il contrassegno di classifica è chiaramente mostrato come parte delle informazioni visualizzate, nonché nel nome del file e sul supporto di memorizzazione rimovibile.

3.   Il personale tiene presente che, quando grandi quantità di informazioni classificate sono conservate su supporti di memorizzazione rimovibili, può essere necessario assegnare a detti dispositivi un livello di classifica più elevato.

4.   Per trasferire informazioni classificate CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET verso o da supporti di memorizzazione rimovibili, possono essere utilizzati solo CIS debitamente accreditati.

5.   Prima di scaricare informazioni di questo tipo su un supporto di memorizzazione rimovibile, è necessario prestare particolare attenzione per assicurarsi che detto supporto non contenga virus o malware.

6.   Se del caso, i supporti di memorizzazione rimovibili sono trattati nel rispetto delle procedure operative di sicurezza relative al sistema di cifratura utilizzato.

7.   I documenti su supporti di memorizzazione rimovibili che non sono più necessari, o che sono stati trasferiti su un CIS appropriato, sono rimossi o cancellati in modo sicuro utilizzando prodotti o metodi approvati. A meno che non siano conservati in una idonea cassaforte, i supporti di memorizzazione rimovibili sono distrutti quando non sono più necessari. Qualsiasi distruzione o cancellazione è effettuata conformemente alle norme di sicurezza della Corte dei conti. È tenuto un inventario dei supporti di memorizzazione rimovibili e la loro distruzione è registrata.

1.   Conformemente all’articolo 5, paragrafi 5 e 6, della decisione n. 41/2021, le informazioni CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET sono trattate in una zona protetta (7). Il personale della Corte dei conti può avere accesso a tali informazioni anche in zone protette presso un’altra istituzione dell’UE.

2.   A norma dell’articolo 5, paragrafo 6, della decisione n. 41/2021, e con l’assenso specifico dell’originatore, dette informazioni possono eccezionalmente essere trattate in una zona amministrativa (8) della Corte dei conti, purché le ICUE siano protette dall’accesso di persone non autorizzate.

3.   In tempi di crisi o in caso di emergenza, dette informazioni possono essere trattate all’esterno di una zona protetta o di una zona amministrativa, purché il detentore si sia impegnato ad attuare misure compensative che includono almeno le seguenti:

—	i documenti CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET non sono letti in luoghi pubblici;

—	le ICUE sono tenute sempre sotto il controllo personale del detentore;

—	nel caso di documenti cartacei, il detentore ha comunicato all’ufficio di registrazione delle ICUE, al più presto e a seconda della natura della crisi o della situazione di emergenza, che i documenti classificati vengono trattati fuori da una zona protetta o da una zona amministrativa;

—	i documenti sono riposti in una idonea cassaforte quando non sono letti o discussi;

—	le porte della stanza sono chiuse quando i documenti sono letti o discussi;

—	I dettagli dei documenti non possono essere discussi utilizzando una linea telefonica non sicura o per posta elettronica;

—	il detentore non fotocopia né digitalizza i documenti. Solo l’ufficio di registrazione delle ICUE può fornire copie aggiuntive;

—	i documenti possono essere trattati e tenuti temporaneamente fuori da una zona amministrativa o da una zona protetta solo per il tempo strettamente necessario; dopo di che, sono restituiti all’ufficio di registrazione delle ICUE;

—	alla restituzione dei documenti viene apposta una firma;

—	il detentore non deve né gettar via né distruggere documenti classificati.

4.   Le informazioni CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET sono conservate in una zona protetta, in un contenitore di sicurezza oppure in una camera blindata.

5.   Ulteriori istruzioni possono essere chieste all’RSI.

6.   Qualsiasi incidente, presunto o effettivo, in materia di sicurezza che riguardi un documento è segnalato quanto prima all’RSI.

1.   Le informazioni CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET possono essere riprodotte o tradotte su istruzione del detentore, purché l’originatore abbia specificamente acconsentito e non abbia imposto limitazioni. Tuttavia, il numero di copie non è superiore a quanto strettamente necessario. La Corte dei conti può altresì chiedere all’originatore di fornire una copia tradotta in lingua inglese.

2.   Se viene riprodotta solo una parte di un documento classificato, si applicano le stesse condizioni previste per le copie dell’intero documento. Anche gli estratti sono classificati allo stesso livello, a meno che l’originatore li abbia specificamente classificati ad un livello inferiore o li abbia contrassegnati come non classificati.

3.   Le misure di sicurezza applicabili alle informazioni originali si applicano anche alle copie e alle traduzioni.

1.   Ogniqualvolta possibile, le informazioni CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET che devono essere trasportate all’esterno di una zona protetta o di una zona amministrativa in conformità all’articolo 17, paragrafo 2, sono inviate per via elettronica mediante mezzi adeguatamente accreditati e/o protetti da prodotti crittografici approvati.

2.   A seconda dei mezzi disponibili e delle particolari circostanze, le informazioni CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET possono essere trasportate fisicamente a mano su carta o su supporti di memorizzazione rimovibili. L’utilizzo dei supporti di memorizzazione rimovibili per la trasmissione di informazioni CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET è da preferirsi all’invio di documenti cartacei.

3.   Conformemente all’articolo 6, paragrafo 8, della decisione n. 41/2021, i supporti di memorizzazione rimovibili sono criptati con un prodotto approvato dal Consiglio o dal segretario generale del Consiglio, nella sua funzione di autorità di approvazione degli apparati crittografici, oppure da un’altra istituzione, agenzia o organismo dell’UE per la protezione delle ICUE. Le informazioni CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET contenute in supporti di memorizzazione rimovibili non protetti da un prodotto crittografico così approvato sono trattate allo stesso modo di quelle su copie cartacea.

4.   Le spedizioni possono contenere più di una ICUE, purché sia rispettato il principio della necessità di conoscere.

5.   Gli imballaggi utilizzati assicurano che il contenuto non sia visibile. Le informazioni CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET sono trasportate in due strati di imballaggi opachi, quali buste, cartelle opache o una valigetta portadocumenti. L’imballaggio esterno è sigillato e non deve fornire alcuna indicazione sulla natura o sul livello di classifica del contenuto. Lo strato interno dell’imballaggio è contrassegnato CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET. Entrambi gli strati indicano il nome del legittimo destinatario, il suo titolo e indirizzo professionali, nonché un indirizzo di ritorno nel caso in cui la consegna non possa essere effettuata.

6.   Il personale o i corrieri che trasportano a mano informazioni CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET sono in possesso del nulla osta di sicurezza e muniti di un certificato di corriere.

7.   Le buste ed i pacchetti non devono essere aperti durante il trasporto. Il nulla osta di sicurezza concesso al corriere non lo autorizza ad accedere alle informazioni classificate nella spedizione.

8.   A norma dell’articolo 5, paragrafo 12, della decisione n. 41/2021, l’originatore può inoltre imporre ulteriori misure di sicurezza materiale per proteggere le informazioni dalla divulgazione non autorizzata durante il trasporto.

9.   Qualsiasi incidente, presunto o effettivo, in materia di sicurezza che riguardi informazioni CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET trasportate dal personale o da corrieri è segnalato quanto prima all’RSI per ulteriori indagini.

1.   I supporti di memorizzazione rimovibili utilizzati per il trasporto di informazioni CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET sono accompagnati da una nota di spedizione, indicante nel dettaglio i supporti di memorizzazione rimovibili e tutti i file in essi contenuti, per consentire al destinatario di effettuare le necessarie verifiche e confermarne la ricezione.

2.   Sui dispositivi vengono memorizzate solo le ICUE da trasportare. Tutte le informazioni classificate salvate su un singolo dispositivo devono essere destinate allo stesso destinatario. I mittenti tengono presente che, quando grandi quantità di informazioni classificate sono conservate sullo stesso dispositivo, può essere necessario assegnare un livello di classifica più elevato al dispositivo nel suo insieme.

3.   Per trasportare informazioni CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET sono utilizzati unicamente supporti di memorizzazione rimovibili sui quali è apposto un contrassegno di classifica appropriato.

4.   Tutte le informazioni CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET salvate su supporti di memorizzazione rimovibili sono registrate a fini di sicurezza.

1.   Il personale in possesso del nulla osta di sicurezza può trasportare documenti CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET tra servizi della Corte dei conti e nei locali della stessa, ma i documenti devono rimanere sempre in possesso del latore e non devono essere letti in pubblico.

2.   I documenti CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET non sono inviati per posta interna.

1.   Le informazioni CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET possono essere trasportate dal personale o da corrieri della Corte dei conti oppure dell’istituzione, agenzia o organismo dell’UE originatore in tutta l’Unione, a condizione che siano rispettate le seguenti istruzioni:

a)	per trasmettere le informazioni CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET sono utilizzati doppie buste o doppi imballaggi opachi. L’imballaggio esterno è sigillato e non fornisce alcuna indicazione sulla natura o sul livello di classifica del contenuto;

b)	le informazioni CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET devono rimanere sempre in possesso del latore;

c)	la busta o l’imballaggio non devono essere aperti durante il trasporto e le informazioni non devono essere lette in pubblico.

2.   Il personale dell’ufficio di registrazione che intende inviare informazioni CONFIDENTIEL UE/EU CONFIDENTIAL ad altre località dell’Unione ne può organizzare il trasporto mediante una delle seguenti modalità:

a)	servizi postali nazionali che tengono traccia delle spedizioni o servizi di corriere commerciale che garantiscono la consegna personale a mano, a condizione che soddisfino i requisiti di cui all’articolo 24 della presente decisione;

b)	corriere militare, governativo o valigia diplomatica, in coordinamento con il personale della cancelleria.

3.   Il personale che intende inviare informazioni SECRET UE/EU SECRET ad altri Stati membri dell’UE può organizzare, assieme al responsabile del controllo delle registrazioni, la loro trasmissione solo con corriere militare, governativo o con valigia diplomatica, non tramite un servizio postale o un corriere commerciale.

4.   Tutti i membri del personale della Corte dei conti o i corrieri ufficiali trasportanti informazioni CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET sono muniti di un certificato di corriere per ciascuna spedizione. Detto certificato è rilasciato dal responsabile del controllo delle registrazioni e attesta che il latore è autorizzato a trasportare la spedizione.

1.   Le informazioni classificate come CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET possono essere trasportate a mano dal personale della Corte dei conti, oppure dell’istituzione, agenzia o organismo dell’UE originatore, tra il territorio dell’Unione e il territorio di un paese non-UE.

2.   Il personale dell’ufficio di registrazione può organizzare il trasporto per corriere militare o valigia diplomatica.

3.   Quando trasportano a mano documenti cartacei o supporti di memorizzazione rimovibili classificati come CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET, i membri del personale rispettano tutte le seguenti misure supplementari:

—	quando viaggiano utilizzando mezzi di trasporto pubblici, le informazioni classificate sono contenute in una valigia o una borsa sotto la custodia personale del latore. Ne è vietata la consegna in un deposito di bagagli o come bagaglio da stiva;

—	sullo strato interno dell’imballaggio è apposto un sigillo ufficiale indicante che si tratta di una spedizione ufficiale che non deve essere sottoposta a controlli di sicurezza;

—	il latore è munito di un certificato di corriere rilasciato dal responsabile del controllo delle registrazioni, attestante che è autorizzato a trasportare la spedizione CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET.

1.   Ai fini della presente decisione, l’espressione «corrieri commerciali» comprende i servizi postali nazionali e le società di spedizione che offrono un servizio con il quale le informazioni sono fornite dietro pagamento di una commissione e sono consegnate personalmente a mano o monitorate.

2.   I corrieri commerciali possono trasmettere informazioni CONFIDENTIEL UE/EU CONFIDENTIAL all’interno di uno Stato membro dell’UE o tra due Stati membri dell’UE. I corrieri commerciali possono trasmettere informazioni SECRET UE/EU SECRET all’interno di uno Stato membro dell’UE, ma non oltre i confini dello stesso.

3.   I servizi di corriere commerciale sono resi edotti del fatto che devono consegnare le spedizioni CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET solo al funzionario responsabile del controllo delle registrazioni, a un suo sostituto debitamente autorizzato o al destinatario designato.

4.   I corrieri commerciali possono avvalersi dei servizi di un subappaltatore. Tuttavia, la responsabilità di conformarsi alla presente decisione spetta alla società di corriere.

1.   Nella fase di preparazione delle spedizioni classificate, il mittente tiene conto del fatto che i servizi di corriere commerciale possono consegnare le spedizioni CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET solo al funzionario responsabile del controllo delle registrazioni, a un suo sostituto debitamente autorizzato o al destinatario designato.

2.   Le spedizioni contenenti informazioni inviate tramite un servizio di corriere commerciale approvato sono preparate ed imballate come segue:

a)	inserite in una doppia busta opaca (la busta interna è tale da rendere evidente qualunque tentativo di apertura) o in altro materiale d’imballaggio sufficientemente sicuro;

b)	il livello di classifica è chiaramente indicato sulla busta interna o sullo strato interno dell’imballaggio;

c)	l’imballaggio esterno è sigillato e non riporta alcun contrassegno di classifica;

d)	le buste interna ed esterna o entrambi gli strati di imballaggio sono chiaramente indirizzati ad una persona di cui si specifica il nome presso il destinatario designato e indicano un indirizzo di ritorno;

e)

un modulo di ricevuta di registrazione è posto nella busta interna o nello strato interno di imballaggio affinché sia compilato e rispedito dal destinatario. La ricevuta di registrazione, che di per sé non è classificata, riporta il numero di riferimento, la data e il numero di copia del documento, ma non deve indicarne l’oggetto;

f)	la busta o l’imballaggio esterni devono contenere una ricevuta di consegna. La ricevuta di consegna, che di per sé non è classificata, riporta il numero di riferimento, la data e il numero di copia del documento, ma non deve indicarne l’oggetto;

g)	il corriere deve ottenere, e fornire al mittente, prova della consegna della spedizione mediante ricevuta firmata e orodatata, oppure ottenere le ricevute o i numeri di spedizione.

3.   Prima dell’invio della spedizione, il mittente si mette in contatto con il destinatario indicato per concordare una data e un orario idonei per la consegna.

4.   La responsabilità delle spedizioni inviate mediante corriere commerciale ricade esclusivamente sul mittente. Qualora una spedizione vada perduta o non sia consegnata entro i termini stabiliti, il mittente informa l’RSI e il funzionario responsabile del controllo delle registrazioni, che daranno seguito all’incidente di sicurezza.

1.   Eventuali condizioni di trasporto aggiuntive stabilite in un accordo sulla sicurezza delle informazioni o in accordi amministrativi devono essere rispettate. In caso di dubbio, il personale dovrebbe consultare l’RSI o il funzionario responsabile del controllo delle registrazioni.

2.   Il requisito del doppio imballaggio può venir meno per le informazioni classificate che sono protette da prodotti crittografici approvati. Tuttavia, per indicare l’indirizzo e in considerazione del fatto che sui supporti di memorizzazione rimovibili è apposto un esplicito contrassegno di classifica di sicurezza, questi ultimi sono trasportati almeno in una busta opaca, se del caso con misure di protezione fisica supplementari, ad esempio una busta imbottita a bolle d’aria.

1.   Le riunioni nelle quali sono discusse informazioni di livello CONFIDENTIEL UE/EU CONFIDENTIEL o SECRET UE/EU SECRET si svolgono unicamente in una sala riunioni accreditata per il livello appropriato o un livello superiore. La Corte dei conti può utilizzare sale riunioni situate nell’area protetta di un’altra istituzione dell’UE. Se queste sale non sono disponibili, il personale chiede il parere dell’RSI.

2.   In linea generale, gli ordini del giorno delle riunioni non dovrebbero essere classificati. Un ordine del giorno di una riunione che menziona documenti classificati non è automaticamente classificato. I punti all’ordine del giorno sono formulati in modo da evitare di compromettere gli interessi dell’UE o dei suoi Stati membri.

3.   Gli organizzatori delle riunioni ricordano ai partecipanti che è vietato inviare le osservazioni su un punto CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET dell’ordine del giorno tramite messaggi di posta elettronica o altri mezzi che non sono stati debitamente accreditati conformemente all’articolo 11 della presente decisione.

4.   Gli organizzatori delle riunioni si adoperano per raggruppare in ordine consecutivo i punti CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET all’ordine del giorno, al fine di agevolare il buon funzionamento della riunione. Ai dibattiti sui punti classificati possono essere presenti solo le persone con necessità di conoscere che dispongono di un nulla osta di sicurezza di livello appropriato e sono state debitamente autorizzate.

5.   Negli inviti alle riunioni i partecipanti devono essere avvertiti in anticipo che saranno discussi temi classificati e che saranno applicate adeguate misure di sicurezza.

6.   Gli organizzatori della riunione ricordano ai partecipanti che i dispositivi elettronici portatili devono essere lasciati all’esterno della sala riunione durante il dibattito sui punti CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET.

