AdS, precisazioni o precipitazioni?

di A. Buti e P. Menichelli - Il garante privacy si è espresso riguardo alla figura dell'Amministratore di Sistema. Permangono i dubbi: per i lavoratori, per le aziende, in materia di strumenti

Roma - Le prescrizioni in merito alle disposizioni per gli "AdS", gli Amministratori di Sistema, oggetto dell'ultimo comunicato del Garante della Privacy, altro non fanno che conclamare uno stato confusionale già evidente da tempo e che in concomitanza della scadenza di oggi, 15 dicembre, rende ancora più indefinibile la situazione reale.

La maggior parte delle definizioni e precisazioni espresse non evidenziano specificità "giuridicamente valide" in caso di contestazioni o problemi che potrebbero approdare in sede giudiziaria o di contenzioso. È lecito domandarsi quante imprese od enti abbiano definito nel mansionario e/o nella lettera di assunzione di un responsabile dell'ambito informatico la "figura professionale" di "amministratore di sistema", e più ancora cosa possa legalmente essere considerato "figura equivalente".

A cosa poi si potrebbe applicare, dal punto di vista oggettivo, la precisazione che "Le prescrizioni non si applicano, invece, a quei soggetti anche di natura associativa che, generalmente dotati di sistemi informatici di modesta e limitata entità, e comunque non particolarmente complessi, possano fare a meno di una figura professionale specificamente dedicata alla amministrazione dei sistemi..."? Figura e contesto quindi ancora più difficili da circoscrivere, anche comparando i parametri usuali di definizione di PMI con quelli europei o internazionali, nonché dei relativi sistemi informatici, per non parlare della possibilità di "dedicare" allo scopo figure professionali...
D'altronde, l'attribuzione di nuove funzioni, se non definite al momento dell'assunzione, è comunque soggetta a negoziazione e non può essere attribuita "de facto" o sottointesa. Al riguardo, con riferimento all'incarico di AdS vengono in mente un paio di considerazioni:
1) lato lavoratore: se la nomina ad AdS comporta l'attribuzione di nuove/diverse funzioni (rispetto a quelle elencate nel contratto iniziale) il dipendente potrebbe/dovrebbe opporsi, a meno che non vi sia anche una adeguamento del trattamento economico; inoltre l'AdS così nominato dovrebbe avere a disposizione un budget adeguato per svolgere il suo (nuovo) incarico o chiedere (per iscritto) che venga adeguato (in mancanza si potrebbe dedurre che i mezzi a sua disposizione siano sufficienti...)
2) lato azienda: nominare come AdS un soggetto non titolato/competente potrebbe non aver alcun effetto, poiché potrebbe subentrare un problema di culpa in eligendo.

Infine gli "aspetti tecnici" che vengono nuovamente enfatizzati rendono ancora più fallibile il contesto di applicazione del provvedimento, poiché sono in massima parte incongruenti rispetto alla normativa pubblicata in Gazzetta Ufficiale.
La prescrizione di "inalterabilità dei log" non viene soddisfatta praticamente dalla maggior parte (o totalità?) dei software esistenti a "basso costo" o "open source", poiché si limitano a "copiare" periodicamente i dati registrati sugli "event log" dei sistemi, generati da "servizi" che qualunque amministratore o suo equivalente può fermare, sovrascrivere, modificare, posticipare, prima della "copia".

La maggior parte (o la totalità?) delle prescrizioni di cui all'art. 4.5 del provvedimento, del successivo punto 2.F e dei quesiti 4,11 e 12 delle FAQ non riesce a dipanare un dilemma che rimane sotteso e mai abbastanza pubblicamente espresso. Si ponga il caso che un amministratore di sistema "infedele" o più spesso un qualunque operatore informatico aziendale od anche fornitore esterno, in possesso di credenziali amministrative per attività ordinarie e/o straordinarie di manutenzione, acceda con finalità volontariamente diverse da quelle di gestione del sistema informatico (furto, danneggiamento, divulgazione etc). I log prescritti non sono relativi alle applicazioni (FAQ 15) ma solo all'accesso ai sistemi, le "anomalie" di accesso ai sistemi (FAQ 16) sono eliminabili facilmente da qualunque professionista informatico "infedele", operando direttamente sui file di log (normalmente editabili come un txt) magari fermando preventivamente il servizio di registrazione degli eventi o l'orario di intervento sul sistema stesso prima che il software "open source" o a basso costo" ne faccia copia. Che effetti legali potrebbe avere quanto sopra descritto? E quali "colpe", oltre che per il D.lgs 196/03, ai sensi del D.lgs 231/01, (che prescrive di adottare misure di controllo idonee da parte degli amministratori di società/titolari rispetto alle responsabilità amministrative) si configurano per chi, scegliendo prodotti non adeguati, o avendo seguito consigli impropri in merito, non dispone di log "certificabili" dal punto di vista "forense"?

Andrea Buti e Paolo Menichelli
www.dirittomoderno.it
Notizie collegate
39 Commenti alla Notizia AdS, precisazioni o precipitazioni?
Ordina
  • Fatta da incompetenti che sono chiamati a legiferare su cose di cui non hanno la minima cognizione. Così come tecnicamente è impossibile l'oscuramento di un sito, a meno di tagliare le connessioni internet di tutti i cittadini italiani, altrettanto è tecnicamente impossibile garantire l'inalterabilità dei log. Altrettanto inutile è la registrazione degli accessi degli amministratori, senza che vengano altresì loggati tutti i comandi che questi eseguono. Cosa altrettanto assurda, infattibile, inutile e priva di senso.
    Sono solamente leggi atte a cercare di controllare una situazione incontrollabile da parte di un governo ormai destinato a sparire che sta tentando di rimanere a galla nelle sabbie mobili che lui stesso si è cerato, generando solo confusione, inutili costi e ulteriori spese ad aziende che sono già al tracollo finanziario. Un po come fece Hitler alla fine della seconda guerra mondiale che volle portare con sè nella rovina tutta la Germania
  • - Scritto da: ilcumo
    > Fatta da incompetenti che sono chiamati a
    > legiferare su cose di cui non hanno la minima
    > cognizione. Così come tecnicamente è impossibile
    > l'oscuramento di un sito, a meno di tagliare le
    > connessioni internet di tutti i cittadini
    > italiani, altrettanto è tecnicamente impossibile
    > garantire l'inalterabilità dei log. Altrettanto
    > inutile è la registrazione degli accessi degli
    > amministratori, senza che vengano altresì loggati
    > tutti i comandi che questi eseguono. Cosa
    > altrettanto assurda, infattibile, inutile e priva
    > di
    > senso.
    > Sono solamente leggi atte a cercare di
    > controllare una situazione incontrollabile da
    > parte di un governo ormai destinato a sparire che
    > sta tentando di rimanere a galla nelle sabbie
    > mobili che lui stesso si è cerato, generando solo
    > confusione, inutili costi e ulteriori spese ad
    > aziende che sono già al tracollo finanziario. Un
    > po come fece Hitler alla fine della seconda
    > guerra mondiale che volle portare con sè nella
    > rovina tutta la
    > Germania

    Innanzi tutto non è una legge ma un provvedimento, secondo il Garante non è un organo del Governo, non direttamente almeno, infatti se cambia il Governo non è detto che cambino le cariche del Garante. Chiarito questo vorrei specificare che il provvedimento del Garante è destinato ad una sensibilizzazione del pericolo AdS, non a sostituire un capitolo della ISO17799 quindi ogni polemica sull'efficacia lascia il tempo che trova, non è quello lo scopo insomma.
    Inoltre, ad essere precisi, la maggior parte delle obbiezioni tecniche che vengono fatte al provvedimento, sono facilmente superabili ad un buon AdS lo dovrebbe già sapere. Ad esempio contestare che posso staccare un cavo o fermare un servizio sono sciocchezze, innanzi tutto perchè prima ancora che tu lo faccia è stato inviato il log del tuo accesso ad un log server sul quale no hai accesso (ad esempio), e poi una rete informatica di medio livello dovrebbe avre strumenti di monitoraggio tipo Nagios o altro che verificano e registrano le anomalie di sistema, se stacchi un cavo ad un client è un discorso, se lo stacchi ad un server la cosa dovrebbe essere controllata.
    Rimangono comunque le tue considerazioni sul fatto che si tratti di un provvedimento inutile: non sarò certo io a farti cambiare idea, ti dico solo di non vedere la cosa come un miglioramento della tua sicurezza di rete (non è quello lo scopo del provvedimento) bensì come prendere consapevolezza di chi accede ai dati personali e/o sensibili dell'azienda.
    non+autenticato
  • Premetto che bastava parlare con il Garante o partecipare ad uno dei numerosi seminari che il Garante stesso ha svolto nel territorio per sapere quello che sto per scrivere, trovo quindi fuoriluogo gli stessi commenti polemici dell'articolo.

    Il Garante, molto semplicemente, ci vuole costringere a CONOSCERE/SAPERE chi sono i nostri amministratori di rete e quando si collegano ai sistemi (in modalità interattiva). Non vuole nella maniera più assoluta costruire un modello di security per le aziende italiane, in teoria chi ha delle problematiche di questo tipo dovrebbe già avere degli strumenti adeguati.

    Può sembrare strano che il Garante ci chieda questo, in realtà sapere chi sono i nostri AdS può sembrare ovvio ad una realtà medio/piccola, già le società più grandi con le loro catene di appalti e sub-appalti spesso non sanno chi mette mano ai loro server, attenzione che però il problema non sono i server, ma i DATI PERSONALI O SENSIBILI, e se permettete interessa anche a me sapere chi tratta i miei dati, a voi no?

    Altra cosa fondamentale: con il log di accesso e chiusura sessione non è che il Garante vuole verificare se l'AdS ha fatto danni o si è collegato quando non doveva (questo lo dovete verificare voi se vi interessa!), ma ci COSTRINGE ad identificare in maniera univoca chi è l'AdS che si collega, lasciate perdere tutte le polemiche "ma il log si può sabotare" ecc ecc (che tra l'altro non è così semplice come potrebbe sembrare presi i dovuti accorgimenti), intanto siamo tutti costretti a censire gli AdS e profilare gli accessi in maniera univoca, a me da tecnico, questa cosa mi va più che bene, a me va bene sapere se in una macchina è entrato tizio o caio, a voi non so.

    Altra nota importante: il Garante richiede che gli AdS siano persone qualificate all'incarico! Ma quante volte ci siamo lamentati che il lavoro dell'AdS non viene riconosciuto e ripagato a sufficienza, se non altro questa è la prima volta che si sente dire a qualcuno che gli AdS non possono essere dei pinco palla qualunque ma persone con qualifiche ed esperienza. Il Garante non entra nei dettagli ma almeno dà una indicazione generale, vi pare poco? quindi questa cosa, secondo me, è importante anche per quelle PICCOLE/MEDIE aziende dove forse non ha molto senso avere i log del singolo amministratore, ma se non altro (in teoria) non sarà più il figlio del "paron" appassionato di informatica ma con la terza media presa al terzo tentativo.

    Il provvedimento poi lascia delle zone d'ombra, sicuramente seguiranno altri chiarimenti (almeno spero) ma credo che sia questa l'ottica con la quale inquadrarlo e non soffermarsi sull'aspetto tecnico di security.
    non+autenticato
  • Io ho messo in piedi una macchina che fa da syslog server kiwi.
    Ho installato su tutti i client windows un log agent open.
    Ho configurato in modo tale che questo agent windows vada a popolare la macchina server.
    Idem per quello che riguarda i log unix.

