Sicurezza e privacy nell’era di Internet

di Andrea Monti – PC Professionale n. 72

Il Club sul Computer Crime ha organizzato per il 6 e 7 febbraio scorsi a Roma l’ottavo convegno annuale su un tema molto delicato reso di grande attualità dall’approvazione della legge sulla tutela riservatezza, pubblicata sulla Gazzetta Ufficiale dello scorso otto gennaio.

La manifestazione, distribuita su due giornate di lavori prevedeva nella prima una tavola rotonda sui problemi applicativi di questa legge, e nella seconda diverse sessioni tecniche dedicate alla presentazione di rapporti informativi e tool per la sicurezza, il tutto nell’ottica particolarissima delle banche, improvvisamente – o quasi – accortesi dell’esistenza di Internet.

Fino all’anno scorso la presenza in rete del polo bancario era praticamente inesistente mentre ora si contano un centinaio di siti che offrono i servizi più diversi anche se il vero e proprio home-banking su Internet è ancora di là da venire soprattutto per evidenti ragioni di sicurezza ma non solo.

La legge sulla privacy (che più correttamente dovrebbe essere chiamata con il vero nome, cioè “Tutela delle persone e di altri soggetti rispetto al trattamento di dati personali”) ha infatti complicato di molto la gestione (il “trattamento” in legalese) della enorme mole di dati che una banca si trova a maneggiare. Da una parte perchè impone una serie di obblighi a chi appunto raccoglie informazioni e dall’altra perchè in molti casi i contenuti fanno invidia – quanto ad ermetismo – alle quartine di Nostradamus.

Per tentare di fare un po’ di chiarezza sul punto sono stati riuniti attorno ad un tavolo alcuni esperti, fra cui Giovanni Buttarelli, il magistrato che ha concepito la legge, Manlio Cammarata, Umberto Rapetto, Ufficiale superiore della G.d.F., Giancarlo Martella e Carlo Sarzana di Sant’Ippolito che – coordinati da Enrico Granata, direttore centrale ABI – hanno affrontato il tema soto vari aspetti.

Una legge da capire

Dalle relazioni, ma soprattutto dal dibattito sono emerse considerazioni interessanti e in qualche caso preoccupanti.

Innanzi tutto sul contentuo stesso della legge. Da più parti sono arrivate critiche anche feroci che sottolineavano alcune scelte fortemente discutibili specie in materia di responsabilità civile. Anche il problema degli adempimenti imposti a soggetti come le banche – si è detto – rischiano di provocarne la paralisi operativa.

Una legge così – è la risposta di Buttarelli – deve essere studiata molto approfonditamente; solo conoscendola dettagliatamente è infatti possibile capire ed applicare le complesse dinamiche che mette in moto. E’ vero infatti che ci sono una serie di combinazioni fra le varie norme che consentono (comunque a fatica n.d.r.) di escludere l’applicazione di questo o quell’articolo.

Se è veramente così tuttavia (n.d.r.) è difficile non pensare che allora questa legge la si poteva organizzare in modo più semplice, risparmiando poderosi mal di testa ad un sacco di gente!

Novità per la Rete?

Sì, nel senso che non ce ne sono, ed è proprio questo il fatto nuovo. Ancora una volta (come già accade nel 1995 con la liberalizzazione dei servizi di trasmissione dati) a tutto si è pensato tranne che ad Internet, con il risultato che un’interpretazione certamente provocatoria- ma sostenibile – della parte che regola l’esportazione di dati all’estero potrebbe di fatto mettere fuori legge Internet.

Toni fortemente preoccupati poi quelli del Magiore Rapetto, che si è domandato fra l’altro come sarà possibile fare fronte all’enorme mole di richieste se – visto l’esteso campo di applicazione – nche una minima parte dei cittadini deciderà di chiederne l’applicazione. Su un altro fronte Rapetto sottolinea che l’annoso problema della standardizzazione delle misure di sicurezza si avvia verso una soluzione con l’istituzione dell’organo di certificazione in allineamento alle realtà comunitarie già esistenti, contribuendo a mettere un po’ d’ordine nel caos ulteriormente aumentato dalla legge sulla privacy (n.d.r.)

Miscellanea

I problemi trattati sono stati veramente parecchi, dalla gestazione difficile della legge (Carlo Sarzana) a questioni più concrete come ad esempio quella relativa alla prestazione del consenso al trattamento dei propri dati.

Questa è una delle preoccupazioni maggiori di chi lavora con grandi quantità di informazioni, perchè la legge impone di informare dei suoi diritti la persona alla quale si chiedono i dati già al momento della raccolta, oltre a documentare inequivocabilmente il consenso all’operazione; ma come si fa in concreto? E’ necessaria una firma o basta anche solo un comportamento concludente? Interrogato specificamente sul punto Buttarelli chiariva che – salve le eccezioni relative ai dati sensibili – di regola non è necessaria la sottoscrizione per manifestare il consenso, purchè questo risulti specificamente documentato per iscritto.

Molto altro ci sarebbe da dire e la sinteticità dell’articolo non rende ragione agli interventi e al dibattito che li ha seguiti, rimane comunque la percezione che con questa legge qualcosa è cambiato… in bene o in male è ancora troppo presto per dirlo.

Possibly Related Posts: