Le banche in rete

Computer Programming n.ro 57 del 01-01-97
di Andrea Monti

CCC non è l’acronimo di un’organizzazione clandestina ma sta per Club sul Computer Crime, il nome che un gruppo di esperti ha dato ad un organismo che ha come scopo principale lo studio dei problemi connessi alla sicurezza informatica.

Il 6 e il 7 febbraio scorsi a Roma si è tenuto l’ottavo convegno annuale sul tema “Sicurezza e privacy nell’era di Internet”.

Non si è trattato della “solita” tavola rotonda anzi, i lavori hanno disegnato uno scenario abbastanza inusuale soprattutto per la natura dell’uditorio, costituita per la maggior parte di rappresentanti del mondo bancario.

Banche in rete… che ci azzecca?

La domanda non è poi così pellegrina perché fino a qualche anno fa, come scrive Arturo Salvatici dirigente ISTINFORM S.p.A., “pochissime banche italiane avevano una loro presenza su Internet mentre oggi abbiamo più di cento istituti che hanno deciso di rendersi visibili con un loro sito.”

La banca vuole andare in rete dunque, ma come? Allo stato il TCP/IP non sembra in grado di garantire quei livelli di sicurezza e riservatezza (a volte meno elevati di quanto si pensi) necessari all’attività creditizia e la famigerata legge 675 sui dati personali (vedi lo scorso numero di Computer Programming) sembra in grado di aprire più di una breccia nel muro impenetrabile che da anni caratterizza questo mondo.

Questi sono gli argomenti sui quali, non senza spunti critici, i relatori si sono interrogati puntualmente con il contraltare di una platea molto attenta e reattiva.

Il programma delle due giornate prevedeva nella prima una vera e propria tavola rotonda dal titolo “La nuova normativa sulla privacy quale impatto sulle aziende?” mentre nella seconda una serie di relazioni dal contenuto più tecnico dedicate alla sicurezza della rete relativamente all’attività bancaria.

Coordinati da Enrico Granata – Direttore Centrale ABI – che ha illustrato i contenuti fondamentali della legge, è toccato a cinque relatori sviluppare il tema assegnato e arginare il fiume di domande che una platea molto reattiva ha posto loro.

 

Questa legge va studiata bene!

Esordisce Giovanni Buttarelli, magistrato addetto all’Ufficio legislativo del Ministero di grazia e giustizia, unanimemente considerato il padre putativo della legge 675.

Il suo intervento è caratterizzato da un’appassionata difesa della legge sui dati personali dagli attacchi provenienti dagli ambiti più disparati, invocando nell’interpretazione delle norme l’applicazione di un po’ di sano buon senso invece di perseguire a tutti i costi soluzioni paradossali.

Una cosa in particolare ha tenuto a sottolineare il magistrato, e cioè che siamo in presenza di una legge articolata e molto complessa, quindi solo disassemblandola (N.d.R.) accuratamente è possibile comprenderne appieno le dinamiche e le modalità applicative. Il rischio di un esame superficiale è di strutturarsi in modo inefficiente (con notevoli costi) e di incorrere in sanzioni che si potevano evitare con una più attenta lettura delle norme.

 

Internet fuori legge?

E’ la volta di Manlio Cammarata, giornalista, che ribalta totalmente il punto di vista del magistrato, dimostrando con una serie di esempi quanto siano concrete delle interpretazioni che fra le altre cose potrebbero causare la messa al bando di Internet. La rete potrebbe essere accusata di consentire indiscriminatamente la diffusione o la comunicazione di dati personali anche verso paesi non in grado di garantire gli stessi livelli di tutela presenti nel nostro e ciò, inoltre, senza nemmeno il preventivo assenso dell’avente diritto.

Si tratta di conclusioni ovviamente estreme ma che sarebbe stato opportuno nemmeno rendere possibile in astratta teoria (N.d.R.). Il senso dell’intervento di Cammarata sta tutto nella constatazione che invece di concepire una legge farraginosa e oscura sarebbe stato preferibile – nell’ottica di una effettiva tutela della riservatezza delle persone – inserire uno o due articoli nel codice penale che puniscano la violazione in qualsiasi modo realizzata di questo “bene”.

 

Sicurezza e standard

Giancarlo Martella dell’Università di Milano si occupa delle questioni connesse alla delicata questione delle misure di sicurezza da adottare in concreto sottolineando la necessità di individuare degli standard chiari ai quali conformarsi.

 

Che succederà in pratica?

E’ la domanda che si pone il dott. Umberto Rapetto, ufficiale superiore della Guardia di Finanza attualmente impegnato con l’AIPA (Autorità per l’informatica nella Pubblica Amministrazione).

L’interrogativo sorge da una constatazione: il numero di coloro che sono soggetti alla legge è talmente elevato che se anche una minima parte della popolazione cominciasse a chiedere al Garante di applicare la legge 675 per sapere se il proprio nome è presente in qualche data base, si giungerebbe quasi subito alla paralisi quasi completa.

Sotto un altro profilo, e in risposta all’intervento precedente, il dott.Rapetto sottolinea come in realtà ci si stia muovendo concretamente verso la creazione di standard tecnici.

E’ inutile dire che anche questo intervento si è posto in modo molto critico nei confronti della legge sottolineandone le notevoli difficoltà applicative

 

I retroscena

A Carlo Sarzana di Sant’Ippolito, Presidente aggiunto GIP Tribunale di Roma, il compito di raccontare il tormentato iter parlamentare che ha portato all’approvazione della legge.

Sarzana esprime perplessità sul modo – repentino – in cui la legge 675 è stata approvata, soprattutto in relazione ai dubbi già espressi dal relatore Anedda in sede di discussione parlamentare.

In particolare il magistrato sostiene che una serie di argomentazioni addotte per sostenere l’urgenza dell’approvazione della legge sui dati personali in realtà non erano così stringenti da imporre necessariamente il raggiungimento di questo risultato in tempi così brevi.

 

La discussione

Terminate le relazioni una raffica di domande ha immediatamente impegnato i relatori su due fronti: uno è quello delle misure di sicurezza e l’altro è quello della ristrutturazione delle procedure operative in funzione delle nuove prescrizioni della legge.

Sono emerse conclusioni interessanti, ad esempio relativamente ai contratti bancari che dovranno essere modificati tenendo presente la problematica del consenso dell’interessato circa il trattamento dei dati o al fatto che tale consenso vada reso per iscritto anche se non necessariamente con la firma del soggetto (vale a dire, e la cosa non mi soddisfa, che basterebbe anche una check-box) o ancora che l’istituendo responsabile del trattamento in azienda non potrà essere un fantoccio.

Il denominatore comune che, ad ogni modo, ha caratterizzato le domande del pubblico è stato certamente la richiesta di chiarezza, elemento ancora una volta assente da una legge dello Stato.

Possibly Related Posts: