Garante e Amministratori di Sistema: le criticità

Garante e Amministratori di Sistema: le criticità

di Andrea Buti (www.tglex.com) - No all'outsourcing? Come verificare l'integrità dei file di log? Cosa comporta nominare un Amministratore senza valutarne le caratteristiche? Le questioni che restano insolute
di Andrea Buti (www.tglex.com) - No all'outsourcing? Come verificare l'integrità dei file di log? Cosa comporta nominare un Amministratore senza valutarne le caratteristiche? Le questioni che restano insolute

Al seminario dello scorso 24 aprile svoltosi presso l’Università La Sapienza dal titolo “Massima trasparenza sull’operato degli amministratori di sistema”, sono state definite così definite quelle questioni rimaste prive di una chiara risposta, suscitate dal recente provvedimento del 27 novembre.

Tra i partecipanti ricorreva soprattutto il quesito relativo all’indicazione (punti 4.2. e 4.3 del provvedimento) del nominativo degli A.D.S. “stranieri” ed alla loro designazione personale. La domanda, che ha cominciato ad aleggiare durante il coffee break, è stata ufficialmente riproposta anche nel question time, ma non ha ricevuto una puntuale risposta dal rappresentate del Garante che aveva illustrato la prima relazione. Lo stesso ha infatti riconosciuto, appunto, che si trattava di una “criticità”. In pratica non è per niente chiaro come potrebbe il titolare ottenere o imporre la collaborazione ai propri partner stranieri al fine di ricevere l’elenco di tutti gli amministratori di sistema che mettono le mani sui dati. Se si considera, poi, che la figura dell’A.D.S. pare essere incarnata anche dall’amministratore della base di dati (e dunque non solo da un sysadmin o sysop), la problematica è tutt’altro che di facile risoluzione. A meno che non si voglia considerare (come è stato esplicitamente rilevato) che il provvedimento del Garante non imponga – di fatto (!) – di rivolgersi solo ad amministratori di sistema italiani o che comunque siano soggetti alla legge italiana… Un bel problema per tutti quei titolari che hanno optato per servizi in outsourcing, gestiti da soggetti collocati al di fuori dei confini del territorio nazionale.

Anche la questione dei file di log è parsa questione “critica”: da un lato, infatti, si è sostenuto che si tratterebbe “solo” dei dati di accesso che verrebbero comunque registrati in automatico da un qualunque sistema operativo (quali, come, quando?), mentre dall’altro, il testo del provvedimento sembra sufficientemente ampio da potervi includere la registrazione di eventi (shutdown anomali, modifica delle password etc..). Ma il problema più evidente è quello relativo alla loro completezza ed integrità: in mancanza di soluzioni ad hoc, come si può dimostrare che in effetti i dati di log sono quelli effettivi? Insomma, se la copia viene fatta dopo che qualche riga di log è “sparita”, è chiaro che la cosa serve a poco.

È stato più volte ribadito che il provvedimento in questione era solo un “atto di indirizzo” e quindi tutto sommato privo di un efficacia precettiva su questioni specifiche e tecniche, ma, alla fine, rischia di non essere né carne…né pesce.. Con riguardo ai file di log avrebbe avuto un senso, ad esempio, suggerire (visto che la funzione del provvedimento non sembra essere quella di obbligare all’utilizzo di soluzioni preconfezionate) l’adozione si sistemi che consentano il riversamento automatico dei dati con un timing piuttosto ristretto, ed in archivi crittografati non accessibili all’A.D.S. stesso, considerato che il provvedimento si riferisce esplicitamente a “completezza, inalterabilità e possibilità di verifica della loro integrità”.

Un’ultima notazione: il provvedimento è rivolto ai titolari (e/o responsabili) e non agli amministratori che, invece, ne subiranno solo gli effetti. Certo che la nomina di un A.D.S. dovrebbe essere tutt’altro che una formalità. Ove, infatti, si proceda a nominare un A.D.S. un po’ troppo “alla leggera” (ossia senza valutare “le caratteristiche di esperienza, capacità e affidabilità del soggetto designato”), si vanificherebbe il tutto, con conseguenze affatto gradevoli, considerato il richiamo esplicito (seppure tra parentesi) alla due diligence e ad eventuali responsabilità penali di cui all’art. 169 del codice.

Quest’ultimo riferimento è preoccupante: visto che tale articolo prevede il reato di omissione di misure di sicurezza minime, verrebbe da pensare che l’omissione o non corretta nomina degli A.D.S. (e le falle dell’organizzazione relativa…) sia una misura minima. Ciò non è scritto, invece da nessuna parte: né nell’allegato “B” né altre norme impongono infatti la nomina di A.D.S. come misura minima, ergo, il richiamo alla responsabilità penale lascia piuttosto perplessi. Anche perché in materia penale vige il principio di tassatività: il potenziale reo deve conoscere la norma a cui dovrebbe uniformare il suo comportamento, ma se la norma non c’è, come fa?
Discorso diverso per la responsabilità civile; in questo caso gli errori nella nomina di A.D.S. e connessi, potrebbero davvero essere forieri di responsabilità (danni e quant’altro).
Ma allora si tratterebbe di una misura “idonea” (per cui non c’è penale) e non di una misura “minima”…
Chissà che non intervenga qualche modifica, prima della definitiva entrata in vigore..?

Avv. Andrea Buti
www.tglex.com 

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 28 apr 2009
Link copiato negli appunti