Misure veramente “minime”

Interlex n. 93

di Andrea Monti

Ho letto con il consueto sgomento il testo di quelle che dovrebbero essere le misure minime di sicurezza prossime venture e mai come in questo caso si è dimostrato inequivocabilmente che nomina sunt consequentia rerum.

Boutade a parte, anche questo testo normativo brilla – come e più dei suoi predecessori – da un lato per una tecnica normativa abbastanza approssimata, dall’altro per una straordinaria “confessione di arretratezza tecnologica”.
Alla prima conclusione si arriva abbastanza rapidamente anche solo facendo caso all’articolo 1
che, invece di rifarsi alla nozione di “sistemi informatici” oramai ampiamente accolta dalla dottrina e dal legislatore, introduce ex abrupto la generica nozione di “strumenti”.

Molti invece sono i florilegi che costellano la seconda.
Il testo normativo nasce – sotto il profilo tecnico – morto: tanto per fare un esempio, è noto che le attuali politiche di system security tendono ad evitare che le password siano assegnate o generate da qualcuno che poi le consegna all’utente (come auspicano gli articoli 2 e 4 del regolamento). Si preferisce invece dare al titolare dell’account il potere di gestire in proprio i codici di accesso. Certo, l’amministratore di sistema potrebbe sempre, grazie al “passepartout elettronico” fornitogli dai privilegi di root, “forzare” l’accesso, ma questo non cambia i termini della questione.

Anche il successivo articolo 3 ben si inserisce nel solco tracciato. La tecnologia oggi fornisce strumenti a bassissimo costo in grado di attivare una LAN che poi esce sull’internet ad un costo che va dalle 500.000 lire al milione (questo è il prezzo di alcuni apparati che fungono da hub, router e terminal adapter ISDN in un colpo solo). La problematica del resto non è certo nuova, se è vero che già due anni fa, su queste pagine, un articolo di Paolo Nuti faceva giustizia del problema.

Qualcosa da dire c’è anche per la questione dei virus – (primo comma, lettera c) dell’articolo 4), trattata con un cieco fideismo nella tecnologia, che porta il legislatore a ritenere sufficiente l’installazione e la periodica verifica della funzionalità di un antivirus, senza considerare che alcuni programmi come i key logger o trojan, innocui sotto il profilo del danneggiamento, ma letali per l’intercettazione di dati, non sono di norma rilevati dai software “ANti-intrusione”.
Stranamente poi, non c’è traccia dell’obbligo di utilizzare solo programmi con un certo livello di qualità nello sviluppo e nella realizzazione, in grado di ridurre al minimo i potenziali rischi per i dati. E’ anche vero che se fosse introdotta una norma del genere, praticamente il 90% dei prodotti in commercio diventerebbe di colpo fuori legge.

Solo una nota di stile per quanto riguarda l’articolo 6 che impone un “documento programmatico” per la sicurezza: è forte l’eco dei Piani Quinquennali di brezneviana memoria. Anche per una ragione di uniformità (torniamo al discorso della tecnica normativa) meglio sarebbe stato recepire la nozione di “piano per la sicurezza” contenuta nella normativa sulla firma digitale.

La (tenue) speranza che le famigerate “manine” lavorino una volta tanto per il bene comune, riscrivendo ampiamente questo capolavoro tecnico-giuridico, suggerisce di non andare oltre nell’analisi, in attesa del testo definitivo pubblicato sulla Gazzetta Ufficiale. A dire il vero, meglio sarebbe se le “manine” di cui sopra questo regolamento lo riscrivessero daccapo, ma forse è veramente chiedere troppo.

Possibly Related Posts: