LL.GG. AGID Sicurezza Cibernetica. Il danno erariale. La circolare 2/2017 AGID.

Per il 2018 non occorre compilare ( più o meno ) l’allegato alla circolare 2 di Agid 2/2017.
Bisogna attendere le LL.GG. AGID sulla sicurezza , ed in funzione di queste rivedere le mms . Il documento sarà  pronte entro i primi 15 giorni di Gennaio 2019 . Come sempre il dcontenuto mira a modelli organizzativi e non solo all’acquisto di appartai ( firewall, nas, server e ferro vario ), e chiunque ancor prima di queste LL.GG. abbia fatto acquisti non proporzionati ( obbligazioni di mezzi e non di risultato come tante volte detto nel GDPR e non solo ) è a rischio danno erariale.

Le LL.GG , ripeto , sono la normale evoluzione del DPCM 01.08.15 e circolare 2/2017 AGID.

L’architettura sarà basata su tre top level, e 10 principi ( semplici ed immediati ).
L’analisi delle risultantze dell’applicazione delle LL.GG. , l’analisi dei rischi che dovrebbe essere in ogni modello GDPR ( grandi assenti ) ed il confronto con la circolare 2/2017 AGID costituirà  la base di partenza per poi fare gli investimenti ( sentiti il RTD ex articolo 17 82/05 e DPO 37 reg 2016/679).

I TRE LIVELLI .

I PRINCIPI : Politiche culturali e problemi da affrontare

II MISURE DI SICUREZZA : Cosa fare nel dettaglio per esplicare i principi enunciati nel primo livello.

III REGOLE TECNICHE : Praticamente cosa fare nel dettaglio .

Praticamente, come ci insegna l’arte e la tecnica della compliance, abbiamo le prime tre W della regola delle 5 W (WHO , WHEN, WHAT , WHY , WHERE – CHI,QUANDO,COSA,PERCHÈ, DOVE ), infatti i tre livelli rispondono alle domande PERCHE ? – COSA ? – COME ?.

Un esempio dei tre principi  potrebbe essere:

I MISURA : I dati della PA devono essere riservati ed utilizzati per fini istituzionali ( euristica )

II MISURA : di conseguenza tutti gli utenti devono essere univocamente identificti da user e password

III MISURA : le password devono essere composte da almeno 8 caratteri alfanumerici, un carattere maiuscolo ed uno speciale .

È chiaro che l’euristica, la politica data non varia, la seconda e la terza misura  potrebbero  variare ,a partire dal terzo ( analisi del contesto ) ,non otto ma magari 10 caratteri , oppure non potrebbe bastare la combinazione user e password ma anche un terzo fattore, magari biometrico.

I DIECI COMANDAMENTI – o PRINCIPI.

Principio di inventario

Per proteggere bisogna conoscere se stessi, principio fortemente analizzato in circolare 2/2017 , ABSC ID 1 e ABSC ID 2. Per proteggere gli asset devo conoscere ed avere un elenco degli asset da preservare.

Principio di attribuzione

E’ un elemento base della segregazione funzionale propria dei MOG, risponde alla domanda “conosci chi fa cosa e cosa fa cosa, ha fatto o farà ?”.

Quando si parla di trattare bene i dati è inutili spostare l’attenzione solo ed esclusivamente sulla copia e sui virus ( dimenticando sempre i dati analogici ) ma occorre sapere all’interno dell’organizzazione come viene attuato il paradigma CRUD ( CREATE. READ,UDPATE, DELETE).

Principio della pervasività

La sicurezza deve essere pervasiva, trasparente agli utilizzatori , quindi come un abito su misura ( è evidente il richiamo all’articolo 25 del GDPR).

Attenzione, per essere pervasivo uno strumento non può essere calato dall’alto ( procedure ISO ) ma disegnate dal basso con la maieutica ( proedure D.Lgs 231/01 ad esempio ).

Principio della ridondanza

Se hai valore per me, devo copiarti ed avere un sostituto valido. da un punto di vista fisico devo avere ridondanze strutturate ( RAID 5  ,server in cluster, locale o geografico, e più in generale assenza di Single Point of Failure ) .

