Buongiorno a tutti voi. E' legittimamente corretto scaricare in toto o in parte la responsabilità di un soggetto "A" ad un altro soggetto "B" che autorizzato da "A" utilizza le sue credenziali di accesso per adempiere a degli obblighi informativi (sempre di "A" previsti per legge) e per i quali l'inadempimento prevede delle sanzioni ?
Premesso che credo non si possa far utilizzare ufficialmente delle credenziali di accesso nominative a persona diversa da quella a cui sono state assegnate (o forse è possibile ?), ammettiamo che questo avvenga, per cui riporto in dettaglio altri elementi che possano far comprendere meglio il quesito richiesto. Inoltre, il riferimento frequente nel seguito alla frase "come stabilito dalla legge" non indica quanto sia previsto dalla normativa sulla sicurezza informatica, privacy, amministratori di sistema, e quant'altro (io questo non lo so), ma si rifà a quanto effettivamente è stabilito dalla normativa specifica e propria di settore che interessa i contenuti, le modalità e le procedure con cui devono essere trasmessi i dati in questione. Questo non toglie (ed è proprio quello che vorrei sapere) che se esiste una disposizione normativa che prevede una responsabilità totale ed esclusiva (e non solidale con un secondo soggetto che autorizzato usa le credenziali di accesso del primo) del soggetto a cui sono state attribuite delle password, questo non possa integrare il quadro panoramico della questione in oggetto. Il soggetto "A": - ha i requisiti per svolgere la sua funzione e tra i suoi compiti (che ovviamente non si limitano solo a quanto qui riportato e sono di gran lunga più estesi) è previsto l'adempimento a degli obblighi informativi - è obbligato per legge in modo esplicito e tassativo a raccogliere, verificare e trasmettere i dati di sua competenza entro determinate scadenze - deve analizzare dei documenti per estrapolare i dati necessari che non sempre corrispondono con i campi che occorre compilare del sistema online per assolvere ai suoi adempimenti - deve farlo secondo una procedura telematica prevista dalla legge (che ogni giorno diviene sempre più complessa) - il sistema informatico che riceve i dati prevede preventivamente una procedura di accreditamento che eseguita rilascia delle credenziali di accesso a chi è deputato a svolgere le funzioni in questione - le credenziali di accesso sono nominative e la responsabilità circa l'utilizzo delle stesse ricade in capo al richiedente così come prevede la legge - se omette, senza giustificato motivo, di fornire i dati richiesti è sottoposto, al pagamento di una somma fino a euro 26.000. La sanzione è elevata fino a euro 51.500 se sono forniti dati non veritieri - può anzi è un suo diritto (sempre previsto per legge) avvalersi del supporto tecnico di altri soggetti nell'espletamento dei compiti assegnati per legge Il soggetto "B": - non ha i requisiti per svolgere le funzioni del soggetto "A" e quindi di adempiere ai suoi obblighi informativi ma in ogni caso ha tutte le capacità necessarie - si è fatto preventivamente autorizzare per iscritto da "A" per accedere e trasmettere via web a nome sempre di "A" i dati in questione - nella specie di delega di password, si è chiarito che la responsabilità della completezza, correttezza, recupero, raccolta e trasmissione dei dati e dei relativi tempi di trasmissione rimane sempre in capo al soggetto "A", così come qualsiasi altro adempimento previsto per legge - vengono infatti compilate a mano prima della trasmissione delle schede in cui vengono riportati i dati da inviare - tali schede sono preventivamente autorizzate per dimostrare che è avvenuta di fatto un'azione di vigilanza, controllo e verifica sull'operato di "B" da parte di "A" e rendere responsabile di tutto comunque sempre "A" Con successiva autorizzazione ora s'intendono attribuire al soggetto "B" la responsabilità della correttezza dei dati trasmessi e delle procedure seguite, secondo i dati forniti e sottoscritti dal soggetto "A" >>>>>>>>>>< Domande Il soggetto "B": - è responsabile in parte o in toto per i dati che trasmette per conto di "A" ? - la sua responsabilità si limita solo ed esclusivamente alla correttezza della *digitazione* dei dati ? - adesso è responsabile anche della correttezza delle procedure (in continua evoluzione) ma in realtà, almeno teoricamente, non dovrebbe avere le capacità di poterlo fare, visto che per legge, "A" i requisiti che "B" non ha - è responsabile per l'intepretazione dei dati forniti ? Nel concreto non sempre quello che viene richiesto dal sistema corrisponde precisamente con i dati che rivengono dai documenti che è necessario analizzare per assolvere gli adempimenti previsti - Nella disposizione dell'autorizzazione si riferisce della necessità di "acquisire dal soggetto "A" tutti i "dati occorrenti" ma in conclusione si riporta che i "dati verranno forniti" poi dallo stesso soggetto "A". Chi deve fornire o acquisire i dati ? "A" o "B" ? E se "A" non li fornisce chi è responsabile dell'inadempimento (se per legge "A" comunque dovrebbe rimanere sempre responsabile di tutto ?) ? Il soggetto "A" eventualmente sanzionato potrebbe rivalersi in tutto o in parte del danno subito sul soggetto "B" ? A seconda delle risposte che potreste fornirmi, cosa fareste al posto del soggetto "B" ? Rimarreste fermi perchè comunque il perimetro delle responsabilità di "B" è ben definito o è ravvisabile o perchè in futuro difronte ad un contenzioso che potrebbe nascere per inadempimenti è dimostrabile che quello che spetta per legge ad "A" non poteva mai farlo "B" ? Grazie in anticipo a chi vorrà fornire un contributo.. grazie comunque per l'attenzione.. ------------------------------------------------------------------------------- Valore legale alle tue mail InterfreePEC - la tua Posta Elettronica Certificata http://pec.interfree.it -------------------------------------------------------------------------------
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
