Le norme tecniche sulla protezione dei dati personali e la rete. Un matrimonio impossibile?

di Andrea Monti – PC Professionale n.107

Come avevo promesso, ritorno ad affrontare il tema delle misure minime di sicurezza per la protezione dei dati personali, imposte dal DPR 318-99, dal punto di vista di chi utilizza a vario titolo l’internet.

Il DPR effettua all’art.3 una prima distinzione fra elaboratori accessibili da altri elaboratori solo attraverso reti non disponibili al pubblico e elaboratori accessibili mediante una rete di telecomunicazioni disponibili al pubblico.Tradotto in italiano la distinzione dovrebbe individuare le reti (locali o geografiche) ad accesso riservato come quelle aziendali, da un lato, e i servizi tipo internet dall’altro.In ambedue i casi, è obbligatoria una gestione accurata dell’accounting e delle password, che devono essere tutte diverse, mai assegnate a più persone, mai riutilizzate e disattivabili in caso di smarrimento.

Un’altra indicazione importante è quella dell’art.2 che prevede una parola chiave per l’accesso ai dati. Che cosa abbia voluto dire il legislatore non è chiarissimo, ma probabilmente con questa terminologia poco tecnica intendeva riferirsi all’implementazione di sistemi di protezione dei singoli file. In altri termini verrebero previsti due livelli di accesso, uno al sistema (con un tradizionale login) e uno ai dati (ad esempio con cifratura dei singoli file). Il problema si pone in modo particolare per fogli elettronici e ancora di più per i data-base sempre più orientati a gestire i file in modo aperto. Stando così le cose non credo che possa essere sufficiente la protezione a livello di applicazione (non far accedere un certo utente a quella risorsa), se poi i file possono essere liberamente duplicati e usati con un altro programma.

Se così fosse, allora praticamente tutto il software pacchettizzato attualmente in commercio sarebbe fuori legge (per favore, lasciamo perdere le “protezioni” contenute in questa o quella suite SOHO), a meno di non integrarne l’uso con prodotti crittografici. Una soluzione del genere non può certo essere indolore soprattutto dal punto di vista economico: adeguare le macchine al maggior carico di lavoro che dovranno sopportare, istruire il personale, definire procedure… tutte attività che già una media azienda non può certo svolgere nel breve periodo di sei mesi (che scade il prossimo 28 marzo 2000) imposto dalle norme.
L’antivirus diventa obbligatorio per legge e ne deve essere verificata l’efficacia (???) a scadenza almeno semestrale. In realtà l’art.4 del DPR fa riferimento all’art. 615-quinquies del codice penale che riguarda programmi diretti a danneggiare programmi, dati, sistemi informatici e telematici: non solo virus, dunque, ma anche software fatti male o più in generale potenzialmente pericolosi.

Queste indicazioni non riguardano solo le realtà aziendali o pubbliche, ma anche l’utente privato che si trova a trattare dati personali. Connettersi in dial-up avendo abilitata la condivisione dei dischi o il sistema operativo non adeguatamente “aggiustato” consente agli “estranei” di ficcanasare nel proprio hard-disk, con le conseguenze che è facile immaginare. In realtà un utente della rete dovrebbe essere già abbastanza smaliziato da non avere bisogno di queste indicazioni normative al limite dell’ovvio, ma come dicevano gli antichi “meglio abbondare…”.

In realtà il DPR 318-99 è pieno di buchi, perché rivolge consigli equivalenti al “mettete la maglietta di lana perché fa freddo” a persone che stanno per scalare il K2 (la montagna, non un processore). L’esperienza dimostra che non basta un antivirus e l’onnipresente “pippo” come password di root per garantire la sicurezza delle informazioni, ma probabilmente chi ha scritto questo regolamento si è fermato alla prefazione della “Guida Galattica per gli autostoppisti”.

Possibly Related Posts: