Sicurezza come insieme di misure logico-organizzative e di strumenti tecnici: l'importanza della alfabetizzazione della categoria in materia

Parliamo di sicurezza nell'utilizzo dei sistemi informatici, perchè è un dato di fatto che l'evoluzione tecnologica, in senso informatico, delle nostre strutture di studio ci impone di prestare attenzione a quegli aspetti organizzativi che ci consentano di mantenere alta la qualità delle strutture stesse.

Partiamo da alcuni esempi per rendere più chiaro questo concetto:

- se pensiamo all'argomento "riservatezza", ci è ben chiaro cosa fare e come organizzarci per garantire che i fascicoli non rimangano nella disponibilità di terzi presenti in studio, come ad esempio un cliente o un professionista; può invece capitare che quel cliente o quel professionista ci chieda di disporre di un posto di lavoro collegato alla rete per elaborare un proprio documento e stamparlo; in assenza di particolari accorgimenti in materia di sicurezza, senza magari percepirlo, avremo dato la possibilità al nostro ospite di accedere al server di rete, quindi sia alla totalità dei documenti che ai dati personali e contabili, oltre che ai servizi della Run riservati ai notai;

- allo stesso modo nessuno di noi si sognerebbe di lasciare nel proprio archivio un rubinetto aperto o una candela accesa; può succedere invece che non ci si sia curati del backup dei dati, ed accorgersi solo a disastro avvenuto di avere copie obsolete o, peggio ancora, di non averle affatto;

- un collaboratore infedele o insoddisfatto può, in assenza di adeguate misure, molto facilmente divulgare all'esterno dati e/o documenti trattati dal sistema di studio, arrecando danno alla reputazione del titolare ed esponendolo a conseguenze risarcitorie;

- in caso di arresto del sistema informatico dello studio, un tempestivo ripristino è possibile solo se si sono adottate preventivamente adeguate misure, e tutti abbiamo la percezione di come, senza il sistema informatico funzionante, siamo completamente inermi;

- non è scontato che il dato o il documento informatico oggi disponibili rimangano nuovamente consultabili nel tempo e/o non vengano accidentalmente modificati o distrutti; per esemplificare questo concetto facciamo una riflessione sulle procedure che normalmente utilizziamo per la stampa degli originali e la produzione delle copie autentiche (cartacee e non): l'originale viene prodotto a stampa partendo da un documento informatico; normalmente, dopo la stipula, si completa il documento informatico di partenza apportandovi le postille, inserendo i firmati, il numero di repertorio e di raccolta, lo si collaziona con l'originale, ottenendo così una "matrice" pronta per la stampa delle copie o per essere trasformata in copia autentica informatica; successivamente il file di partenza verrà utilizzato più volte nel tempo per la produzione delle copie, ma quanti di noi hanno avuto cura di rendere immodificabile questa "matrice informatica", modificandone gli attributi in modo da renderlo file di sola lettura? Questa operazione, che può essere fatta anche con il comunissimo word o programmi analoghi, è indispensabile per evitare che il file possa essere accidentalmente modificato, per esempio in occasione di un successivo accesso eseguito per copiarne in parte il contenuto, o per visualizzarne alcune parti.

Nelle note che seguono riprenderemo concetti evidenziati da un documento della Commissione informatica del 2004 (in CNN del 10 maggio 2004), che già allora poneva il problema degli accorgimenti da utilizzare nell'impiego dei sistemi informatici all'interno dello studio notarile, ed al quale rimandiamo per una più completa disamina della problematica.

Abituiamoci a considerare la sicurezza non come un prodotto, ma come un processo, un insieme di misure organizzative: solo così possiamo generare una cultura della sicurezza, e da qui arrivare a comprendere in prima persona i concetti e gli strumenti dedicati ad assicurarla; parlo di un nostro impegno personale perchè, da un lato, la stessa struttura dei nostri studi, per lo più di piccole o medie dimensioni, non ci consente di dedicare una specifica risorsa alla sicurezza, e dall'altro l'argomento è particolarmente delicato: l'inosservanza delle misure prescritte in tema di sicurezza genera specifiche e dirette responsabilità.

Questo non significa che non ci si debba avvalere di consulenti esterni o che non si debba affidare ai nostri collaboratori la gestione delle problematiche che andremo ad esaminare e la concreta attuazione delle misure così individuate, ma solo che è inopportuno demandare ad altri in toto l'analisi di questi problemi; del resto, una volta compresi gli elementi fondamentali della struttura informatica utilizzata, è relativamente semplice individuare le criticità e le corrispondenti misure organizzative da adottare.

Di recente anche il Garante (provvedimento del 27 novembre 2008 per gli adempimenti relativi alla figura dell'Amministratore di sistema) ha riconosciuto quanto l'Amministratore di sistema sia più dotato di poteri dello stesso titolare, e per questo motivo deve essere scelto tra persone di fiducia e comunque sempre "controllato".

Tutto ciò non fa che confermare quanto già detto, e cioè che occorre una buona conoscenza della propria struttura informatica, anche senza scendere nei dettagli tecnici, ma tale da poter coordinare con il proprio consulente l'attività di pianificazione e gestione della sicurezza.

Definizione di sicurezza informatica

E' una branca dell'informatica che si occupa della salvaguardia dei sistemi informatici da potenziali rischi e/o violazioni di dati; in sostanza tratta della protezione di hardware e software messa in atto per proteggere da accesso, uso, modifica, distruzione o divulgazione di informazioni sia accidentali che dolosi.

La sicurezza informatica si riferisce quindi alle persone, ai dati, alle comunicazioni e alla protezione fisica di computer e si divide in due marco-aree: la sicurezza passiva e la sicurezza attiva.

- per sicurezza passiva si intende l'insieme di tecniche e strumenti di tipo difensivo, ossia quel complesso di soluzioni il cui obiettivo è impedire che utenti non autorizzati possano accedere a risorse, sistemi, impianti, informazioni e dati di natura riservata; le misure in materia di sicurezza passiva sono le più varie, alcune di natura fisica, altre di carattere logico-organizzativo: comprendono, ad esempio, l'utilizzo di porte di accesso blindate per l'accesso a locali protetti, come pure l'impiego di sistemi di identificazione personale; il sistema deve essere in grado di garantire la disponibilità delle informazioni a ciascun utente autorizzato nei modi e nei tempi previsti; per converso nessun utente deve poter acquisire dal sistema informazioni che non è autorizzato a conoscere (disponibilità);

- per sicurezza attiva si intendono, invece, le tecniche e gli strumenti mediante i quali le informazioni ed i dati di natura riservata sono resi intrinsecamente sicuri, proteggendo gli stessi sia dalla possibilità che un utente non autorizzato possa accedervi (confidenzialità), sia dalla possibilità che un utente non autorizzato possa modificarli (integrità).

Al concetto di sicurezza informatica da qualche anno si è affiancato anche il concetto di tutela della privacy, inteso come insieme di misure volte a salvaguardare il diritto alla riservatezza delle informazioni personali e della propria vita privata; la materia è regolata dal D.lgs. 30 giugno 2003, n. 196, "Codice in materia di protezione dei dati personali", del quale tratteremo più avanti.

Le misure organizzative

Come si provvede a ottenere sicurezza informatica?

La protezione viene ottenuta agendo con un insieme di misure di carattere organizzativo, tecnologico e procedurale, che operano a più livelli:

fisico e materiale:

- i server sono posti in luoghi sicuri, dotati di linee elettriche "sicure" e gruppi di continuità; nella migliore delle ipotesi anche dotati di sistemi di sorveglianza e di controllo degli accessi;

- stesso discorso dei server va fatto per gli apparati di backup;

- i server stessi dovrebbero essere dotati di economici ma efficaci apparati di disaster recovery (dischi in raid, alimentatore ridondante ecc.).

logico:

- ci si dota di sistemi di autenticazione e autorizzazione;

- si attiva un sistema automatico di backup;

- si dota la nostra rete di un sistema di firewalling ed antivirus.

organizzativo:

- lo studio si dota di un "regolamento interno sull'uso delle apparecchiature informatiche", formando il personale interno secondo precisi percorsi di utilizzo delle attrezzature messe a disposizione.

Cenno alle principali misure organizzative

Abbiamo detto che la sicurezza informatica si riferisce alle persone, ai dati, alle comunicazioni e alla protezione fisica di computer; proviamo ad esaminare in concreto, anche se per sommi capi, quali misure organizzative dobbiamo adottare per ottenere un grado sufficiente di "sicurezza informatica" all'interno delle nostre strutture.

1. Persone

Si tratta di adottare adeguate procedure e misure di organizzazione del personale; le aree interessate sono:

• Regole di comportamento: redazione di un regolamento interno per l'uso delle strutture informatiche;

• Prevenzione contro il c.d. social engineering: addestramento per difendersi dalle tecniche psicologiche utilizzate per carpire informazioni fingendo di essere un'altra persona;

• Formazione: formare il personale;

• Procedure di gestione degli accessi fisici e logici: vedi appresso per i sistemi di autenticazione e autorizzazione; oltre all'utilizzo di questi sistemi può essere utile adottare metodi per disattivare le postazioni di lavoro dopo un breve periodo di inutilizzo (es.: salva schermo a tempo);

• Logistica: utilizzo di stanze blindate o comunque luoghi sicuri almeno per i server, posizionare il monitor in modo da non farlo vedere da altri.

2. Dati

La protezione dei dati comporta l'adozione di:

un sistema di autenticazione:

- l'accesso al sistema è consentito solo dopo il riconoscimento dell'utente;

- il più diffuso prevede l'utilizzo di nome utente e password, ma ai fini di una maggiore sicurezza sono utilizzabili altri sistemi di autenticazione, detti di "autenticazione forte", dall'utilizzo di smart card fino a quello di chiavi biometriche; lo scopo resta, comunque, la conoscenza certa, da parte dei sistemi informatici, di chi su essi sta lavorando;

- l'adozione di un sistema di autenticazione rientra, come vedremo, tra le misure minime di sicurezza obbligatorie, che richiedono altresì che la parola chiave sia conosciuta solo dall'interessato, abbia una lunghezza minima di otto caratteri, venga sostituita ogni sei mesi, non sia facilmente riconducibile al soggetto che la utilizza; l'eventuale custode delle parole chiave deve informare tempestivamente l'incaricato dell'intervento di accesso effettuato sulle sue credenziali di autenticazione;

un sistema di autorizzazione:

- vengono definiti per ogni singolo utente che accede al sistema, i "diritti" di accesso ai dati e agli applicativi; in sostanza si tratta di definire il "profilo di autorizzazione" dell'utente;

- in base all'autenticazione ricevuta, il sistema informatico consente o non consente determinate operazioni; per esempio ad un collaboratore può essere consentito leggere un documento, ma non modificarlo, mentre un altro può leggere e modificare il dato; al riguardo dobbiamo ricordare che la normativa sulla privacy prevede che i dati personali non debbano essere trattati (letti) da persona diversa da quella preposta;

- l'adozione di un sistema di autenticazione può essere raccomandabile, specie per evitare l'accesso indiscriminato ad alcune aree, come la contabilità, ma non rientra tra le misure minime di sicurezza obbligatorie;

- un sistema di messa in sicurezza sia contro la perdita del dato/documento o la sua accidentale manomissione, che contro l'impossibilità di accedervi per essere mutati nel tempo i programmi utilizzati per riprodurli;

da questo punto di vista dobbiamo distinguere:

- il backup più o meno periodico, eseguito quale copia di salvataggio del sistema informatico dello studio, accompagnato o meno da misure di disaster recovery o business continuity; il salvataggio dei dati, almeno settimanale, è una delle misure minime di sicurezza obbligatorie;

- l'utilizzo di sistemi di archiviazione che consentano la consultazione dei dati/documenti attraverso indici di ricerca, e, ove accompagnati da misure volte a prevenire la manomissione del documento e del dato, garantiscono l'inalterabilità dei medesimi;

- l'utilizzo di sistemi di conservazione veri e propri, ed in particolare di sistemi di conservazione a norma quale quello del CNN, che, in aggiunta a quanto sopra, garantiscono anche la manutenzione della validità giuridica nel tempo e l'accessibilità anche ove fossero mutate nel tempo le tecnologie adottate dai sistemi informatici.

