Non succede spesso a chi fa il mio mestiere, ma a volte, raramente, accade di rimanere meravigliati di fronte alla maturità tecnologica di talune istituzioni. In un paese come l’Italia, che tanto ha ancora da imparare riguardo alla Sicurezza Informatica, troviamo finalmente un barlume.
Mi riferisco al provvedimento del Garante riguardo le intercettazioni, ed in particolare le sue recentemente emesse prescrizioni tecniche ed organizzative per la protezione dei dati di traffico internet e telefonico da parte dei gestori. Viene quasi da tirare, finalmente, un sospiro di sollievo.
Le indicazioni fornite dal Garante sono piuttosto precise e, se funzionerà il sistema di controllo della loro applicazione, dovrebbero poter garantire un elevato livello di sicurezza dei dati, in particolare quelli di traffico internet e telefonico relativi alla repressione dei reati.
Se da un lato la repressione dei reati è una faccia della medaglia, i fatti di cronaca che ormai tutti conosciamo hanno fatto tristemente notare come le intercettazione nelle “mani sbagliate” abbiano comportato un pesante attentato alla Privacy degli individui coinvolti.
Ma cosa comporta esattamente il provvedimento? In pratica gli obblighi tecnici si imperniano su quattro punti:
– Accesso ai dati: l’accesso ai dati deve essere consentito solo al personale incaricato mediante avanzati sistemi di autenticazione informatica, anche con l’uso di dati biometrici (es., impronte digitali). Sono compresi nella prescrizione, salvo limitati casi di necessità, anche gli amministratori di sistema, figure chiave della sicurezza delle banche dati, sul cui ruolo, spesso sottovalutato anche nei settori più delicati, il Garante prevede di iniziare una riflessione approfondita.
– Accesso ai locali: i locali in cui sono ospitati i sistemi di elaborazione che trattano dati di traffico telefonico per esclusive finalità di giustizia devono disporre di sistemi biometrici di controllo degli accessi. In ogni caso, i sistemi che trattano dati di traffico di qualsiasi natura vanno installati in locali ad accesso selezionato.
– Sistemi di autorizzazione: le funzioni tra chi assegna le credenziali di autenticazione e chi accede ai dati devono essere rigidamente separate. I profili di autorizzazione da attribuire agli incaricati devono essere differenziati a seconda che il trattamento dei dati di traffico sia effettuato per scopi di ordinaria gestione o per quelli di accertamento e repressione dei reati.
– Tracciamento dell’attività del personale incaricato: ogni accesso effettuato e ogni operazione compiuta da parte degli incaricati e degli amministratori di sistema devono essere registrati in appositi audit log.
– Conservazione separata: i dati tenuti per esclusive finalità di accertamento e repressione dei reati devono essere conservati separatamente da quelli utilizzati per funzioni aziendali (es., fatturazione, marketing, antifrode, statistiche) e i sistemi di elaborazione che li trattano vanno sottoposti a rigide misure di sicurezza fisica e controllo degli accessi.
– Cancellazione dei dati: una volta decorso il tempo previsto di conservazione i dati devono essere immediatamente cancellati o resi anonimi, eliminandoli anche dalle copie di backup create per il salvataggio dei dati.
– Controlli interni: devono essere effettuati controlli periodici sulla legittimità degli accessi ai dati da parte degli incaricati, sul rispetto delle norme di legge e delle misure organizzative tecniche e di sicurezza prescritte dal Garante, sull’effettiva cancellazione dei dati una volta decorsi i termini di conservazione.
– Sistemi di cifratura: contro rischi di acquisizione indebita, anche fortuita, delle informazioni registrate da parte di incaricati di mansioni tecniche (amministratori di sistema, amministratori di data base, manutentori hardware e software) i dati di traffico trattati per esclusive finalità di giustizia vanno protetti con tecniche crittografiche.
Non c’è che dire, la struttura proposta dal Garante è sicuramente una tra le migliori declinazioni nella realtà tecnologica dei sistemi di sicurezza: implementa la confidenzialità, la riservatezza, il puntuale controllo, la cifratura ed addirittura una sorta di “diritto all’oblio” tecnologico. Nulla da dire, forse solo un cappello da togliere di fronte a tanta lungimiranza!
Ciò che lascia perplessi, però, è il termine per l’adozione di queste misure, posto al 31 ottobre 2008. Ricordando ciò che accadde con i termini per l’adozione delle misure minime previste dalla 196/2003, e considerando come i gestori TLC non siano stati particolarmente solerti né entusiasti nel collaborare con la commissione Giustizia del Senato quando fu loro richiesto più volte di documentare le misure di protezione in atto per questo tipo di dati, sorge il legittimo sospetto che almeno una proroga ci sarà. O forse più di una. O forse un decreto milleproroghe…
È pur vero che le misure prevedono delle attività la cui pianificazione ed esecuzione può rivelarsi compito non facile in organizzazioni di grosse dimensioni e complesse come sono i gestori TLC. Si tratta di stabilire nuove gerarchie, di implementare sistemi che devono trattare miliardi di righe di “log” al giorno. Si tratta anche di logistica, con accessi biometrici e segregazione fisica. Chi ha lavorato in una di queste aziende sa che, pur partendo con i migliori auspici, vi sono progetti che subiscono lo speciale effetto di aumento dell’entropia con l’aumentare della gerarchizzazione, tipico paradosso delle grandi corporation.
Se poi si tratta di progetti di adeguamento normativo, ovvero con ritorni bassi, nulli o addirittura ad elevato dispendio economico, i freni alla loro realizzazione possono essere sicuramente elevati.
Ma cosa possiamo fare noi tutti per evitare che queste indicazioni non rimangano lettera morta o che la loro applicazione si trascini per anni, lasciando nel frattempo aperta la strada ad altri scandali sulle intercettazioni?
Beh, potremmo iniziare, ad esempio, a fare i cittadini informati ed attenti e a non sottostare a quell’oblio mediatico che ci vede “entusiasti” per un nuovo progetto salvo poi dimenticarlo dopo mesi. La rete è stata in grado in questi anni di portare alla luce numerose promesse mancate (ricordiamo il caso di Italia.it, vero?) e ancora una volta sarebbe opportuno che ciascuno di noi si prestasse al ruolo di “custode” almeno della nostra privacy.
In assenza di altro, dovremmo avere almeno capito che gli strumenti di comunicazione che utilizziamo ogni giorno sono da considerarsi insicuri e tracciabili.
Che dire? Forse è arrivato il momento di “crescere” come consumatori e capire di quali tecnologie ci possiamo fidare e di quali no. E magari, per lo meno sino all’applicazione in toto dei regolamenti del Garante, prediligere talune forme di comunicazione “tutelate” ad altre non ancora in regola, o preferire un “operatore” che abbia implementato le misure in modo corretto ad uno che “tarda” nella loro applicazione. E se l’esperienza insegna, a volte la molla mediatica e remunerativa può molto più di qualunque legge dello Stato…
Matteo Flora
LastKnight.com