7.   Gli organizzatori preparano in anticipo un elenco completo dei partecipanti. In conformità all’articolo 4, paragrafo 6, della decisione n. 41/2021, comunicano in tempo utile all’RSI le date, gli orari e i luoghi delle riunioni, nonché gli elenchi dei partecipanti.

1.   Gli organizzatori della riunione informano l’RSI e il funzionario responsabile del controllo delle registrazioni in merito a eventuali visitatori esterni che parteciperanno a una riunione CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET organizzata dalla Corte dei conti europea.

2.   Per poter partecipare a un dibattito sui punti CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET dell’ordine del giorno, i partecipanti dovranno dimostrare di disporre di un valido nulla osta di sicurezza del personale di livello appropriato.

1.   All’inizio di un dibattito classificato, il presidente comunica che la riunione passerà alla «modalità classificata». Le porte sono chiuse.

2.   All’inizio del dibattito i partecipanti e gli interpreti, se del caso, ricevono, previa controfirma, solo il numero necessario di documenti.

3.   I documenti CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET non sono lasciati incustoditi durante gli intervalli della riunione.

4.   Alla fine della riunione, occorre ricordare ai partecipanti e agli interpreti di non lasciare incustoditi nella sala alcun documento classificato o nota classificata. I documenti CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET non necessari ai partecipanti alla fine della riunione e tutti i documenti utilizzati degli interpreti sono firmati e restituiti al funzionario responsabile del controllo delle registrazioni per essere distrutti in distruggi documenti approvati (9).

5.   L’elenco dei partecipanti e una sintesi di eventuali informazioni classificate condivise con gli Stati membri e comunicate oralmente a paesi non-UE o organizzazioni internazionali sono annotati durante la riunione per essere registrati nei risultati dei lavori.

1.   Le informazioni CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET possono essere condivise con un’altra istituzione, agenzia, organismo o ufficio dell’UE solo se il destinatario ha necessità di conoscere e l’entità ha un corrispondente accordo giuridico con la Corte dei conti europea.

2.   Alla Corte dei conti, l’ufficio di registrazione delle ICUE è, di norma, il principale punto d’ingresso e di uscita per gli scambi delle informazioni classificate con altre istituzioni, agenzie, organismi e uffici dell’UE.

1.   Le informazioni CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET possono essere condivise con gli Stati membri se il destinatario ha necessità di conoscere e ha ottenuto un nulla osta di sicurezza.

2.   Alle informazioni classificate degli Stati membri che recano un contrassegno nazionale di classifica equivalente (11) e sono state fornite alla Corte dei conti europea è garantito lo stesso livello di protezione delle informazioni CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET.

1.   Le informazioni CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET sono comunicate a un paese non-UE o a un’organizzazione internazionale solo se il destinatario ha necessità di conoscere e il paese o l’organizzazione internazionale ha posto in essere un adeguato quadro giuridico o amministrativo, quale un accordo sulla sicurezza delle informazioni o un accordo amministrativo con la Corte dei conti europea. Le disposizioni di tali accordi prevalgono sulle disposizioni della presente decisione.

2.   L’ufficio di registrazione delle ICUE funge, di norma, da principale punto d’ingresso e di uscita per tutte le informazioni CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET scambiate tra la Corte dei conti e i paesi non-UE o le organizzazioni internazionali.

3.   Tutte le informazioni classificate che si ricevono da un paese non-UE o da un’organizzazione internazionale sono registrate a fini di sicurezza. Il personale contatta pertanto l’ufficio di registrazione delle ICUE se riceve informazioni classificate che non provengono dal circuito ordinario di tale ufficio.

4.   Per assicurarne la tracciabilità, le informazioni CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET sono registrate:

—	quando entrano nella zona protetta o ne escono;

—	quando sono immesse in un CIS o ne escono.

5.   Le informazioni possono essere registrate su carta o in registri elettronici.

6.   Le procedure di registrazione per il trattamento delle informazioni classificate nell’ambito di un CIS accreditato possono essere eseguite mediante processi interni allo stesso CIS. In tal caso, il CIS comprende misure volte a garantire l’integrità delle registrazioni dei registri elettronici.

7.   Alle informazioni classificate che si ricevono da un paese non-UE o da un’organizzazione internazionale è garantito un livello di protezione equivalente alle ICUE recanti un contrassegno di classifica equivalente, conformemente all’accordo sulla sicurezza delle informazioni o all’accordo amministrativo applicabile.

