Negli anni novanta, specie a seguito della completa telematizzazione della Borsa italiana, gli evidenti rischi connessi ad una possibile perdita dei dati ha determinato la necessita’ di definire linee guida scrupolose per ovviare a tali incertezze.
Oggi tale  fenomeno e’ comunemente denominato disaster recovery (di seguito indicato DR), la cui piena comprensione e’ tuttavia preordinata al c.d. business continuity, un concetto ad esso complementare, che rappresenta quell’ineluttabile esigenza di garantire la continuita’ della connessione tra tutti gli operatori di mercato presenti nel sistema informatico o telematico, attraverso la definizione di modelli tecnologici e/o organizzativi capaci di integrare le stesse infrastrutture di connessione.

Con DR si intendono, invece, quelle iniziative tese alla salvaguardia di alcuni aspetti specifici dei processi interni a fronte di eventi eccezionali, che si sostanziano in un ovvia esigenza di conservazione dei dati. Il fenomeno, fu agli albori percepito come una mera esigenza di duplicazione delle infrastrutture, anche perche’ l’evoluzione tecnologica non conosceva ancora la comunicazione tra gli elaboratori ed il concetto di rete era ancora una realta’ lontana. Oggi la tecnologia consente invece di operare in maniera completamente diversa, cosi’ che i c.d.  back-up sono riferibili anche a realta’ geograficamente distanti, consentendo un contenimento degli investimenti di un piano di DR e, allo stesso tempo, benefici sotto il profilo dell’efficienza.
E’ ovvio che in tale evoluzione Internet ha giocato un ruolo determinante, visto che la cultura telematica ha evidenziato, specie per il consumatore, una comprensibile esigenza di sicurezza delle operazioni ivi compiute. Pertanto, e’ evidente che la performance tecnica di un ipotetico sito al quale si accede e le garanzie di continuita’ che lo stesso fornisce, determineranno anche l’appetibilita’ del prodotto o servizio in esso rappresentato e commerciato.
Occorre, altresi’, precisare che cosa si intenda per sicurezza onde evitare interpretazioni limitative o fuorvianti, nel senso che l’espressione DR non va relegata ai meri pericoli connessi agli eventi naturali e catastrofici, perche’ la semplice interruzione delle linee di telecomunicazione o il guasto di qualche server critico, anche se dovuto ad un banale errore umano, puo’ compromettere l’operativita’ aziendale.
Peraltro, in termini statistici si puo’ constatare come la perdita dei dati avvenga in larga misura a causa del malfunzionamento delle componenti hardware e software, nonche’ per la costante presenza dell’errore umano, mentre solo in minima parte tale perdita consegue ai sopra citati disastri naturali o all’introduzione dei virus. Un elemento chiave del DR e’ dunque il back-up periodico delle informazioni, che tuttavia necessita di una preventiva selezione dei dati da salvare, visto che non tutte le informazioni aziendali debbono essere salvate indiscriminatamente.
La predisposizione di un piano di back-up andrebbe condotta non solo dall’area aziendale specificamente deputata alla gestione dei sistemi informatici, ma anche attraverso la collaborazione delle diverse divisioni dell’azienda.

Da un punto di vista strettamente tecnico, altresi’, le operazioni di back-up, anche in reti complesse, dovrebbero essere eseguite con modalita’ che non appesantiscano troppo le  prestazioni della rete locale, magari avviando il back-up quando il sistema IT non e’ attivo. Tuttavia le aziende, specie se di grandi dimensioni, non conoscono momenti di tale inattivita’, pertanto, occorre che i software di back-up possano salvare anche file aperti ed elementi di database mentre gli utenti vi accedono. Occorre stabilire, inoltre, il tipo di procedura da eseguire per i salvataggi periodici (es: un back-up completo ogni settimana ed uno incrementale giornaliero), il riutilizzo dei nastri e la loro conservazione.
Inoltre,  vi e’ il susseguente problema pratico della collocazione materiale del back-up ottenuto, nel senso che la conservazione interna all’impresa non offre sufficienti garanzie, mentre e’ certamente piu’ sicura una collocazione esterna, presso un operatore specializzato o piu’ semplicemente presso un’altra sede, sebbene i tempi di restore dei dati saranno inevitabilmente piu’ lungi, dato che bisognera’ fisicamente riportare i nastri in azienda. Sulla scorta di tali esigenze sono nati i sistemi di back-up e restore remoti, che appartengono a pieno titolo al mondo del DR; in queste architetture un sito remoto e’ collegato direttamente al sistema informativo centrale attraverso una connessione geografica e le operazioni di back-up vengono eseguite da elaboratori installati nel sito remoto.
Insomma, si ottengono le garanzie di sicurezza offerte dalla collocazione esterna, ma le operazioni di restore sono molto piu’ veloci. Nel sito remoto, tuttavia, non ci saranno solo unita’ di back-up, ma anche unita’ a disco: i software di data e storage management si preoccupano di eseguire il c.d. “mirroring” dei dati, replicando le informazioni a livello di singola transazione sulle unita’ e sui server remoti. Il tempo di ripristino dell’operativita’ dei sistemi in questo caso e’ molto breve: se avviene un guasto l’attivita’ del sito centrale puo’ essere passata al sito remoto, detto anche “hot site”, in pochi minuti. Un “cold site” e’ un sistema alternativo dal costo piu’ ridotto: si tratta di una sede cablata che non contiene un sistema informativo completo al suo interno e che si attiva solo quando viene fatta specifica richiesta, sebbene il sito secondario dovra’ essere dotato di tutto l’equipaggiamento necessario, affittato per l’occasione o gia’ di proprieta’ dell’azienda. Le considerazioni ora affrontate, rilevano senz’altro la connessione, gia’ accennata in premessa, di un piano di disaster recovery con un piano di business continuity, dei quali spesso si affida la realizzazione ad imprese specializzate nel settore, talche’ i due temi finiscono col divenire servizi aggiuntivi disciplinati da un contratto di outsourcing.

Sotto il profilo normativo, la legge sulla privacy ha indubbiamente costituito un’imprinting nella considerazione della sicurezza dei flussi informativi, sia pure da un angolazione specifica che non mira alla tutela della commerciabilita’ dei prodotti o alla continuita’ delle connessioni, ma allo specifico bene della riservatezza nel trattamento dei dati personali.

In tale contesto va pertanto valutato l’intervento legislativo scaturito nel D.P.R. 28 luglio 1999 n. 318, “Regolamento recante norme per l’individuazione delle misure minime di sicurezza per il trattamento dei dati personali, a norma dell’articolo 15, comma 2, della legge 31 dicembre 1996, n. 675”, sebbene le norme ivi contenute siano state, profondamente mutate dal nuovo Codice della Privacy.
Tuttavia, questa normativa, unita alle certificazioni di qualita’, oggi non piu’ fattori distintivi ma condizioni essenziali per accedere al mercato, concorrono ad una migliore definizione del fenomeno. La sicurezza informatica, nel panorama legislativo nazionale, trova i suoi riferimenti, oltre che nella tutela del trattamento dei dati personali, anche nella normativa sul diritto d’autore come modificata dal  Dlgs n°518 del 1992, nonche’ nel codice penale italiano ad opera dalla legge n° 547 del 1993 che ha introdotto i cosiddetti “computers crimes”. Sulla scorta di tali premesse, e’ lecito supporre che laddove le ragioni dell’opportunita’ e dell’interesse dominano una realta’ non direttamente e specificatamente regolamentata, la disciplina privata sia lo strumento piu’ idoneo a costituire la prima fonte normativa di riferimento.

