AUTORE: DOTT. Roberto Rocchetti (2022), testo originale dell’autore, ad eccezione dei testi di legge.
(Riproduzione vietata)
RIFERIMENTI PRINCIPALI
-DLG 196/2003, DECRETO LEGISLATIVO 30 giugno 2003, n. 196; Misure MINIME di sicurezza e protezione dei dati personali
-Articolo 98 Codice della proprietà industriale, (D.lgs. 10 febbraio 2005, n. 30).
-Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016; Misure ADEGUATE di sicurezza e protezione dei dati personali.
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/6264597
Direttiva (UE) 2016/943 8 Giugno 2016, DECRETO LEGISLATIVO 11 maggio 2018, n. 63, dlg 63/2018 (sulla protezione del know-how).
–
I concetti di misure di protezione e sicurezza informatica nascono formalmente nel 1967 (October 1967 Advanced Research Projects Agency) 36 anni prima che il Diritto italiano nominasse questo tema nella legge sulla privacy del 2003.
–
Nel corso di quest’anno 2022, mi sono frequentemente e duramente scontrato, in ambito tecnico legale, con radicate credenze antiscientifiche o anacronistiche del concetto di MISURE DI PROTEZIONE E SICUREZZA INFORMATICA termini che sono entrati nel linguaggio Giuridico a partire dalla pubblicazione del dlg 196/2003 relativo alla privacy. In ambito Civile, per questioni di proprietà industriale, sono stato testimone di contraddittori esacerbati da interpretazioni (spesso inascoltabili) del concetto di Sicurezza Informatica così come della interpretazione del concetto di MISURE RAGIONEVOLMENTE ADEGUATE.
Cercherò pertanto di fare un poco di ordine, in modo sintetico, scientifico, logico e verificabile.
Intanto l’introduzione del termine MISURE MINIME DI SICUREZZA (e di altri termini informatici analogi) nasce con la legge sulla privacy dlg 196/2003. Anche Wikipedia se ne è accorta (ma siamo ancora in pochissimi a farlo).
Sia ben chiaro: il concetto di sicurezza e protezione informatica non nasce ne viene definito dalla legge sulla privacy: esso è un concetto già noto e ben rappresentato nella letteratura informatica, nelle best practices IT cosi come presente by design nei sistemi operativi informatici in commercio.
La legge sulla privacy richiama (non ridefinisce) dalla informatica termini e concetti sulla spinta del fenomeno planetario della digitalizzazione. Il dlg 196/2003 non riscrive, esso assimila i principali significati e termini della sicurezza e protezione, occupandosi di darne una rappresentazione semplificata, in un linguaggio non tecnico ed individuando nella privacy il primo campo di applicazione.
Per quanto concerne l’articolo 98 (poi anche il DLG 63/2018) il tema della protezione e sicurezza informatica viene richiamato (non ridefinito). Dove si scrive delle informazioni aziendali, leggiamo:
“c) siano sottoposte, da parte delle persone al cui legittimo controllo sono soggette, a misure da ritenersi ragionevolmente adeguate a mantenerle segrete.”
L’anno in cui nasce il codice della proprietà intellettuale è il medesimo in cui viene definito lo standard ISO/IEC 27001 (Tecnologia delle informazioni – Tecniche di sicurezza – Sistemi di gestione della sicurezza delle informazioni – Requisiti, 1ª Edizione anno 2005 ).
Si deve sapere che l’Italia viene rappresentata nell’ISO tramite l’UNI: “UNI represents the Italian interest in European and International standardisation in order to…”
Pur essendo il contesto interpretativo dei termini e dei concetti ben chiaro da un punto di vista cronologico, tecnico, scientifico, logico ed istituzionale, ancora oggi, nel momento in cui chiederete ad un Giudice, ad un Avvocato, ad un Consulente o ad un Amministratore Delegato, come si rileva sperimentalmente la applicazione dell’articolo 98 in un sistema informatico, troverete risposte del tutto differenti tra di loro. Quasi sempre ascolterete argomentazioni lontane dalla possibilità di un riscontro scientifico e informatico.
Quando infatti leggiamo l’articolo 98 cpi
“misure da ritenersi ragionevolmente adeguate a mantenerle segrete” possiamo , da informatici, tradurre simultaneamente in questo modo
“policies di protezione e sicurezza informatica (almeno di dominio, computer, accounts, user rights, files permissions, audit e logging), basate su recenti tecnologie e prassi informatiche di gestione. La loro applicazione ai dati da proteggere deve consentire al revisore o controllore di poter distinguere i dati “art. 98” da tutti gli altri sia per la classificazione applicata sia per le policies di protezione.
Il concetto di ragionevolezza si esprime ad esempio nel saper usare al meglio le tecnologie già presenti in azienda (quindi a costo zero) le quali già conterranno tutti i meccanismi di protezione e sicurezza nel caso esse siano anche idonee, cioè aggiornate, ovvero sufficientemente recenti (non più vecchie di qualche anno)
Ad esempio, un sistema Windows Server 2012r2, che è una tecnologia di 10 anni fa, permette di configurare adeguatamente e ragionevolmente la protezione dei dati aziendali e di spingerla ad un livello elevatissimo anche oltre i requisiti minimi degli standard ISO.
La protezione informatica include in modo include la registrazione degli eventi di accesso ai sistemi ed ai file. La granularità di tali registrazioni è elevata ma configurabile in modo adeguato e ragionevole.
La ampiezza del registro degli eventi registrabili devo essere adeguatamente e ragionevolmente configurata rispetto agli obblighi normativi in generale ed al contempo rispetto ai criteri dell’art.98 cpi.
Si dovranno anche valutare, come requisito minimo necessario di tutto il sistema, le normative della privacy.
Esercitare periodicamente la funzione di controllo dei registri degli eventi è necessario in generale ma in particolare per l’articolo 98 c.p.i., per riscontrare la presenza di accessi non autorizzati o di operazioni non attese. Il controllo degli eventi, a discrezione della azienda, sarà organizzato in modo ragionevole ma tale da mantenere adeguate nel tempo le misure di protezione previste dall’ articolo 98 c.p.i.
In sostanza non basta applicare delle configurazioni di protezione ai sistemi informatici: tali configurazioni vanno testate prima del rilascio e successivamente verificate (ad esempio su base giornaliere, settimanale o mensile), con una logica di ragionevolezza che sia adeguata alla importanza dei files da proteggere e tale da poterla dimostrare ad un controllore esterno o interno autorizzato.
ROBERTO ROCCHETTI
CTU DOTT. ROBERTO ROCCHETTI - SCIENZA FORENSE INFORMATICA 