Il giorno 26/giu/08, alle ore 01:33, Daniele Minotti ha scritto:
b. essere sicuri di poter fornire, su richiesta, i suddetti log
all'autorità giudiziaria per ogni evenienza
Esatto. Trovarsi con una denuncia per ostruzione alle indagini non
è sicuramente piacevole.
Non concordo. Se NON SEI OBBLIGATO a tenerli (che e' il caso
dell'ISP ma non e' il caso di chiunque) non sei nemmeno tenuto a
fornirli. E quindi non rischi nessuna denuncia, IMO. Mi piacerebbe
sapere, dagli avvocati di lista, se risultano casi del contrario.
** Non ho letto tutto il thread, ma posso dire che la regola (di
legge) e' sempre quella di _non_ conservare (alcune eccezioni sono
l'art. 132 TU e il Decreto Pisanu). Dunque, non scorgo rischi con la
giustizia in caso di omessa dazione dei log (che, invece, ci
sarebbero se la data retention fosse contra legem).
Vedo che è nato un thread focoso sulla data retention dei log et
similia :)
Vorrei porvi ancora alcuni punti per cercare di giungere ad una
conclusione, presumo utile anche ad altri, sul caso molto tipico di
società che offrono servizi di hosting alle prese con richieste dei
loro clienti. Come sottolineato da Stefano ho letto molti "si può /
non si può" e via dicendo ma sinceramente senza troppi riferimenti...
- il monitoraggio (copia) dei contenuti del traffico email è
sicuramente escluso a priori in tutti i casi, sia che lo metta in atto
il datore di lavoro sia che lo metta in atto un terzo (società di
hosting) per conto del datore di lavoro. Questo lo dice il D.L. 196 e/
o ci sono interazioni varie con lo statuto dei lavoratori e/o le leggi
che regolamentano la corrispondenza. Il fatto che la mail sia
"puramente aziendale" o per uso misto corrispondenza privata e
aziendale non influisce minimamente sulla cosa
- per i log smtp (assumiamo si tratti di [dataora, ip client smtp,
From:, To:, dimensione messaggio] ) non sussiste l'obbligo di
retention nel caso delle società di hosting semplice (che non
forniscono connettività IP, telefonica, o di altro tipo ma solo
servizi di hosting su propri sistemi posti in strutture tlc altrui
(server farm)). Questo perché non sono applicabili il decreto Pisanu
né l'art. 132 del DL196 (nessuno fornisce connettività a nessuno).
- per i suddetti log non è reato conservarli per un tempo ragionevole
ai fini della gestione dei sistemi informatici dell'azienda di
hosting, ad esempio per alcune settimane. Se invece non si può, è a
causa dell'articolo... ?
- sempre per i suddetti log non è possibile fornirli al titolare
dell'azienda cliente perché lo dice..... chi? vi chiederei
cortesemente qualche riferimento. Io avevo trovato l'art. 132 del
DL196 ma come anche per il punto sopra non mi pare eccessivamente
applicabile al caso in esame dato che mi sembra riferirsi più ai
fornitori di connettività / fonia / etc e non ai fornitori di servizi
(hosting mail/web).
- cambierebbe qualcosa se, poniamo, il responsabile legale di una
Spa / Srl / Ditta individuale mi chiedesse dei log filtrati in modo da
contenere solo l'attività del SUO account [EMAIL PROTECTED] O se
un dipendente mi chiedesse quelli del SUO account
[EMAIL PROTECTED] O il titolare mi chiedesse log di
un account "astratto" stile [EMAIL PROTECTED] o
[EMAIL PROTECTED] o cose simili?
Un nodo problematico che vedo in questo caso è che io hoster esterno
non ho modo di accertare l'associazione tra l'account
[EMAIL PROTECTED] e il sig. Nome Cognome (o viceversa l'assenza di
associazione tra un account email e una persona/dipendente nel caso di
account teoricamente dedicati a software automatizzato) - il
responsabile dell'attività potrebbe impersonare un proprio dipendente
creandosi un account nome.cognome@ quando il dipendente di norma non
ha in uso l'email aziendale.
Io suppongo che questa incertezza implichi il non poter fornire, mai
ed a nessuno in nessun caso, né log né alcuna altra informazione sugli
account email, e seguendo il ragionamento renda anche illegale il
fornire strumenti che lo consentano (es. report automatizzati nel
"pannello di controllo" dell'hoster). Certo che a voler essere pignoli
spingendo oltre questo ragionamento arriverei a dire che non è
possibile fornire strumenti automatizzati che forniscano a qualcuno la
password dell'account di qualcun altro, e quindi nemmeno fornire la
possibilità a chi gestisce gli account email (chiamiamolo
"postmaster") di resettare/cambiare la password di un account altrui
(verrebbe per forza di cose a conoscerla e quindi a poter accedere con
le credenziali altrui). Non vado oltre perché mi sono incasinato già a
sufficienza.
Prima che mi bastoniate per errori ed imprecisioni che sicuramente
avrò commesso, ricordo che non ho alcuna formazione in materia legale
e che sono un informatico / contenitoromatico / whatever e sono qui
non per affermare quanto sopra ma per chiedere il vostro parere sulla
correttezza di quanto espresso e/o riferimenti alle leggi che portano
a ciò che è stato scritto.
Grazie a tutti,
--
Luca Lesinigo________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