Dal punto di vista organizzativo non devono esserci centri unici di potere all’interno di ufficio , non posso lancaiare testate nucleari da solo e non posso distruggere documenti nello stesso modo, mentre dal lato logico dovrei permettere come regola del principio della pervasività la possibilità di accedere ale informazioni con più metodologie ( web, cell, sportello etc ).

Chi tratta l’argomento da tempo non può non notar ele analogie del TIER delle LL.GG. sul DISASTER RECOVERY dell’articolo 50 bis del vecchio CAD ( 235/10).

Principio del minimo
Citazione popolare ” Tre so’ ‘e putiente: ‘o Papa, ‘o Rre e chi nun tene niente” traduzione ” i potenti sono il Papa , il Re  e chi non ha niente “.

Il Papa ed il Re hanno grossi patrimoni e le risorse per il loro presidio, chi non ha niente  non ha nulla da perdere e quel poco che ha può essere presidiato in economia.

tecnologicamente si traduce nel ridurre la superficie di attacco elimianndo tanti servizi inutili che si interfacciano sul web, organizzativamente invece si attua con le review delle utenze attivate ( ci ricolleghiamo al paradigma CRUD del primo comandamento ).

Principio del miglioramento continuo
Non restiamo mai indietro, formiamo continuamente il nostro personale sugli aspetti tecnologici e normativi.

Principio dell’Automatizzazione

L’uomo può sbagliare nei lavori ripetitivi, la mente dell’uomo deve programmare gli eventi e creare e controllare le procedure. Trattare bene i dati prevede alcuni automatismi , con i limiti ovviamente di natura etica e normati ( art 22 GDPR)

Principio della temporalità

Massima priorità agli aggiornamenti tecnologici ed alla PATCH ( ampliamente tratato nelle mms AGID ) , essenziale l’abbonamento al CERT-PA.

Principio della diversità

Chi è appassionato di automobili ? io no ma faccio un esempio .

Avete un antifurto con immobilizer sull’auto ? Avete anche il block shaft ? Si ? perche non non avete montato due antifurti di tipo immobilizer ?.

Proeggere significa differenziare i presidi di sicurezza, Un esempio da non seguire ? DUE o PIU’ FIREWALL identici. BUCATO uno, bucati gli altri.

A ben vedere è una regola biologica evolutiva .

Principio della separazione
Deve sempre vigere il principio della separation of duties , esempi sono quelli costituzionali ( separazione del potere legislativo , esecutivo e giudicante ).

Il modello di riferimento potrebbe nuovamente essere quello dei MOG ex d.lgs 231/01. In alcuni aspetti è l’atra faccia del principio della ridondanza.

Tecnologicamente si attua con avere ambienti fisici e virtuali, reti separate e soluzioni confinate in ambienti diversi. Per assurdo se virtualizzo un server fisico facendolo girare sullo stesso con un black out perdo tutto.

I dieci principi sono facilmente  individuabili in alcuni ID dell’ABSC Agid 2/2017, ad esempio nel paragrafo

ABSC 2.1.1 Stilare un elenco di software autorizzati e relative versioni necessari per ciascun tipo di sistema, compresi server, workstation e laptop di vari tipi e per diversi usi. Non consentire l’installazione di software non compreso nell’elenco.

Trovo i principi  di Inventario ,di Attribuzione , della Separazione, del Minimo .

Continuiamo la nostral DIGITAL COMMEDIA ricordando come sempre che la Conserva di POMODORO ci insegna le giuste procedure per trattare bene i dati.

Le comunicazioni elettroniche dell’ARTICOLO 40 DEL D.LGS 50/16

In attesa di intervento chiarificatore dell’ANAC, ulteriore a successivo a quello del 30/10/2018, continuiamo dopo il post già pubblicato ad approfondire le procedure .

Art. 40 (Obbligo di uso dei mezzi di comunicazione elettronici nello svolgimento di procedure di aggiudicazione) 1. Le comunicazioni e gli scambi di informazioni nell’ambito delle procedure di cui al presente codice svolte da centrali di committenza sono eseguiti utilizzando mezzi di comunicazione elettronici ai sensi dell’articolo 5-bis del decreto legislativo 7 marzo 2005, n. 82, Codice dell’amministrazione digitale. 2. A decorrere dal 18 ottobre 2018, le comunicazioni e gli scambi di informazioni nell’ambito delle procedure di cui al presente codice svolte dalle stazioni appaltanti sono eseguiti utilizzando mezzi di comunicazione elettronici.

leggendo il 40 è chiaro il rimando  ad altre due norme, il 52 degli appalti e soprattutto il 5 bis del CAD.

Art. 52 (Regole applicabili alle comunicazioni) 1. Nei settori ordinari e nei settori speciali, tutte le comunicazioni e gli scambi di informazioni di cui al presente codice sono eseguiti utilizzando mezzi di comunicazione elettronici in conformita’ con quanto disposto dal presente comma e dai commi da 2 a 9, nonche’ dal Codice dell’amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n. 82. Gli strumenti e i dispositivi da utilizzare per comunicare per via elettronica, nonche’ le relative caratteristiche tecniche, hanno carattere non discriminatorio, sono comunemente disponibili e compatibili con i prodotti TIC generalmente in uso e non limitano l’accesso degli operatori economici alla procedura di aggiudicazione. In deroga al primo e secondo periodo, le stazioni appaltanti non sono obbligate a richiedere mezzi di comunicazione elettronici nella procedura di presentazione dell’offerta esclusivamente nelle seguenti ipotesi: a) a causa della natura specialistica dell’appalto, l’uso di mezzi di comunicazione elettronici richiederebbe specifici strumenti, dispositivi o formati di file che non sono in genere disponibili o non sono gestiti dai programmi comunemente disponibili; b) i programmi in grado di gestire i formati di file, adatti a descrivere l’offerta, utilizzano formati che non possono essere gestiti mediante altri programmi aperti o generalmente disponibili ovvero sono protetti da licenza di proprieta’ esclusiva e non possono essere messi a disposizione per essere scaricati o per farne un uso remoto da parte della stazione appaltante; c) l’utilizzo di mezzi di comunicazione elettronici richiede attrezzature specializzate per ufficio non comunemente disponibili alle stazioni appaltanti; d) i documenti di gara richiedono la presentazione di un modello fisico o in scala ridotta che non puo’ essere trasmesso per mezzo di strumenti elettronici; e) l’uso di mezzi di comunicazione diversi dai mezzi elettronici e’ necessario a causa di una violazione della sicurezza dei mezzi di comunicazione elettronici ovvero per la protezione di informazioni di natura particolarmente sensibile che richiedono un livello talmente elevato di protezione da non poter essere adeguatamente garantito mediante l’uso degli strumenti e dispositivi elettronici che sono generalmente a disposizione degli operatori economici o che possono essere messi loro a disposizione mediante modalita’ alternative di accesso ai sensi del comma 6. 2. Nei casi in cui non sono utilizzati mezzi di comunicazione elettronici ai sensi del terzo periodo del comma 1, la comunicazione avviene per posta o altro idoneo supporto ovvero mediante una loro combinazione. 3. Le stazioni appaltanti indicano nella relazione unica i motivi per cui l’uso di mezzi di comunicazione diversi dai mezzi elettronici e’ stato ritenuto necessario in applicazione del comma 1, terzo periodo. 4. In deroga ai commi da 1 a 3, la comunicazione orale puo’ essere utilizzata in relazione a comunicazioni diverse da quelle relative agli elementi essenziali della procedura di appalto, purche’ il contenuto della comunicazione orale sia sufficientemente documentato. A tal fine, gli elementi essenziali della procedura di appalto includono i documenti di gara, le richieste di partecipazione, le conferme di interesse e le offerte. In particolare, le comunicazioni orali con offerenti che potrebbero incidere significativamente sul contenuto e la valutazione delle offerte sono documentate in misura sufficiente e con mezzi adeguati. 5. In tutte le comunicazioni, gli scambi e l’archiviazione di informazioni, le stazioni appaltanti garantiscono che l’integrita’ dei dati e la riservatezza delle offerte e delle domande di partecipazione siano mantenute. ((Esse esaminano)) il contenuto delle offerte e delle domande di partecipazione soltanto dopo la scadenza del termine stabilito per la loro presentazione. 6. Le stazioni appaltanti possono, se necessario, richiedere l’uso di strumenti e dispositivi che in genere non sono disponibili, ma, in tale caso, offrono modalita’ alternative di accesso. Sono adeguate modalita’ alternative di accesso quelle che: a)  offrono gratuitamente un accesso completo, illimitato e diretto per via elettronica a tali strumenti e dispositivi a decorrere dalla data di pubblicazione dell’avviso, conformemente all’allegato V o dalla data di invio dell’invito a confermare interesse. Il testo dell’avviso o dell’invito a confermare interesse indica l’indirizzo Internet presso il quale tali strumenti e dispositivi sono accessibili; b)  assicurano che gli offerenti, che non hanno accesso agli strumenti e ai dispositivi in questione o non hanno la possibilita’ di ottenerli entro i termini pertinenti, a condizione che la responsabilita’ del mancato accesso non sia attribuibile all’offerente interessato, possano accedere alla procedura di appalto utilizzando credenziali temporanee elettroniche per un’autenticazione provvisoria fornite gratuitamente online; c) offrono un canale alternativo per la presentazione elettronica delle offerte. 