LE MISURE DI SICUREZZA MINIME E IDONEE
PER GLI STRUMENTI ELETTRONICI
di
Avv. Luca Giacopuzzi – www.lucagiacopuzzi.it
SOMMARIO: 1) considerazioni introduttive - 2) le misure minime - 3) le misure idonee - 4) conclusioni
(NB siamo lieti di pubblicare questo interessante articolo dell'avv. Luca Giacopuzzi. Esso costituisce l'efficace rielaborazione di un Suo intervento al Convegno "Privacy e Studi Legali" svoltosi a Verona in data 27 febbraio 2004...alla fine dell'articolo sono scaricabili tutti gli atti del Convegno al quale hanno partecipato alcuni dei maggiori esperti italiani inmateria di privacy e sicurezza)
1) CONSIDERAZIONI INTRODUTTIVE
Albert Einstein ebbe modo di affermare che “l’uomo e la sua sicurezza devono costituire la prima preoccupazione di ogni avventura tecnologica”. Evidentemente il grande scienziato non aveva in mente né computers né reti telematiche. Eppure il monito poc’anzi citato è quanto mai attuale!
D’altronde, oggi tutti utilizzano - o, per lo meno, conoscono - Internet.
L’impatto tecnologico sulla vita sociale ed economica non è oggetto di scelte, ma è inevitabile, nel bene e nel male. Limitarsi soltanto a subire questo radicale ed ineluttabile processo di trasformazione della società corrisponde all’incapacità di coglierne compiutamente gli aspetti vantaggiosi, che sono molti.
In questo senso la scelta fra essere produttori o consumatori di tecnologia non è libera o opzionale. Chi non investe in sviluppo tecnologico con tutta probabilità sceglie una via non solo di declino economico, ma anche sociale e culturale.
E’, insomma, un dato di fatto – oltre che un dato di comune esperienza – che dall’impiego delle tecnologie tutti noi non possiamo (più) prescindere, pena una irreversibile perdità di competitività, un gap che poi sarebbe molto difficile colmare.
Ecco spiegato, dunque, perché dobbiamo confrontarci con la sicurezza informatica, dato che le nuove tecnologie - oltre ai benefici, straordinari, che esse portano agli utenti – spesso racchiudono in sé potenziali pericoli per i dati personali e la riservatezza della vita privata dei fruitori delle tecnologie stesse.
2) LE MISURE MINIME
Esaurita questa doverosa premessa, di carattere introduttivo, addentriamoci in un contesto più strettamente giuridico ed osserviamo, da subito, che il Testo Unico sulla privacy affronta il tema della sicurezza al Titolo V della Parte Prima.
Due, in particolare, le misure di sicurezza che vengono in rilievo: quelle c.d.“minime” e quelle c.d.“idonee”.
Le prime, previste in via generale dagli artt.33 e ss. T.U., sono in concreto individuate dal disciplinare tecnico di cui al c.d.”allegato B” (che sostituisce il sistema delle “misure minime” del d.P.R. 318/99, ora abrogato, emanato in attuazione dell’art.15 della L.675/96) e sono volte ad assicurare un livello (appunto) minimo di protezione dei dati personali. Un livello al di sotto del quale non si può scendere: il mancato rispetto di dette misure, infatti, ai sensi dell’art. 169 T.U. costituisce reato, punito con l’arresto fino a 2 anni o con l’ammenda da 10.000 a 50.000 Euro.
Le misure minime si suddividono in 2 categorie, a seconda che il trattamento dei dati personali avvenga “con” o “senza” strumenti elettronici.
Per quanto concerne la prima ipotesi, va rilevato che l’art. 34 T.U. elenca ben otto misure minime. Nell’individuazione di esse, alcuni concetti ricorrono più di altri.
Sotto questo profilo, pare così opportuno segnalare la particolare attenzione che il Legislatore riserva alla nozione di “autenticazione informatica” (art.34, lett.a): la definizione è nuova (ossia sconosciuta alla L.675/96) e comprende i mezzi – siano essi programmi informatici o componenti hardware – deputati alla verifica ed alla convalidazione dell’identità di un dato soggetto.
E’una misura di particolare importanza, dato che essa, se correttamente posta in essere, garantisce il controllo di chi accede agli elaboratori. L’autenticazione informatica, infatti, ha il compito di verificare l’identità di chi andrà a trattare i dati personali, e di convalidarla dopo averla verificata.