Ebbene, il gia’ citato contratto di outsourcing e’ il contratto attraverso il quale l’azienda cede la gestione dei propri sistemi informatici o telematici ad un soggetto terzo, il c.d. outsourcer, che diviene pertanto responsabile di tutte le operazioni informatiche dell’utente, della gestione e manutenzione dei programmi applicativi e dell’altro software interno al sistema.
Invero, l’ampiezza dei compiti “delegati” all’outsourcer nell’ambito di tali contratti, rende ardua l’individuazione dell’oggetto degli stessi, cosi’ che appare auspicabile una ripartizione tra il corpo vero e proprio del contratto ed i vari allegati tecnici (cosi’ facendo, si evidenzieranno nel corpo del contratto gli obblighi dell’outsourcer, come il limite alla facolta’ di subappaltare ex art. 1656 c.c.). 
Tali contratti rilevano nell’oggetto della presente trattazione in quanto gli stessi, sempre piu’ diffusi, concernono servizi dei quali deve esserne rilevata la qualita’, individuata mediante i c.d. Service Level Agreement, posto che la garanzia di qualita’ costituisce una delle obbligazioni principali dell’outsourcer. Una volta che le parti stabiliscono i parametri di ogni servizio, i c.d. Key Performance Indicators (KPI), fondamentale importanza assumono i tempi di intervento e di ripristino di un piano di DR che, pertanto, diviene parte fondamentale di un contratto di outsourcing. 
La regolamentazione pattizia di tali aspetti presuppone in primis una definizione degli eventi che potrebbero inficiare la produttivita’ aziendale, individuati sotto il profilo della causa ancorche’ sotto il profilo squisitamente tecnico, dal malfunzionamento dei dischi, all’interruzione temporanea delle operazioni, dalle conseguenze di Virus, all’opera criminale degli Hacker, sino alla distruzione fisica conseguente ai disastri naturali. Dunque, una volta individuati i possibili problemi si provvedera’ ad inserire, in un apposito allegato tecnico, le istruzioni di ripristino che illustreranno esattamente che cosa fare quando un sistema dovra’ essere ripristinato, avendo riguardo ad accludervi informazioni sui seguenti aspetti:

a) individuazione dei responsabili di reparto o consulenti esterni da contattare in caso di emergenza;
b) procedure sul recupero dei dati di back-up;
c) eventuali nominativi di fornitori che possano somministrare nuove apparecchiature;
d) informazioni dettagliate su come configurare una work station ed i server da utilizzare in una rete locale ripristinata.

Premesso che un piano di DR e’ finalizzato al mero ripristino delle funzioni operative essenziali e non alla ricostruzione totale del sistema, si tenga presente che le parti, nel disciplinare aspetti delicati quali quelli della sicurezza dei dati, finiscono inevitabilmente per scambiarsi informazioni confidenziali in ordine alle procedure ed agli aspetti gestionali sviluppati ciascuno nel proprio ambito (dal know-how alle strategia manageriali, dalle informazioni sulla clientela del committente, agli strumenti e software utilizzati dall’outsourcer, dalle metodologie ai sistemi di proprieta’ del committente o ad esso concessi in licenza, ecc).
Ecco dunque che gia’ dalla fase pre-contrattuale, la sottoscrizione di un accordo di riservatezza, che disciplini le fasi di ottenimento delle informazioni, redazione delle bozze contrattuali e conseguenti trattative, appare imprescindibile.
Cio’ stabilito, le clausole del contratto definitivo preciseranno che tutte le informazioni comunicate da una parte all’altra sia prima che dopo la sottoscrizione dell’accordo dovranno essere ritenute ed utilizzate per le sole finalita’ perseguite. Dunque gli obblighi di riservatezza costituiscono uno degli aspetti legali che conseguono inevitabilmente ad un contratto di outsourcing ed in particolar modo allo specifico piano di DR ivi accluso. Tutto cio’ premesso, e’ ora possibile esaminare quella normativa, sopra definita come “latente” in ragione delle considerazioni gia’ edotte, che pure insiste ed e’ riferibile alla trattazione di un piano di DR, prima tra tutti la tutela della privacy.