7. Le amministrazioni aggiudicatrici e gli enti aggiudicatori possono imporre agli operatori economici condizioni intese a proteggere il carattere di riservatezza delle informazioni che i predetti soggetti rendono disponibili durante tutta la procedura di appalto. 8. Oltre ai requisiti di cui all’allegato XI, agli strumenti e ai dispositivi di trasmissione e di ricezione elettronica delle offerte e di ricezione elettronica delle domande di partecipazione si applicano le seguenti regole: a) le stazioni appaltanti mettono a disposizione dei soggetti interessati le informazioni sulle specifiche per la presentazione di offerte e domande di partecipazione per via elettronica, compresa la cifratura e la datazione; b)  le stazioni appaltanti specificano il livello di sicurezza richiesto per i mezzi di comunicazione elettronici da utilizzare per le varie fasi della procedura d’aggiudicazione degli appalti. Il livello e’ proporzionato ai rischi connessi; c) qualora ritengano che il livello dei rischi, valutato ai sensi della lettera b), sia tale che sono necessarie firme elettroniche avanzate, come definite nel Codice dell’amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n. 82, le stazioni appaltanti accettano le firme elettroniche avanzate basate su un certificato qualificato, considerando se tali certificati siano forniti da un prestatore di servizi di certificazione presente in un elenco di fiducia di cui alla decisione della Commissione 2009/767/CE, create con o senza dispositivo per la creazione di una firma sicura alle seguenti condizioni: 1) le stazioni appaltanti stabiliscono il formato della firma elettronica avanzata sulla base dei formati stabiliti nelle regole tecniche adottate in attuazione del Codice dell’amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n. 82, e attuano le misure necessarie per poterli elaborare; qualora sia utilizzato un diverso formato di firma elettronica, la firma elettronica o il supporto del documento elettronico contiene informazioni sulle possibilita’ di convalida esistenti. Le possibilita’ di convalida consentono alla stazione appaltante di convalidare on line, gratuitamente e in modo comprensibile per i non madrelingua, le firme elettroniche ricevute come firme elettroniche avanzate basate su un certificato qualificato. Le stazioni appaltanti, tramite il coordinamento della Cabina di regia, comunicano le informazioni relative al fornitore di servizi di convalida alla Commissione europea che le pubblica su internet; 2) in caso di offerte firmate con il sostegno di un certificato qualificato in un elenco di fiducia, le stazioni appaltanti non applicano ulteriori requisiti che potrebbero ostacolare l’uso di tali firme da parte degli offerenti. 9. Riguardo ai documenti utilizzati nel contesto di una procedura di appalto che sono firmati dall’autorita’ competente o da un altro ente responsabile del rilascio, l’autorita’ o l’ente competente di rilascio puo’ stabilire il formato della firma elettronica avanzata in conformita’ ai requisiti previsti dalle regole tecniche adottate in attuazione del Codice dell’amministrazione digitale di cui al decreto legislativo 7 marzo 2005, n. 82. Essi si dotano delle misure necessarie per trattare tecnicamente tale formato includendo le informazioni necessarie ai fini del trattamento della firma nei documenti in questione. Tali documenti contengono nella firma elettronica o nel supporto del documento elettronico possibilita’ di convalida esistenti che consentono di convalidare le firme elettroniche ricevute on line, gratuitamente e in modo comprensibile per i non madre lingua. 10. Per le concessioni, fatti salvi i casi in cui l’uso dei mezzi elettronici e’ obbligatorio ai sensi del presente codice, le stazioni appaltanti possono scegliere uno o piu’ dei seguenti mezzi di comunicazione per tutte le comunicazioni e gli scambi di informazioni: a)  mezzi elettronici; b)  posta; c)  comunicazione orale, anche telefonica, per comunicazioni diverse da quelle aventi ad oggetto gli elementi essenziali di una procedura di aggiudicazione di una concessione e purche’ il contenuto della comunicazione orale sia sufficientemente documentato su un supporto durevole; d)  la consegna a mano comprovata da un avviso di ricevimento. 11. Nei casi di cui al comma 10, il mezzo di comunicazione scelto deve essere comunemente disponibile e non discriminatorio e non deve limitare l’accesso degli operatori economici alla procedura di aggiudicazione della concessione. Gli strumenti e i dispositivi da utilizzare per comunicare per via elettronica, nonche’ le relative caratteristiche tecniche, devono essere interoperabili con i prodotti della tecnologia dell’informazione e della comunicazione comunemente in uso. 12. Alle concessioni ((si applicano i commi 5 e 7)).