Ciò è possibile grazie all’utilizzo delle c.d. “credenziali di autenticazione”, prescritte alla successiva lettera b) del medesimo art. 34, le quali consistono in quei “dati e dispositivi, in possesso di una persona, da questa conosciuti o ad essa univocamente correlati, utilizzati per l’autenticazione informatica”.
Al di là della definizione poc’anzi citata (art.4, comma 3, lett.d)), va detto – semplificando – che le moderne tecnologie informatiche, per il riconoscimento dell’identità, adoperano i tradizionali codici di accesso e le parole chiave oppure altri dispositivi non mnemonici, i quali ultimi, peraltro, già oggi sono largamente utilizzati.
Nella moderna accezione del controllo degli accessi, pertanto, le credenziali sono costituite da qualcosa che il soggetto incaricato “conosce” (ad esempio: un codice identificativo o una parola chiave), “possiede” (ad esempio: una smart card, un token), oppure “è” (ad esempio: una caratteristica biometrica, come l’impronta di un dito, del volto, della retina).
Al punto 3 del Disciplinare Tecnico è espressamente previsto che ad ogni incaricato siano assegnate o associate individualmente una o più credenziali per l’autenticazione. I termini “assegnate” o “associate” sono relativi alla differenza tra le diverse tipologie di credenziali: una password può essere assegnata, ma non altrettanto un tratto biometrico, che è già patrimonio esclusivo dell’individuo e per queste credenziali è dunque riservato il concetto di associazione e non di assegnazione.
Data la particolare delicatezza che rivestono, le credenziali devono essere custodite gelosamente, come si preoccupa di ricordare il punto 4 del Disciplinare.
La credenziale ad oggi più utilizzata è la parola chiave. A nessuno, infatti, sfugge il significato della c.d. “password”, stringa di caratteri alfanumerici, liberamente scelta da un dato soggetto, e ad esso associata.
Nonostante il fatto che essa, in concreto, possa contenere ogni segno presente sulla tastiera di un PC, variamente unito ad altro significante, la casistica insegna che l’utente del sistema, quando viene lasciato libero di scegliere la propria parola chiave, di fatto tenderà a sceglierne una facile da ricordare, come il nome di un familiare.
Ecco, quindi, che la Legge si premura di specificare in uno specifico punto (il 5) le caratteristiche che deve avere una password per essere realmente tale. Sono così prescritte regole di composizione e di uso, che garantiscono un livello di sicurezza minimo.
A norma del Disciplinare Tecnico, infatti, la parola-chiave dovrà essere composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito. Essa, inoltre, non dovrà contenere riferimenti agevolmente riconducibili all’interessato (es.: nome della moglie, marca dell’autovettura, squadra di calcio della quale si è tifosi, ecc.) e sarà modificata da quest’ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi, che diventano tre in caso di trattamento avente ad oggetto dati sensibili o giudiziari.
Le combinazioni basate su credenziali esclusivamente mnemoniche sono però in genere meno sicure delle altre. Ciò spiega il favore sempre crescente delle credenziali c.d. biometriche, all’opposto considerate le più affidabili. Il Garante della Privacy, chiamato a pronunciarsi sul punto, è in ogni caso intervenuto con un provvedimento dettato dalla prudenza (newsletter n. 182 dell’8-14 settembre 2003), secondo il quale l’utilizzo generalizzato ed indiscriminato di tali sistemi non è consentito in quanto esso viola il principio di proporzionalità tra gli strumenti impiegati e le finalità prospettate.
Successivamente al riconoscimento (e, quindi, successivamente all’identificazione) dell’incaricato, un “sistema di autorizzazione” (altra misura “minima”, contemplata all’art. 34 lett.c)) permetterà al soggetto, verificato attraverso le credenziali ad esso associate, di trattare i dati.
E’necessario, a tal fine, che l’incaricato sia stato previamente autorizzato dal titolare (o, se designato, dal responsabile) a trattare determinati dati, ai sensi dell’art. 30 del Codice. Si tratta, non è chi non veda, di un adempimento preliminare di particolare importanza, che deve essere effettuato per iscritto, con una puntuale specificazione dell’ambito del trattamento consentito.
L’individuazione dei singoli trattamenti consentiti (ad un soggetto, ad esempio, sarà permesso unicamente prendere visione dei dati, e non anche cancellarli o modificarli; un altro incaricato, invece, potrà aver accesso solo ai dati comuni, e non anche a quelli sensibili, ecc.) andrà a costituire il c.d. “profilo di autorizzazione” del singolo incaricato, profilo che sarà sottoposto a verfica almeno una volta all’anno (Punto 14 D.T.).
Correlata alla misura poc’anzi esaminata è, in un certo senso, quella prevista alla lettera successiva del medesimo art. 34, la lettera d).
Questa misura di sicurezza è finalizzata ad una periodica revisione delle autorizzazioni per il trattamento dei dati, nonché delle operazioni consentite agli addetti alla manutenzione ed agli addetti alla gestione degli strumenti hardware e software. La lista degli incaricati ed i relativi profili di autorizzazione – viene precisato al punto 15 del Disciplinare – può essere redatta anche per classi omogenee di incarico.
Particolarmente significativa, poi, è l’indicazione contenuta alla lettera e) dell’art 34.
La norma, che prescrive la protezione degli strumenti elettronici e dei dati da accessi non consentiti e programmi maligni, tende ad impedire che i dati siano trattati illecitamente (ossia in spregio delle prescrizioni di legge), che si verifichino accessi non consentiti nonché azioni distruttive causate da virus, worm e, in generale, da ogni altro codice pericoloso per l’integrità e la confidenzialità del dato stesso.
Sotto questo profilo è importante notare che ogni accesso al sistema informatico compiuto da soggetti non autorizzati è considerato “accesso abusivo”. Detta violazione, perciò, potrà essere posta in essere non solo da persone estranee all’impresa/studio professionale (come, ad esempio, un hacker), ma anche – e più frequentemente – dai dipendenti stessi, che accedono a determinati dati per i quali non possiedono profilo di autorizzazione e di incarico.
Evidentemente, capire come avviene un attacco è di fondamentale importanza per prevenire l’attacco stesso. Non è questa la sede per una disamina, seppur frettolosa, dell’argomento. Basti sul punto sapere che l’attacco viene di norma preceduto da alcune azioni “preparatorie”, articolate in 2 componenti: la prima comportamentale, la seconda tecnica.
La parte comportamentale si avvale di tecniche operative definite di “ingegneria sociale” (social engineering) e di fatto consiste nel reperire informazioni sul bersaglio da colpire sfruttando la naturale propensione delle persone a rispondere a domande dirette ed impreviste, ad aiutare qualcuno che sembra in difficoltà o, all’opposto, che ricopre una carica di prestigio.
La seconda componente, di natura prettamente tecnica, viene invece detta di “ricerca dell’impronta” (footprint). L’hacker, prima di sferrare l’attacco al target, deve infatti raccogliere le necessarie informazioni sull’architettura del sistema, ed in particolare sulla protezione della struttura.
I soggetti che connettano il proprio sistema informatico alla rete Internet, quindi, devono proteggersi (in una rete ben protetta, infatti, solo le aggressioni più sofisticate – e quindi, statisticamente, le meno probabili – possono realmente mettere in crisi il sistema). Ecco, allora, che pare opportuno seguire la prescrizione contenuta al punto 20 del Disciplinare (il quale prescrive l’adozione di “idonei strumenti elettronici” a protezione dei dati sensibili o giudiziari dagli accessi abusivi) qualunque sia il tipo di dato personale oggetto di trattamento, e non solo – come invece prevede l’allegato B – quando venga in rilievo un dato classificato come sensibile o giudiziario. Come noto, il più diffuso strumento di difesa delle reti informatiche è chiamato firewall: dall’adozione di esso, pertanto, non si può prescindere, qualunque sia la grandezza e l’importanza dell’impresa/studio professionale da proteggere.
Per altro verso, giova osservare che gli attacchi sono favoriti, oltre che dalle possibili debolezze delle misure di sicurezza poste a protezione del sistema, anche dalle vulnerabità del software.
E’noto, infatti, che il software contiene molto spesso dei “bug” (letteralmente “insetto”), ossia delle imperfezioni. Alcune di esse sono innocue; altre, invece, facilitano gli attacchi informatici.
Consapevoli di ciò, pertanto, mano a mano che dette vulnerabilità vengono individuate, i produttori del software interessato rilasciano appositi programmi – detti patch (“pezza”) - volti ad ovviare al malfunzionamento dell’applicativo stesso. Il punto 17 del D.T. ci ricorda che è buona norma ricercare frequentemente gli aggiornamenti dei programmi impiegati; detta operazione, in ogni caso, va effettuata almeno una volta all’anno.
