Privacy/ Dalla legge italiana ai metodi di sicurezza

La privacy su Internet rimane un tema scottante, che potrebbe influire non poco sul successo della net economy. Diamo uno sguardo approfondito alla legge italiana e alle tecnologie per la sicurezza


Un mezzo di comunicazione come Internet, dove le informazioni possono circolare ad alta velocità e su scala mondiale, pone notevoli problematiche e interrogativi dal punto di vista della tutela della privacy. In mancanza di una regolamentazione adeguata Internet può infatti trasformarsi rapidamente da strumento principe della libertà di comunicazione e di espressione in un meccanismo di orwelliana memoria per la creazione di organizzazioni di controllo di massa delle attività dei cittadini.

Il caso Echelon, un sistema segreto angloamericno di spionaggio di tutte le comunicazioni civili, ha suscitato non poche perplessità e preoccupazioni in chi vede la necesità di garantire la riservatezza e la sicurezza dei dati “sensibili” di ciascun cittadino.

Come garantire materialmente al cittadino/cliente la possibilità di potere operare nella massima tranquillità?
Due luoghi comuni molto frequentati dai dibattiti odierni nel nostro paese sono: il primo che “non c?è privacy senza sicurezza” e il secondo che l?attuale tecnologia di base che supporta le funzionalità Internet sia in pieno contrasto con la neonata legge sulla privacy. Ogni che volta che si entra in Internet le informazioni che ogni navigatore lascia dietro di sè sono già sufficienti a identificarlo, se poi vengono condite con le informazioni aggiuntive richieste per questo o quel servizio/software gratuito, la schedatura è completa. E non sembra che la gente sia particolarmente informata o conscia di tutto ciò.

Lo scoglio della percentuale bassa delle famiglie che possiedono e utilizzano in modo già “evoluto” un PC sta per essere elegantemente superato con la Web-TV. In particolare i settori bancario e assicurativo sono già in fibrillazione e stanno studiando tutte le possibilità di offrire i propri servizi direttamente on-line, creando così un nuovo canale di vendita.

Il problema è: dopo la prima generazione di software/servizi su Internet, chi non resisterà ad ampliare la offerta con fornitori consigliati o con prodotti di interesse specifico per il cliente, dedotti in modo logico dalle informazioni “elettroniche” lasciate dal cliente stesso?
Le soluzioni a questi problemi sono quelle di garantire al cittadino/cliente la sicurezza sia sul piano legislativo che su piano “hardware/tecnologico”.


Per quanto riguarda il nostro ordinamento giuridico, il diritto alla privacy viene tutelato dalla legge n. 675/1996 “Tutela delle persone e di altri soggetti rispetto al trattamento di dati personali”, in attesa che venga emanata una normativa apposita, per la tutela della privacy su Internet, in applicazione della delega conferita al Governo dalla legge n. 676/1996. Questa garantisce che il trattamento dei dati personali si svolga nel rispetto delle libertà fondamentali e della dignità delle persone fisiche, con particolare riferimento alla riservatezza e all’identità personale, inoltre garantisce i diritti delle persone giuridiche e di ogni altro ente o associazione.

Ai sensi della legge, il trattamento dei dati personali comprende qualsiasi operazione applicata ai dati stessi, come la raccolta, registrazione, organizzazione, conservazione, elaborazione, modificazione, selezione, utilizzo, comunicazione, diffusione, cancellazione e distruzione (art. 1, comma 2 lett. b).
La tutela riguarda quei dati dotati del carattere della personalità e viene definita personale qualunque informazione relativa alla persona fisica, persona giuridica, ente o associazione identificati o identificabili, anche indirettamente mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale (lett. c).

Il trattamento dei dati personali da parte di privati o enti pubblici è ammesso solo con il consenso espresso dell’interessato (art. 11). Il trattamento dei dati sensibili è ammesso invece soltanto con il consenso scritto dell’interessato e previa autorizzazione del Garante (art. 20).
In ogni caso è necessario che l’interessato sia previamente informato circa le modalita e finalità del trattamento cui sono destinati i dati, nonchè? di tutta una serie di informazioni che gli permettano di esercitare i propri diritti, indicati all’art. 13, o prestare il proprio consenso, quando necessario, in modo libero e consapevole.
I dati personali devono comunque essere trattati in modo lecito e secondo correttezza, raccolti e registrati per scopi determinati, espliciti e legittimi: i dati devono inoltre essere esatti, aggiornati, pertinenti e non eccedenti le finalità per le quali sono stati raccolti o successivamente trattati (art. 9).
L?articolo 7 prevede che ogni trattamento deve inoltre essere preventivamente notificato al Garante, con l’indicazione delle modalità, finalità, natura dei dati, ambito di comunicazione ecc., per essere inserito nel registro generale dei trattamenti.
L’adempimento degli obblighi stabiliti dalla legge grava sul titolare del trattamento, definito come la persona fisica, persona giuridica e qualsiasi altro ente, associazione od organismo cui competono le decisioni in ordine alle finalità ed alle modalità del trattamento dei dati personali, ivi compreso il profilo della sicurezza (art. 1).
Dunque il trattamento di dati personali, nel territorio dello stato (art. 2), è sottoposto all’osservanza di una serie di obblighi, non ultima l’adozione di idonee misure di sicurezza, pena l’applicazione delle sanzioni stabilite dalla legge.
Ai nostri fini, si riscontri come tali obblighi devono essere rispettati da tutti i soggetti che operano per via telematica e, in tale ambito, effettuano trattamento di dati.

La legge sulla privacy riguarda tutti gli operatori del settore e-commerce:

– il provider
– il fornitore, titolare del sito
– l?ente certificatore
– il titolare della chiave privata


Provider

I fornitori di servizi di accesso ad Internet devono provvedere agli adempimenti relativi alla legge sulla privacy, con riguardo al trattamento dei dati relativi ai propri clienti, fornendo un’adeguata informativa e raccogliendo il consenso al trattamento e alla comunicazione, quando necessario da parte degli utenti del sistema.

In questo caso assumono particolare rilievo i famosi registri elettronici, i c.d. Data Log, nei quali vengono memorizzati i movimenti degli utenti, durante la navigazione su Intemet. I provider infatti, oltre a procedere alla identificazione degli utenti all’atto della stipulazione del contratto, provvedono a registrare sui log tutti gli accessi al sistema, con la data e ora di inizio e di fine del collegamento, gli indirizzi di rete, i codici identificativi degli abbonati nel caso di anonimato o di uso di pseudonimi ecc. Tale prassi risponde naturalmente ad esigenze di controllo della qualità dei servizi, dei tempi di accesso dell’utente al fine dell’esatta fatturazione, nonchè? di eventuale verifica della commissione di reati, a richiesta dell’autorità giudiziaria.

Dell’esistenza dei Log e dei tipi di registrazioni ivi contenute deve essere data notizia nell’informativa (ex art. 10) all’interessato, insieme con le diverse finalità del trattamento (contabili, di marketing, di controllo), ai fini di consentire all’utente di esprimere un consenso libero e consapevole.
La necessità del consenso dell’utente/interessato per la conservazione (trattamento) dei dati relativi al traffico delle comunicazioni effettuate, è confermata comunque dall’art. 4 del D.Lgs. 13 maggio 1998, n. 171, che ne impone la cancellazione o l’anonimato al termine della chiamata, a meno che il trattamento non sia finalizzato alla fatturazione.

Infine, il provider, come tutti i titolari di trattamento dati, deve predisporre le misure di sicurezza idonee a ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta (art. 15, comma 1, L. 675/1996), lasciando però nell?incertezza in quanto non vengono chiaramente definite quali siano tutte le misure idonee ad evitare il danno, in termini di progettazione, organizzazione e costi relativi. A tal fine deve essere tenuta presente anche la disposizione contenuta nell’art. 9 della L. 675/1996 che, trattando della modalità di raccolta e requisiti dei dati personali, fissa i criteri sulla base dei quali valutare la qualità dei dati, che costituisce un altro aspetto della sicurezza (esattezza, pertinenza, completezza, non eccedenza rispetto allo scopo della raccolta).


Il titolare del sito

L’imprenditore che intende fornire prodotti o servizi tramite Internet, in quanto titolare del sito nonchè del trattamento dei dati relativi ai visitatori del sito stesso, dovrà provvedere, da parte sua, agli adempimenti previsti dalla legge sulla privacy. Pertanto l’offerta commerciale on-line dovrà contenere l’informativa ex art. 10 L. 675/1996 ed essere predisposta in modo da consentire all’utente, sia esso professionista o consumatore, di prestare o meno il proprio consenso, quando necessario. Solo dopo aver letto la nota informativa, il visitatore del sito potrà prestare il proprio consenso, quale condizione per l’inoltro dell’ordine.

Anche in questo caso, come per le informazioni previste dalla normativa a tutela del consumatore, dovranno essere studiate, da parte di grafici e tecnici, le modalità operative per rispettare tali prescrizioni. Si sottolinea, infine, che anche il titolare del sito è tenuto naturalmente a predisporre le misure di sicurezza di cui si è detto a proposito del provider.

Il certificatore

L’osservanza delle misure di sicurezza, indicate dall’art. 15 della L. 675/1996, costituisce un obbligo fondamentale del certificatore. Infatti, il regolamento sulla firma digitale espressamente dichiara che tale soggetto, nel predisporre l’infrastruttura per la certificazione, è tenuto ad adottare tutte le misure organizzative e tecniche idonee ad evitare danno ad altri ed è tenuto, in particolare, ad attenersi alle misure minime di sicurezza per il trattamento dei dati personali da emanarsi ai sensi del citato art. 15, comma 2, della L. 675/1996 (art. 9, commi 1 e 2, lett. f, del D.P.R. 513/1997).

Le regole tecniche, emanate con il decreto del Presidente del Consiglio dei Ministri dell’8 febbraio 1999, confermano tale previsione, stabilendo che il piano per la sicurezza deve essere conforme all’art. 9, comma 2, lett. f, del D.P.R. 513/1997, con riguardo alla sicurezza dei dati personali (art. 46).
In realtà il certificatore, in quanto titolare del trattamento dei dati relativi ai titolari delle chiavi, è tenuto in ogni caso ad adottare tutte le misure di sicurezza idonee, ai sensi dell’art. 15 della legge n. 675/1996.

Il titolare della chiave privata

Anche il titolare della chiave privata infine, in quanto titolare di trattamento dati, ha l’obbligo di adempiere alle prescrizioni relative alla privacy e predisporre le misure di sicurezza di cui all’art. 15, commi 1 e 2.
E? indubbio infatti che, mentre il comma 1 dell’art. 9 del Reg., si riferisce in generale ad entrambi, sia ai certificatori che agli utilizzatori di chiavi, il comma 2 elenca gli obblighi cui è tenuto il solo certificatone, fra i quali l’adempimento alle misure minime di sicurezza emanate ai sensi dell’art. 15, comma, 2 L. 675/1996 è altresì indubbio d’altra parte che anche i titolari di chiavi private, non importa se aziende o privati, effettueranno un trattamento dati, in occasione dell’uso della firma digitale e dovranno pertanto adempiere alle prescrizioni della legge n. 675/1996.


Come garantire materialmente al cittadino-cliente la possibilità di poter operare nella massima tranquillità?
Internet è sempre più al centro dell?attenzione delle aziende che vedono nel web sia la possibilità di avvicinare una platea enorme di potenziali clienti, sia un modo per reperire e trasferire informazioni. Spesso in questo senso viene sempre più spesso inputata ad Internet una mancanza di sicurezza che in realtà è solo del sistema bersagliato.

Infatti Internet permette di tentare attacchi anche a computer remoti senza dover spendere capitali in telefonate o dover prima ingannnare anche i sistemi della società telefonica. Consente di nascondersi presentandosi come se i messaggi fossero originati da altri computer (spoofing) e di poter sfruttare frammenti di informazioni carpite dai messaggi in transito (sniffing).
In questo scenario si è posto da tempo il tema della sicurezza nelle sue componenti principali: gli accessi non autorizzati, i virus e il software illegale.

Gli accessi non autorizzati

A detta degli stessi esperti, lo sviluppo di sistemi assolutamente sicuri è praticamente impossibile ed anche i sistemi più curati dal punto di vista della sicurezza possono poi rivelarsi vulnerabili, magari da parte di utenti legittimi che abusano dei privilegi a loro concessi.

Le cronache sono piene di esempi di questo tipo. Allo stesso tempo è preoccupante notare come sia sottovalutato il tema della sicurezza informatica e quante siano le aree di informazione pubbliche e private sprovviste di adeguati sistemi di protezione. Questa situazione è particolarmente grave se si considera che le tecnologie oggi consentono di mettere a punto valide difese contro le intrusioni e spesso la carenza sta nella mancanza di sensibilità e di attenzione da parte dei responsabili della gestione dei sistemi informatici.

I virus

Questo tipo di programma rappresenta sicuramente una grave minaccia: l?incauto prelievo di software da computer remoti, l?immissione in ambiente aziendale di software o dati copiati da altri ambienti o la scarsa attenzione per cui si aprono innocentemente e-mails spedite da sconosciuti e/o con allegati sospetti costituiscono le cause principali di contaminazione con virus telematici, dalla quale possono derivare danni gravissimi, a volte irreparabili.

Il software illegale

Un altro aspetto da tenere in debita considerazione è quello dell?utilizzo di software originale. Infatti, l?utilizzo di copie illegali di programmi per computer viene a volte considerarto un aspetto di non grande importanza. Invece con l?entrata in vigore del Decreto Legislativo 518/92 in Italia i diritti d?autore sono stati riconosciuti anche per il software, consentendo di punire chiunque duplichi, importi, distribuisca, venda e detenga software non originale con pene che vanno da 3 mesi a 3 anni di reclusione e multe da 500.000 a 6 milioni di lire.

Ma se un controllo dà risultati positivi, le conseguenze possono essere più pesanti: a parte le denunce in campo penale, viene contestata anche l?evasione dell?IVA (per la mancata fatturazione dei prodotti), possono venir richiesti i danni dalla casa produttrice e spesso l?Autorità decide il blocco degli elaboratori (e del relativo software) con conseguente fermo delle attività collegate.

Circostanze legali a parte è comunque sempre l?utilizzatore ad uscirne danneggiato, in quanto spesso e volentieri utilizza un prodotto incompleto e a volte difettoso, magari contagiato da virus e per il quale non potrà contare su alcuna assistenza tecnica.


Restando nel campo della sicurezza della trasmissione di dati sensibili le soluzioni oggi disponibili su Internet sono:
– accettare la non privacy
– la cifratura a livello end-user
– il protocollo SSL
– il protocollo SET

Accettare la mancanza di privacy

La coscienza dell?insicurezza del mezzo potrebbe essere gestita evitando la trasmissione di dati riservati. Questa soluzione non rappresenta tuttavia la soluzione in grado di soddisfare le sempre più crescenti esigenze commerciali di chi opera in rete, imponendo di fatto grosse limitazioni consentendo soltanto di reperire le informazioni che altre aziende rendono disponibili e lo scambio di posta elettronica priva di ogni riferimento di business.

La cifratura a livello end user

Questa è la scelta fatta da chi utilizza soluzioni di intranet, oppure quando collegamenti tra diverse sedi aziendali vengono effettuati tramite Internet. Il vantaggio di questa soluzione consiste in una forte riduzione dei costi, ma occorre predisporre la cifratura dei dati ricorrendo anche a soluzioni proprietarie che in questo contesto non hanno controindicazioni, in quanto non è necessario che i messaggi siano disponibili ad utenti esterni.

La stessa soluzione può essere adottata per lo scambio di messaggi di posta elettronica: quando questa è la soluzione, i corrispondenti hanno concordato un metodo di cifratura e si sono scambiati le chiavi necessarie. La necessità di uno scambio preventivo di chiavi rappresenta il limite per l’utilizzo di questi sistemi su vasta scala. L’uso di algoritmi di cifratura a chiave pubblica può tuttavia rappresentare una possibile soluzione per un utilizzo allargato anche a corrispondenti occasionali.

Il protocollo SSL

In questo caso viene impiegata una soluzione crittografica mista utilizzando sia la cifratura a chiave pubblica che quella a chiave segreta. Nel caso di un collegamento tra un potenziale acquirente ed un negozio in Internet, la connessione sicura viene così stabilita:
– all’atto del collegamento, il cliente riceve la chiave pubblica del negoziante e un certificato che garantisce la reale appartenenza di quella chiave a quello specifico esercizio, completo della firma elettronica di un?entità garante;
– il programma del cliente genera quindi un numero casuale, sempre differente per ogni collegamento, ed invia un messaggio cifrato con tale numero al negozio. Per consentire il colloquio, invia anche tale numero cifrandolo con la chiave pubblica del negoziante.

Solo per il negoziante in possesso della chiave di decrittazione abbinata alla chiave pubblica riportata nel certificato sarà possibile decifrare questo messaggio e conoscere così la chiave casuale generata dal cliente. Anche se questo colloquio telematico venisse registrato, senza la chiave pubblica del negoziante non si potrebbe entrare in possesso della chiave casuale e quindi non si potrebbe conoscere il contenuto dei messaggi che normalmente conterranno il numero di carta di credito del cliente. In questo modo, tutte le comunicazioni sono cifrate con chiavi generate al momento e, quindi, si ha:

– un canale privato, in quanto tutte le comunicazioni sono cifrate;
– un canale autenticato, in quanto il certificato garantisce l’identità del commerciante;
– un canale che garantisce il contenuto dei dati scambiati, perché ogni messaggio viene garantito da un codice di controllo cifrato.

L’esempio citato costituisce una versione semplificata dello scambio di chiavi, in quanto nella realtà le chiavi sono più d’una e diverse tra loro. In questi casi l’attacco più semplice è quello portato “con la forza bruta”, ovvero provando in sequenza tutte le chiavi possibili sino a quando si indovina quella giusta che permette di ottenere il testo del messaggio in chiaro. Con la chiave di 128 bit, il tempo necessario per tale ricerca è virtualmente infinito. Una chiave di 40 bit, invece, come quella utilizzata nel 1995 da Netscape, è largamente sufficiente per fronteggiare gli attacchi di un normale hacker, ma può essere scoperta da centri di ricerca di alto livello.Infatti una chiave di 40 bit ha circa 1.099 miliardi di combinazioni (1,09*1012) mentre la chiave di 128 bit ne ha circa 3*1038 ed è decisamente più difficile da scoprire.

Il 7 luglio 1995 veniva diffusa su Internet la notizia che la chiave segreta di 40 bit di un messaggio di test, reso disponibile proprio perché si potesse verificare la sua “robustezza”, era stata trovata dopo otto giorni ininterrotti di calcolo. A seguito di questo annuncio la Wells Fargo aveva sospeso il suo servizio di home banking, oggi tornato operativo, e Netscape, dopo un?attenta analisi, ha migliorato la generazione dei numeri casuali e, nella versione USA, ha deciso per una chiave di 128 bit, mentre per la versione europea, in base alle note restrizioni all’esportazione degli algoritmi di cifratura, è disponibile solo l’uso di chiavi di 40 bit.

È comunque da notare che un sempre maggior numero di ricercatori si è impegnato nella sfida di “rompere” questo tipo di chiave (40 bit) per dimostrare l’inadeguatezza delle disposizioni del governo USA in merito alle esportazioni degli algoritmi di cifratura e l’ultimo record riportato di cui ho notizia è di sole tre ore e mezzo!

Il protocollo SET

Questo protocollo è stato realizzato con la compartecipazione di Visa, Mastecard, GTE, IBM, Microsoft, Netscape, Saic, Terisa e VeriSign. Le prime specifiche sono state rilasciate nel settembre ’95 e sono state rese disponibili su Internet perché tutti potessero verificare eventuali punti deboli e contribuire alla loro correzione. Con tale metodo sono state raccolte 3.000 proposte di modifica, di cui molte accettate. Il protocollo è nato per il commercio elettronico con pagamenti tramite carte di credito o di debito e, quindi, non si pone come obiettivo la possibilità di stabilire una connessione sicura, come invece si propone SSL.

Per poter utilizzare SET:

– il cliente deve farsi rilasciare un certificato e le sue chiavi di cifratura basate sull’algoritmo RSA detto anche “cifratura a chiave pubblica”;
– il negoziante deve farsi rilasciare un certificato e le sue chiavi di cifratura;
– anche l’organismo che svolge la funzione di acquirer e che verificherà la validità della carta presentata per il pagamento, concedendo l’autorizzazione, deve essere munito di un certificato e delle relative chiavi.

Il protocollo prevede lo scambio di messaggi cifrati ed autenticati solo tra entità in possesso di un certificato valido. Ogni attore (cliente, commerciante, acquirente) può decifrare solo le informazioni che lo riguardano e verifica le “firme” di chi invia i messaggi. Il grosso vantaggio di questo protocollo è dato dal fatto che un potenziale cliente potrà essere certo che, se un ipotetico negoziante si presenta con un certificato valido ed è in grado di condurre una transazione secondo le specifiche di SET, questo significa che vi è una sottostante convenzione con un ente emittente di carte di credito che, indirettamente, avalla la credibilità del negoziante stesso.

Andrea Aguzzi

Fonti

INTERNET-LE CHIAVI DELLA SICUREZZA di Arturo Salvatici-Istinform liberamente
disponibile su http://www.privacy.it

LA SICUREZZA NELL INFORMATICA di Adriano Cattaruzza Consigliere Assintel
(pubblicato sul n. 4/96 di Bancaforte, rivista dellA.B.I. sulla sicurezza)
liberamente disponibile su http://www.privacy.it

L ESPLOSIONE DELLE SOLUZIONI HI-TECH METTE A RISCHIO LA PRIVACY DELL INDIVIDUO
di Miran Pecenik dallinserto informatica del Sole 24 Ore del 25 aprile 1997
liberamente disponibile su http://www.privacy.it

IL COMMERCIO ELETTRONICO E L IMPRESA di Allegra Stracuzzi 1999 Il Sole 24 Ore

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

Chiudi i commenti