Vediamo ora il 5 bis del CAD che come sempre considero strumentale ad ogni procedimento.

Art. 5-bis (Comunicazioni tra imprese e amministrazioni pubbliche). 1. La presentazione di istanze, dichiarazioni, dati e lo scambio di informazioni e documenti, anche a fini statistici, tra le imprese e le amministrazioni pubbliche avviene esclusivamente utilizzando le tecnologie dell’informazione e della comunicazione. Con le medesime modalita’ le amministrazioni pubbliche adottano e comunicano atti e provvedimenti amministrativi nei confronti delle imprese. 2. Con decreto del Presidente del Consiglio dei Ministri, su proposta del Ministro per la pubblica amministrazione e l’innovazione, di concerto con il Ministro dello sviluppo economico e con il Ministro per la semplificazione normativa, sono adottate le modalita’ di attuazione del comma 1 da parte delle pubbliche amministrazioni centrali e fissati i relativi termini. 3. ((AgID)), anche avvalendosi degli uffici di cui all’articolo 17, provvede alla verifica dell’attuazione del comma 1 secondo le modalita’ e i termini indicati nel decreto di cui al comma 2. 4. Il Governo promuove l’intesa con regioni ed enti locali in sede di Conferenza unificata per l’adozione degli indirizzi utili alla realizzazione delle finalita’ di cui al comma 1.

Come ulteriore riferimento per capire cosa si intende per procedura telematica è importante il CdS n. 4050 del 2016 che crea una discriminante importante , non basta l’utilizzo non armonico degli strumenti del CAD ( Firma, PEC , Mt etc ), ma è necessaria una piattaforma capace di gestire le procedure ed automatizzare le proposte discrezionali ed inoltre detti dall’alto i tempi di apertura, invito, caricamento etc etc. Allego la sentenza.

E’ importante ribadire che vige ancora l’articolo 1 comma 450 della L. 296/06.

Una cosa importante da chiarire è che il 18 ottobre è entrato in vigore solo l’articolo 40 del D.lgs 50/2016 e non il 44 , per il quale siamo in attesa di ulteriori disposizioni e regole tecniche.

Per riepilogare , e soprattutto tranquilizzare ricordo che sarà tutto piû semplice quando l’ANAC finalmente farà partire la BDNOE, nel frattempo si dovranno utilizzare  le solite procedure e… come sempre nulla di nuovo , occorre solo applicare il combinato articolo 29 del D.lgs 50/16 e 37 del D.lgs 33/13 tenendo conto del CAD.

Tutti i miei clienti otterranno nella relazione finale GDPR-ACCESSIBILITA’-TRASPARENZA una relazione puntuale sullo stato degli adempimenti.

Tempo stimato…. BEFANA 2019.

Buona Digital Commedia.

COLLEGAMENTI TRA TRASPARENZA E GDPR nel PNA 2018 .Bang !!! SLAAAAAM , SIGH!!! RDP, RPCT, RDP, DPO, GDPR , PNA. IL PNA 2018.

Il PNA 2018, contiene alcuni chiarimenti in merito al DPO ,al RPCT ed alla possibile coincidenza delle due figure.

Ovviamente tale degenerazione è possibile solo qualora si volesse scegliere un DPO interno, possibile ma non performante, infatti all’ultimo capoverso della pagina 16 dell’aggiornamento 2018 al PNA sconsiglia questa scelta.

Nel PNA non poteva mancare il collegamento tra la trasparenza ed il GDPR, questo perchè purtroppo ancora non è chiara la portata della norma, si continua a pensare al GDPR come regolamento PRIVACY, e non protezione dei dati e libera circolazione degli stessi.

Quindi, l’amministrazione trasparente resta integra e non si muove dal suo posto, l’importante e seguire i dettami della legge ( attenzione del 33/13 e non del GDPR che ci delinea dei perimetri e che rimanda a leggi e regolamenti ) .

Il riferimento normativo resta l’articolo 7 comma 4 del 33/13.

ciao ciao vicnenzo de prisco

il D.l 179/12 e la notificazione della PEC, importante decisione CASSAZIONE

Art. 16-septies. DL 179/12 ( CRESCITA )Tempo delle notificazioni con modalita’ telematiche

1. La disposizione dell’articolo 147 del codice di procedura civile si applica anche alle notificazioni eseguite con modalita’ telematiche. Quando e’ eseguita dopo le ore 21, la notificazione si considera perfezionata alle ore 7 del giorno successivo.

IMPORTANTE DECISIONE CASSAZIONE 28864/2018.

Dall’ordinanza, infatti, si evince che la notifica PEC, dalla quale è poi scaturito il ricorso per Cassazione, è iniziata sicuramente dopo le ore 21.00 del giorno di scadenza e, più precisamente, alle ore 23.26: “(omissis) ricorre per cassazione nei confronti della sentenza con la quale la corte d’appello di Bologna ha dichiarato inammissibile per tardività il gravame dal medesimo interposto con l’atto di citazione notificato in modalità telematica il 30-11-2017, a ore 23’26, rispetto all’ordinanza di primo grado comunicata a mezzo Pec il 31-10-2017, nell’ambito del procedimento instaurato per il riconoscimento della protezione internazionale e umanitaria…”.

E’, quindi, per questo motivo che la notifica, in applicazione dell’articolo 147 c.p.c., non essendo l’attività notificatoria iniziata entro le ore 21.00 del 30.11.2017, deve intendersi effettuata, anche per il notificante, il 1 dicembre 2017 ed è sempre per tale motivo che la Cassazione ha ritenuto di non poter applicare la scissione tra il momento di perfezionamento della notifica per il notificante e il tempo di perfezionamento della notifica per il destinatario.

Sempre nell’ordinanza in commento, il Collegio a supporto della decisione, fa riferimento a due precedenti decisioni (Cass. Civ. n. 8886/2016, Cass. Civ. n. 21915/2017); in particolare, dalla lettura della sentenza n. 21915/2017, si evince che la questione in esame è stata in precedenza esaminata da questa Corte, che è già pervenuta alla medesima soluzione nel senso della tardività della notifica, con sentenza n. 8886 del 2016. In quella occasione, la Corte ha espresso il principio di diritto secondo il quale “L’art. 16 septies del d.l. n. 179 del 2012, conv. con modif. dalla 1. n. 221 del 2012, non prevede la scissione tra il momento di perfezionamento della notifica per il notificante ed il tempo di perfezionamento della notifica per il destinatario, espressamente disposta, invece, ad altri fini, dall’art. 16 quater dello stesso d.l. (Nella specie, la S.C. ha ritenuto quindi tardiva la notifica del ricorso per cassazione affermando che si era perfezionata, sia per il notificante che per il notificato, il giorno successivo a quello di scadenza del termine per l’impugnazione, poiché eseguita dopo le ore 21 di quest’ultimo giorno)”.