Le misure di sicurezza non potevano escludere dall’ambito delle loro previsioni la criticità più ricorrente per i sistemi informatici, rappresentata dall’azione dei c.d. “virus” e loro derivati (script virus, stealth virus, worm, trojan horse), genericamente accomunati sotto l’etichetta di “malware”, parola anglosassone derivante dalla crasi tra “malicious” e “software”.
La “periodicità minima di aggiornamento” di programmi anti-virus (fissata dalla legge in sei mesi: cfr. punto 16 D.T.) è però motivo di ilarità, dato che – come noto a chiunque abbia un minimo di dimestichezza con apparecchiature informatiche – se un software antivirus non viene aggiornato almeno giornalmente esso non è realmente efficace.
Un’ulteriore disposizione, prevista alla lettera f) dell’art.34 e ripresa in dettaglio ai punti 18 e 23 del Disciplinate Tecnico, riguarda l’obbligatorietà di effettuare, almeno ogni settimana, copie di back-up dei dati contenuti nei propri sistemi informatici. Il precetto – non contempato dalla L.675/96 – è senza dubbio importante, ma, a ben guardare, la previsione di legge poc’anzi citata appare “monca”, dato che la stessa dimentica di abbinare alla procedura di “salvataggio dei dati” la non meno necessaria procedura di verifica del “restore” dei dati, al fine di salvaguardare l’effettività di un “disaster recovery”.
Non basta, infatti, effettuare copie di sicurezza, senza constatare periodicamente che il dato ivi contenuto sia realmente disponibile ed integro. Il processo di disaster recovery (ossia quel processo che consente di ripristinare il normale funzionamento del trattamento dei dati in seguito ad una inaspettata interruzione del trattamento stesso) va quindi sempre condotto, sebbene la legge ne prescriva l’obbligatorietà con riferimento ai soli trattamenti aventi ad oggetto dati sensibili o giudiziari.
Da ultimo, pare opportuno segnalare che è prevista quale “misura minima” anche la tenuta di un documento programmatico sulla sicurezza (c.d. DPS).
La predisposizione di un documento programmatico annuo sulla sicurezza è una misura già prevista dal d.P.R. 318/99, ma il Disciplinare Tecnico innova sensibilmente sul punto, dato che nel precedente decreto il DPS doveva essere obbligatoriamente stilato solo in caso di trattamento di dati sensibili e/o giudiziari effettuati mediante elaboratori accessibili in Rete.
Con l’impianto normativo attuale detto documento (che, in buona sostanza, è una rappresentazione puntuale dei rischi aziendali e delle contromisure da adottare per gestire l’eventuale emergenza) assume un’importanza fondamentale nella pianificazione di ogni scelta di sicurezza aziendale ed entra a far parte delle documentazioni “obbligatorie” che le imprese che trattano dati sensibili o giudiziari devono tenere. Per espressa disposizione di legge, infatti, il titolare deve riferire nella relazione accompagnatoria del bilancio d’esercizio dell’avvenuta redazione o aggiornamento (incombenza annuale:entro il 31 marzo) del DPS.
Volendo, a questo punto, tracciare un giudizio globale sugli adempimenti imposti, in tema di misure minime, al soggetto che tratti dati personali, va detto che l’adozione delle nuove misure potrebbe creare notevoli problemi applicativi a migliaia di studi professionali ed imprese medio-piccole, che non hanno alle proprie dipendenze persone con le necessarie competenze tecniche.
Il legislatore, in considerazione del fatto che i titolari potrebbero così assumere responsabilità per interventi esguiti da altri (segnatamente, da consulenti informatici) ha ritenuto opportuno tutelarli, prevedendo l’obbligo – al punto 25 D.T. - per l’installatore di rilasciare una “dichiarazione scritta” dell’intervento effettuato, che ne attesta la conformità alle disposizioni del D.T.
3) LE MISURE IDONEE
Prendendo ora in esame le misure c.d. “idonee”, va osservato che esse sono disciplinate dall’art. 31 T.U., articolo che impone al titolare del trattamento dei dati personali di predisporre tutte le misure di sicurezza idonee a ridurre al minimo “i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta”.
A questo punto, un’importante osservazione: se l’adeguamento alle “misure minime” implica l’assenza di responsabilità penali, tale adeguamento non è sufficiente per affrancarsi da responsabilità civile qualora l’evoluzione tecnologica renda disponibili accorgimenti ulteriori che soddisfino le misure dichiarate “idonee”.
