L’informatica, si sa, è una disciplina che si basa su tecnologie in rapida evoluzione. Cresce la potenza degli elaboratori, si moltiplicano le interfacce tra strumenti e utilizzatori e aumentano le funzionalità dei software che utilizzano tutte queste risorse per fornirci sempre nuovi servizi. Oggi si dice che tutto sia informatizzato, le automobili non possono funzionare senza la cosiddetta “centralina” elettronica, ma addirittura le arti (musica, grafica etc.) risentono della grande influenza della tecnologia. Mentre 30 anni fa l’informatica era relegata a una nicchia di esperti e operava in pochi ambiti specialistici, oggi tutti noi siamo, volenti o nolenti, utenti di molti sistemi informativi e i nostri dati personali, talvolta anche sensibili, vengono puntualmente memorizzati in qualche “banca dati”.
E’ veramente difficile per chiunque stare al passo con il progresso tecnologico e, d’altronde, la maggior parte di noi non ha bisogno di stare dietro alle più recenti tecnologie sperimentali. Esse infatti, se matureranno, verranno sicuramente inserite all’interno di prodotti o servizi che diventeranno di utilizzo comune. Pensiamo al Bancomat, al GPS, alla telefonia cellulare. Qualche decennio fa questi strumenti avrebbero fatto scalpore, oggi invece fanno parte del nostro quotidiano e vengono gestiti con nochalance praticamente da tutti.
L’aumento del numero di utilizzatori e l’incremento degli ambiti di utilizzo ha provocato, anche se con un comprensibile ritardo, anche la definizione di regole e norme che all’inizio hanno preso la forma di linee-guida settoriali per poi entrare anche nella giurisprudenza, sotto forma di leggi, decreti, disposizioni.
Pensiamo alla diffusione dell’automobile e immaginiamo quando circolavano le prime vetture. Non esisteva un codice della strada, le auto erano guardate con curiosità talvolta mista a timore; la mancata conoscenza delle tecnologie che consentivano a quegli strani carri di muoversi scoppiettando generava chissà quante fantasie prive di fondamento fino a quando, con l’aumentare delle vetture, si sono rese necessarie le regole che oggi per tutti noi costituiscono un elemento imprescindibile per muoversi sulle strade (beh insomma diciamo per quasi tutti...)
Le tecnologie informatiche hanno superato solo da un decennio la fase “pionieristica” e sono ormai entrate nell’utilizzo comune. E’ comprensibile che in molti di noi le conoscenze specialistiche siano limitate e che sia forte l’influenza proveniente da altre fonti di conoscenza, come ad esempio la fiction, sia quella tele-cinematografica che quella scritta.
Diciamo la verità: in quanti romanzi o film abbiamo letto o visto una scena in cui una bomba o una catastrofe di vario tipo minacciano il mondo e sono collegate, con un timer, a un dispositivo computerizzato. Solo l’immissione di un codice segreto arresterà la fine del mondo, cosa che avverrà dopo varie vicissitudini dell’eroe di turno, solo uno o due secondi prima della fine del conto alla rovescia. Moltissimi sono anche i romanzi in cui la spia, rigorosamente russa, viene torturata per fornire la chiave d’accesso ed erano infiniti gli stratagemmi utilizzati per non farsela carpire. Immagino che siano queste le basi conoscitive che hanno spinto il neopresidente della Cooperativa Poggio dei Pini, Francesco Sanna, a chiedermi ripetutamente, la consegna delle “chiavi di accesso” del Portale da me stesso realizzato e soprattutto alimentato di contenuti e diffuso lentamente in tutta la comunità.
In realtà sono finiti i tempi in cui quasi tutto era lasciato all’improvvisazione e quelle figure generalmente denominate “amministratori di sistema” (abbrev. admin) facevano il bello e il cattivo tempo. Sebbene i videogames abbiano rappresentato per il personal computer la cosiddetta “killer application” (quanti hanno comprato il computer spesso solo per giocare?), parallelamente si sono diffusi moltissimi utilizzi legati alla soddisfazione di bisogni reali dei cittadini. Ho già citato le transazioni bancarie, ma pensiamo ai biglietti dei trasporti, alla prenotazione di alberghi, all’acquisto online, ai servizi al cittadino degli enti pubblici, all’istruzione. Chi può negare che questi che altro non sono che “sistemi informatici” abbiano migliorato la qualità della nostra vita? Indubbiamente tra 10 anni questo elenco si allungherà ancora e faremo cose che oggi potrebbero sembrare impossibili o riservate alla NASA.
Sebbene la Cooperativa Poggio dei Pini non gestisca situazioni critiche come le transizioni bancarie e non sia assegnataria di responsabilità pubbliche come un ente locale, si tratta comunque di una realtà che rappresenta 2200 persone e che gestisce problematiche complesse. E probabilmente retorico domandarsi se una realtà di questo tipo, nel 2011, debba disporre di uno strumento telematico gestito come un videogame o una chat dei fans di Madonna, oppure se debba cercare di riferirsi ad applicazioni gestite in modo un po' più rigoroso.
E’ vero che un sistema informatico, quale ad esempio un portale comunitario, è un’opera di ingegno in cui il realizzatore esprime la sua creatività in modo assolutamente personale, ma dato che un sistema è utilizzato da persone, per salvaguardare alcuni diritti degli utenti, degli stessi professionisti che operano sui sistemi e delle aziende che li utilizzano, il legislatore ha definito una serie di regole che spesso contrastano con certe scene che si vedono nei film.
Ecco quindi che il fantomatico “amministratore di sistema” non può essere Zorro. Deve essere conosciuto agli utenti che utilizzano quel sistema, deve fornire garanzie di professionalità e correttezza e soprattutto deve essere responsabilizzato tramite una nomina ufficiale. Gli utenti devono sapere anche come vengono utilizzati i propri dati, per quanto siano pochi i dati personali inseriti in un Portale ed ecco perche si assiste talvolta a certe seccanti procedure di iscrizione. Applicare queste norme non garantisce solo gli utenti, ma anche l’azienda o l’entità che è titolare del sistema. Garantisce poi anche gli stessi administrators perchè in un sistema anarchico nel quale, ad esempio, sono diverse le persone che dispongono delle medesime credenziali di accesso e non si sa chi siano, se viene commesso un reato potrebbe capitare che si trovi nei guai qualcuno che non c’entra niente.
I principali strumenti normativi che si occupano di questo settore sono il DLG n. 196 del 2003 e le disposizioni del Garante della Privacy del 2008 dedicate espressamente alla figura degli amministratori di sistema.
Leggiamo e commentiamo insieme alcuni degli articoli che ci interessano più da vicino.
DLG 196 – allegato B – disciplinare tecnico in materia di misure minime di sicurezza
1. Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti.
(nota: quindi e’ assolutamente vietata la gestione dei sistemi da parte di soggetti privi di incarico)
2. Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell'incaricato, eventualmente associata a un codice identificativo o a una parola chiave.
(nota: le credenziali, cioè le cosiddette “chiavi di accesso” sono ad uso esclusivo degli incaricati, quindi non devono essere restituite, non possono essere cedute, condivise tra più persone etc.. La spia russa avrebbe dovuto appellarsi a questo art. dell’all. B della 196)
4. Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell'incaricato.
(nota: anche in questo punto si sottolineano la segretezza e l’esclusività)
6. Il codice per l'identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi.
(nota: qui si sottolinea l’incedibilità e l’impossibilità di assegnare a più persone le medesime credenziali )
_______________________________
GARANTE PRIVACY
Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema - 27 novembre 2008
(G.U. n. 300 del 24 dicembre 2008)
1. Considerazioni preliminari
Con la definizione di "amministratore di sistema" si individuano generalmente, in ambito informatico, figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. Ai fini del presente provvedimento vengono però considerate tali anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi.
(nota: tanto per chiarire chi è l’amministratore di sistema)
Gli amministratori di sistema ... (omissis) ...... sono, in molti casi, concretamente "responsabili" di specifiche fasi lavorative che possono comportare elevate criticità rispetto alla protezione dei dati.
.....
La rilevanza, la specificità e la particolare criticità del ruolo dell'amministratore di sistema sono state considerate anche dal legislatore il quale ha individuato, con diversa denominazione, particolari funzioni tecniche che, se svolte da chi commette un determinato reato, integrano ad esempio una circostanza aggravante. Ci si riferisce, in particolare, all'abuso della qualità di operatore di sistema prevista dal codice penale per le fattispecie di accesso abusivo a sistema informatico o telematico (art. 615 ter) e di frode informatica (art. 640 ter), nonché per le fattispecie di danneggiamento di informazioni, dati e programmi informatici (artt. 635 bis e ter) e di danneggiamento di sistemi informatici e telematici (artt. 635 quater e quinques) di recente modifica1.
(nota: si sottolinea la responsabilità e la gravità dei reati come l’accesso abusivo)
4.1 Valutazione delle caratteristiche soggettive
L'attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione dell'esperienza, della capacità e dell'affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza.
(nota: si sottolinea la necessità di disporre di capacità professionali idonee, Cosi come per costruire un ponte è palese che sia necessario un ingegnere anche per gestire un sistema informatico si dovrebbe disporre di capacità idonee. In un paese normale gli agronomi non fanno ne l’una ne l’altra cosa. )
Qualora l'attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale di lavoratori, i titolari pubblici e privati nella qualità di datori di lavoro sono tenuti a rendere nota o conoscibile l'identità degli amministratori di sistema nell'ambito delle proprie organizzazioni, secondo le caratteristiche dell'azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti.
(nota: l’identità dell’amministratore di sistema deve essere resa nota)
Per effetto di queste regole la Cooperativa Poggio dei Pini si trova attualmente in una situazione di grave inadempienza. Il Responsabile del trattamento dati è il Presidente che però si è fatto nominare anche Amministratore di sistema, quindi in pratica dovrebbe ricevere le credenziali da se stesso ed essere controllato da se stesso. Inoltre il Presidente è agronomo privo di qualsiasi esperienza nella gestione di sistemi informatici quindi privo dei requisiti professionali. Dato che l'amministratore nominato non è in grado di svolgere questo ruolo, attualmente chi sta gestendo il Portale? Persone sconosciute (si fa per dire) prive di competenze. Quante persone hanno accesso alle credenziali? Certamente almeno due ma potrebbero essere di più. Questi amministratori sono privi di competenze, di nomina e di responsabilità. Altra grave irregolarità è costituita dal fatto che il sottoscritto detiene ancora le credenziali che consentono l'accesso al database. Quindi, in pratica siamo in molti ad accedere ai dati della cooperativa e degli iscritti: Io, Zorro e il Pirata Barbanera.
Per effetto di queste regole la Cooperativa Poggio dei Pini si trova attualmente in una situazione di grave inadempienza. Il Responsabile del trattamento dati è il Presidente che però si è fatto nominare anche Amministratore di sistema, quindi in pratica dovrebbe ricevere le credenziali da se stesso ed essere controllato da se stesso. Inoltre il Presidente è agronomo privo di qualsiasi esperienza nella gestione di sistemi informatici quindi privo dei requisiti professionali. Dato che l'amministratore nominato non è in grado di svolgere questo ruolo, attualmente chi sta gestendo il Portale? Persone sconosciute (si fa per dire) prive di competenze. Quante persone hanno accesso alle credenziali? Certamente almeno due ma potrebbero essere di più. Questi amministratori sono privi di competenze, di nomina e di responsabilità. Altra grave irregolarità è costituita dal fatto che il sottoscritto detiene ancora le credenziali che consentono l'accesso al database. Quindi, in pratica siamo in molti ad accedere ai dati della cooperativa e degli iscritti: Io, Zorro e il Pirata Barbanera.
2 commenti:
Letto quanto riferisci circa la normativa e perdurando, per noi soci-clienti del portale la non conoscenza del nome dell'amministratore del sistema, cautelativamente consiglieresti di chiedere (a chi ?) la cancellazione della sottoscrizione del proprio nominativo dal portale ? Io ho aderito quando conoscevo il nome dell'Amministratore incaricato (eri tu) e quindi, in assenza di informazioni circa il nuovo Amministratore responsabile, la revoca della mia iscrizione dovrei chiederla a te ? Infatti manca il nome di chi ti ha sostituito.
Il motivo non è proprio banale ma tu pensa che chi governa il portale (una o due sconosciute persone) potrebbero utilizzare le credenziali di qualunque Socio iscritto per commettere cose strane (esempio pubblicare insulti o altre cose offensive nei confronti di altri facendole apparie scritte da chiunque). Quale è, al riguardo, il tuo pensiero ? La cancellazione, ovviamente, almeno fino a quando non verrà noto il nome dell'ADMIN - come tu dici - dopo di che ognuno si comporterà come meglio crederà rinnovando l'iscrizione oppure non concedendo fiducia. E' giusto ? Ciao Giampaolo
L'eventuale richiesta di rimozione (che è un diritto per tutti gli iscritti del Portale, come di qualsiasi altra banca dati) deve ovviamente essere inviata alla Cooperativa Poggio dei Pini.
Ci si deve rivolgere al Presicente che in questo momento svolge sia il ruolo di responsabile del Trattamento che quello di amministratore di sistema.
Sull'opportunità o meno di farlo la scelta è chiaramente personale. Ti trovi in una situazione simile a quelle di avere un conoscente bugiardo. Decidi tu se continuare ad avere rapporti con lui oppure no.
In qualità di ex responsabile del Portale garantisco (e denuncio) che la situazione è radicalmente cambiata, che il Regolamento che i soci hanno sottoscritto al momento dell'Iscrizione non viene più rispettato da chi lo ha emesso e che ignoti operano sui loro dati con modalità ignote.
A parte il fatto che le regole quando ci sono devono essere rispettate, in questo caso non esiste un motivo plausibile che giustifichi questo comportamento. A Poggio ci sono numerosi e validi informatici che potevano fornire un loro personale contributo e so per certo che non sono stati contattati. Per la Cooperativa mettersi in regola sarebbe stato semplicissimo. Io, personalmente non daro' la mia adesione a questa ennesima fesseria perchè chi amministra deve avere un segnale: le regole devono essere rispettate, i ponti devono essere fatti come si deve, ma anche i Portali, chi amministra la coop. deve dotarsi o affidarsi a chi la le competenze adeguate e non gestire tutto in una cerchia ristretta di amici che si spacciano per tuttologi. Abbiamo già visto i risultati di queto modo di amministrare.
Posta un commento