N°3-Tue Oct 21 11:42:00 CEST 2014
Come fare per...
??? Immagine/AltImage ???
di Gea Arcella, Notaio e Pasquale Starace, Ingegnere Direttore Tecnico Notartel

Quando parliamo di sicurezza ci vengono in mente definizioni anglosassoni e strumenti sofisticati, spesso patrimonio di tecnici specializzati, formati appositamente per occuparsene con un bagaglio culturale molto distante da quello del giurista, eppure ciascuno di noi sa che deve farsene carico ed occuparsene, il che qualche volta comporta tutta la fatica di entrare in un mondo che non ci è congeniale. Forse partire dal dettato normativo può aiutare a meglio comprendere questa materia e perché ognuno di noi è chiamato a conoscerla ed applicarla.

Gi obblighi riguardanti la sicurezza sono contenuti nel D.Lgs 196/2003 ovvero nel c.d. “codice privacy” e la dizione “volgare” con la quale è comunemente è indicata questa legge tradisce in parte il suo vero contenuto: oggetto di tutela, infatti, non è solo la riservatezza, intesa quale diritto di privativa, ma nella Società dell’Informazione, oggetto di tutela è soprattutto il corretto utilizzo dei dati - attraverso la regolamentazione dei flussi informativi, secondo regole conoscibili per l’interessato e finalità ben definite e lecite -, nonché la conservazione in sicurezza degli stessi; da questo punto di vista molto più completo e significativo è il vero titolo del Decreto Legislativo 196 che è rubricato “codice in materia di protezione dei dati personali”.

Le evoluzioni più recenti testimoniano come questa seconda accezione del concetto della “protezione dei dati personali” sia in realtà quello più attuale, in quanto il diritto alla riservatezza in senso stretto sempre più spesso cede il passo ad altri interessi ritenuti dal legislatore superiori rispetto a quello c.d. alla privacy – come quello pubblicistico della trasparenza amministrativa - rendendo oltremodo attuale l'aspetto della sicurezza e del corretto utilizzo del dato, più che della sua segretezza.

La tutela dell'identità personale che permane in ambito privatistico è quella correlata al diritto di ciascuno a non veder profilati i propri comportamenti solo a fini commerciali, quasi un moderno “late biosas”, ovvero al diritto a non veder invasa la propria proiezione digitale del sé - posta elettronica, profili personali sui social network - con comunicazioni commerciali né gradite né sollecitate. L'ambito di applicazione del D.Lgs.196, inoltre, è particolarmente vasto ed arriva a coinvolgere anche il privato cittadino in quanto esso prevede che, ai trattamenti di dati effettuati per fini esclusivamente personali dai privati, si applicano in ogni caso le disposizioni in tema di responsabilità e di sicurezza previste dal “Codice” stesso, che quindi non soffrono alcuna eccezione. Ricordare qui le misure di sicurezza previste dalla legge in caso di trattamento dei dati con strumenti elettronici può essere un utile promemoria prima ancora che nella vita professionale nella propria quotidianità, ed il notaio conservatore di professione è chiamato prima e più degli altri a conoscerle ed implementarle.

La prima misura di sicurezza obbligatoria per tutti è la c.d. autenticazione informatica, essa può essere costituita alternativamente da:

- una caratteristica biometrica dell’interessato, quale un’impronta digitale o l’iride eventualmente in associazione con un codice identificativo o una parola chiave (something you are);
- un dispositivo di autenticazione come una smart card o un badge eventualmente in associazione con un codice identificativo o una parola chiave (something you have);
- l’insieme di parole chiave e codice identificativo: nome utente e password (something you know) la più semplice sicuramente tra le modalità di autenticazione ma soggetta a ripetuta “manutenzione”, in tal caso è richiesto che:

a) la sostituzione della parola chiave avvenga autonomamente da parte dell’interessato, evitando quindi che la stessa sia conosciuta e comunicata a terzi;
b) la parola chiave abbia una lunghezza minima di otto caratteri (o, se minore, comunque utilizzi la lunghezza massima permessa dal sistema);
c) la parola chiave venga sostituita almeno ogni sei mesi e immediatamente quando viene assegnata inizialmente all’incaricato (nel caso di trattamento di dati sensibili la sostituzione della parola chiave deve avvenire almeno ogni tre mesi);
d) non sia facilmente riconducibile all’incaricato;       
e) l’eventuale custode delle parole chiave deve informare tempestivamente l'interessato dell’intervento di accesso effettuato sulle sue credenziali di autenticazione.

La seconda misura di sicurezza, non obbligatoria ma oramai molto diffusa anche nei nostri studi, è l'adozione di un sistema di autorizzazione, inteso come l’insieme delle informazioni, univocamente associate a una persona, che abilitano l’accesso ad una serie di dati e alle modalità del loro trattamento, per fare un esempio nel sistema IAM (acronimo che sta per Identity Access Management) adottato per l'accesso alla nostra R.U.N., il profilo del notaio consente l'uso e la consultazione dell'intero patrimonio informativo del Notariato (banche dati, applicativi, sistemi di comunicazione) mentre quello dei nostri collaboratori è limitato e può essere configurato in modo da prevedere che solo alcuni accedano a determinati dati e/o programmi. Anche in assenza di un vero e proprio sistema di autorizzazione il Codice prevede l’obbligo di individuazione dei trattamenti consentiti ai singoli incaricati per iscritto, con l'obbligo inoltre di verifica, almeno annuale, di tali incarichi.

Terzo pilastro della sicurezza, anch'esso obbligatorio, è la protezione degli strumenti elettronici attuata mediante l'adozione di:
 
- Protezione Antivirus, il cui aggiornamento deve essere almeno semestrale.
- Aggiornamento del Software, attraverso le “patch”, le “ service release” o le nuove versioni che diminuiscano la vulnerabilità o correggano errori, almeno entro un anno dal loro rilascio (sei mesi nel caso di trattamento di dati sensibili).
- Sistemi Antintrusione, come firewall (software o hardware) eventualmente integrato da “intrusion detection system”, obbligatorio nel caso di trattamento di dati sensibili e giudiziari mediante sistemi informatici.
 
Quarta misura obbligatoria sono le copie di sicurezza, per assicurare il salvataggio dei dati con cadenza almeno settimanale. Qualora siano oggetto di trattamento dati sensibili il sistema di salvataggio deve permettere, in caso di incidente, la possibilità di accesso agli stessi (cioè di ripristino del sistema) in tempi certi e predefiniti e comunque non superiori a sette giorni.

Quinta ed ultima misura obbligatoria è la cifratura o separazione di dati sensibili, ovvero i dati relativi allo stato di salute ed alla vita sessuale devono essere cifrati o separati dagli altri dati dell’interessato. Data la complessità di utilizzare sistemi di cifratura, l’obbligo può essere assolto mediante l’utilizzo di sistemi od applicazioni specifici il cui utilizzo è consentito solo con sistemi di autenticazione appositamente dedicati. Tale prescrizione non è direttamente applicabile agli atti notarili che - per obbligo di legge - contengano riferimenti a dati sensibili; mentre, qualora tali dati siano in qualche modo schedati ed archiviati separatamente dal contesto dell’atto notarile, riemerge in toto l’obbligo di cifratura degli stessi.

Se queste sono le misure minime da adottare nell'utilizzo dei propri strumenti informatici bisogna però sempre ricordare che la sicurezza non è un prodotto acquistabile sul mercato, ma un processo, un insieme di misure organizzative da adottare e condividere con i propri collaboratori, e generare una cultura della sicurezza significa comprendere in prima persona i concetti e gli strumenti dedicati ad assicurarla, mettendo in pratica comportamenti corretti mediante un impegno diretto e personale.

La sicurezza in una organizzazione aziendale ancor prima di essere la messa in opera di una serie di componenti tecnici, è un metodo di lavoro sorretto da un processo che si avvale di strumenti tecnologici atti ad aumentare la capacità di resistenza di una organizzazione. Più precisamente è la capacità di programmare una struttura in maniera tale da evitare che la operatività della struttura stessa evolva verso “situazioni indesiderate”, possano essere queste intrusioni non autorizzate, accessi malevoli, alterazione di informazione e quanto altro si possa immaginare nell’ambito strettamente ICT.

È questo l’approccio di Notartel sia per quanto riguarda le strutture interne sia per ciò che interessa l’ambito dei servizi erogati ai notai. Logico complemento di tale modus operandi nell’impiego di processi organizzativi aziendali volti a migliorare costantemente e nel tempo le prestazioni di sicurezza della struttura è l’impegno volto al traguardo della certificazione ISO 27000. Tre sono i pilastri da cui si è partiti in Notartel per l’implementazione di base del sistema di sicurezza informatico.

Sicurezza fisica. La protezione materiale dei luoghi in cui sono conservate le apparecchiature e le componenti che a loro volta contengono ed elaborano i dati mediante:
- vigilanza H24 con sistemi di allarme e telecamere;
- un edificio principale altamente automatizzato in termini di “domotica” (controllo temperatura, umidità, etc.);
- la duplicazione in due ambienti separati del CED;
- il controllo degli accessi tramite identificazione e riconoscimento (ovvero inibizione alle persone non autorizzate all’ingresso nei locali contenenti apparecchiature e dati);
- blindatura di tutte le aree ritenute critiche per la conservazione delle apparecchiature e dei dati.

Sicurezza logica. L’affidabilità, integrità, resilienza sia delle apparecchiature che dei dati. In pratica sono stati predisposti sistemi che potessero garantire:
- bilanciamento del traffico dati e conversione automatica di detto traffico su apparecchiature funzionanti in caso di “fault” di una singola componente;
- disponibilità di strutture di back up duplicate in due siti distinti per poter recuperare informazioni in caso di compromissione di un sito;
- ridondanza dati. Ogni dato che transita nella struttura è scritto contemporaneamente sui due siti che ospitano le apparecchiature;
- gestione degli accessi amministrativi ai dati con un modello basato su regole per il controllo dell’accesso (Roled Based Access Control RBAC) per garantire l’accesso ai contenuti solo ed esclusivamente agli utenti ed al personale autorizzato.

Sicurezza perimetrale. La protezione da parte di attacchi provenienti da sistemi esterni (principalmente da Internet, ma anche da violazioni interne). Per tale motivo sono state predisposte e configurate apparecchiature e applicazioni che consentissero:
- l’accesso amministrativo ai sistemi limitato al personale autorizzato (privileged account management);
- la protezione da intrusioni non autorizzate tramite firewall per il controllo di tutti i sistemi elaborativi;
- la protezione da attacchi spam e virus mediante (tipicamente) prodotti antispam e antivirus.