Dott.ssa Valentina Frediani
Il Consulente Legale Informatico
vfrediani@consulentelegaleinformatico.it
DISASTER RECOVERY ED ASPETTI GIURIDICI
Negli anni novanta, specie a
seguito della completa telematizzazione della Borsa italiana, gli evidenti
rischi connessi ad una possibile perdita dei dati ha determinato la necessità
di definire linee guida scrupolose per ovviare a tali incertezze. Oggi
tale fenomeno è comunemente denominato
disaster recovery (di seguito indicato DR), la cui piena comprensione è
tuttavia preordinata al c.d. business continuity, un concetto ad esso
complementare, che rappresenta quell’ineluttabile esigenza di garantire la
continuità della connessione tra tutti gli operatori di mercato presenti nel
sistema informatico o telematico, attraverso la definizione di modelli
tecnologici e/o organizzativi capaci di integrare le stesse infrastrutture di
connessione. Con DR si intendono, invece, quelle iniziative tese alla
salvaguardia di alcuni aspetti specifici dei processi interni a fronte di
eventi eccezionali, che si sostanziano in un ovvia esigenza di conservazione
dei dati. Il fenomeno, fu agli albori percepito come una mera esigenza di
duplicazione delle infrastrutture, anche perché l’evoluzione tecnologica non
conosceva ancora la comunicazione tra gli elaboratori ed il concetto di rete
era ancora una realtà lontana. Oggi la tecnologia consente invece di operare in
maniera completamente diversa, così che i c.d.
back-up sono riferibili anche a realtà geograficamente distanti,
consentendo un contenimento degli investimenti di un piano di DR e, allo stesso
tempo, benefici sotto il profilo dell’efficienza. E’ ovvio che in tale
evoluzione Internet ha giocato un ruolo determinante, visto che la cultura
telematica ha evidenziato, specie per il consumatore, una comprensibile
esigenza di sicurezza delle operazioni ivi compiute. Pertanto, è evidente che
la performance tecnica di un ipotetico sito al quale si accede e le garanzie di
continuità che lo stesso fornisce, determineranno anche l’appetibilità del
prodotto o servizio in esso rappresentato e commerciato. Occorre, altresì,
precisare che cosa si intenda per sicurezza onde evitare interpretazioni
limitative o fuorvianti, nel senso che l'espressione DR non va relegata ai meri
pericoli connessi agli eventi naturali e catastrofici, perché la semplice
interruzione delle linee di telecomunicazione o il guasto di qualche server
critico, anche se dovuto ad un banale errore umano, può compromettere
l'operatività aziendale. Peraltro, in termini statistici si può constatare come
la perdita dei dati avvenga in larga misura a causa del malfunzionamento delle
componenti hardware e software, nonché per la costante presenza dell’errore
umano, mentre solo in minima parte tale perdita consegue ai sopra citati
disastri naturali o all’introduzione dei virus. Un elemento chiave del DR è
dunque il back-up periodico delle informazioni, che tuttavia necessita di una
preventiva selezione dei dati da salvare, visto che non tutte le informazioni
aziendali debbono essere salvate indiscriminatamente. La predisposizione di un
piano di back-up andrebbe condotta non solo dall’area aziendale specificamente
deputata alla gestione dei sistemi informatici, ma anche attraverso la
collaborazione delle diverse divisioni dell'azienda. Da un punto di vista
strettamente tecnico, altresì, le operazioni di back-up, anche in reti
complesse, dovrebbero essere eseguite con modalità che non appesantiscano
troppo le prestazioni della rete
locale, magari avviando il back-up quando il sistema IT non è attivo. Tuttavia
le aziende, specie se di grandi dimensioni, non conoscono momenti di tale
inattività, pertanto, occorre che i software di back-up possano salvare anche
file aperti ed elementi di database mentre gli utenti vi accedono. Occorre
stabilire, inoltre, il tipo di procedura da eseguire per i salvataggi periodici
(es: un back-up completo ogni settimana ed uno incrementale giornaliero), il
riutilizzo dei nastri e la loro conservazione. Inoltre, vi è il susseguente problema pratico della
collocazione materiale del back-up ottenuto, nel senso che la conservazione
interna all’impresa non offre sufficienti garanzie, mentre è certamente più
sicura una collocazione esterna, presso un operatore specializzato o più
semplicemente presso un'altra sede, sebbene i tempi di restore dei dati saranno
inevitabilmente più lungi, dato che bisognerà fisicamente riportare i nastri in
azienda. Sulla scorta di tali esigenze sono nati i sistemi di back-up e restore
remoti, che appartengono a pieno titolo al mondo del DR; in queste architetture
un sito remoto è collegato direttamente al sistema informativo centrale attraverso
una connessione geografica e le operazioni di back-up vengono eseguite da
elaboratori installati nel sito remoto. Insomma, si ottengono le garanzie di
sicurezza offerte dalla collocazione esterna, ma le operazioni di restore sono
molto più veloci. Nel sito remoto, tuttavia, non ci saranno solo unità di
back-up, ma anche unità a disco: i software di data e storage management si
preoccupano di eseguire il c.d. "mirroring" dei dati, replicando le
informazioni a livello di singola transazione sulle unità e sui server remoti.