1.   Se la Corte dei conti o uno dei suoi servizi stabilisce che è necessario, in via eccezionale, comunicare informazioni CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET a un paese non-UE, un’organizzazione internazionale o un’entità dell’UE, ma non esiste un accordo sulla sicurezza delle informazioni o un accordo amministrativo, si applica la procedura di comunicazione eccezionale ad hoc.

2.   I servizi della Corte dei conti contattano l’RSI e l’originatore. La Corte dei conti chiede il parere di una delle parti di un accordo sulla sicurezza delle informazioni concluso con lo stesso paese non-UE, la stessa organizzazione internazionale o la stessa entità dell’UE.

3.   Successivamente alla consultazione, il collegio della Corte dei conti può, su proposta del segretario generale, autorizzare la comunicazione delle informazioni in questione.

1.   Le informazioni restano classificate solo finché necessitano di protezione. Per «declassamento» si intende una riduzione del livello di classifica di sicurezza. Per «declassificazione» si intende che le informazioni non sono più considerate classificate. Al momento della loro creazione, l’originatore indica, quando possibile, se le ICUE possono essere declassate o declassificate ad una certa data o in seguito ad un dato evento. In mancanza di tale indicazione, l’originatore riesamina le informazioni e valuta i rischi almeno ogni cinque anni, al fine di determinare se il livello di classificazione iniziale sia ancora giustificato.

2.   I documenti della Corte dei conti possono anche essere declassati o declassificati ad hoc, ad esempio a seguito di una richiesta di accesso da parte del pubblico.

1.   Le informazioni CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET non sono declassate o declassificate senza l’autorizzazione dell’originatore.

2.   Il servizio della Corte dei conti che ha creato un documento classificato è responsabile della decisione relativa al suo declassamento o alla sua declassificazione. Presso la Corte dei conti, tutte le richieste di declassamento o di declassificazione sono soggette alla consultazione del capo servizio o del direttore del servizio originatore, oppure del capo incarico. Se ha compilato informazioni classificate a partire da varie fonti, il servizio chiede dapprima l’autorizzazione a tutte le altre parti che hanno fornito fonti, compresi gli Stati membri, altri organismi dell’UE, paesi non-UE od organizzazioni internazionali.

3.   Se il servizio originatore della Corte dei conti non esiste più e le sue competenze sono state trasferite ad un altro servizio, la decisione in merito al declassamento o alla declassificazione spetta a quest’ultimo. Se il servizio originatore non esiste più e le sue competenze non sono state trasferite, la decisione in merito al declassamento o alla declassificazione è presa congiuntamente dai direttori della Corte dei conti.

4.   Il servizio responsabile del declassamento o della declassificazione collabora con l’ufficio di registrazione delle ICUE in merito alle modalità pratiche di declassamento o declassificazione.

1.   Il contrassegno originale di classifica in alto e in basso di ogni pagina è barrato in modo visibile (non rimosso) utilizzando la funzione «barrato» per i formati elettronici o manualmente per i documenti stampati.

2.   La prima pagina (di copertina) è timbrata come declassata o declassificata e compilata con i dati dell’autorità responsabile del declassamento o della declassificazione e la relativa data.

3.   I destinatari originari delle informazioni CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET sono informati del declassamento o della declassificazione. Spetta ai destinatari iniziali informare tutti i successivi destinatari ai quali hanno trasmesso l’originale delle informazioni CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET o ai quali ne hanno fornito copia.

4.   Il servizio Archivi della Corte dei conti riceve notifica di tutte le decisioni di declassificazione.

5.   Tutte le traduzioni di informazioni classificate sono soggette alle stesse procedure di declassamento o di declassificazione della versione linguistica originale.

1.   È possibile anche un declassamento o una declassificazione parziale (ad esempio, gli allegati, solo alcuni paragrafi). La procedura è identica a quella prevista per il declassamento o la declassificazione di un intero documento.

2.   La declassificazione parziale di informazioni CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET dà luogo alla produzione di un estratto declassificato.

3.   Nell’estratto declassificato, le parti che rimangono classificate sono sostituite da:

PARTE DA NON DECLASSIFICARE

nel corpo del testo, se la parte che rimane classificata è parte di un paragrafo, oppure come paragrafo, se la parte che rimane classificata ammonta ad uno o più paragrafi completi.

4.   Una menzione specifica è aggiunta nel testo se un allegato completo non può essere declassificato ed è pertanto stato ritirato dall’estratto.