3. Comunicazioni e protezione fisica di computer

Questo è l'aspetto più delicato e per certi versi di maggior difficile comprensione ai non addetti ai lavori;

- il sistema informatico dello studio notarile è organizzato in rete, e all'interno della rete di studio normalmente vi è libero accesso ai dati da una postazione all'altra e da tutte le postazioni al server;

- a sua volta la rete di studio è collegata all'esterno ad internet con sistemi che possono presentare maggiori o minori criticità.

Le misure da adottare dovrebbero quindi riguardare la messa in sicurezza:

del proprio pc:

- la prima misura è l'adozione di un adeguato sistema di autenticazione che rende possibile proteggere la propria postazione di lavoro dall'accesso di terzi; detto per incidens se proteggo tutta la mia rete con sofisticati sistemi di autenticazione ed autorizzazione ma lascio la password di accesso al mio pc su di un post-it attaccato al monitor, tutto quanto detto in precedenza non vale più a nulla, ecco il motivo per cui è importante formare le persone oltre a dotarle di strumenti e sistemi all'avanguardia;

- altra valutazione va fatta sulla circostanza che i dati residenti sul proprio pc debbano o possano essere resi visibili dagli altri pc della rete: sarebbe infatti inutile aver protetto l'accesso alla postazione di lavoro se poi i dati in essa contenuti possono essere visibili da altra postazione; può essere opportuno proteggere, ad esempio, la postazione del titolare dello studio e mantenere riservato su questa il trattamento di alcuni documenti di particolare natura, inibendo l'accesso dall'esterno;

delle singole postazioni pc:

- la messa in sicurezza comprende l'adozione di adeguati sistemi antivirus e l'aggiornamento periodico (almeno semestrale) dei programmi informatici per diminuire la vulnerabilità; queste misure rientrano entrambe tra le misure minime di sicurezza obbligatorie;

- comprende anche l'inopportunità di consentire l'accesso alle postazioni di lavoro a terzi estranei all'organizzazione dello studio;

- può essere buona misura predisporre una postazione non collegata in rete per soddisfare l'eventuale esigenza di un cliente o di un professionista;

- una puntualizzazione: ci si deve abituare a considerare l'utente e non più la postazione di lavoro;

- utilizzando un sistema di autenticazione, e tenendo i dati di utilizzo comune sul server di studio, non si ha più la necessità di conoscere la password del collaboratore per accedere al suo pc in quanto i dati sono tutti condivisi;

- se infine uno dei collaboratori deve accedere ad altra postazione di lavoro, potrà utilizzare le sue credenziali per autenticarsi;

- comprendere questo aspetto è fondamentale per vincere la ritrosia che potrebbe coglierci nel dover gestire tante user id ed altrettante password; anzichè essere una complicazione ciò snellisce le procedure interne, aumentandone la sicurezza e limitando la responsabilità dei singoli soggetti;

della rete di studio:

- l'adozione dei sistemi antintrusione rientra tra le misure minime di sicurezza obbligatorie;

- non siamo ancora del tutto abituati a considerare la circostanza che la nostra rete interna di studio non è chiusa su se stessa, fondamentalmente perchè i primi sistemi informatici di cui ci siamo dotati non erano accessibili dall'esterno, nè dotati di collegamenti internet;

- la principale misura di sicurezza per prevenire accessi indesiderati da e verso l'esterno è l'adozione di un firewall, vale a dire un sistema di filtraggio e controllo del traffico dati sia in ingresso (in modo da impedire le intrusioni non autorizzate) che in uscita (in modo da impedire il collegamento a servizi non attinenti all'attività dello studio); una possibile criticità derivante dall'utilizzo di firewall nasce dalla circostanza che questi, per esigenze di sicurezza passiva, sono impostati in modo da proteggere la rete interna anche in caso di loro rottura o malfunzionamento, con la conseguenza che in questo caso diventa impossibile ogni comunicazione con l'esterno;

- è quindi il caso di dotarsi di un accesso di emergenza ad internet (anch'esso protetto da intrusioni) per sopperire a eventuali guasti, sia del firewall, sia del collegamento principale;

- fatte queste premesse dobbiamo distinguere tre aspetti principali o possibili criticità:

a) sistema di connettività:

- se lo studio adotta unicamente la connettività fornita da Notartel (o altro provider con analoga policy in materia di sicurezza), le politiche antiintrusione adottate e dichiarate dal provider di connettività sono già in grado di fornire un adeguato livello di sicurezza: il provider dispone di un firewall chiuso verso l'esterno, e, nel caso di rilascio di indirizzi IP pubblici il provider apre solamente le porte specificamente richieste dallo studio;

- discorso diverso va fatto se si utilizza un provider del quale non si conoscono le policy di sicurezza; in questo caso è necessario preoccuparsi personalmente di dotarsi di un firewall che protegga il server dello studio e quindi i suoi dati da accessi non autorizzati dall'esterno.

b) teleassistenza:

- tutte le nostre software house sono dotate di sistemi per l'accesso in teleassistenza al nostro sistema di studio; ciò consente loro di intervenire in tempo reale e senza dover effettuare un accesso fisico allo studio, riducendo i costi dell'assistenza e sostanzialmente migliorandone l'efficienza;

- ciò però espone all'esterno il nostro sistema, con un evidente pericolo in tema di sicurezza; qui il consiglio è di far adottare dal proprio fornitore di assistenza un sistema di teleassistenza non "automatico" nel senso che ogni accesso dovrà essere autorizzato dal personale di studio mediante l'apposizione di un codice od altro; poichè l'accesso in teleassistenza avviene normalmente prendendo "possesso" di un terminale dello studio, potremo verificare in tempo reale dal video le operazioni compiute da remoto;

c) l'utilizzo di una rete wifi:

- è un altro punto di criticità; qui il consiglio è di utilizzare il wifi su una sottorete diversa da quella della rete interna del server quindi solo per far navigare su internet eventuali clienti che ne facciano richiesta; se invece si utilizza una rete wifi come connettività al posto del classico e sicuro cavo di rete si consiglia di far attivare la massima protezione sul dispositivo wifi con criptazione dei dati, funzione che troviamo presente su tutti gli apparati in commercio.

La tecnologia del CNN (Notartel SpA) per la sicurezza informatica

RUN Rete Unitaria Notarile

La Rete unitaria del Notariato (Run) collega tutti i notai italiani attraverso una intranet, e si configura come il portale dei servizi dedicati alla categoria in funzione 24 ore su 24 e per 365 gg. I servizi della Run sono erogati attraverso strumenti tecnici e organizzativi volti a garantire il massimo livello di sicurezza informatica in termini di disponibilità, di confidenzialità e integrità dei dati.

Sicurezza negli accessi

L'accesso alla rete Run è realizzato con un doppio livello di controllo: un primo livello di anti-intrusione (firewall) ed un secondo livello di controllo degli accessi basato su un sistema di autenticazione ed autorizzazione. Quest'ultimo richiede l'identità di chi accede alla rete e verifica il profilo autorizzativo. Solo gli utenti espressamente abilitati possono accedere ad un determinato servizio disponibile nella rete.

Sicurezza dei dati

Tutti i dati presenti sui sistemi della Run sono sottoposti a controlli continui di integrità e a copie di sicurezza al fine di evitarne la perdita accidentale.

Sicurezza nelle comunicazioni

Tutte le comunicazioni da e per la Run sono garantite da sistemi di crittografia volti a garantire sia la confidenzialità della informazioni, sia la certezza del mittente. Per garantire la correttezza delle trasmissioni è utilizzabile la Posta elettronica certificata (Pec) così come previsto dalla normativa vigente. A questi elementi si aggiunge anche la firma digitale da apporre in alternativa alla sottoscrizione su carta.

Sicurezza dei documenti a valore legale

La sempre maggiore diffusione di documenti digitali a valore legale anche sottoscritti digitalmente, impone l'utilizzo di appositi sistemi di conservazione per il mantenimento della validità legale nel tempo secondo quanto disposto dalle normative vigenti in materia. Il sistema di conservazione, realizzato dalla Notartel, risponde a tali requisiti normativi ed è totalmente integrato con i sistemi di sicurezza presenti nella Run.

Sicurezza nella erogazione dei servizi

Tutti i sistemi della Run sono installati e configurati seguendo le più diffuse ed efficienti soluzioni per garantire la disponibilità continua dei diversi servizi (business continuity).

La normativa in materia di sicurezza informatica

Ocse

Linee guida dell'Ocse sulla sicurezza dei sistemi e delle reti d'informazione - Verso una cultura della sicurezza - adottate sotto forma di raccomandazione del Consiglio in occasione della 1037ª sessione del Consiglio dell'Ocse, il 25 luglio 2002 [nota 1].

Legge nazionale

Per una più completa disamina del D.lgs. 196 del 30 giugno 2003 (codice in materia di protezione di dati personali), che, recependo la sollecitazione dell'Ocse contenuta nelle Linee guida del 2002, è intervenuto a disciplinare nel suo titolo V, la materia della sicurezza informatica, rimando allo studio della Commissione studi del CNN n. 4901 approvato dalla commissione studi il 23 marzo 2004 e pubblicato su CNN Notizie del 10 maggio 2004, alla nota esplicativa in materia dei relativi principali adempimenti a carico del notaio (pubblicata su CNN Notizie del 12 maggio 2004), oltre che alla nota della Commissione informatica anch'essa pubblicata su CNN Notizie del 10 maggio 2004, già richiamata all'inizio di questo intervento.

Le misure minime di sicurezza

L'art 31 del D.lgs. 196/2003, che si occupa di definire cosa debba garantire la sicurezza, recita:

«I dati personali sono custoditi e controllati … in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati personali oggetto di trattamento», e solo dopo si occupa della riservatezza del dato enumerando l'accesso non autorizzato o il trattamento non consentito o non conforme alle finalità della raccolta.

Il legislatore ha quindi individuato quali rischi la distruzione o perdita, anche accidentale, dei dati, gli accessi non autorizzati, il trattamento non consentito o non conforme alle finalità della raccolta.

Al fine di evitare il verificarsi di tali eventi, il legislatore ha stabilito:

- in astratto, che i dati siano trattati in modo da ridurre al minimo i rischi, mediante l'adozione di idonee e preventive misure di sicurezza;

- nello specifico, l'obbligo di adottare in ogni caso le misure minime volte ad assicurare un livello minimo di protezione, che si traducono, riassuntivamente, in:

· utilizzo di un sistema di autenticazione informatica (obbligatorio) [nota 2];

· utilizzo di un sistema di autorizzazione (non obbligatorio) [nota 3];

· protezione degli strumenti elettronici (obbligatoria) [nota 4];

· esecuzione di copie di sicurezza (obbligatoria) [nota 5];

· cifratura o separazione di dati sensibili (applicabile ai notai in forma indiretta) [nota 6];

· redazione di un documento programmatico sulla sicurezza o Dps.

Per valutare correttamente le responsabilità connesse all'adozione delle misure minime di sicurezza è opportuno considerare che siamo noi notai i titolari del trattamento dei dati all'interno dello studio, e conseguentemente primi responsabili per la corretta gestione degli stessi, sia dal punto di vista della responsabilità civile che della responsabilità penale; da qui la necessità, già ribadita all'inizio di questo intervento, di essere consapevoli della struttura informatica utilizzata, e di dover individuare le regole di comportamento cui noi stessi ed i nostri collaboratori dobbiamo attenerci per assicurare la sicurezza.

Il trattamento dei dati e l'informativa al cliente

L'art. 11 del D.lgs. 196/2003 disciplina le modalità secondo le quali devono essere trattati i dati personali dei clienti; il mancato rispetto di queste modalità ci espone a responsabilità civile estesa, ai sensi dell'art. 15, comma 2, anche al danno non patrimoniale.

L'art. 13, poi, ci impone l'obbligo di dare adeguata informativa, orale o scritta, al cliente, su tutta una serie di elementi connessi al trattamento dei suoi dati; tralasciando una analisi più completa del contenuto dell'informativa, cosa che esula dalla nostra indagine, vale solo al pena di ricordare che il Garante ha confermato con suo parere del 2 dicembre 2004, che l'obbligo di informativa vale anche per i notai, ma che nell'informativa possono essere omessi gli elementi dell'informativa già noti a chi fornisce i dati.

Quadro riassuntivo degli obblighi e sanzioni

Rispetto dei principi che governano il trattamento di dati personali

Il notaio è tenuto all'osservanza delle prescrizioni sulle modalità del trattamento e dei principi generali che lo governano (liceità e correttezza, pertinenza con gli scopi dichiarati, conservazione coerente con la finalità della raccolta) ed, in particolare, a conformare il trattamento dei dati sensibili e giudiziari secondo modalità volte a prevenire violazioni dei diritti, delle libertà fondamentali e della dignità dell'interessato (artt. 11 e 22). Le sanzioni per violazione della norma sono di natura penale (art. 167);

Individuazione dei soggetti che effettuano il trattamento

Nella veste di titolare del trattamento, il notaio può nominare un responsabile e sceglie gli incaricati, detta loro puntuali istruzioni, vigila sul loro operato affinché i trattamenti siano conformi alle proprie istruzioni e, più in generale, alle disposizioni codicistiche (artt. 4, 29 e 30).

Informativa

Il notaio rende, oralmente o per iscritto, l'informativa al soggetto interessato precisando l'ambito di circolazione dei dati trattati (finalità e modalità del trattamento, ambito di diffusione dei dati, diritti dell'interessato, indicazione del titolare, del responsabile, degli incaricati) e precisando, nel caso di trattamento di dati sensibili o giudiziari, la normativa che contempla gli obblighi o i compiti in base alla quale è effettuato il trattamento stesso (art. 13).

Sanzione amministrativa (art. 161).

Trattamento di dati comuni

Il notaio tratta i dati comuni nello esclusivo svolgimento di finalità istituzionali; può comunicare tali dati ad un soggetto pubblico se consentito da una norma di legge o di regolamento (in mancanza della "norma di copertura", decorsi quarantacinque giorni dalla comunicazione al Garante e in assenza di una contraria determinazione di questo); può comunicare e diffondere gli stessi dati a privati o ad enti pubblici economici se consentito da una norma di legge o di regolamento (art. 18 e 19).

Trattamento di dati sensibili e giudiziari

Il notaio tratta dati sensibili e giudiziari se autorizzato da un'espressa disposizione di legge o da un provvedimento del Garante che indichino le finalità di rilevante interesse pubblico perseguito e i tipi di dati e di operazioni eseguibili, ovvero tratta dati sensibili qualora sia emanata (o rinnovata) l'apposita autorizzazione generale del Garante al trattamento dei dati sensibili a favore dei liberi professionisti (autorizzazione generale n. 4/2002 al trattamento dei dati sensibili da parte dei liberi professionisti), o ancora tratta dati giudiziari qualora sia emanata (o rinnovata) l'apposita autorizzazione generale del Garante al trattamento dei dati a carattere giudiziario a favore di privati, di enti pubblici economici e di soggetti pubblici (autorizzazione generale n. 7/2002 al trattamento dei dati a carattere giudiziario da parte di privati, di enti pubblici economici e di soggetti pubblici) (art. 20 e 21).

Adempimenti concernenti il profilo della sicurezza

Il notaio è tenuto ad adottare le misure minime descritte all'art. 34 e nel disciplinare tecnico, allegato al codice; deve adottare le misure minime "nuove", ossia non previste nel citato D.P.R. n. 318/99, entro il 30 giugno 2004 o, comunque, entro il 1° gennaio 2005 purché venga redatto un documento, avente data certa, con la descrizione delle obiettive ragioni tecniche ostative a detta adozione e purché, nel frattempo, sia adottata ogni possibile misura di sicurezza in relazione agli strumenti elettronici detenuti.

Redazione del documento programmatico sulla sicurezza (Dps).

Va redatto entro il 31 marzo di ogni anno, a cura del titolare del trattamento dei dati sensibili, o anche attraverso il responsabile (art. 19 disciplinare tecnico).

Il reato informatico

I Computer crimes sono stati definiti come il risvolto negativo dello sviluppo tecnologico dell'informatica e della telematica; la facilità con cui il dato informatico viene elaborato, archiviato e trasmesso ha consentito alla società di crescere sviluppando nuove attività: l'e-commerce, l'e-government, l'home banking, il trading on-line ecc.

Queste nuove attività hanno reso la società più efficiente ma l'hanno anche resa net-dipendente

Anche le attività illecite conseguentemente si sono spostate su internet; per questo si parla di prevenzione e repressione.

Limitandoci ad esaminare solo alcuni aspetti collegati alla prevenzione, occorre evidenziare la necessità di:

- sensibilizzare e responsabilizzare l'utenza non solo sulle potenzialità, ma anche sui rischi cui è possibile incorrere con l'uso degli strumenti informatici;

- riconoscere che la scarsa alfabetizzazione dell'utenza internet sui rischi in cui è possibile imbattersi è la prima causa della diffusione dei crimini informatici.

I reati informatici previsti dal c.p.: la legge 547/93, è intervenuta in 4 aree:

- frodi informatiche (art. 640-ter c.p.) [nota 7];

- falsificazioni (art. 491-bis c.p.) [nota 8];

- integrità dei dati e dei sistemi informatici [nota 9];

- riservatezza dei dati e delle comunicazioni informatiche [nota 10].

E' quanto mai importante coltivare, ai fini di una graduale riduzione del crimine informatico ed in parallelo allo sviluppo coordinato delle normative transnazionali, una nuova cultura informatica, che sappia ben informare e sensibilizzare l'utenza sui vantaggi ma anche sui rischi che è possibile correre attraverso un incauto utilizzo delle nuove tecnologie legate all'informatica ed alla telematica.

[nota 1] L'Ocse osserva che l'uso dei sistemi e delle reti d'informazione e l'ambiente delle tecnologie dell'informazione nel suo insieme, hanno registrato spettacolari cambiamenti che offrono notevoli vantaggi ma richiedono altresì che i governi, le imprese, le altre istituzioni e i singoli utenti che sviluppano, possiedono, forniscono, gestiscono, procedono alla manutenzione e utilizzano i sistemi e le reti d'informazione (parti interessate), dedichino maggiore attenzione alla sicurezza.
Personal computer sempre più potenti, tecnologie convergenti e un'ampia utilizzazione d'Internet hanno sostituito i precedenti sistemi autonomi dalle capacità limitate nell'ambito di reti prevalentemente chiuse. Oggi, le parti interessate sono sempre più interconnesse e le connessioni superano i confini nazionali. Inoltre, Internet è il supporto per infrastrutture vitali quali l'energia, i trasporti e le attività finanziarie e svolge un ruolo centrale nel modo in cui le imprese svolgono le proprie attività, in cui i governi assicurano i servizi ai cittadini e alle imprese e in cui i cittadini comunicano e scambiano informazioni. La natura e la tipologia delle tecnologie che costituiscono l'infrastruttura delle comunicazioni e dell'informazione hanno parimenti registrato una notevole evoluzione. Il numero e la natura dei dispositivi di accesso a tale infrastruttura si sono moltiplicati e differenziati per conglobare i terminali di accesso fissi, senza fili e mobili e gli accessi tramite collegamenti "permanenti" sono in aumento. Ne consegue che la natura, il volume e il carattere sensibile dell'informazione scambiata sono aumentati in modo sostanziale.
Con la loro accresciuta connettività, i sistemi e reti d'informazione sono ormai esposti a un aumento del numero e a una più larga gamma di minacce e vulnerabilità ed emergono quindi nuovi problemi di sicurezza …
La diffusione di una cultura della sicurezza richiederà un impulso e una larga partecipazione e dovrebbe portare a conferire una rafforzata priorità alla programmazione e alla gestione della sicurezza e a un'estensione della comprensione della necessità della sicurezza a tutte le parti interessate. Le questioni di sicurezza devono essere un argomento di preoccupazione e di responsabilità a tutti livelli di governo e, delle imprese e per l'insieme delle parti interessate ... Le Linee guida propongono che tutte le parti interessate adottino e incoraggino una "cultura della sicurezza" per orientare la riflessione, la decisione e l'azione concernenti il funzionamento dei sistemi e delle reti d'informazione.
Lo scopo delle Linee guida è di:
- Estendere all'insieme delle parti interessate una cultura della sicurezza quale mezzo di protezione dei sistemi e delle reti d'informazione.
- Rafforzare la sensibilità rispetto ai rischi per i sistemi e le reti d'informazione, alle politiche, pratiche, azioni e procedure disponibili per affrontare tali rischi, nonché alla necessità di adottarli e di attuarli.
- Favorire una maggiore fiducia delle parti nei confronti dei sistemi e delle reti d'informazione e nel modo in cui sono forniti ed utilizzati.
- Creare un assetto generale di riferimento che aiuti le parti interessate a comprendere la natura dei problemi legati alla sicurezza e a rispettare i valori etici nell'elaborazione e nell'attuazione di politiche, pratiche, azioni e procedure coerenti per la sicurezza dei sistemi e reti d'informazione.
- Incoraggiare fra tutte le parti interessate, la cooperazione e la condivisione d'informazioni adeguate all'elaborazione e all'attuazione di politiche, pratiche, azioni e procedure intese alla sicurezza.
- Promuovere la presa in considerazione della sicurezza quale obiettivo rilevante per tutte le parti interessate associate all'elaborazione e all'attuazione di norme.
III. Principi
I nove principi di seguito presentati sono complementari e devono essere considerati come un insieme. Essi riguardano le parti interessate a tutti i livelli, compreso quello politico e operativo. Secondo quanto indicato dalle Linee guida, le responsabilità delle parti interessate variano secondo il ruolo da loro assunto. Tutte le parti interessate saranno assistite con interventi di sensibilizzazione, d'istruzione, di scambi d'informazione e di formazione per facilitare una migliore comprensione degli argomenti di sicurezza e l'adozione di migliori pratiche in tale settore. Gli sforzi tesi a rafforzare la sicurezza dei sistemi e delle reti d'informazione devono rispettare i valori di una società democratica, in particolare l'esigenza di una libera ed aperta circolazione dell'informazione e i principi di base del rispetto della vita privata delle singole persone.
1) Sensibilizzazione.
Le parti interessate devono essere consapevoli della necessità di tutelare la sicurezza dei sistemi e delle reti d'informazione e delle azioni che possono intraprendere per rafforzare la sicurezza. La sensibilizzazione sui rischi e sulle protezioni disponibili, è la prima linea di difesa per assicurare la sicurezza dei sistemi e delle reti d'informazione. I sistemi e le reti d'informazione possono essere sottoposti a rischi interni ed esterni. Le parti interessate non solo devono sapere che le falle in materia di sicurezza, possono gravemente incidere sull'integrità dei sistemi e delle reti che controllano ma devono essere anche consapevoli che a causa dell'interconnettività e dell'interdipendenza tra sistemi, essi possono potenzialmente danneggiare le altre parti. Le parti interessate devono riflettere alla configurazione del loro sistema, agli aggiornamenti disponibili per quest'ultimo, allo spazio occupato dal loro sistema nelle reti, alle buone pratiche che possono attuare per rafforzare la sicurezza, nonché ai bisogni delle altre parti interessate.
2) Responsabilità.
Le parti interessate sono responsabili della sicurezza dei sistemi e delle reti d'informazione. Le parti interessate dipendono da sistemi e da reti d'informazione locali e globali interconnessi. Esse devono essere consapevoli della loro responsabilità rispetto alla sicurezza di tali sistemi e reti ed esserne individualmente responsabili in funzione del loro ruolo. Esse devono regolarmente esaminare e valutare le proprie politiche, pratiche, misure e procedure per verificare se siano adeguate al loro ambiente. Coloro che sviluppano, progettano e forniscono prodotti e servizi devono rispondere all'esigenza di sicurezza dei sistemi e delle reti e diffondere informazioni adeguate, in particolare tempestivi aggiornamenti affinché gli utenti siano in grado di comprendere meglio le funzioni di sicurezza dei prodotti e dei servizi e le loro responsabilità in materia.
3) Risposta.
Le parti interessate devono operare tempestivamente e in uno spirito di cooperazione per prevenire, rilevare e rispondere agli incidenti di sicurezza. A causa dell'interconnettività dei sistemi e delle reti d'informazione e della tendenza mostrata dai danni a diffondersi, rapidamente ed in modo molto esteso, le parti interessate devono reagire agli incidenti di sicurezza con prontezza e con spirito di cooperazione. Esse devono scambiare, in maniera adeguata, le informazioni di cui dispongono sulle minacce e vulnerabilità e devono creare procedure per una rapida ed efficace cooperazione volta a prevenire e a rilevare gli incidenti di sicurezza e a rispondervi. Ciò potrebbe comportare scambi d'informazioni e una cooperazione transfrontaliera, ove autorizzato.
4) Etica.
Le parti interessate devono rispettare i legittimi interessi delle altre parti. I sistemi e le reti d'informazione sono presenti ovunque nelle nostre società e, le parti interessate debbano essere consapevoli del fatto che la loro azione o inazione può causare danni ad altrui. Un comportamento etico è quindi indispensabile e le parti interessate devono adoperarsi per elaborare e adottare pratiche esemplari e incoraggiare comportamenti che tengano conto degli imperativi di sicurezza e che rispettino gli interessi legittimi delle altre parti interessate.
5) Democrazia.
La sicurezza dei sistemi e delle reti d'informazione deve essere compatibile con i valori fondamentali di una società democratica. La sicurezza deve essere assicurata nel rispetto dei valori riconosciuti dalle società democratiche e, in particolare la libertà di scambiare pensieri e idee, della circolazione dell'informazione, la riservatezza dell'informazione e delle comunicazioni, la riservatezza delle informazioni a carattere personale, l'apertura e la trasparenza.
6) Valutazione dei rischi.
Le parti interessate devono procedere a valutazioni dei rischi. La valutazione dei rischi consente d'individuare le minacce e le vulnerabilità e deve essere sufficientemente estesa per coprire l'insieme dei principali fattori interni ed esterni quali la tecnologia, i fattori fisici e umani, le politiche e i servizi forniti da terzi che hanno implicazioni sulla sicurezza. La valutazione dei rischi consentirà di determinare il livello accettabile di rischio e, faciliterà l'istituzione di misure di controllo adeguate per gestire il rischio di pregiudizio per i sistemi e le reti d'informazione secondo la natura e il valore dell'informazione da proteggere. La valutazione dei rischi deve tenere conto dei pregiudizi sugli interessi altrui o causati ad altrui, resi possibili dalla sempre più estesa interconnessione dei sistemi informativi.
7) Concezione e applicazione della sicurezza.
Le parti interessate devono integrare la sicurezza quale elemento essenziale dei sistemi e delle reti d'informazione. I sistemi, le reti e le politiche devono essere adeguatamente concepiti, applicati e coordinati per massimizzare la sicurezza. Uno degli assi più importanti, ma non esclusivo, di tale sforzo si concentra sulla concezione e sull'adozione di misure di protezione e delle soluzioni adeguate per prevenire o limitare i possibili pregiudizi legati alle vulnerabilità e alle minacce identificate. Le misure di protezione e le soluzioni devono essere allo stesso tempo, tecniche e non tecniche e commisurate al valore dell'informazione nei sistemi e reti d'informazione dell'organizzazione. La sicurezza deve essere un elemento fondamentale dell'insieme dei prodotti, servizi, sistemi e reti e deve far parte integrante della concezione e dell'architettura dei sistemi. Per l'utente finale, la concezione e l'attuazione della sicurezza servono essenzialmente a selezionare e configurare prodotti e servizi per i propri sistemi.
8) Gestione della sicurezza.
Le parti interessate devono adottare un approccio globale della gestione della sicurezza. La gestione della sicurezza deve essere basata sulla valutazione dei rischi ed essere dinamica e globale, per coprire tutti i livelli di attività delle parti interessate e tutti gli aspetti dei loro interventi. Essa deve altresì anticipare e includere le risposte alle minacce emergenti, la prevenzione, la rilevazione e la soluzione agli incidenti, la riattivazione dei sistemi, la manutenzione permanente, il controllo e l'audit. Le politiche di sicurezza dei sistemi e delle reti d'informazione, le pratiche, le azioni e le procedure in materia di sicurezza devono essere coordinate ed integrate per creare un coerente sistema di sicurezza.
9) Rivalutazione.
Le parti interessate devono esaminare e rivalutare la sicurezza dei sistemi e delle reti di informazione e introdurre adeguate modifiche nelle loro politiche, pratiche, azioni e le procedure di sicurezza. Nuove o mutevoli vulnerabilità e minacce sono costantemente scoperte. Tutte le parti interessate devono permanentemente riesaminare, rivalutare e modificare tutti gli aspetti della sicurezza per affrontare tali rischi evolutivi.