Il tempo di ripristino dell'operatività dei sistemi in questo caso è molto
breve: se avviene un guasto l'attività del sito centrale può essere passata al
sito remoto, detto anche "hot site", in pochi minuti. Un "cold
site" è un sistema alternativo dal costo più ridotto: si tratta di una
sede cablata che non contiene un sistema informativo completo al suo interno e
che si attiva solo quando viene fatta specifica richiesta, sebbene il sito
secondario dovrà essere dotato di tutto l'equipaggiamento necessario, affittato
per l’occasione o già di proprietà dell'azienda. Le considerazioni ora
affrontate, rilevano senz’altro la connessione, già accennata in premessa, di
un piano di disaster recovery con un piano di business continuity, dei quali spesso
si affida la realizzazione ad imprese specializzate nel settore, talché i due
temi finiscono col divenire servizi aggiuntivi disciplinati da un contratto di
outsourcing. Sotto il profilo normativo, la legge sulla privacy ha
indubbiamente costituito un’imprinting
nella considerazione della sicurezza dei flussi informativi, sia pure da un
angolazione specifica che non mira alla tutela della commerciabilità dei
prodotti o alla continuità delle connessioni, ma allo specifico bene della
riservatezza nel trattamento dei dati personali. In tale contesto va pertanto
valutato l’intervento legislativo scaturito nel D.P.R. 28 luglio 1999 n. 318,
"Regolamento recante norme per l'individuazione delle misure minime di
sicurezza per il trattamento dei dati personali, a norma dell'articolo 15,
comma 2, della legge 31 dicembre 1996, n. 675", sebbene le norme ivi
contenute siano state, profondamente mutate dal nuovo Codice della Privacy
(http://www.consulentelegaleinformatico.it/approfondimentidett.asp?id=54).
Tuttavia, questa normativa, unita alle certificazioni di qualità, oggi non più
fattori distintivi ma condizioni essenziali per accedere al mercato, concorrono
ad una migliore definizione del fenomeno. La sicurezza informatica, nel
panorama legislativo nazionale, trova i suoi riferimenti, oltre che nella
tutela del trattamento dei dati personali, anche nella normativa sul diritto
d’autore come modificata dal Dlgs n°518
del 1992, nonché nel codice penale italiano ad opera dalla legge n° 547 del
1993 che ha introdotto i cosiddetti "computers crimes". Sulla scorta
di tali premesse, è lecito supporre che laddove le ragioni dell’opportunità e
dell’interesse dominano una realtà non direttamente e specificatamente
regolamentata, la disciplina privata sia lo strumento più idoneo a costituire
la prima fonte normativa di riferimento. Ebbene, il già citato contratto di
outsourcing è il contratto attraverso il quale l’azienda cede la gestione dei
propri sistemi informatici o telematici ad un soggetto terzo, il c.d.
outsourcer, che diviene pertanto responsabile di tutte le operazioni
informatiche dell'utente, della gestione e manutenzione dei programmi
applicativi e dell'altro software interno al sistema.
