Ieri è stata diffusa una nota del presidente dell’Autorità Garante per la protezione dei dati personali:
“Non possiamo che esprimere forte preoccupazione per la violazione subita da Uber, tardivamente denunciata dalla società americana. Abbiamo aperto un’istruttoria e stiamo raccogliendo tutti gli elementi utili per valutare la portata del data breach e le azioni da intraprendere a tutela degli eventuali cittadini italiani coinvolti.
Quello che certo colpisce, in una multinazionale digitale come Uber, è l’evidente insufficienza di adeguate misure di sicurezza a protezione dei dati e quello che sconcerta è la scarsa trasparenza nei confronti degli utenti sulla quale indagheremo”.
La notizia riguarda la violazione dei dati personali che Uber avrebbe confermato di avere subito l’anno scorso, riguardante i dati personali di 50 milioni di clienti e 7 milioni di autisti. È stata data da Bloomberg dal Wall Street Journal ed è così rimbalzata anche in Italia dove tra le tante notizie diffuse (il Post ad esempio) si segnala per completezza e intelligenza delle domande, ovviamente, quello pubblicato su La Stampa da Carola Frediani che oltre che riportare la notizia esprime qualche dubbio e perplessità e fa delle domande che, al momento, rimangono senza risposta.
È importante ricordare che, a partire dal 25 maggio 2018, entrando in vigore il Regolamento UE, troverà anche piena applicazione l’art. 33 del Regolamento che impone la comunicazione all’Autorità di controllo competente, a meno che, la violazione sia improbabile, “che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche” (dal comma 1, dell’art. 33).
In questo caso non sappiamo con precisione quali dati siano stati oggetto della violazione, ma pare ci siano nomi, cognomi, e-mail e numeri di telefono, ovviamente associati al dato che sono tutti clienti o autisti di Uber. In questi casi è quindi possibile ipotizzare degli attacchi mirati ed è quindi difficile fare valere l’esenzione citata.
Indice
In piena notte di quel venerdì 7 ottobre 2016, in Italia, su una strada di una qualsiasi provincia italiana, alla periferia del capoluogo, un’automobile viaggia a velocità sostenuta, è buio e la strada è poco o niente illuminata, il limite imposto in quel tratto di statale è di sessanta chilometri orari.
L’automobile tuttavia sta viaggiando a più di centodieci chilometri orari, è una vecchia Giulietta Alfa Romeo, sono anni che non effettua la revisione e la sua carta di circolazione è scaduta, chi guida ha deciso di vedere non solo sino a che punto tira la vecchia vettura sportiva del nonno, ma anche se conosce la strada così bene da poterla percorrere a fari spenti, nella notte. Si sente il personaggio di una canzone di Lucio Battisti, Antonio, nipote di Antonio, mentre sfreccia lungo la strada rombando.
Dopo un lungo rettilineo c’è una brusca curva a sinistra lungo la statale ed è quasi una curva parabolica che però ha due differenti punti di corda, così bisogna farla con attenzione e pronti a correggere la traiettoria.
Antonio si distrae fatalmente quando non deve e così la Giulietta scivola perde aderenza e travolge, sull’altra carreggiata, la bicicletta di Gianluca, che dopo avere finito il suo lavoro nella sua pasticceria lì vicino sta tornando a casa in bicicletta; sono poche centinaia di metri dalla pasticceria a casa sua, ed è per questo che con ogni tempo e ad ogni orario Gianluca preferisce fare la strada in bici, e sono poche centinaia di metri, per questo non ha mai montato i fari alla sua bici o la tuta con i catarifrangenti.
Il giorno dopo i giornali locali parleranno del gesto folle di Antonio e lo descriveranno come l’ennesimo pirata della strada. Nessuno sarà mosso a compassione per le ferite che ha riportato, nessuno piangerà i danni alla Giulietta del nonno.
Da anni mi chiedo come mai i giudizi spesso drastici, feroci e crudeli che la gente riserva a chi tiene condotte stradali così azzardate non vengono applicati per analogia anche a chi è vittima di minacce informatiche come quella in corso con Wannacry.
Lunedì 15 maggio 2017, nella provincia già teatro – ad ottobre – dell’incidente immaginato, in più di un ufficio scoprono che i loro computer sono bloccati e che l’attacco in corso da giovedì in oltre cento Paesi ha colpito pure loro.
Perché chi tratta dati personali usando computer, senza avere una copia di sicurezza (backup) tiene un comportamento imprudente molto simile a quello di Antonio. Ma la somiglianza non è limitata all’imprudenza, infatti sia Antonio con la Giulietta del nonno che il titolare dei trattamenti privo di backup stanno violando la legge.
Antonio non può circolare con la Giulietta senza idonea carta di circolazione, e non può ignorare i limiti di velocità e tenere i fari della vettura spenti, facendo questo si è automaticamente messo “dalla parte del torto”, ma anche il titolare che tratta dati personali (siano essi i dati del personale assunto o le quote del condominio di cui è amministratore) non può non avere adottato delle buone politiche di salvataggio dei dati.
Dal 2003 il backup diventa un obbligo: tutti coloro i quali trattano dati personali per fini che non siano quelli esclusivamente personali (cfr. art. 5 d.lg. 196/2003) dovendo applicare le misure minime di sicurezza (cfr. articoli 31, 33, 34 del d.lg. 196/2003), devono anche porsi il problema delle “copie di sicurezza”.
Questo è il testo dell’art. 33:
Nel quadro dei più generali obblighi di sicurezza di cui all’articolo 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell’articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali.
L’articolo successivo (art. 34, comma 1, lettera f) invece dice che si possono trattare dati personali con strumenti elettronici solamente se sono adottate (tra gli altri obblighi):
procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi
Se anche questi riferimenti non bastassero, sono ribaditi dall’Allegato B al Codice Privacy, che infatti alla regola 18 sottintende l’operazione di backup (dei dati) dicendo:
Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale.
In sintesi, dunque, sul backup dei dati personali dobbiamo tenere a mente che:
È un obbligo, sancito dall’art. 33, dall’art. 34 e dall’Allegato B al Codice Privacy. Non adempiere a questo obbligo significa incorrere nella sanzione prevista dall’art. 162 comma 2-bis, e nella sanzione prevista dall’art. 169 (almeno teoricamente).
Nel primo caso (l’art. 162 comma 2-bis) è prevista una sanzione amministrativa da ventimila a centoventimila euro. Nel secondo caso è previsto l’arresto sino a due anni.
L’illecito amministrativo e il reato si realizzano non quando si verificano danni a seguito degli inadempimenti, ma per il solo fatto di avere omesso gli adempimenti nel modo corretto. Quindi, a ben vedere, è quasi più grave non avere un backup e relative procedure di custodia e ripristino che non guidare a fari spenti nella notte…
La cosa straordinaria successa negli ultimi giorni è che Microsoft ha rilasciato un aggiornamento di sicurezza persino per il suo sistema operativo più longevo, Windows XP. In questa pagina la lista degli aggiornamenti.
Questo è successo per colpa (o merito) di Wannacry che sta, tutt’ora, minacciando molti sistemi informativi comportandosi come le più moderne minacce informatiche sanno fare. E la minaccia è stata presa così seriamente da spingere Microsoft all’aggiornamento persino di Windows XP, sistema operativo di cui la società produttrice aveva dichiarato cessata l’assistenza (o “supporto” come amano dire loro e gli informatici in genere) nel 2014 (qui un comunicato di Microsoft).
Dal 2014 ad oggi moltissime (quasi tutte?) le aziende hanno lasciato i lidi di Windows XP, ma nonostante questo, ad oggi, conosco più di una realtà lavorativa dove Windows XP è ancora utilizzato con generosità e incoscienza: ad esempio molti uffici delle Poste Italiane hanno ancora terminali che utilizzano Windows XP, e conosco almeno un ospedale dove è con generosità adottato oltre che una università che continua a tenere terminali con Windows XP.
Nonostante questo aggiornamento rilasciato tempestivamente da Microsoft, però, usare Windows XP per “lavoro” è una formale violazione delle misure minime di sicurezza. Se leggete le righe che seguono capirete come si può arrivare ad una affermazione così drastica (tutte le volte che lo dico la reazione è di stupore o persino di fastidio).
Indice
Veniamo al primo punto.
Il d.lg. 196/2003 è la norma fondamentale in Italia (conforme a direttiva UE e sino al maggio 2018 quando entrerà in vigore Regolamento UE) sulla protezione dei dati personali, si applica a tutti coloro i quali trattano dati personali con la sola esclusione delle persone fisiche che trattano i dati personali “per fini esclusivamente personali” (cfr. art. 5 del d.lg. 196/2003): di fatto la norma non si occupa delle rubriche telefoniche di ciascun privato cittadino et similia.
Tutti gli altri (persone giuridiche e qualsiasi professionista), però, non appena trattano dati personali devono rispettare gli obblighi della norma e in particolare gli obblighi di sicurezza.
Anni fa, all’inizio della mia professione, seppi di una deliziosa direttrice di banca che sosteneva con forza di non trattare dati personali: spero che oggi sappia di avere sostenuto una solenne corbelleria: tutto nel 2017 tende ad essere “dato personale”, un numero di targa, un indirizzo IP, un cookie, un log di sessione, e ovviamente una scheda cliente, gli estremi identificativi di un conto corrente e via dicendo.
I dati anonimi sono solo quelli che non non possono “essere associati ad un interessato identificato o identificabile” (cfr. art. 4, comma 1, lettera n).
Se ne deve dedurre che poiché tutti quelli che per fini professionali (non quelli esclusivamente personali quindi) trattano dati sono sottoposti alle regole del Codice Privacy tutti devono anche rispettare le misure di sicurezza (almeno quelle minime).
Tra le misure di sicurezza da rispettare ci sono quelle minime come indicate dall’Allegato B al Codice (cfr. art. 34 d.lg. 196/2003). Quindi “tutti” (tutti secondo significato già precisato) dobbiamo rispettare le regole contenute nell’Allegato B.
L’Allegato B al Codice è il “Disciplinare tecnico in materia di sicurezza” vecchio e ormai superato (il Consiglio dei Ministri avrebbe dovuto aggiornarlo, cfr. art. 58) detta le misure minime che bisogna adottare.
La regola 16 dice:
I dati personali sono protetti contro il rischio di intrusione e dell’azione di programmi di cui all’art. 615- quinquies del codice penale, mediante l’attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale.
La regola 17 dice:
Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l’aggiornamento è almeno semestrale.
In altre parole si deve sempre periodicamente aggiornare il proprio computer contro minacce informatiche, e l’aggiornamento deve essere preventivo. Per i sistemi operativi supportati l’aggiornamento periodico (e preventivo nei limiti del possibile) viene effettuato, ma per Windows XP dal 2014 non viene più previsto.
Quindi le due regole sopra indicate non possono essere rispettate!
Quindi usare Windows XP in ambiente lavorativo connesso ad Internet, quasi inevitabilmente trattando dati personali è una “Omessa adozione delle misure minime di sicurezza” (cfr. art. 169 d.lg. 196/2003).
In altre parole: Windows XP è una vecchia vettura che da anni non effettua la revisione, di conseguenza la sua carta di circolazione è stata annullata (e per fortuna aggiungerei).
Suvvia: passate ad altro, o tenete quel vecchio computer solo per giocarci a Freecell o per farci qualcosa che non prevede Internet!