Ciò perché – ai sensi dell’art. 15 T.U. – “chiunque cagiona danno ad altri per effetto del trattamento dei dati personali è tenuto al risarcimento ai sensi dell’art. 2050 c.c.”.
L’art. 2050 c.c., infatti, (norma alquanto rigorosa, dettata in tema di esercizio di attività pericolose) prevede che l’esercente l’attività pericolosa – e quindi, nel nostro caso, il titolare del trattamento - vada esente da responsabilità solo se riesca a dimostrare di aver adottato tutte le misure idonee ad evitare il danno. In caso contrario, ai sensi del 2°comma dell’art. 15 T.U., egli dovrà rispondere anche del danno non patrimoniale (come accaduto nel caso deciso dal Tribunale di Orvieto con sentenza 22.11.02 n. 254: fattispecie in tema di risarcimento dei danni morali sofferti da alcuni clienti di un Istituto bancario).
Come si evince facilmente, l’adeguamento alla previsione di legge poc’anzi citata (art. 2050 c.c.) è particolarmente difficoltoso. Secondo la giurisprudenza, infatti, può provare di aver adottato ogni misura idonea chi dimostri di aver rispettato “tutte le tecniche note” – anche solo astrattamente possibili – all’epoca del fatto (cfr. Tribunale di Milano, 19 novembre 1987, in Foro Italiano, 1988, I, 144).
Da altro punto di vista, è opportuno precisare che nell’ambito dei danni da risarcire non sarà incluso il solo pregiudizio patrimoniale (nelle note forme del “danno emergente” e “lucro cessante”), ma anche il danno morale, come si desume dall’inequivoco tenore dell’art.15 D.Lgs. 196/03.
L’espressa estensione al trattamento di dati personali della risarcibilità del danno non patrimoniale è sintomatica della particolare attenzione che il Legislatore ha voluto rivolgere ai danneggiati, dal momento che il danno che ricorre più frequentemente è proprio quello relativo alla sfera morale dell’individuo, di cui sarebbe stata altrimenti esclusa la risarcibilità (stante il precetto dell’art. 2059 c.c.).
Il titolare e il responsabile, perciò, oltre a quelle minime previste, devono anche adottare misure di prevenzione “idonee” a ridurre - per quanto possibile - i rischi, prevenibili e prevedibili, che incombono sui dati.
Riassumendo, l’impresa/lo studio professionale che operi on line, al fine di “ridurre i rischi”, dovrà:
a) osservare il livello di sicurezza minimo di legge (per evitare conseguenze penali);
b) approntare le misure di sicurezza ulteriori, che in base al caso concreto si potevano predisporre (altrimenti dovrà risarcire i danni eventualmente cagionati a terzi).
4) CONCLUSIONI
Avviandoci a concludere, va notato che le sanzioni per chi ignori la legge ci sono, ed esse – specie in tema di omessa adozione delle misure minime – sono rigorose.
Mi sembra che già questo sia un motivo (un “buon”motivo) perché l’azienda/lo studio professionale prenda coscienza delle indicazioni di legge e vi si conformi.
I soggetti devono pertanto sì “proteggersi”, ma senza mai dimenticare che la sicurezza informatica sarà sempre una chimera finchè esisterà il fattore umano, l’anello più debole della catena.
Chiunque pensi che i prodotti da soli offrano “vera sicurezza” si sta cullando nella sua illusione.
La sicurezza non è un prodotto, ma un processo: è pertanto un’attività fatta di risorse e di persone, che riguarda la sfera organizzativa e non solo quella tecnica.
E’indubbio che tutto ciò richieda uno sforzo, che spesso viene visto con sfavore dagli operatori. Tuttavia credo che siano maturi i tempi perché l’azienda/ lo studio professionale possa capire che la tutela della sicurezza non è un valore antagonista alle esigenze di mercato.
La privacy, insomma, da “costo” deve essere vista come “risorsa”: è questo il salto culturale che oggi ci attende. La scommessa, in altre parole, è passare da un’interpretazione pedante e formalistica della privacy all’impostazione di una politica integrata in tema di sicurezza. E’una scommessa vincente e, tra l’altro, molto remunerativa, dato che l’adottare politiche di riservatezza dei dati rappresenta un valore aggiunto al proprio prodotto o servizio. Una ragione in più, dunque, per adoperarsi in questo senso.
Segue allegato in .pdf degli atti del convegno