










Studia grazie alle numerose risorse presenti su Docsity
Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium
Prepara i tuoi esami
Studia grazie alle numerose risorse presenti su Docsity
Prepara i tuoi esami con i documenti condivisi da studenti come te su Docsity
Trova i documenti specifici per gli esami della tua università
Preparati con lezioni e prove svolte basate sui programmi universitari!
Rispondi a reali domande d’esame e scopri la tua preparazione
Riassumi i tuoi documenti, fagli domande, convertili in quiz e mappe concettuali
Studia con prove svolte, tesine e consigli utili
Togliti ogni dubbio leggendo le risposte alle domande fatte da altri studenti come te
Esplora i documenti più scaricati per gli argomenti di studio più popolari
Ottieni i punti per scaricare
Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium
riassunto completo del testo, semplice e veloce
Tipologia: Dispense
1 / 18
Questa pagina non è visibile nell’anteprima
Non perderti parti importanti!











5.1 La nozione di sicurezza e diritto Per delineare un quadro sufficientemente completo in tema di sicurezza informatica bisogna tenere conto sia delle sollecitazioni provenienti dal mondo tecnico-informatico, sia da quelle provenienti dal mondo giuridico. Purtroppo però, il nostro ordinamento usa la parola "sicurezza" senza che il legislatore se ne sia mai davvero occupato, non dandone cosi alcuna definizione univoca. L'unica definizione sufficientemente chiara oggi presente è contenuta all'interno di una norma UNI (ente italiano di unificazione), nella quale si afferma, in primis, la natura progettuale della sicurezza e in secundis la sua rilevanza economica. Secondo tale norma "La sicurezza è studio, sviluppo ed attuazione delle strategie, delle politiche e dei piani operativi volti a prevenire, fronteggiare e superare eventi in prevalenza di natura dolosa e/o colposa, che possono danneggiare le risorse materiali, immateriali ed umane di cui l'azienda dispone e necessita per garantirsi un'adeguata capacità concorrenziale nel breve, medio e lungo periodo”. Se tale definizione è in effetti la più completa, risulta comunque mancare di alcuni elementi, tra cui, l'individuazione dei target di sicurezza che un sistema informatico deve porsi in materia di sicurezza. Per questi elementi, di fondamentale importanza fu l'intervento della commissione europea, la quale iniziò col definire il concetto di "rete" come un sistema in grado si conservare, elaborare e veicolare i dati. A ciò seguì l'individuazione delle caratteristiche che la rete deve presentare al fine di rispondere ai requisiti di sicurezza:
5.2 L'applicazione pratica della sicurezza: le vulnerabilità più comuni Tracciare un profilo delle più comuni vulnerabilità è oggi molto complesso, ciò anche grazie al fatto che il costante progresso dei software se da un lato ha prodotto molteplici vantaggi, ha anche creato un'ulteriore molteplicità di problemi. Per questo sono nati diversi istituti con lo scopo di identificare tali vulnerabilità e permettere ai sysadmin di risolverli. Tra questi istituti, alcuni dei più importanti sono il SANS institute e il NIPC(national infrastructure protection center) che periodicamente pubblicano un elenco delle venti vulnerabilità più critiche per la sicurezza. Queste vulnerabilità sono divise in tre categorie: 1) generali= perché comuni a tutti i sistemi operativi; 2) di sistemi di classe windows; 3)di sistemi di classe unix. 5.2.1 Problemi correlati alle installazioni predefinite dei sistemi operativi e delle applicazioni Tale problema nasce dal fatto che la maggior parte dei software contengono script o programmi di installazione che rendono le procedure di installazione sempre più rapide possibile, abilitando però, di default, le funzioni ritenute più importanti dal creatore del programma. Per permettere ciò però, gli script, installano più componenti di quelli necessari all'utente, evitando cosi di porre domande complesso allo stesso. Se ciò, da un lato, è una comodità, dall'altro, è una delle principali cause di vulnerabilità dei sistemi in quanto l'utente, non utilizzando questi software, non svolge degli aggiornamenti sulle patch di sicurezza degli stessi i quali risultano quindi essere dei programmi non aggiornati che possono essere utilizzati da intrusi per ottenere il controllo del sistema. Solo per i sistemi operativi poi, tali installazioni predefinite corrispondono all'apertura di porte del sistema all'insaputa dell'utente. Per ciò che attiene alle applicazioni, le installazioni predefinite contengono programmi o script idonei ad abilitare funzioni aggiuntive ma non necessarie all'utente portando cosi alla possibilità di subire attacchi. 5.2.2 Insicurezza dei dati a causa di account senza password o con password deboli Molti sistemi usano le password come prima ed unica linea di difesa dai tentativi di autenticazione non autorizzati, a cui si aggiunge poi la facilità di ottenere gli user ID degli stessi sistemi. Da ciò deriva come la password deve quindi detenere certi elementi necessari volti a garantire la sicurezza del sistema, ma in alcune ipotesi ciò non avviene in quanto vengono, ad esempio, utilizzate password facili, password direttamente riconducibili all'utente o, ancora peggio, vi sono sistemi che non usano password. È quindi consigliabile verificare con cadenza periodica tutti gli account aventi password deboli o predefinite ed eliminare, se possibile, tutti quegli account senza password e quelli c.d. incorporati o predefiniti (Guest). 5.2.3 Problemi di sicurezza causati da backup inesistenti o incompleti Un backup è uno strumento necessario per rimediare ad un eventuale disastro informatico, ma per fare ciò, questo deve quantomeno essere aggiornato e funzionante. Accade spesso però che si creino backup senza definire policy e procedure per il ripristino dei dati ed, eventuali errori progettuali di questo tipo vengono ad essere individuati solo troppo tardi, ossia, solo dopo che i dati sono già stati distrutti o danneggiati da aggressori. Un altro problema è dato dalla scarsa protezione fisica dei supporti di backup. I supporti infatti, contengono l stesse informazione presenti sui server, per cui devono essere necessariamente protetti mediante procedure che non permetto l'accesso ai dati in esso contenuti, se non a soggetti predeterminati. 5.2.4 Problemi di sicurezza causati da file sharing, instant messaging e numero elevato di porte aperte Sia gli utenti che gli intrusi, si connettono ai sistemi tramite delle porte lasciate aperte. Perciò, più saranno le porte aperte, più possibilità verranno offerte a chi voglia collegarsi. È importante perciò, lasciare aperte solo il minor numero di porte necessarie affinché il sistema
di questo sistema di cifratura possiamo ancora distinguere tra algoritmi di sostituzione e di trasposizione. Gli algoritmi simmetrici si possono poi dividere in cifrari di flusso e cifrari di blocco ( a seconda che il codice venga utilizzato per elementi singoli o sulla base di determinati raggruppamenti). 6.2.1. Il DES (Data Encrypting Standard) Uno dei primi sistemi a chiave simmetrica venne commercializzato nel 1972 dall’IBM con il nome di Lucifer. A partire dal 1974 il NIST si mise alla ricerca di un algoritmo talmente affidabile da poter essere utilizzabile come standard per la pubblica amministrazione americana. La proposta vincente fu denominata DEA, la quale derivava proprio dal sistema lucifer. Nel 1977 venne dichiarato standard della p.a. americana con il nome di DES. Essa però, creò diversi problemi perché, se da un lato si voleva una tecnologia talmente robusta da venir accettata, dall’altro lo si voleva non cosi tanto robusto da non poter essere aggirato se necessario. 6.3. La crittografia asimmetrica È anche conosciuta come crittografia a chiave pubblica in quanto si basa sull’idea che è possibile realizzare dei cifrari a chiave asimmetrica, ossia per cui la chiave di cifratura non è più una sola, bensi due: una per cifrare e una per decifrare. Una di queste due sarà resa pubblica, ossia nota a chiunque. I requisiti che gli algoritmi e le chiavi devono avere sono tre:
Le funzioni hash o one-way, hanno un ruolo fondamentale sia per l’informatica che per il diritto. Esse sono funzioni unidirezionali con cui si ottengono digest di dimensione limitata e predefinita. Per poter essere definita tale però, una funzione hash deve sottostare alle seguenti tre proprietà:
7.1. Gli standard di sicurezza Per standard di sicurezza s’intendono quei criteri che consentono di valutare l’idoneità dei meccanismi di sicurezza progettati al fine di garantire la sicurezza del dato informatico. I primi a muoversi per creare questi elenchi sono gli USA, che creano la raccolta TCSEC. In queste raccolte viene dato rilievo soprattutto alla riservatezza dell’informazione, tanto da far passare in secondo piano i requisiti di integrità e disponibilità. Questi criteri possono essere divisi in 7 classi: D,C1, C2, B1, B2, B3, A1. L’appartenenza a una o all’altra categoria è determinata dalla politica di sicurezza adottata. Con maggior ritardo rispetto agli USA, anche in Europa si comincia a sentire la necessità di redigere criteri di valutazione della sicurezza informatica, ma questi vennero ad essere costituiti in maniera diversa e di tipi diversi a seconda dello stato. Successivamente però, nacque uno sforzo congiunto degli stati rivolto alla stesura di un corpo di criteri unico per tutti. Il risultato di ciò è la raccolta denominata ITSEC. Tale raccolta è stata per anni un punto di riferimento per tutti gli stati dell’Unione Europea e molti dei quali sono
rischio. Essa, quindi, non esaurirà la sua funzione nell’essere una semplice check-list, m dovrà contenere anche la descrizione dei rischi che si vogliono contrastare. Una novità è poi quella relativa alla introduzione della misurazione dell’efficacia dei controlli di sicurezza. Il passaggio poi, dalla BS 7799-2:2002 alla ISO 17799:2005 rappresenta una evoluzione che una rivoluzione vera e propria. Infatti, partendo dalla impronta della BS, si aggiungono ulteriori capitoli inerenti a nuovi standard e alla valutazione e gestione del rischio. Ciò che preme sottolineare è come le norme ISO comprendono sempre più spesso un parte legal, ciò legata alle figure professionali legali. 7.4. Le linee guida provvisorie per la valutazione e certificazione della sicurezza Con decreto del ministero della repubblica per l’innovazione e le tecnologie del 17 febbraio 2005, sono state pubblicate le 7 linee guida provvisorie, in materia di valutazione e certificazione della sicurezza informatica. Il decreto a tale scopo si identifica in diversi obbiettivi: 1) individuare un organismo di certificazione e di definire uno schema nazionale per la valutazione e la certificazione di sicurezza di sistemi e prodotti nel settore della tecnologia dell’informazione.; 2) definire nell’ambito della sicurezza nel settore della tecnologia dell’informazione, i principi di riservatezza, integrità, disponibilità , accesso, utilizzo, divulgazione e modifica delle informazioni. Era compito dell’organismo di certificazione, entro 12 mesi, stabilire le linee guida definitive recanti indicazioni dettagliate relative allo svolgimento delle attività di valutazione e certificazione. Vennero cosi emanate le linee guida:
8.1. protezione dei dati in rete mediante servizi e protocolli Il principale canale per lo scambio di dati via internet è di certo la posta elettronica. Tale corrispondenza, se da un lato porta molti vantaggi, dall’altro si caratterizza per un basso grado