[nota 2] Può essere costituita alternativamente da:
- una caratteristica biometrica dell'interessato, quale un'impronta digitale o l'iride eventualmente in associazione con un codice identificativo o una parola chiave;
- un dispositivo di autenticazione come una smart card o un badge eventualmente in associazione con un codice identificativo o una parola chiave
- l'insieme di parole chiave e codice identificativo - (c.d. nome utente e password) in tal caso è richiesto che:
A) la sostituzione della parola chiave avvenga autonomamente da parte dell'interessato, evitando quindi che la stessa sia conosciuta e comunicata a terzi;
B) la parola chiave abbia una lunghezza minima di otto caratteri (o, se minore, comunque utilizzi la lunghezza massima permessa dal sistema);
C) la parola chiave venga sostituita dall'incaricato ogni sei mesi ed immediatamente quando viene assegnata inizialmente all'incaricato (nel caso di trattamento di dati sensibili la sostituzione della parola chiave deve avvenire almeno ogni tre mesi);
D) non sia facilmente riconducibile all'incaricato;
E) l'eventuale custode delle parole chiave deve informare tempestivamente l'incaricato dell'intervento di accesso effettuato sulle sue credenziali di autenticazione.

[nota 3] Si intende l'insieme delle informazioni, univocamente associate a una persona, che abilitano l'accesso ad una serie di dati ed alle modalità del loro trattamento (è possibile in pratica prevedere che solo alcuni dipendenti accedano a determinati dati e/o applicativi differenziandone le funzioni).
Anche in assenza di un vero e proprio sistema di autorizzazione il testo unico prevede l'obbligo di individuazione dei trattamenti consentiti ai singoli incaricati per iscritto. E' prevista inoltre la verifica almeno annuale di tali incarichi.

[nota 4] Mediante:
a) Antivirus - L'obbligo di protezione di tutti i sistemi soggetti ai rischi originati dai virus informatici è confermato nel testo unico, in quanto già previsto dal D.P.R. 318/1999. L'aggiornamento di tali tipi di programmi deve essere almeno semestrale.
b) Aggiornamento del software - Il testo unico impone l'aggiornamento dei programmi per elaboratore con le "patch", le "service release" o le nuove versioni che diminuiscano la vulnerabilità o correggano errori, almeno entro un anno dal loro rilascio (sei mesi nel caso di trattamento di dati sensibili).
c) Sistemi antintrusione - E' fatto obbligo di utilizzare un sistema antintrusione (firewall software o hardware, eventualmente anche integrato da "intrusion detection system") nel caso di trattamento di dati sensibili e giudiziari mediante sistemi informatici (va precisato che l'accesso ad internet tramite la Run è già protetto da sistemi antintrusione centralizzati).

[nota 5] E' fatto obbligo di impartire istruzioni organizzative e tecniche per assicurare il salvataggio dei dati con cadenza almeno settimanale. Nel caso di trattamento di dati sensibili il sistema di salvataggio deve permettere, in caso di incidente, la possibilità di accesso agli stessi (cioè di ripristino del sistema) in tempi certi e predefiniti e comunque non superiori a sette giorni.

[nota 6] I dati relativi allo stato di salute ed alla vita sessuale (che ad esempio possono essere trattati nella gestione del personale) devono essere cifrati o separati dagli altri dati dell'interessato.
Data la complessità di utilizzare sistemi di cifratura, l'obbligo può essere assolto mediante l'utilizzo di sistemi od applicazioni specifici il cui utilizzo è limitato da sistemi di autenticazione specifici.
Tale disposizione non si ritiene applicabile agli atti notarili che - per obbligo di legge - contengano riferimenti a dati sensibili; diversamente, qualora tali dati siano in qualche modo schedati ed archiviati separatamente dal contesto dell'atto notarile, riemerge in toto l'obbligo di cifratura.

[nota 7] «Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sè o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da euro 51 a euro 1.32 ...». Esempi:
- phishing: attività volta a estorcere informazioni e dati personali con una richiesta esplicita al legittimo possessore;
rimedio: corretta informazione all'utente; Abi ha redatto una lista di 10 punti chiave nella lotta al phishing.
- dialer: programma scritto per dirottare la connessione internet verso un altro numero con tariffazione più costosa
Rimedio: informazione all'utente.

[nota 8] «Se alcuna delle falsità previste dal presente capo riguarda un documento informatico pubblico o privato, si applicano le disposizioni del capo stesso concernenti rispettivamente gli atti pubblici e le scritture private. A tal fine per documento informatico si intende qualunque supporto informatico contenente dati o informazioni aventi efficacia probatoria o programmi specificamente destinati ad elaborarli».

[nota 9] Vari articoli:
· 635-bis c.p., "Danneggiamento di sistemi informatici e telematici", estende il reato di danneggiamento non solo alle apparecchiature ma anche ai dati, informazioni e programmi in esse contenuti (rimedio = sistemi di backup);
· 420 c.p. che prevede una aggravante del reato di cui sopra nel caso in cui sia compiuto contro impianti di pubblica utilità;
· 392 c.p. che estende all'informatica il reato di esercizio arbitrario delle proprie ragioni con violenza sulle cose quando si altera modifica o cancella un programma o si impedisce o turba il funzionamento di un sistema informatico;
· 615-quinquies c.p., "Diffusione di programmi diretti a danneggiare o interrompere un sistema informatico": sono i programmi denominati malicious software o malware, la cui categoria principale è quella dei virus; occorre precisare che vi è reato solo quando vi sia dolo e non quando il virus sia stato diffuso per effetto di una condotta meramente colposa (rimedio = antivirus).

[nota 10] 615-ter c.p., "Accesso abusivo ad un sistema informatico o telematico".
E' importante rilevare come per aversi reato di accesso abusivo, il titolare del sistema informatico deve aver protetto il sistema con misure di sicurezza, manifestando in tal modo il proprio interesse a voler tutelare i propri dati: il sistema informatico viene visto come una estensione del domicilio dell'individuo, ma, a differenza del domicilio reale, essendo flessibile e aperto può essere tutelato solo in quanto il suo titolare lo abbia esplicitamente voluto mantenere riservato (rimedio = adozione di sistema di autenticazione, ovvero di firewall per controllare gli accessi);
· 615-quater c.p., "Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici".
· art. 621 c.p., "Rivelazione del contenuto di documenti segreti";
· art. 617-quater, "Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche";
· art. 617-quinquies, "Installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche";
· art. 617-sexies, "Falsificazione, alterazione o soppres-sione del contenuto di comunicazioni informatiche o telematiche".