(http://www.consulentelegaleinformatico.it/approfondimentidett.asp?id=21). Invero, l’ampiezza dei compiti “delegati”
all’outsourcer nell’ambito di tali contratti, rende ardua l’individuazione
dell’oggetto degli stessi, così che appare auspicabile una ripartizione tra il
corpo vero e proprio del contratto ed i vari allegati tecnici (così facendo, si
evidenzieranno nel corpo del contratto gli obblighi dell’outsourcer, come il
limite alla facoltà di subappaltare ex art. 1656 c.c.). Tali contratti rilevano nell’oggetto della
presente trattazione in quanto gli stessi, sempre più diffusi, concernono
servizi dei quali deve esserne rilevata la qualità, individuata mediante i c.d.
Service Level Agreement, posto che la garanzia di qualità costituisce una delle
obbligazioni principali dell'outsourcer. Una volta che le parti stabiliscono i
parametri di ogni servizio, i c.d. Key Performance Indicators (KPI),
fondamentale importanza assumono i tempi di intervento e di ripristino di un
piano di DR che, pertanto, diviene parte fondamentale di un contratto di
outsourcing. La regolamentazione
pattizia di tali aspetti presuppone in primis una definizione degli eventi che
potrebbero inficiare la produttività aziendale, individuati sotto il profilo
della causa ancorché sotto il profilo squisitamente tecnico, dal
malfunzionamento dei dischi, all’interruzione temporanea delle operazioni,
dalle conseguenze di Virus, all’opera criminale degli Hacker, sino alla
distruzione fisica conseguente ai disastri naturali. Dunque, una volta
individuati i possibili problemi si provvederà ad inserire, in un apposito
allegato tecnico, le istruzioni di ripristino che illustreranno esattamente che
cosa fare quando un sistema dovrà essere ripristinato, avendo riguardo ad
accludervi informazioni sui seguenti aspetti: a) individuazione dei
responsabili di reparto o consulenti esterni da contattare in caso di
emergenza; b) procedure sul recupero dei dati di back-up; c) eventuali
nominativi di fornitori che possano somministrare nuove apparecchiature; d)
informazioni dettagliate su come configurare una work station ed i server da utilizzare
in una rete locale ripristinata. Premesso che un piano di DR è finalizzato al
mero ripristino delle funzioni operative essenziali e non alla ricostruzione
totale del sistema, si tenga presente che le parti, nel disciplinare aspetti
delicati quali quelli della sicurezza dei dati, finiscono inevitabilmente per
scambiarsi informazioni confidenziali in ordine alle procedure ed agli aspetti
gestionali sviluppati ciascuno nel proprio ambito (dal know-how alle strategia
manageriali, dalle informazioni sulla clientela del committente, agli strumenti
e software utilizzati dall’outsourcer, dalle metodologie ai sistemi di
proprietà del committente o ad esso concessi in licenza, ecc). Ecco dunque che
già dalla fase pre-contrattuale, la sottoscrizione di un accordo di
riservatezza, che disciplini le fasi di ottenimento delle informazioni,
redazione delle bozze contrattuali e conseguenti trattative, appare
imprescindibile. Ciò stabilito, le clausole del contratto definitivo
preciseranno che tutte le informazioni comunicate da una parte all’altra sia
prima che dopo la sottoscrizione dell’accordo dovranno essere ritenute ed
utilizzate per le sole finalità perseguite. Dunque gli obblighi di riservatezza
costituiscono uno degli aspetti legali che conseguono inevitabilmente ad un
contratto di outsourcing ed in particolar modo allo specifico piano di DR ivi
accluso. Tutto ciò premesso, è ora possibile esaminare quella normativa, sopra
definita come “latente” in ragione delle considerazioni già edotte, che pure
insiste ed è riferibile alla trattazione di un piano di DR, prima tra tutti la
tutela della privacy. Si è già detto che in tema di misure di sicurezza è in
atto un mutamento di assetto disciplinare, in quanto il “Disciplinare tecnico
in materia di misure minime di sicurezza”, correlato al nuovo Codice della