di sicurezza; I messaggi sono infatti manipolabili e falsificabili. È poi anche possibile intercettare i messaggi e modificarli. In generale quindi, a rischio è la certezza del contesto, che si può riassumere nei seguenti punti: 1- Certezza dell’autore del messaggio 2- Certezza che il messaggio arrivato sia identico a quello inviato 3- Certezza che il messaggio sia stato inviato da chi è realmente il suo autore 4- Certezza del destinatario del messaggio I meccanismi che permettono di riacquistare alcune le certezze necessarie sono quelli forniti dalle tecniche di crittografia a chiave pubblica. Per questo sono molti i programmi che usano tecniche di questo tipo. Il più noto è il PGP, divenuto lo standard per la crittografia nei sistemi di posta elettronica. 8.2. PGP (pretty good privacy) e GPG (gnupg) La prima versione di PGP è nata una quindicina di anni fa e da allora ne sono succedute una cinquantina di release. Durante questo periodo però, sono due i momenti fondamentali. Il primo nel 1994 quando nacquero due versioni destinate al solo mercato nordamericano: la v2.4 e la v2.5. il secondo momento fu quando, a seguito di diversi contrasti con la normativa americana, nacque la necessità di rilasciare delle versioni internazionali di PGP, a partire dalla v2.6. tra tutte le versioni internazionali quella che ha conosciuto la maggior diffusione è stata la v2.6.3i che garantiva poi una compatibilità con le release precedenti. Il successivo punto di svolta fu nel 1997 grazie al sostanziale ammodernamento sia dell’interfaccia utente, sia degli algoritmi usati, portando cosi alla nascita della versione 5.0. La novità tecnica maggiore della versione 5.0 è l’implementazione della tecnologia DH/DSS, con cui diviene possibile disporre di un nuovo tipo di coppie di chiavi, lunghe fino a 4096 bit. Oggi, la prima operazione da compiere una volta installato il PGP è quella di generare una coppia di chiavi, sulla base di un sistema di cifratura asimmetrico. Ad ogni coppia di chiavi, formata da user ID e chiave pubblica, saranno associabili una o più firme digitali che costituiscono la forma di certificazione utilizzata da PGP. PGP fa poi affidamento su meccanismi che portano al formarsi di una ragnatela di certificazioni successive, su cui ci si potrà basare per dare o meno fiducia ad una particolare chiave. Per favorire la verifica di una chiave, PGP associa ad ognuna un fingerprint con un valore hash di 128 o 160 bit. Man mano che si aggiungeranno chiavi pubbliche alla propria agenda, sarà molto importante fare attenzione a certificare personalmente solo e soltanto quelle per le quali sia assolutamente certa la provenienza e l’autenticità: firmare la chiave pubblica di qualcuno ne da esplicita garanzia di validità. Le persone corrispondenti alle chiavi, potranno poi fungere da trusted introducer, nel senso che tutte le chiavi potranno ritenersi affidabili senza ulteriori verifiche. Questo meccanismo fa si che ad ogni chiave pubblica presente in agenda sia sempre associato un ben preciso grado di affidabilità. Verranno poi inserite nel proprio public ring chiavi prive di qualsiasi certificazione non comporta di per se alcun problema. Alcune di queste verranno prelevate dai cosiddetti Keyserver (archivi di chiavi pubbliche). A questi elenchi si potrà anche aggiungere la propria chiave, per poi aggiornarla. Di keyserver ve ne sono diversi e si aggiornano in modo automatico. Altre strutture di supporto sono le c.d. public key infrastructure, le quali, forniscono sia le funzioni dei keyserver, ma fungono anche da punto di accesso ad una qualunque autorità di certificazione. La funzione più adoperata che determina il successo di PGP, consente di rendere un messaggio di posta elettronica fruibile esclusivamente al legittimo destinatario in quanto in possesso della chiave necessaria per leggerlo. La gestione di queste operazioni avviene con modalità molto semplici anche per un utente non molto esperto. Prima di cifrare il testo, PGP opera una compressione con due scopi: 1-rendere efficiente la crittazione; 2- ridurre al tempo stesso la larghezza di banda necessaria. Chi riceverà un messaggio cifrato mediante PGP potrà essere sicuro che il messaggio sia destinato proprio a lui, ma non potrà essere certo del mittente. Affinchè si possa essere certi del