    Ad una certa ora prendo il file log.txt e lo rinomino in log"GG-MM-AAAA".txt in automatico.
    Lo zippo in automatico cambiando l'estensione.
    Sempre da riga di comando lo invio da una mia PEC alla PEC azienda.
    Crittografazione e non modificabilità sono vanto ed orgoglio di pec, giusto?
    Dopo di che il giorno dopo il tutto viene protocollato in maniera automatica dal protocollo informatico.
    Il tutto a costo ZERO.
    E mi hanno chiesto anche 4.000 annui per una soluzione simile...
    E voglio vedere se hanno qualcosa da ridire.
  • - Scritto da: red5lion
    > Io ho messo in piedi una macchina che fa da
    > syslog server
    > kiwi.
    > Ho installato su tutti i client windows un log
    > agent
    > open.
    > Ho configurato in modo tale che questo agent
    > windows vada a popolare la macchina
    > server.
    > Idem per quello che riguarda i log unix.
    >
    > Ad una certa ora prendo il file log.txt e lo
    > rinomino in log"GG-MM-AAAA".txt in
    > automatico.
    > Lo zippo in automatico cambiando l'estensione.
    > Sempre da riga di comando lo invio da una mia PEC
    > alla PEC
    > azienda.
    > Crittografazione e non modificabilità sono vanto
    > ed orgoglio di pec,
    > giusto?
    > Dopo di che il giorno dopo il tutto viene
    > protocollato in maniera automatica dal protocollo
    > informatico.
    > Il tutto a costo ZERO.
    > E mi hanno chiesto anche 4.000 annui per una
    > soluzione
    > simile...
    > E voglio vedere se hanno qualcosa da ridire.

    La soluzione è abbastanza valida, solo una cosa: il server kiwi è a pagamento se non sbaglio. Io uso syslog-ng la versione open.
    Riguardo i soldi, i 4000 euro che ti hanno chiesto sono anche pochi, c'è gente che chiede almeno il doppio per medie aziende.
    non+autenticato
  • il problema resta sempre per i piccoli uffici.
    non mettono a budget nemmeno 400 euro, e non dico per il software ma almeno per chi gli realizzi il sistema. l'ads di una azienda con 5-10 pc e un server non esiste. è il fornitore / consulente esterno che lo fa, nella quasi totalità dei casi. e questi casi alla fine sono forse il 90% delle aziende (butto là un numero).
    vale porre l'attenzione al problema, ma la soluzione non è applicabile a basso costo stando alle disposizioni interpretare "seriamente" dal punto di vista tecnico.

    avrei da ridire sul costo ZERO... o il sig. red5lion lavora gratis o ha organizzato il sistema in tempo zero o è un dipendente, ed è quindi pagato... forse non ha acquistato qualcosa, ma per l'azienda l'adempimento rappresenta sempre un costo. e in considerazione del fatto che aumenta la sicurezza di una percentuale trascurabile (ad es. non viene registrato cosa faccia l'ads dopo il login, sapere che uno ha fatto un login vale poco), non è detto siano soldi spesi bene...
    non+autenticato
  • - Scritto da: andrea
    > il problema resta sempre per i piccoli uffici.
    > non mettono a budget nemmeno 400 euro, e non dico
    > per il software ma almeno per chi gli realizzi il
    > sistema. l'ads di una azienda con 5-10 pc e un
    > server non esiste. è il fornitore / consulente
    > esterno che lo fa, nella quasi totalità dei casi.
    > e questi casi alla fine sono forse il 90% delle
    > aziende (butto là un
    > numero).

    Ed il garante ha detto che in questo caso non serve.

    > vale porre l'attenzione al problema, ma la
    > soluzione non è applicabile a basso costo stando
    > alle disposizioni interpretare "seriamente" dal
    > punto di vista
    > tecnico.
    >

    Il Garante dice poco e niente di tecnico, vuole solo che alla fine i log raccolti non siano modificabili a piacimento, basta una masterizzazione o una firma con marca temporale (e tutti gli uffici ormai la hanno)

    > avrei da ridire sul costo ZERO... o il sig.
    > red5lion lavora gratis o ha organizzato il
    > sistema in tempo zero o è un dipendente, ed è
    > quindi pagato... forse non ha acquistato
    > qualcosa, ma per l'azienda l'adempimento
    > rappresenta sempre un costo. e in considerazione
    > del fatto che aumenta la sicurezza di una
    > percentuale trascurabile (ad es. non viene
    > registrato cosa faccia l'ads dopo il login,
    > sapere che uno ha fatto un login vale poco), non
    > è detto siano soldi spesi
    > bene...


    Questo è vero, del resto ci furono polemiche anche sulla 196 per degli obblighi tecnici che ad un buon AdS sembrano ridicoli (avere l'antivirus, il backup e password lunghe almeno 8 caratteri... eppure qualcuno più si lamentò!). Forse dovremmo innalzare la nostra idea di essere dei buoni AdS, forse, e dico forse, il buon AdS non è quello che cambia il toner ed aiuta gli utenti a fare le stampe unione e poi al primo problema ai server ed altri dispositici chiama la ditta esterna o il consulente, ma quello che si occupa dell'infrastrutta in modo serio, gli altri sono tecnici/operatori di primo livello, cosa dici?
    non+autenticato
  • - Scritto da: Lemon
    > - Scritto da: andrea
    > > il problema resta sempre per i piccoli uffici.
    > > non mettono a budget nemmeno 400 euro, e non dico
    > > per il software ma almeno per chi gli realizzi il
    > > sistema. l'ads di una azienda con 5-10 pc e un
    > > server non esiste. è il fornitore / consulente
    > > esterno che lo fa, nella quasi totalità dei
    > casi.
    > > e questi casi alla fine sono forse il 90% delle
    > > aziende (butto là un
    > > numero).
    >
    > Ed il garante ha detto che in questo caso non
    > serve.

    no, ha detto che "le registrazioni devono avere caratteristiche ... adeguate al raggiungimento dello scopo di verifica per cui sono richieste", l'importante, come dicevo in un altro commento, è che siano "adeguate"... caratteristiche "semplici"? ok, purché adeguate Sorride

    tieni presente che le faq non sono il provvedimento, non sono testo di legge. secondo me vale più giustificare una scelta "adeguata" che citare una faq, in caso di contestazione (da parte della gdf, magari)


    > > vale porre l'attenzione al problema, ma la
    > > soluzione non è applicabile a basso costo stando
    > > alle disposizioni interpretare "seriamente" dal
    > > punto di vista
    > > tecnico.
    > >
    >
    > Il Garante dice poco e niente di tecnico, vuole
    > solo che alla fine i log raccolti non siano
    > modificabili a piacimento, basta una
    > masterizzazione o una firma con marca temporale
    > (e tutti gli uffici ormai la
    > hanno)

    conosco 1 cliente che ce l'ha...


    > > avrei da ridire sul costo ZERO... o il sig.
    > > red5lion lavora gratis o ha organizzato il
    > > sistema in tempo zero o è un dipendente, ed è
    > > quindi pagato... forse non ha acquistato
    > > qualcosa, ma per l'azienda l'adempimento
    > > rappresenta sempre un costo. e in considerazione
    > > del fatto che aumenta la sicurezza di una
    > > percentuale trascurabile (ad es. non viene
    > > registrato cosa faccia l'ads dopo il login,
    > > sapere che uno ha fatto un login vale poco), non
    > > è detto siano soldi spesi
    > > bene...
    >
    >
    > Questo è vero, del resto ci furono polemiche
    > anche sulla 196 per degli obblighi tecnici che ad
    > un buon AdS sembrano ridicoli (avere l'antivirus,
    > il backup e password lunghe almeno 8 caratteri...
    > eppure qualcuno più si lamentò!). Forse dovremmo
    > innalzare la nostra idea di essere dei buoni AdS,
    > forse, e dico forse, il buon AdS non è quello che
    > cambia il toner ed aiuta gli utenti a fare le
    > stampe unione e poi al primo problema ai server
    > ed altri dispositici chiama la ditta esterna o il
    > consulente, ma quello che si occupa
    > dell'infrastrutta in modo serio, gli altri sono
    > tecnici/operatori di primo livello, cosa
    > dici?

    certo (e io non sono un ads, se non della mia azienda), questo è auspicabile, ma dal punto di vista della realtà, le situazioni che ti trovi davanti sono quelle... e quelle devi gestire... almeno per dare i consigli "giusti" all'azienda... li seguirà? mah!...
    non+autenticato
  • > Ad una certa ora prendo il file log.txt e lo
    > rinomino in log"GG-MM-AAAA".txt in
    > automatico.

    Con buona pace del log non modificabile vero?

    Lanf
    Lanf
    148
  • - Scritto da: Lanf
    > > Ad una certa ora prendo il file log.txt e lo
    > > rinomino in log"GG-MM-AAAA".txt in
    > > automatico.
    >
    > Con buona pace del log non modificabile vero?
    >
    > Lanf

    A parte il fatto che non ha modificato il log ma il nome del file che lo contiene, in ogni caso il Garante dice che bisogna adottare accorgimenti "ragionevoli" e l'inalterabilità è prevista in fase di conservazione, cioè a log acquisito su supporto definitivo (masterizzato o criptato con firma ecc). Quello che vogliono far intendere in molti commerciali, cioè che il log deve essere l'originale di sistema e inviato in forma criptata ecc, è TUTTO falso.
    non+autenticato
  • > A parte il fatto che non ha modificato il log ma
    > il nome del file che lo contiene, in ogni caso il
    > Garante dice che bisogna adottare accorgimenti
    > "ragionevoli" e l'inalterabilità è prevista in
    > fase di conservazione, cioè a log acquisito su
    > supporto definitivo (masterizzato o criptato con
    > firma ecc). Quello che vogliono far intendere in
    > molti commerciali, cioè che il log deve essere
    > l'originale di sistema e inviato in forma
    > criptata ecc, è TUTTO
    > falso.

    Cito:
    "[...] Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo della verifica per cui sono richieste. [...]"

    Un file .txt non è inalterabile. D'accordo che una volta messo su un CD-ROM non riscrivibile non è più alterabile, ma prima lo è.
    Che sensa ha conservare in modo inalterabile un file che potrebbe essere stato modificato prima?
    Se in tribunale vogliono inch****ttare l'AdS lo fanno facile con una procedura così.

    Lanf
    Lanf
    148
  • Il log è inaleterato. Perchè il LOG non è il nome del file. ma il conenuto dello stesso.l
    I log sono le operazioni che vengono svolte. e quelle non sono modificate.
    Ma volendo potrei anche cambiare un pochino il procedimento e non rinominarlo.
    Occorre inoltre guardare allo spirito della legge.

    Comunque gli strumenti sono tutti free.
    Kiwi versione free
    snare versione free
    sendemail versione free
    Inalterabilità e cifratura garantite dalla pec.
  • > Cito:
    > "[...] Le registrazioni (access log) devono avere
    > caratteristiche di completezza, inalterabilità e
    > possibilità di verifica della loro integrità
    > adeguate al raggiungimento dello scopo della
    > verifica per cui sono richieste.
    > [...]"
    >
    > Un file .txt non è inalterabile. D'accordo che
    > una volta messo su un CD-ROM non riscrivibile non
    > è più alterabile, ma prima lo
    > è.

    TUTTO è alterabile prima, allora non loggiamo nulla...

    > Che sensa ha conservare in modo inalterabile un
    > file che potrebbe essere stato modificato
    > prima?
    > Se in tribunale vogliono inch****ttare l'AdS lo
    > fanno facile con una procedura
    > così.
    >
    > Lanf


    Non sono dati da portare in tribunale, ricorda che se vuoi "inch****ttare" un AdS come dici tu, allora è chi accusa che deve avere l'onere della prova, deve dimostrare che l'AdS ha modificato il file prima del salvataggio definitivo.
    Comunque, lo ripeto, non è che il Garante vuole delle cose che hanno un riscontro in termini di sicurezza informatica, vuole solo un log di accesso degli AdS che abbia un minimo di attendabilità ("adeguato al raggiungimento dello scopo" come dice lui)
    non+autenticato
  • - Scritto da: Lemon
    >
    > TUTTO è alterabile prima, allora non loggiamo
    > nulla...
    No, esistono applicazioni che consentono di "duplicare" il log mentre vengono generati e renderli inalterabili e utilizzabili in caso di contestazione forense.

    > Non sono dati da portare in tribunale, ricorda
    > che se vuoi "inch****ttare" un AdS come dici tu,
    > allora è chi accusa che deve avere l'onere della
    > prova, deve dimostrare che l'AdS ha modificato il
    > file prima del salvataggio
    > definitivo.
    > Comunque, lo ripeto, non è che il Garante vuole
    > delle cose che hanno un riscontro in termini di
    > sicurezza informatica, vuole solo un log di
    > accesso degli AdS che abbia un minimo di
    > attendabilità ("adeguato al raggiungimento dello
    > scopo" come dice
    > lui)
    Leeggi bene il Provvedimento: punto 3. Segnalazione ai titolari di trattamenti relativa alle funzioni di amministratore di sistema
    < omissis> … richiama l'attenzione dei medesimi titolari sulla necessità di adottare idonee cautele volte a prevenire e ad accertare eventuali accessi non consentiti ai dati personali, in specie quelli realizzati con abuso della qualità di amministratore di sistema;

    Quindi l'utilizzo per il FINE è piuttosto chiaro.

    Inoltre la normativa del D.lgs 196/03 prevede nella maggior parte dei casi l'inversione dell'onere della prova, (Art. 2050 cc) quindi in caso di problemi solo avere prove producibili e incontestabili protegge l'AdS e l'impresa.

    Fermo restando la gradualità delle misure da prendere in funzione dei dati trattati, Si continua a sottovalutare quali implicazioni concrete si possono avere se ci sono problemi veri.
    non+autenticato
  • seconda volta oggi chemi sento scemo.... preoccupante

    trovo sconcertante la "tempestività" del chiarimento.
    io lo intepreto con il senno dell'uomo della strada: "ho fatto una legge giusta sul piano teorico e con ottimi fondamenti di cultura informatica. però me ne fotto se applicabile e quanto costa alle aziende.
    ...azzarola è una legge, me n'ero scordato.... ..azzarola è già ora?!?! beh dai fate un po' come vi pare...."

    la piccola impresa non capisce, nella grande le proporzioni di sistemi/complesità/licensing fanno schizzare i costi a decine/centinaia di migliaia di euro.

    per esperienza diretta e personale le piccole aziende neanche capiscono di cosa si sta parlando: usano l'equazione legge inutile = soldi persi = chi se ne fotte

    il CIO di un gruppo industriale molto grosso del nordest mi ha detto mentre cercavo di affrontare l'argomento: "non abbiamo soldi da spendere in queste caz-ate, sicuramente le vostre licenze costano il doppio della multa che potremmo dover pagare se mai faranno i controlli".
  • .... il server sarà esaminato dai RIS di Parma.... così siamo certi che l'AdS si bacca l'ergastolo !Rotola dal ridere
    non+autenticato
  • lol dirò a mia madre di portarmi le arance... e anche al titolare se non è in gabbia con me.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 9 discussioni)