privacy, sostituirà dal 1° gennaio 2004 il DPR 318/99 imponendo ad aziende,
professionisti ed enti pubblici, un sostanziale adeguamento dei sistemi
informativi. Innanzi tutto, rispetto al DPR 318/99, la nuova disciplina
distingue i “trattamenti con strumenti elettronici” ed i “trattamenti senza
l’ausilio di strumenti elettronici”, così che viene eliminato il dibattuto
concetto di “elaboratore connesso ad altri elaboratori attraverso reti di
telecomunicazioni disponibili al pubblico”. Inoltre, rispetto alla precedente
normativa, anziché parlare di “amministratore di sistema” si fa ora riferimento
al “soggetto preposto alla custodia delle parole chiave” nel caso in cui l’accesso sia consentito solo attraverso
l’utilizzo del dispositivo di autenticazione. In buona sostanza, infatti,
attraverso i trattamenti con strumenti elettronici il titolare, il responsabile
ove designato e l’incaricato, devono adottare dei sistema di autenticazione
informatica, cioè di codici per l’identificazione associati ad una parola
chiave riservata, conosciuta solo dall’incaricato stesso, oppure di altro
dispositivo di autenticazione quale quello di rilevazione di caratteristiche
biometriche. Bisognerà impartire delle chiare istruzioni agli incaricati al
fine di far loro adottare le necessarie cautele per assicurare la segretezza
della parola chiave. La parola chiave deve essere composta da almeno otto
caratteri ed il titolare o il responsabile deve impartire precise istruzioni
agli incaricati per non lasciare incustodito e accessibile lo strumento
elettronico durante una sessione di trattamento; ed il sistema di
autorizzazione - deve essere utilizzato
quando per gli incaricati sono individuati profili di autorizzazione di ambito
diverso, ossia senza l’ausilio di strumenti informatici. I profili di
autorizzazione sono individuati e configurati in modo da limitare l’accesso ai
soli dati necessari per effettuare le operazioni di trattamento. La nuova
disciplina, peraltro, si occupa del c.d. “Documento programmatico sulla
sicurezza”, un atto che dovrà prevedere interventi formativi per gli incaricati
del trattamento dei dati e la cui redazione sarà obbligatoria entro il 31 marzo
di ogni anno. Di tale documento, o del suo aggiornamento, il titolare dovrà
riferire nella relazione accompagnatoria del bilancio d’esercizio, qualora essa
sia dovuta. Ebbene, il punto 23 del disciplinare obbliga il titolare ed il
responsabile del trattamento, ad adottare idonee misure per garantire il
ripristino dell’accesso ai dati in caso di danneggiamento degli stessi o degli
strumenti elettronici, in tempi certi compatibili con i diritti degli
interessati e non superiori a sette giorni.
Rimane invece immutato l’obbligo da parte del titolare di adottare
sistemi antivirus e comunque, le misure minime di sicurezza che non erano già
previste nel DPR 318/99, dovranno essere adottate entro il 30 giugno 2004 ai
sensi dell’art. 180 del Codice della Privacy. Se il titolare, tuttavia, non
dispone ancora di strumenti idonei a consentire l’implementazione delle nuove
misure di sicurezza, dovrà da un lato, conservare apposita documentazione che
spieghi le ragioni di tale impossibilità, e dall’altro rimediare comunque a
tale deficit entro il 1° gennaio 2005.
In conclusione, il DR appalesa sfaccettature molto eterogenee tra loro,
richiamando normative non pensate per tale fenomeno e che dunque non
ingeriscono nella intima definizione delle strategie ed i piani atti a
garantire la salvaguardia dei sistemi informatici o telematici. Eppure, sottovalutare
tali aspetti legali, pur nella loro eterogeneità, rappresenta un grave rischio
per gli operatori, anche in considerazione del fatto che il DR viene
disciplinato nell’ambito di contratti outsourcing, ossia figure indubbiamente
atipiche per il nostro ordinamento, ma non per questo immuni
dall’individuazione di regole ad esso applicabili.
Cristian Pellegrini
www.consulentelegaleinformatico.it