firme digitali, esso si limita a garantire un canale di comunicazione criptato, basato su algoritmi simmetrici che possono autenticarsi reciprocamente, grazie all’uso di meccanismi a chiave pubblica. Esso si basa sul fatto che collegandosi in modalità http ad una pagina, il client riceverà dal server la certificazione della relativa chiave pubblica. Successivamente grazie ad un database, il browser potrà controllare la validità del certificato e verificare la legittimità dell’identificazione. 8.6. Accessibilità dei dati in rete: le protezioni software e hardware Per la protezione dei dati in contesti multi-utente tutti i sistemi operativi contemplano un primo meccanismo di controllo degli accessi attivo localmente. Molto spesso questo meccanismo può anche fungere da sistema di autenticazione per connessioni remote. Oltre a questa si possono adottare anche altre soluzioni come la crittografia forte o che implementano meccanismi di autenticazione più sofisticati. Uno di questi è il sistema Kerberos. 8.6.1. Kerberos È uno dei prodotti del progetto Athena del 1983. Obbiettivo iniziale era quello di far si che il generico utente di una workstation potesse accedere in modo sicuro alle risorse di una rete intrinsecamente insicura. Il cane a tre teste che il sistema richiama, si rifà ai tre scopi originali perseguiti dal sistema: 1) autenticazione; 2) autorizzazione; 3) accounting. Si basa su un sistema a fiducia di terze parti, nel senso che, gli utenti che vi partecipano si autenticano a vicenda basandosi su di un Key distribution center, nel quale è riposta la fiducia, ciò possibile dal fatto che ogni principal condivide, con il KDC, una chiave crittografica segreta. In sostanza, dopo aver effettuato il login, l’utente riceverà delle credenziali da cui poi deriveranno le particolari chiavi di autenticazione che, inoltre, hanno una grandezza di poche centinaia di byte. Delle diverse versioni, le prime tre erano solo ad uso interno, mentre la quarta e la quinta hanno avuto una grande diffusione. 8.6.2. Firewall I sistemi di controllo degli accessi non possono dare particolari garanzie su ciò che transita su di una connessione aperta. Inoltre, un sistema di crittazione, non mette in realtà, un server, al riparo da eventuali attacchi o rischi. Sarà infatti opportuno un utilizzo combinato di diversi sistemi, uno dei quali risulta essere l’adozione di firewall. Un firewall oggi, non è altro che un sistema che controlla tutto ciò che entra e tutto ciò che esce dalla rete a cui è abbinato usando una tecnica d’ispezione denominata stateful inespection: esso consiste nel comprare tutti i dati in transito con profili di sicurezza predefiniti per garantire il fatto che tutto ciò che transita attraverso il firewall sia autorizzato. Il firewall lavora in modo semplice: esamina i pacchetti di dati che transitano tra server e client. Regola fondamentale dello stesso poi, è quello per cui tutto ciò che non è espressamente permesso è proibito. I compiti più attribuibili ad un firewall si possono cosi sintetizzare: 1) assicurarsi che se un’azione non abilitata, tutti i tentativi di perseguirla falliscano; 2) registrare eventi sospetti; 3) avvertire i responsabili del sistema; 4)creare statistiche d’accesso. Anche tale sistema però, se adottato con impostazioni troppo lascive, non produrrà gli effetti desiderati. Si potranno allora adottare soluzioni più drastiche come la totale inibizione dei flussi di traffico costituiti da datagrams. A prescindere dalla configurazione di base, ogni system administrator potrà adottare soluzioni anche molto diversificate, tenendo conto delle esigenze e della complessità della rete.