Si e’ gia’ detto che in tema di misure di sicurezza e’ in atto un mutamento di assetto disciplinare, in quanto il “Disciplinare tecnico in materia di misure minime di sicurezza”, correlato al nuovo Codice della privacy, sostituira’ dal 1° gennaio 2004 il DPR 318/99 imponendo ad aziende, professionisti ed enti pubblici, un sostanziale adeguamento dei sistemi informativi.
Innanzi tutto, rispetto al DPR 318/99, la nuova disciplina distingue i “trattamenti con strumenti elettronici” ed i “trattamenti senza l’ausilio di strumenti elettronici”, cosi’ che viene eliminato il dibattuto concetto di “elaboratore connesso ad altri elaboratori attraverso reti di telecomunicazioni disponibili al pubblico”. Inoltre, rispetto alla precedente normativa, anziche’ parlare di “amministratore di sistema” si fa ora riferimento al “soggetto preposto alla custodia delle parole chiave” nel caso in cui  l’accesso sia consentito solo attraverso l’utilizzo del dispositivo di autenticazione.

In buona sostanza, infatti, attraverso i trattamenti con strumenti elettronici il titolare, il responsabile ove designato e l’incaricato, devono adottare dei sistema di autenticazione informatica, cioe’ di codici per l’identificazione associati ad una parola chiave riservata, conosciuta solo dall’incaricato stesso, oppure di altro dispositivo di autenticazione quale quello di rilevazione di caratteristiche biometriche. Bisognera’ impartire delle chiare istruzioni agli incaricati al fine di far loro adottare le necessarie cautele per assicurare la segretezza della parola chiave.
La parola chiave deve essere composta da almeno otto caratteri ed il titolare o il responsabile deve impartire precise istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento; ed il sistema di autorizzazione –  deve essere utilizzato quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso, ossia senza l’ausilio di strumenti informatici.
I profili di autorizzazione sono individuati e configurati in modo da limitare l’accesso ai soli dati necessari per effettuare le operazioni di trattamento. La nuova disciplina, peraltro, si occupa del c.d. “Documento programmatico sulla sicurezza”, un atto che dovra’ prevedere interventi formativi per gli incaricati del trattamento dei dati e la cui redazione sara’ obbligatoria entro il 31 marzo di ogni anno. Di tale documento, o del suo aggiornamento, il titolare dovra’ riferire nella relazione accompagnatoria del bilancio d’esercizio, qualora essa sia dovuta.
Ebbene, il punto 23 del disciplinare obbliga il titolare ed il responsabile del trattamento, ad adottare idonee misure per garantire il ripristino dell’accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni.
Rimane invece immutato l’obbligo da parte del titolare di adottare sistemi antivirus e comunque, le misure minime di sicurezza che non erano gia’ previste nel DPR 318/99, dovranno essere adottate entro il 30 giugno 2004 ai sensi dell’art. 180 del Codice della Privacy.
Se il titolare, tuttavia, non dispone ancora di strumenti idonei a consentire l’implementazione delle nuove misure di sicurezza, dovra’ da un lato, conservare apposita documentazione che spieghi le ragioni di tale impossibilita’, e dall’altro rimediare comunque a tale deficit entro il  1° gennaio 2005.

In conclusione, il DR appalesa sfaccettature molto eterogenee tra loro, richiamando normative non pensate per tale fenomeno e che dunque non ingeriscono nella intima definizione delle strategie ed i piani atti a garantire la salvaguardia dei sistemi informatici o telematici.
Eppure, sottovalutare tali aspetti legali, pur nella loro eterogeneita’, rappresenta un grave rischio per gli operatori, anche in considerazione del fatto che il DR viene disciplinato nell’ambito di contratti outsourcing, ossia figure indubbiamente atipiche per il nostro ordinamento, ma non per questo immuni dall’individuazione di regole ad esso applicabili. [Courtesy of ConsulenteLegaleInformatico].

Scritto da