Registrazione degli accessi ed Amministratori di Sistema

Print pagePDF pageEmail page

Registrazione degli accessi ed Amministratori di sistema

La premessa ….[…omissis…]

4.5 Registrazione degli accessi
Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste.
Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.
[…omissis…]

TUTTO CIÒ PREMESSO IL GARANTE:

Il provvedimento vero e proprio ….[…omissis…]

f. Registrazione degli accessi
Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi;

L’esegesi letterale della norma sembrerebbe portare alle seguenti considerazioni (fermo restando che – come ho già evidenziato in altro scritto – sicuramente si poteva fare di meglio quanto a chiarezza del provvedimento):

Quello che deve essere adottato (laddove non già presente) è:
1. un sistema idoneo alla registrazione degli accessi logici intesi come autenticazione informatica ai sistemi di elaborazione
2. un sistema idoneo alla registrazione degli accessi logici agli archivi elettronici
a. in ambedue i casi quando uno degli accessi appena citati venga effettuato da un amministratore di sistema (d’ora in avanti AdS)

I log degli accessi appena menzionati devono essere, praticamente, “forensic ready” e la locuzione “…adeguate al raggiungimento dello scopo per cui sono richieste…” sta a significare che a posteriori si dovrà poter ricostruire quello che è accaduto; se non si raggiunge tale scopo, l’apparato che sarà stato messo in piedi non sarà servito a nulla.

Altra domanda: quali sono esattamente gli AdS?

Posto che nella parte preliminare del provvedimento l’Autorità non solo volutamente non ha voluto effettuare una elencazione delle funzioni che ricadano in tale ambito, ma espressamente ha fatto riferimento anche ad altre normative, non ultima la Legge 547/93 che all’epoca introdusse i reati informatici nell’ordinamento italiano, e che prevede espressamente come ipotesi aggravata l’atto compiuto dal c.d. “operatore di sistema”, soggetto che la giurisprudenza in materia ha individuato in un soggetto che sicuramente ha molti meno “poteri” di quello che viene considerato dalla letteratura tecnica un AdS, mi sembra che la soluzione – come spesso è consuetudine nel diritto – non possa essere totalmente univoca, ma debba essere sempre e comunque contestualizzata.

In pratica (rinvio ad un altro mio articolo più approfondito sull’intero provvedimento sugli AdS) occorrerà effettuare una bella ricognizione delle figure esistenti, e conseguentemente operare.

Ma non è sicuramente finita qui….

(Avv. Luca-M. de Grazia)

Share this:
Share this page via Email Share this page via Stumble Upon Share this page via Digg this Share this page via Facebook Share this page via Twitter
Print Friendly

Leave a Reply