9.1. La sicurezza informatica nel periodo antecedente al codice Privacy: le prescrizioni dell’AIPA AIPA ha da sempre svolto un ruolo centrale nella definizione delle politiche di sicurezza informatica nella PA. Sebbene sia l’AIPA che il relativo centro tecnico, sono stati trasformati in centro nazionale per l’informatica nella pubblica amministrazione (CNIPA), essi hanno da
sempre rappresentato un punto di riferimento per quanto riguarda la definizione di linee guida da dottare in materia di sicurezza informatica. Tale funzione le fu attribuita dall’art.7 comma 1, lett. a) del D.Lgs. 12 febbraio 1993, n.39. L’attività dell’AIPA iniziò nel 1999 quando decise di costituire alcuni gruppi di lavoro, tra cui quello per la sicurezza informatica. Questo gruppo elaborò e rese pubblico un documento rubricato come “linee guida per la definizione di un piano per la sicurezza dei sistemi informativi automatizzati nella pubblica amministrazione”. tale documento permise la diffusione di un linguaggio maggiormente specializzato tra esperti. Gli obbiettivi fondamentali del documento, sono: a)incrementare la consapevolezza dei rischi; b)indicare possibili percorsi tecnici ed organizzativi di salvaguardia per prevenire situazioni di pericolo, ma anche risolvere problemi insorgenti al verificarsi di eventi lesivi; c) supportare la creazione di strutture in grado di disegnare, pianificare, implementare e gestire misure di protezione; d)incrementare l’utilizzo di risorse informatiche; e) chiarire dal punto di vista normativo, gli obblighi delle amministrazioni in merito alle misure di sicurezza. Tale gruppo riconobbe come il crescente ricorso alle tecnologie da parte della p.a. creava una nuova serie di rischi che avrebbe potuto produrre conseguenza molto gravi. Tali rischi venivano ricondotti a due fattori: 1) inaffidabilità hardware e software; 2) esposizione alle intrusioni informatiche. Il raggiungimento dello scopo, richiede una buona esperienza del settore e la valutazione di una serie di elementi solitamente ignorati durante la predisposizione di un sistema che non abbia pretese di sicurezza. In particolare si da risalto ai seguenti assunti: 1)tutti i componenti sono “fail safe”, tali cioè che un malfunzionamento non comporti una diminuzione della sicurezza; 2)le responsabilità dell’esercizio e dei controlli interni sono affidate a persone distinte; 3) sono adeguate le procedure per l’accertamento della qualità delle verifiche effettuate dal responsabile dei controlli; 4) è sempre possibile individuare, in apposito log file, l’autore di una qualsiasi operazione; 5) è garantita l’integrità di questo log file; 6) è sempre possibile ripristinare il sistema di fronte a guasti, eventi, naturali o dolosi;7) è garantita l’integrità del software, dal sistema operativo alle applicazioni e dei relativi file; 8) il programma dei test di penetrazione, sia interna che esterna, venga effettuato periodicamente; 9) adeguate procedure per l’effettuazione delle operazioni di manutenzione e per il trattamento dei supporti di memorizzazione; 10) valido programma di accertamento della qualità dei controlli sull’aggiornamento continuo dell’hardware e del software. Inoltre, il gruppo di lavoro, ha ribadito poi la realizzazione di un piano aziendale della sicurezza, che avrebbe dovuto prevedere: 1) analisi del rischio; 2) definizione delle politiche di sicurezza; 3)gestione del rischio; 4)il piano operativo; 5) audit; 6)formazione; 7) organizzazione. Tali attività consentono infatti, da un lato la messa in sicurezza del sistema informativo e dall’altro, l’avvio di un processo di gestione del sistema caratterizzato dalle verifiche periodiche atte a mantenere nel tempo i livelli di sicurezza raggiunti. Successivamente all’emanazione delle linee guida, nel febbraio 2001 è stato avviato un progetto intersettoriale per la sicurezza informatica, dal quale è scaturito un documento sulla sicurezza in rete, che definisce le linee guida di sicurezza concernenti: 1) l’identificazione in rete; 2) l’autorizzazione al servizio; 3) sicurezza del canale trasmissivo; 4) politiche anti intrusione; 5) caratteristiche applicative del servizio. Detto documento rappresenta quindi l’evoluzione delle linee guida del 1999. In particolare, esso risulta fondamentale in quanto permette di identificare le componenti essenziali ed idonee a costruire una moderna nozione di sicurezza. tali componenti sono: a) riservatezza; b) integrità; c) disponibilità. Tra le altre attività svolte dall’IPA vi è quella che prevede il monitoraggio dei siti web della p.a. gestiti nell’ambito della RUPA, al fine di individuare, tracciare o rispondere a nuovi attacchi. È poi prevista un’attività di sperimentazione e vigilanza; nell’ambito della sperimentazione sono stati oggetto di valutazione dei pacchetti software per il controllo della sicurezza delle reti, al fine di: 1) valutare la funzionalità, l’effettività e la sicurezza intrinseca della rete; 2) verificare l’idoneità di nuovi pacchetti per la prevenzione e la protezione antivirus. Una svolta moderna si è avuta con il decreto interministeriale del 24 luglio 2002, che ha istituito il comitato tecnico nazionale sulla sicurezza informatica e delle telecomunicazioni