1.   La Corte dei conti non accumula grandi quantità di informazioni classificate.

2.   I servizi originatori riesaminano i documenti almeno ogni cinque anni per distruggerli o cancellarli. Tale riesame è svolto ad intervalli periodici sia per le informazioni su carta che per quelle conservate in un CIS.

3.   Il personale non distrugge le copie cartacee dei documenti CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET di cui non ha più bisogno, ma chiede invece al funzionario responsabile del controllo delle registrazioni di distruggere i documenti, fatti salvi gli obblighi di archiviazione del documento originale.

4.   Se cancella copie di documenti CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET, il personale non è tenuto a informarne l’originatore.

5.   I progetti di materiale contenenti informazioni classificate sono soggetti agli stessi metodi di eliminazione dei documenti classificati finalizzati.

6.   Per distruggere documenti CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET sono utilizzati solo distruggi documenti approvati. Per la distruzione di documenti CONFIDENTIEL UE/EU CONFIDENTIAL sono idonei distruggi documenti di livello 5 della norma DIN 66399. Per la distruzione di documenti SECRET UE/EU SECRET sono idonei distruggi documenti di livello 6 della norma DIN 66399.

7.   I frammenti di documenti provenienti dai distruggi documenti approvati possono essere eliminati come normali rifiuti di ufficio.

8.   Il funzionario responsabile del controllo delle registrazioni crea i certificati di distruzione e aggiorna di conseguenza i registri e le altre informazioni di registrazione.

9.   Tutti i supporti e i dispositivi contenenti informazioni CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET sono sottoposti ad adeguata cancellazione sicura dei dati al termine del loro ciclo di vita. I dati elettronici sono distrutti o soppressi dalle risorse IT e dai relativi supporti di memorizzazione in modo da fornire la ragionevole certezza che le informazioni non possano essere recuperate. La cancellazione sicura dei dati comporta l’eliminazione dei dati dai dispositivi di memorizzazione, nonché di tutte le etichette, i contrassegni e le registrazioni delle attività.

10.   Dopo avere informato il funzionario responsabile del controllo delle registrazioni, i supporti di memorizzazione informatici sono consegnati all’RSI per essere distrutti ed eliminati.

1.   In conformità al memorandum d’intesa concluso tra la Corte dei conti europea e la direzione generale Risorse umane e sicurezza della Commissione sull’utilizzo dell’area protetta di tale DG, si applica la procedura di emergenza stabilita dalla Commissione per la salvaguardia delle informazioni classificate. Se necessario, il responsabile della sicurezza informatica a livello locale della DG della Commissione a Lussemburgo avrà accesso alla cassaforte della Corte dei conti europea per applicare la procedura d’emergenza stabilita dalla Commissione ed attivare eventuali piani di evacuazione o di distruzione d’emergenza per la salvaguardia di ICUE che presentano un rischio significativo di cadere in mano a persone non autorizzate durante una crisi. In ordine di priorità e in funzione della natura dell’emergenza, occorre:

i)	trasferire le ICUE in un altro luogo sicuro, se possibile in una zona protetta all’interno dello stesso edificio;

ii)	evacuare le ICUE in un altro luogo sicuro, se possibile in una zona protetta di un altro edificio, preferibilmente di una istituzione dell’UE;

iii)	distruggere le ICUE, se possibile utilizzando mezzi di distruzione approvati.

2.   Se sono stati attivati piani di emergenza, si dà priorità al trasferimento o alla distruzione delle informazioni SECRET UE/EU SECRET; seguono le informazioni CONFIDENTIEL UE/EU CONFIDENTIAL.

3.   I dettagli operativi dei piani di evacuazione e di distruzione di emergenza sono classificati RESTREINT UE/EU RESTRICTED. Una copia è conservata in ogni cassaforte usata per conservare informazioni CONFIDENTIEL UE/EU CONFIDENTIAL o SECRET UE/EU SECRET, in modo che sia accessibile in caso di emergenza.

1.   Le decisioni in merito a se e quando procedere all’archiviazione e le misure pratiche corrispondenti sono conformi alle politiche della Corte dei conti in materia di sicurezza delle informazioni, classificazione delle informazioni e archivi.

2.   I documenti CONFIDENTIEL UE/EU CONFIDENTIAL e SECRET UE/EU SECRET non devono essere inviati agli Archivi storici dell’Unione europea a Firenze.