9.5. La sanzione per omessa adozione delle misure minime di sicurezza L’art. 169 del D.Lgs. 196/03 riguarda le eventuali sanzioni previste per chi omette di adottare le misure minime di sicurezza. in particolare è prevista una sanzione penale del seguente tenore: Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall’articolo 33 è punito con l’arresto sino a due anni o con l’ammenda da diecimila euro a cinquantamila
lascia intendere che di tale reato risponde il titolare, il responsabile e l’incaricato, in quanto soggetti tenuti all’adozione delle misure stesse. Caratteristica di ciò, poi, è il fatto che tali sanzioni possono essere irrogate non nel momento di un reato ormai consumato, ma essa mira a sanzionare le condotte anche solo omissive di adozione delle misure minime di sicurezza. Ulteriori riflessioni merita il 2° comma dell’art. 169 che predispone un’ipotesi di estinzione del reato. Esso infatti recita che : “All’autore del reato, all’atto dell’accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessità o per l’oggettiva difficoltà dell’adempimento e comunque non superiore a sei mesi. Nei sessanta giorni successivi allo scadere deltermine, se risulta l’adempimento alla prescrizione, l’autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo dell’ammenda stabilita per la contravvenzione. L’adempimento e il pagamento estinguono il reato”. 9.6. La responsabilità ex. art. 15, D.Lgs. 196/03 e l’utilizzo di software open source nello studio legale Tra i punti più discussi in materia di sicurezza dei dati, vi è la contrapposizione tra soluzioni open source(piena pubblicità del codice sorgente-possibilità di modifica dello stesso e redistribuirlo) e closed source(segretezza del codice sorgente-impossibilità di modifica dello stesso e redistribuirlo), relativamente alle problematiche inerenti la sicurezza. Per ciò che concerne la sicurezza , in relazione a questi due modelli, derivano due diverse impostazioni circa le modalità di trattamento e protezione dei dati. Il differente approccio è chiamato full disclosure e closed disclosure. L’approccio full disclosure si basa su un diritto alla conoscenza riconosciuto agli sviluppatori e agli utenti circa i rischi di sicurezza che un dispositivo può comportare. L’approccio closed disclosure basa la sicurezza sul fatto che, evitando di rilevare la falla scoperta, nessuno potrà sfruttare quella vulnerabilità prima che il produttore abbia rilasciato una patch correttiva. Nel tempo però, l’utilizzo di entrambi i sistemi hanno dimostrato come il sistema di tipo closed, non è particolarmente efficace nel garantire la sicurezza e ciò ha portato nel tempo ad adottare principalmente sistemi open source. Ulteriori motivazioni sono che, se da un lato i programmi a codice chiuso sono in grado di garantire una buona competitività, dall’altro il modello chiuso si presenta inefficiente ed espone l’utente a pesanti responsabilità. Per ciò che attiene all’adozione d’idonee e preventive misure di sicurezza, l’art. 15 del D.Lgs. 196/03 regolamenta il profilo delle responsabilità. Questo è fondamentale in quanto enuncia: Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’articolo 2050 del codice civile. Tre sono le interpretazioni in relazione all’art. 2050: 1) vede la norma come unico intento del legislatore di invertire l’onere della prova, che in questo caso infatti, dovrà essere fornita dall’esercente;
cautele necessarie ad evitare il danno, essendo sufficiente per il danneggiato dimostrare solo il danno e il nesso di causalità. Il modo che però, un soggetto ha per tutelarsi da queste responsabilità, è la stipulazione di apposite polizze assicurative ad hoc che permettono di coprire i danni connessi alle forme illecite di trattamento dei dati. Per ciò che invece attiene alla gestione dello studio legale, oggi prevale l’idea per la quale sono i sistemi open source a garantire la massima sicurezza possibile. I migliori programmi utilizzabili all’interno dello studio sono, ad esempio, Knomos (applicazione multilingua e miultipiattaforma pensata per gli studi legali, volta ad agevolare la gestione dei documenti), Lawoffice.it (una web-appliance multipiattaforma), OpenOffice e OpenLex.
10.1. Le procedure di autenticazione e autorizzazione Nel capo II del codice privacy sono contenute le misure minime di sicurezza, che secondo l’art. 34, devono essere aggiornate periodicamente, prevedendosi solo due tipologie di trattamento: con l’ausilio di strumenti elettronici e senza l’ausilio di strumenti elettronici. Nei primi punti del disciplinare tecnico, molta enfasi viene data alle procedure di autenticazione e autorizzazione. Questa è una distinzione ben conosciuta dai professionisti della sicurezza, in quanto la previsione di una doppia verifica consente una migliore gestione e sicurezza dei dati. Scopo dell’autenticazione è, infatti, esclusivamente quello di accertare l’identità del soggetto che vuole accedere all’elaboratore, mentre, l’autorizzazione invece consente ad un soggetto il trattamento dei dati o di quella porzione di dati che il suo profilo gli consente di trarre. Ciò spiega il perché di tecniche di autenticazione biometriche, quali credenziali di autenticazione, in quanto difficilmente riproducibile. Il disciplinatore tecnico contiene ben specificate le caratteristiche che devono possedere i sistemi di autenticazione e autorizzazione, arrivando anche ad indicare nel dettaglio le caratteristiche della parola chiave. All’art. 34 poi, sono descritte le procedure di gestione delle credenziali di autenticazione (come la sua modificazione al primo accesso o la scadenza automatica semestrale delle credenziali). Una modalità di gestione riguarda ad esempio, anche la formazione del singolo elaboratore che, se formato correttamente, deve ad esempio essere formato astenendosi dal lasciare la propria postazione per un periodo più o meno prolungato senza che il sistema possa essere protetto, ad esempio, tramite apposito screen saver. 10.2. Le “altre” misure di sicurezza e quelle “ulteriori” per il trattamento dei dati sensibili e giudiziari Ulteriore capo del disciplinare tecnico è intitolato “altre misure di sicurezza”, e contiene ulteriori prescrizioni, fondamentali per il trattamento dei dati personali, effettuato con strumenti elettronici. Ad esempio, il punto 15 reca la redazione della lista degli incaricati ad aggiornare almeno annualmente, per classi omogenee di incarico e dei relativi profili di autorizzazione. Il punto 16 riguarda invece la protezione dai virus informatici le ulteriori disposizioni contenute nel capo in esame, concernono l’aggiornamento dei programmi per elaboratore, volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne i difetti, che dovrà essere effettuato annualmente, o nel caso di dati sensibili o giudiziari, semestralmente, con la predisposizione di procedure che facilitano il disaster recovery. Una parte del disciplinare tecnico è dedicato alla individuazione di ulteriori misure in caso di trattamento di dati sensibili o giudiziari. Una di queste misure è l’adozione di un firewall in grado di analizzare tutto ciò che entra e che esce. Ulteriore attenzione è posta per la distruzione dei supporti rimovibili, o delle informazioni in essi contenuti, in quanto la non corretta cancellazione può permettere il recupero dei dati. Per impedire ciò, sarà opportuno adottare apposite procedure di wiping, consistenti nella cancellazione, scrittura e riscrittura di porzioni del supporto. Ulteriori misure sono espressamente previste per le professioni sanitarie